Teksti: Jaakko Koivisto
F-Secure teetti Lontoossa ihmiskokeen, jossa yritys tarjosi ihmisille ilmaista wifi-yhteyttä. Ilmaispalvelun käyttäjäehdoissa kerrottiin, että palvelun käyttäjä luovuttaa joko esikoislapsensa tai rakkaimman kotieläimensä palvelun tarjoajalle.
Puolen tunnin aikana wifi-verkkoon liittyi 250 laitetta. Tuon puolituntisen aikana 33 ihmistä lähettivät aktiivisesti verkon kautta dataa, eli esimerkiksi sähköposteja. Wifi-verkon ylläpitäjät olisivat halutessaan voineet selvittää sähköpostien lähettäjän ja vastaanottajan tiedot sekä jopa lukea viestien sisällöt.
F-Securella vuosikymmenen ajan tietoturvallisuuden parissa työskennellyttä Ian Whitesidea ihmiskokeen lopputulos yhtä aikaa naurattaa, mietityttää ja hirvittää.
– Tietoturvan taso vaihtelee maittain aivan valtavasti. Suomi on ehdottomasti kärkimaita, kun puhutaan tietoturvallisuudesta yleisesti ottaen. Sanoisin, että asiat ovat täällä suhteellisen hyvällä mallilla, varsinkin isoissa yrityksissä, Whiteside kertoo.
Jos wifi-koe toistettaisiin vaikkapa Helsingin keskustassa, niin lopputulos olisi todennäköisesti silti samansuuntainen kuin Lontoossa. Vaikka tietoturvasta puhutaan paljon ja ihmiset ymmärtävät sen tärkeyden sekä yritykset budjetoivat sen osaksi liiketoimintaansa, niin kipukohtiakin löytyy.
– Mobiililaitteiden turvallisuuteen ei edelleenkään kauheasti keskitytä. Vain noin puolet yrityksistä käyttää edes hieman resursseja siitä huolehtimiseen, Whiteside toteaa.
Whiteside työskentelee Cloud Protection –tiimissä, joka keskittyy pilvipalveluiden tietoturvaan. Aiemmin Whitesidella on ollut vastuullaan alueet, joilla F-Securella ei ole toimistoa. Hän on työnsä puolesta reissannut pitkin Afrikan mannerta, edistänyt tietoturva-asioita Venäjällä ja työskennellyt monissa Euroopan maissa, kuten Kreikassa ja Romaniassa. Whiteside tietää kertoa, että tietoturvaan suhtaudutaan eri maissa hyvin eri tavoin. Miten asiaan pitäisi hänen mielestään suhtautua?
– On olemassa vain kahdenlaisia yrityksiä. Niitä, joiden tietoturva on murrettu ja niitä, jotka eivät tiedä, että niiden tietoturva on murrettu.
”On olemassa vain kahdenlaisia yrityksiä. Niitä, joiden tietoturva on murrettu ja niitä, jotka eivät tiedä, että niiden tietoturva on murrettu.”
Yritysten tietoturvaa koetellaan läpi vuorokauden kaikkina vuodenaikoina. Toiminnan loppuminen ei ole näköpiirissä, sillä tietomurrot ovat niin kannattava bisnes, että niiden tehtailijat ajelevat kalliilla autoilla ja korkkailevat shampanjapulloja. Whiteside kertoo, että joillakin ransomwaren (kiristyshaittaohjelmien) levittäjillä on jopa asiakaspalvelunumero, johon yritykset voivat soittaa, kun niiden data on kaapattu lunnaita varten.
– Tietomurtojen osalta voimme puhua ihan oikeasta mafiasta, sillä toiminta on järjestäytynyttä ja ammattimaista, Whiteside kuvailee.
Perusjutut, perusjutut, perusjutut
Tietoturva on kuin nyrkkeilyottelu. Se päättyy hyvin harvoin tyrmäykseen. Tyypillisessä nyrkkeilyottelussa ottelijat etsivät vuorotellen toistensa suojauksesta heikkouksia. Kun yksi ryhtyy hyökkäykseen, joutuu toinen hapuilemaan taka-askelilla kohti nurkkausta. Ammattilaisottelija kykenee vastaanottamaan valtavan määrän iskuja puolustusmuurin rakoilematta.
Tietoturvaa kuvaa parhaiten ajatus päättymättömästä nyrkkeilyottelusta, jossa osapuolet vastavuoroin tanssahtelevat toistensa ympärillä ja kokeilevat vastustajan puolustuksen pitävyyttä.
