Tietoturvan TOP5

Julkaistu 30.9.2019.
Artikkelin lukuaika n. 8 minuuttia.

Tietoturva-artikkelisarjassamme olemme käsitelleet tietoturvan perusasioita, jotka jokaisessa yrityksessä tulisi laittaa kuntoon. Tietoturva on toteutettu hyvin silloin, kun se on osa jokapäiväistä arkea, tarjoaa vahvan suojan merkittävimpiä tietoturvauhkia vastaan, eikä sitä juurikaan huomaa. Työasemien ja mobiililaitteiden lisäksi myös varsinainen käyttäjä tulee suojata niin, että palveluiden käyttäminen on huoletonta ja epämääräisen linkin tai sähköpostiliitteen avaaminen ei aiheuta kuin ehkä pienen säikähdyksen. Pilvipalveluihin kirjautuminen ulkopuolisilta tulee estää kaksivaiheiselle kirjautumisella ja kaikkien palveluiden salasanat tulee olla erilaisia ja vahvoja, kuitenkin niin että niiden käyttäminen on helppoa.

Lisäksi tiedot on pystyttävä palauttamaan jos laite hajoaa, varastetaan, pilvipalveluun tullut vika kadottaa tietoja, haittaohjelma onnistuu salaamaan kaikki tiedot tai jokin muu katastrofi iskee. On mahdotonta yrittää miettiä mitä kaikkea mahdollista vastaan voi tulla, joten kun tietoturvan suunnittelun lähtökohdaksi on asetettu tilanne, että yhtenä päivänä laite ja sen tiedot on menetetty, ei sinä päivänä tarvitse olla mitenkään huolissaan. Katastrofin toteutumisella on puolellaan yksi asia, jota sillä on loputtomasti; aika.

Käyttäjä

Käyttäjän yksi suurimmista haasteista on hallita lukuisat salasanat, joita eri palveluihin kirjautumiseen tarvitaan. Salasanoja voi helposti olla kymmeniä ja jos jokaisen salasanan tulee olla pitkä, vahva ja toisistaan poikkeava, ei tällaisen salasanamäärän hallinta perinteisin keinoin ole mitenkään mahdollista. Valtavaa määrää salasanoja ei voi muistaa, eikä niitä tule koskaan säilyttää mihinkään selväkielisenä kirjoitettuna. Tästä johtuen tyypillinen tilanne on, että käyttäjä päätyy käyttämään muutamia salasanoja, joita kierrätetään eri palveluiden välillä. Käytäntö on kuitenkin huono, koska jos yhden palvelun salasana saadaan selville, voidaan sillä kirjautua muihinkin palveluihin.

Salasanaviidakko voidaan hallita helposti hyödyntämällä salasanojen holvisovelluksia, kuten ilmaista LastPass- tai kotikäyttöön tarkoitettua F-Secure Key -ohjelmistoa, jotka tallentavat kaikkien eri palveluiden salasanat vahvasti salattuna holviinsa. Itse holvi avataan yhdellä Master-salasanalla ja sen ansiosta käyttäjän ei tarvitse muistaa kuin yksi salasana, loput salasanat voidaan pudottaa palvelun kirjautumisikkunaan suoraan holvista. Erilliset salasanat turvaavat sen tilanteen, jossa yksi pilvipalvelu onnistutaan murtamaan. Kun samaa salasanaa ei ole käytössä toisessa palveluissa, ei sitä voida hyödyntää muihin palveluihin kirjautumiseen. Lisäksi holvisovelluksen avulla salasanat voivat olla pitkiä ja miten mutkikkaita tahansa, koska niitä ei juuri koskaan kirjoiteta käsin.

Toinen käyttäjiin kohdistuva uhka on viimevuosina räjähdysmäisesti yleistynyt tietojenkalastelu, jossa sähköpostin avulla kerätään käyttäjien salasanoja tai luottokorttitietoja. Tyypillisesti kalasteluyrityksessä käyttäjä saa luotettavan oloisen viestin tutulta palveluntarjoajalta, kuten Apple, Facebook, Google, LinkedIn, tai Microsoft. Viestissä pyydetään kirjautumaan palveluun tai syöttämään luottokortin tiedot. Kun käyttäjä avaa viestissä olevan linkin, ohjataan käyttäjä oikean näköiselle sivulle, joka onkin todellisuudessa kalastelijan toteuttama näköissivu. Kun käyttäjä kirjoittaa tiedot sivun lomakkeeseen, saa haitallinen taho ne itselleen. Tällaisen huijauksen tunnistaminen voi olla vaikeaa ammattilaisellekin ja siksi se onkin nykyään hyvin yleinen. Kalastelusivun tunnistaa yleensä vain selaimen osoitteesta, joka ei ole palvelun normaali osoite.

