Mistä yritysten tietoturvan parantamisessa kannattaa lähteä liikkeelle? Muun muassa tähän kysymykseen vastaa IBM BusinessConnect-sarjan tuorein osa.

Uusia haittaohjelmia julkaistaan jopa miljoonan ohjelman päivävauhdilla. Tietoturvauhilta ei voi enää ummistaa silmiään, mutta niihin voi varautua. Kysyimme Combitechin Jouni Hämäläiseltä mistä kannattaa aloittaa, jotta yrityksen tietoturva saadaan minimitasolle.

”Hyökkääjät voivat yrittää loputtomiin, mutta heidän tarvitsee onnistua vain kerran”

Alkuun Hämäläinen kehottaa hyväksymään ajatuksen, että tietomurto osuu kohdalle jossain vaiheessa. Hyökkääjät voivat yrittää loputtomiin, mutta heidän tarvitsee onnistua vain kerran. Puolustajan taas pitäisi pystyä torjumaan joka ainoa hyökkäys.

 

Combitechin tietoturva-asiantuntija Jouni Hämäläinen.

Combitechin tietoturva-asiantuntija Jouni Hämäläinen.

 

-Riittää, että avaat yhden kerran saastuneen sähköpostin liitetiedoston tai klikkaat linkkiä, josta avautuva sivusto on haitallinen, hän tiivistää.

Viesti on selvä: kaikkialla missä liikutaan, on myös varastamisen arvoisia tietoja.

-Niin kauan kuin yrityksen henkilöstöllä on pääsy internetiin ja käytössään sähköposti, tulee tietomurtoon varautua.

”Hyökkääjät käyttävät samaa logiikkaa kuin savannin juomapaikoilla metsästävät petoeläimet”

-Suomessa ajatellaan, että koska olemme takapajula, ei meitä kohti tulla hyökkäämään. Meidän pitäisi ymmärtää, että hyökkääjät käyttävät samaa logiikkaa kuin savannin juomapaikoilla metsästävät petoeläimet: ne väijyvät siellä, mihin saaliit kerääntyvät.

Tietomurroissa hyökkääjän kannalta paras tulos saadaan aikaan saastuttamalla kaikkien suosima ja luotettu kanava, kuten New York Timesille kävi. Uutissivuston slogan “The world’s most trusted perspective” alleviivaa hyökkääjien logiikkaa.

 

Combitechin Jonna Väistö, Jouni Hämäläinen ja Aleksi Meldo työskentelemässä yrityksen tiloissa Espoossa.

Combitechin Jonna Väistö, Jouni Hämäläinen ja Aleksi Meldo työskentelemässä yrityksen tiloissa Espoossa.

 

Hämäläinen muistuttaa, ettei esimerkkejä tarvitse enää etsiä kaukaa. Taannoisessa hyökkäyksessä erään kotimaisen iltapäivälehden mainoksista ohjattiin sivulle, jossa kävijän koneelle yritettiin asentaa haittaohjelma.

 

Millä tasolla on yritysten kyky havainnoida tietoturvapoikkemia?  

-Tilannetta kuvaa hyvin se, että suuri osa murtohavainnoista tulee edelleen kolmannelta osapuolelta, kuten viranomaiselta, Hämäläinen kertoo.

”Suuri osa murtohavainnoista tulee edelleen kolmannelta osapuolelta”

Liian usein yrityksillä ei ole reaaliaikaista tilannetietoa siitä, mitä heidän tietoverkoissaan tapahtuu: keskimäärin menee yli 200 päivää ennen kuin tietoturvan pettäminen havaitaan. Tilanteesta palautumiseen menee puolestaan tilastojen mukaan jopa yli 70 päivää.

 

Mistä tietoturvan parantamisessa kannattaa lähteä liikkeelle?

Hämäläisen mukaan tehokkain tapa torjua tuntemattomia haittaohjelmia on niin sanottu “application whitelisting”.

-Se tarkoittaa sitä, että vain ennalta määriteltyjen ohjelmien annetaan käynnistyä. Application whitelistingin avulla estetään ihmisiä avaamasta koneellaan mitä sattuu, kuten vaikka kovalevyn kryptaavaa haittaohjelmaa”, hän selittää.

 

Tietoturva-ohjelmisto


Application whitelisting -tekniikka onkin listattu esimerkiksi Australian puolustusministeriön tutkimuksessa (2014) tehokkaimmaksi suojautumiskeinoksi, kirkkaasti ohi perinteisten virustorjuntaohjelmistojen.

Erilaisten keinojen ohella yrityksiä mietityttävät tietoturvan hinta ja kustannukset. Myös Hämäläiseltä kysytään usein, mitä tietomurroilta suojautuminen maksaa.

-Verrataan vaikka kahta samankokoista firmaa, joilla on käytössään täsmälleen yhtä paljon työasemia. Lähtökohdat voivat olla näennäisesti samat, mutta todellisuudessa toisessa käytetään huomattavasti enemmän erilaisia ohjelmistoja tai työntekijöille on annettu täydet käyttöoikeudet, jolloin laitteille voidaan asentaa mitä tahansa.

Kustannuksia on siis vaikea arvioida tuntematta yritystä, sillä toimintatavat vaikuttavat suojautumistarpeisiin.

-Esimerkiksi whitelistingin käyttöön ottaminen on helpointa, kun tiedetään ennakkoon mitä ohjelmia on käytössä.

 

Puhutte Combitechilla nykyaikaisesta tietoturvamallista. Mitä se tarkoittaa?

-Tietoturvakentällä on käynnissä kissa ja hiiri -leikki. Aina kun tunnistepohjaisiin torjuntamenetelmiin lisätään joko tunnisteita tai tekniikoita, haittaohjelmien kirjoittajat perehtyvät menetelmiin ja muokkaavat omaa tuotettaan. Virus voi olla koodattu muuttamaan itseään jatkuvasti, jotta sitä ei havaita.

 

Kuvassa Combitechin Jouni Hämäläinen, Jonna Väistö, Mika Jussila, Jyrki Luukko, sekä Aleksi Meldo.

Kuvassa Combitechin Jouni Hämäläinen, Jonna Väistö, Mika Jussila, Jyrki Luukko, sekä Aleksi Meldo.

 

-Nykyaikainen tietoturvamalli perustuu kattavaan kokonaiskuvaan, jossa seurataan samaan aikaan useita eri järjestelmiä. Yksittäiset tapahtumat eivät välttämättä paljasta poikkeamaa, mutta lokeja älykkäästi kasaava järjestelmä, kuten IBM:n QRadar, osaa tunnistaa poikkeavan liikenteen kokonaisuudessa.  

Jouni Hämäläinen haastaakin IBM:n vuoden päätapahtuman BusinessConnectin alla it-alan tekijöitä keskusteluun tietoturvan tilasta.

-Pelkät ehkäisevät toimet eivät enää yksinkertaisesti riitä. Yritysten täytyy tietää kaiken aikaa, mitä niiden sisäverkossa tapahtuu, Hämäläinen lopettaa.

 

Combitechin ite wiki -profiili

Combitechin kotisivut

 

IBM BusinessConnect 2016 -tapahtuma järjestetään 19.10.2016 Helsingin messukeskuksessa teemanaan ”The new era of thinking”. Tule mukaan verkostoitumaan Combitechin osaajien ja muiden digitaalisen liiketoiminnan ammattilaisten kanssa!

IBM BusinessConnect 2016 -tapahtuman sivut.