Huonetaulu tietoturvassa haastava käytäntö – aika vaatii ymmärrystä iskulauseiden asemesta

Kyberturvallisuuskeskus on julkaissut ”huonetaulun”, johon on numeroitu viisi pahinta uhkaa paitsi yksityishenkilöille myös erikseen organisaatioille. Tietoturvan vuosikiatsaus 2018 korostaa, että vuoden vaihtuminen ei muuta mitään kaikki pätee myös vuonna 2019. Viisi pääuhkaa ovat suhteellisen loogisessa järjestyksessä, mutta ratkaisuista taas voidaan olla montaa mieltä.
Totta on, että pirulliset kyberrikolliset ja niiden jatkuvat nettihuijaukset, laitteiden turva-aukot, virallisten verkkokauppojen vuotavat valesovellukset ovat kaikki ongelmia. Mutta valitettavasti muutaman sanan patenttiratkaisuilta kuulostavat yleisluontoiset vinkit tuskin pitkälle tepsivät tähän pahaan. Katsotaanpa riittävätkö ohjeistukset toimivaan tietotoruvaan.
Uhka 1, sovellutusten käyttöön mennään asetusten muokkaus edellä. Oikein, liinat kiinni, sillä kaiken mikä on irti, kasakka vie. Yleensä mitään ei menetä, jos klikkaa rattaan kuvaa, tutustuu palveluun ja siinä samalla kääntää kaikki luvat kiinni (eritoten jos ei ymmärrä, mitä siinä kysytään). Pahinta, että se tietty sovelluskaupasta ladattu taskulamppu, Sparkle, ei ollut sovellusasteuksen kautta hallittavissa, ja toimitti omiaan rikollisten piikkiin.
Uhka 2, ne tilausansat ja aggressiiviset mainokset. Paras tapa on ohittaa kaikki, varisinkin houkuttavan näköiset virustutkat ja palomuurit, koska melkein aina ne ovat itse haittaohjelmia. Pian sisään tultuaan ne pyytävät rahasuorituksia puhdistaakseen löydöksensä koneelta. Mitään mitä emme ole itse päättäneet tilata, tulee kylmästi skipata yli.
Uhka 3, huonosti suojatut laitteet. Siinäpa vasta uhka, joka koskee meitä kaikkia, koska elämässä on muutakin kuin dataturva. Aina ei ehdi tai jaksa skarpata. Kyberturvallisuuskeskuksen puolivillaiset ohjeet eivät paljon auta asiaan. Turvalliset salasanat eivät ole olleet aikoihin muistettavissa, sillä vahvat salasanat tehdään salasanamanagerilla. Two- tai multi-factor authentication on periaatteessa tärkeä ohje, mutta pelkkä sen mainitseminen ei riitä.
Multi-factor authentication eli MFA on monesta tekijästä yhdistelty tunnistusmenetelmä, jossa sen kaikkien tunnistusosatekijöiden tulee matchata tunnistushetkellä; jos taas kaikki ei matchaa, tunnistus hylätään.
MFA:n käyttöön otto saattaa hyvinkin vaatia ammattilaisapua, ja siksi apu on arvossaan erityisesti yritysympäristössä.
Tämän tien tunnistusspesifikaatioihin voi alkaa tutustumalla vaikka Googlen 2FA-sovellusmaailmaan. Näet tietomurroissa tietokannoista vuotaa miljoonia käyttäjätunnuksia salasanoineen, ja tunnistuksen vahventamien on monessa tapauksessa ainut toimiva ratkaisu turvaongelmaan. IoT on oma maailmansa, jossa pilvipalveluun varastoituun dataan isketään monessa vaiheessa. Niin kutsuttu man in the middle -hyökkäys varasta dataa signaalilinjasta. Siihen ei ole kuin kovia lääkkeitä. Riittävän vahva VPN-tunneli, tai 128 bittinen salausavain, joka kryptaa kaiken informaation, esimerkiksi LoraWan jaa tai NB Iot.
Uhka 4, valesovelluksia näet siellä, missä niiden ei todellakaan pitäisi olla. Huonetaulun mukaan ”aidoissa verkkokaupoissa”. Paha juttu. Muuan lamppu Sparkle tuolla edellä jo mainittiin. TechCrunchin mukaan muun muassa Hotels.com, Air Canada, Hollister ja Expedia salaa nauhoittavat Iphone-sovellustaan käyttävien näytöltä painalluksia sekä pyyhkäisyjä. Tämän voi estää vain valmistaja Apple. Sovellukset poistettiin App Storesta.
Itse suosittelisin odottamaan hetken aikaa ennen latausta. Seuraamme tieturvasivustoja, vaikka kaupassa näkyy tarjolle houkuttavia ihmetyksiä 0 € hintaan.
Ei ole ilmaista lounasta.
Uhka 5, verkkopalveluista vuotaa arvokasta tietoa. Näin tekee. Tähän uhkaan vastaa taas kaikki edellä kerrottu, eritoten 2FA, joka suojaa tiliä datan massamuroissa.
Nykyajan tietoturvaperusta on vaikeasti jäsennettävä kokonaisuus, jolle asioita jaotteleva huonetaulu ei välttämättä tee oikeutusta. Uhkat siinä kuitenkin on lueteltu.
Tieto on tohkeissaan. Arvasin, että jotain on teikeillä, kun se tuossa lasiseinän takana lounaskabinetissa kokousti.
Pomo napsautti projektorin kiinni, kun tajusi, että valkokangas näkyy vähän muuallekin kuin omalle väelle. Yhtiön uudessa mallissa näemmä ”asiakkaat saavat nopeammin käyttöönsä oikeanlaista osaamista”. Hyvä. Tämä tarkoittaa muun muassa 128-bittisiä, korkeita salaustekniikoita, radiolinkkien kautta toimivia LoraWan ja NB IoT -formaatteja, joiden käyttöönoton kanssa vitkuttelu onkin käsittämätön suomalainen ilmiö. Verkot ovat, käyttäjiä ei.