Kalastelulta ei voi suoranaisesti suojautua tietoturvasovelluksin. Ne saattavat huomata tunnetun kalastelusivun, jos se löytyy heidän tietokannastaan, mutta nämä tietokannat eivät pysy jatkuvasti muuttuvien osoitteiden mukana. Suojautumista voidaan parantaa kouluttamalla käyttäjiä tunnistamaan kalasteluyritykset. Koulutuksen lisäksi käyttäjille voidaan lähettää Sophos Phish Threat -palvelun avulla tekaistuja kalasteluviestejä ja seurata kuinka käyttäjät niihin reagoivat ja havaita puutteet käyttäjien osaamisessa.

Päätelaitteet

Päätelaite on työasema, kannettava, matkapuhelin, tabletti, mikä tahansa laite jolla tietoja käsitellään. Varsinaiseen päätelaitteeseen ei tulisi koskaan tallentaa mitään tärkeää tietoa, joka kadotessaan aiheuttaa merkittävän menetyksen. Usein ajatellaan että muistitikut ja ulkoiset kovalevyt ovat tähän hyvä ratkaisu, mutta todellisuudessa ne eivät ole sopiva tiedon tallennuspaikka, koska ne ovat laitteita jotka voivat hävitä tai hajota. Paras tapa on, että tiedot tallennetaan päätelaitteen ulkopuolelle pilvipalveluun, johon on pääsy käyttäjän muilta laitteilta, sekä selaimella. Tämä tuo varmuuden lisäksi helppokäyttöisyyttä, kun samoja tietoja voidaan käsitellä usealla laitteella. Ihan mihin tahansa palveluun tietoja ei kuitenkaan kannata tallentaa, mutta kun käytetään tunnettuja palveluntarjoajia, jotka tallentavat tiedot EU:n sisällä ja huolehtivat käyttäjän tietoturvasta, voidaan niihin luottaa niin pienissä kuin isommissakin yrityksissä. Luotettavaksi palveluksi sopii erinomaisesti esimerkiksi Microsoft Office 365:n OneDrive tai oman yksityisen pilven toteuttamisen mahdollistava Seafile. Näissä palveluissa olevat tiedot voidaan myös laittaa synkronoitumaan tietokoneen kiintolevylle, jolloin niistä on tietokoneella offline-kopio niitä hetkiä varten kun ei olla kytkeytyneenä Internet-verkkoon. Kun yhteys verkkoon palautuu, synkronoidaan muuttuneet tiedot pilvipalveluun.

Päätelaitteen suojauksessa ei tule käyttää perusturvaa tarjoavia ilmaistuotteita, vaan sellaista jossa on kehittynyt analysointi nollapäivähaavoittuvuuksien varalle. Lisäksi jos laitteita on useampia kuin vain pari, tulee ne kytkeä keskitettyyn hallintaan, josta ylläpito näkee kaikkien päätelaitteiden tilanteen yhdestä paikasta ja saa hälytykset ohjelmiston havaitsemista tietoturvauhkista. Tällaisia tuotteita ovat esimerkiksi yritystuotteet F-Secure Protection Service for Business tai Sophoksen Endpoint Protection. Usein ajatellaan että mobiililaitteet eivät tarvitse suojausta, mutta myös ne tulee turvata niille tarkoitetuilla sovelluksilla, koska niissä on usein henkilökohtaisten kuvien lisäksi yrityksen tietoja kuten sähköpostia, kalenterimerkintöjä sekä mahdollisesti asiakirjoja. Mobiililaitteiden suojaukseen on tarjolla mm. F-Secure Freedome sekä Sophos Mobile Security.