Rahaa tietoturvamittelöissä liikkuu moninkertaisesti enemmän kuin rahakkaimmissa nyrkkeilyotteluissa. Kun kyse on valtiotason tai suuryritysten tietomurroista, niin puhutaan valtavista rahasummista.
– Vaikka vastapuolella on käytössään suuret resurssit ja paljon aikaa, niin ei kilpailu tietoturvallisuudesta ole todellakaan yksipuolista. Hyökkääjä keksii jatkuvasti uusia keinoja, joita puolustaja pyrkii torjumaan, Whiteside kuvailee.
Tietoturvamittelön asetelma on selkeä. Hyökkääjän on löydettävä puolustuksesta ainoastaan yksi aukko, kun taas puolustajan täytyy suojautua kaikelta. Hyökkääjän on kuitenkin onnistuttava kaikessa täydellisesti, kun puolustajan täytyy havaita ainoastaan yksi merkki tulevasta hyökkäyksestä.
Hyökkääjän on nyrkkeilytermein kyettävä tyrmäämään hyökkäyksen kohteeksi valikoimansa yritys, muuten yritys julistetaan ottelun jälkeen voittajaksi.
Miten yrityksen puolustuksesta sitten voi huolehtia? Whitesiden mukaan perusjutuilla pärjää varsin hyvin. Näitä perusjuttuja ovat ohjelmistojen päivittäminen, päätelaitteiden suojauksesta huolehtiminen ja varmuuskopiointi.
– Yllättävän paljon ongelmia aiheuttaa se, etteivät yritykset reagoi ohjelmistojen päivitysilmoituksiin. Uhkista 80 prosenttiin voi suojautua pelkästään sillä, että huolehtii käyttämiensä ohjelmien päivittämisestä, Whiteside kertoo.
”Uhkista 80 prosenttiin voi suojautua pelkästään sillä, että huolehtii käyttämiensä ohjelmien päivittämisestä”
Päätelaitteiden suojauksella tarkoitetaan koko verkon suojaamista yksittäisen laitteen sijaan. Whiteside kertoo, että endpoint-suojaukseen on tarjolla useita vaihtoehtoja, mutta toteaa, että niiden kohdalla pätee sanonta ”no such thing as a free lunch”. Whiteside kehottaa yrityksiä valitsemaan maksullisista vaihtoehdoista, sillä maksuttomien suojausvaihtoehtojen ominaisuudet eivät riitä torjumaan ammattilaispahiksia.
– Näistä perusjutuista yritykset unohtavat usein varmuuskopioinnin. On erittäin tärkeää, että jos jotain ikävää tapahtuu, niin tiedot ovat tallessa, Whiteside muistuttaa.
Syyllinen löytyy usein peilistä
Vaikka yrityksen tietoturva olisi näennäisesti kunnossa, niin ihmisten toiminta voi aiheuttaa valtavasti vahinkoa. Pelkät toimivat ohjelmistot eivät riitä, vaan henkilöstön tulee ymmärtää oma vastuunsa.
– Osa hyökkäyksistä on todella tarkasti kohdistettuja. Jos yrityksen toimitusjohtajan nimissä tulee sähköpostilla käsky lähettää 10 miljoonaa euroa Kiinaan, niin vaikka kynnys marssia johtajan pakeille olisi korkea, kannattaa silti mennä kasvotusten kysymään asiasta. Todennäköisesti yritys säästää siinä ne 10 miljoonaa, jotka olisivat päätyneet ties minne, kertoo Whiteside.
Myös haittaohjelmat voivat levitä yrityksen sisällä kulovalkean tavoin. Katastrofi voi saada alkunsa siitä, kun yksi työntekijä lähettää kotikoneeltaan saastuneen tiedoston ja se päätyy esimerkiksi yrityksen HR-osaston käsiin. Sieltä se voi salamannopeasti levitä koko organisaatioon.
– Haittaohjelmat leviävät liitetiedostojen mukana. Siksi kaikkien tiedostojen avaamisessa pitäisi olla varovainen. Ymmärrän kyllä, että esimerkiksi työhakemuksia käsittelevän henkilön on vaikea pysyä aina varuillaan, Whiteside pohtii.
”Haittaohjelmat leviävät liitetiedostojen mukana. Siksi kaikkien tiedostojen avaamisessa pitäisi olla varovainen.”