Pilvipalvelut

Kolme tärkeintä asiaa pilvipalveluita käytettäessä on, että jokaisessa palvelussa on erillinen vahva salasana, käyttöön on otettu kaksivaiheinen tunnistautuminen ja tiedot on varmistettu toiseen palveluun. Yleinen käsitys on että pilvipalveluntarjoajat huolehtivat tietojen säilyvyydestä, mutta todellisuudessa he vain tarjoavat teknisen alustan, josta he pitävät huolta. Pilvipalvelut eivät tarjoa tiedon palautukseen työkaluja esimerkiksi siinä tilanteessa, että haittaohjelma onnistuu salaamaan kaikki tiedot sekä päätelaitteella että pilvipalvelussa. Jos haittaohjelman tekijälle ei haluta maksaa lunnaita, auttaa silloin vain erillinen varmuuskopio. Tietoja voidaan myös menettää niin, että käyttäjä poistaa tärkeitä tietoja, eikä sitä huomata riittävän ajoissa. Pilvipalveluista poistettuja tietoja voidaan palauttaa yleensä vain 30 päivän ajalta, mutta usein tietojen menetys huomataan vasta myöhemmin. Yleisesti käytössä oleviin pilvipalveluihin, kuten Googlen G Suite tai Microsoftin Office 365, tallennetaan tiedostoja, niissä käsitellään sähköposteja ja ne pitävät sisällään sähköiset kalenterit. Jos nämä tiedot menetetään, on yrityksen usein käytännössä mahdotonta toimia. Näiden palveluiden tiedot voidaan varmuuskopioida Nexetic ShieldBackup tuotteella, jolloin tietoihin pääsee myös siinä tapauksessa, että pilvipalvelu on jostain syystä saavuttamattomissa.

Pilvipalveluiden erilliset salasanat voidaan hallita helposti hyödyntämällä salasanojen holvisovellusta. Jos mutkikas salasana kuitenkin jotain kautta päätyisi haitallisen tahon tietoon, kaksivaiheinen kirjautuminen estää pilvipalveluun pääsyn, koska salasanan lisäksi kirjautumiseen tarvitaan käyttäjän matkapuhelinta, jolla mahdollistetaan kirjautumiseen tarvittava toinen vaihe. Tämä suojaa pilvipalvelun kirjautumisen käytännössä täysin. Kaksivaiheinen kirjautuminen ei kuitenkaan hidasta tai vaikeuta palvelun käyttöä.

Verkkoympäristö

Verkkoympäristön toteutukseen tarvitaan yleensä aina ammattilaisen apua ja näkemystä, koska verkkoympäristö on yrityksen tietoliikenteen selkäranka. Tästä johtuen palomuurit, kytkimet, VPN ja langattomat WLAN-verkot tulisi suunnitella ja toteuttaa asiantuntevan IT-kumppanin kanssa. Koska verkko kytkee käyttäjien päätelaitteet yrityksen omaan sisäverkkoon, yhdistää etätoimipisteet ja etäkäyttäjät, tulee sen toimia tietoturvallisesti ja luotettavasti jokaisena hetkenä. Jos verkko on huonosti toteutettu, se voi estää etätyöskentelyn, mahdollistaa tietomurron ja aiheuttaa suorityskyky- ja luotettavuusongelmien kautta työskentelyn tehottomuutta. Yrityksille sopiva palomuuri löytyy Sophos XG-sarjasta ja Sophos APX-tukiasemat, jotka molemmat voidaan kytkeä keskitettyyn hallintaan.

Verkkoympäristön suojaaminen ei kuitenkaan yksistään riitä, sillä jos halutaan olla varmoja että verkon suojaus on varmasti kunnossa, tulee verkkoa skannata aika ajoin uhkien varalta. Tällaisen luotauksen voi tehdä F-Secure Radar -palvelulla, joka käy läpi verkon IP-osoitteita ja etsii niissä olevista laitteista haavoittuvuuksia. Palvelu käy läpi sisäverkon sinne asennettavalla virtuaalikoneella ja ulkoverkon F-Securen pilvessä olevien palvelimien avulla. Näin voidaan olla varmoja että sisäverkossa, tai Internetiin avattuihin palveluihin ei ole jäänyt haavoittuvuuksia, joiden kautta tietojärjestelmiin päästään sisälle.