On siis tärkeää, että yrityksen tietoturva on kunnossa – myös ihmisten toiminnan osalta. Tähänkin Whitesidella on antaa käytännön ohjeita.
– Jos yrityksen työntekijät tekevät etätöitä, niin kannattaako töitä tehdä samoilla koneilla, joille perheen lapset lataavat kaikenlaisia omia tiedostojaan? Työpaikallakin sopii miettiä, kannattaako yrityksen laskuja maksaessa pitää Facebookia auki. Kehotan käyttämään eri koneita eri tarkoituksiin, Whiteside ohjeistaa.
Pilvessä vastuu jakautuu
Alati yleistyvien pilvipalveluiden hyödyt ovat kiistattomat. Hyötyjen lista on pitkä: suuruuden ekonomia, joustavuus, kustannustehokkuus, tietoturvallisuus, käytettävyys ajasta ja paikasta riippumatta, energiansäästö, nopea käyttöönotto ja mahdollisuus avata palvelut myös asiakkaiden, kumppaneiden ja sidosryhmien käyttöön.
Myös Ian Whiteside liputtaa pilvipalveluiden puolesta, mutta…
– Pilvipalveluiden hyödyt ovat kiistattomat, mutta minusta tuntuu, että kun niiden hyödyistä puhutaan aivan valtavasti, niin riskit jäävät vähälle huomiolle. Ihmisillä on hieman väärä käsitys asiasta. Monet ajattelevat, että kun he ostavat palvelun ulkopuolelta, niin heidän ei itse tarvitse miettiä tietoturvaa. Tiettyyn pisteeseen asti se onkin totta, mutta myös pilvipalvelun ostajalla on omat vastuunsa, valistaa Whiteside.
Pilvipalveluiden tietoturvan osalta puhutaan niin sanotusta jaetusta vastuusta (shared responsibility), jossa nimensä mukaisesti palvelun tarjoaja ja palvelun käyttäjä jakavat vastuun tietoturvasta. Whitesiden mukaan käsite tunnetaan vielä erittäin huonosti.
”Arviolta ehkä yksi kahdestakymmenestä tietää, mitä jaettu vastuu tarkoittaa.”
– Kun puhun ihmisten kanssa tietoturva-asioista, niin arviolta ehkä yksi kahdestakymmenestä tietää, mitä jaettu vastuu tarkoittaa, Whiteside kertoo.
Useimmiten vastuunjako tarkoittaa sitä, että palvelun tarjoajan vastuulla on muun muassa verkon, laitteiston, käyttöjärjestelmän ja sovellusten turvallisuus. Asiakas puolestaan vastaa käyttäjistä, datasta ja sovellusten räätälöinnistä. Whiteside kehottaa suhtautumaan pilvipalveluiden tietoturvaan kuten tietoturvaan yleensäkin.
– Pilvipalveluita pitäisi kohdella samalla tavalla kuin jos käytössä olisi yrityksen oma verkko.
Äkkiseltään jaetun vastuun malli voi tuntua yrityksestä epäreilulta. Yritys ostaa pilvipalvelun ja joutuu vielä osin vastaamaan sen turvallisuudesta.
Whiteside haluaa kuitenkin muistuttaa, että asiakkaan näkökulmasta on hyvä asia joutua itse vastaamaan palveluun vietävän datan turvallisuudesta, sillä tällöin yritys tietää tarkasti, ketkä kaikki dataa käsittelevät.
– Esimerkiksi Salesforce jättää asiakkaan datan rauhaan. Asiakkaan yksityisyys on heille todella tärkeä asia, Whiteside lupaa.
Koska Salesforce ei tarkista asiakkaiden dataa, joka tuodaan pilvipalveluun, niin he eivät kykene myöskään auttamaan, jos jotain ikävää tapahtuu.
Vaikka pilvipalvelun käyttäjä ei voi sälyttää kaikkea vastuuta palvelun tarjoajalle, niin Whitesiden mielestä niiden käyttäminen on ehdottoman hyvä vaihtoehto. Perusteluna hän käyttää lyhyen matematiikan laskuoppia.
– Esimerkiksi Salesforce käyttää palveluidensa tietoturvan kehittämiseen vuodessa enemmän rahaa kuin suurin osa suomalaisista yrityksistä koko toimintansa pyörittämiseen, joten totta kai Salesforcen tarjoamat palvelut ovat turvallisia, Whiteside opastaa.