Kas, kirjojen tietoturvaopit vanhenivat käsiin

Tietoturvan oma tarina on hyvä esimerkki dogmatismista.

Tietoturvan omia opinkappaleita painettiin taannoin nahkaselkäisiin kirjoihin, ja sijoitettiin hyllyyn jonnekin niksi-, kotilääkärikirjojen ja Raamatun joukkoon käyttöä varten. Näin totuuksia luultiin kai kiveen hakatuiksi.

Ei niinkään, etteikö siellä vielä joku ohje pitäisi: Microsoftin Word-kirjoitusohjelman makrot on aina syytä oletuksena pitää kiinni.

Mutta esimerkiksi viimeksi löydetyt Z-Wave tai massiivinen Wi-Fi-verkon haavoittuvuus ovat jotain, jota vanhan koulun opit eivät tunnista.

Ilmeisesti sivilisaatiomme kulttuurievoluutio on ajanut ohi kaikesta kirjoihin präntätystä. Tietotekniikan tietoturvan osalta niin ainakin voidaan sanoa: yli 10 vuoden takaiset ohjeistukset ovat useimmiten yhtä tyhjän kanssa. Osin vanhat opit voivat olla suorastaan vaarallisia noudatettavia uuden teknologiasukupolven aikana. Esimerkiksi vanhat salasanoja koskevat oheistukset, niiden pituus ja rakenne, voivat nyt altistaa haavoittuvuudelle jos toisellekin.

Turvallisen salasanan voi tehdä salasanageneraattorilla. Valitse pituudeksi yli 15 merkkiä.

Viimeistään esineiden internetin (IoT) myötä on tapahtunut radikaali toimintaympäristön muutos. Kaikessa hiljaisuudessa vanha totuttu malli, sisäisistä intranet-verkkoympäristöistä ja ulkoisista toiminnoista internetissä, on vanhentunut. Eväät nykyisen verkkoympäristöjärjestelmän hahmottamiseen ovat hakusessa.

Vaikka käyttöjärjestelmän omaava päätelaite olisi kuinka vahvasti palomuurein ja virustutkin suojattu, voi muutaman euron hintainen pieni kiinalainen komponentti, ja sen IP-sarja verkossa, tehdä koko järjestelmästä haavoittuvan. Komponentti voi ottaa vastaan haitallisia käskyjä ja vaikkapa kääntää päälle saunankiukaan, tai kylmentää tai viilentää. Nämä on nähty, mutta samoilla opeilla voidaan tehdä vielä paljon pahempaakin.

Kaksijakoisen mallin aikana tietoturvalla pitkälti tarkoitettiin palomuuria asiakkaan verkon reunalla ja sisäverkkoon kytkettyjen päätelaitteiden virustorjuntaa. Nyt tämä vanha oppi palvelee lähinnä asuntomurtoihin erikoistuneiden kyberrikollisten tarpeita. Muutos ei ole vähäinen, Viestintäviraston Kyberturvallisuuskeskuksen mukaan omaisuusrikokset petosrikollisuuden ohessa näyttävät olevan hyvässä kybervalmiustilassa.

Kun tiedämme järjestelmäsystematiikan heikkoudet, esimerkiksi hälytykset syrjäisestä huvilasta tulisi ohjata väyliin, joita on vaikea häiritä. Esimerkiksi GSM eli puhelinverkko ja siinä liikkuva tekstari. Häly vanhan kunnon SMS-protokollan kautta on nyt varmatoiminen, kun nettiverkkojen alas ampuminen ei ole ongelma rikollisille.

Kybertietoturvan tehtävä on nyt luoda kriittistä dataa varten internetiin vahvan suojauksen yhteysputkia, kuten https, VPN, L2TP, IPSec, erilaisten päätelaitteiden, pilvipalvelujen ja esineiden välille.

Mikä vielä viime vuosikymmenillä opittu pitää enää paikkaansa?

Windows oli lähinnä tietoturvariski ja Linux se turvallinen hyvä. Linuxin lähdekoodin avoimuus vain on kääntymässä sitä itseään vastaan Android-käyttöjärjestelmässä. Siihen nähden, kuinka suuri tämä muutos on, hiljaisuus tuntuu, huutavalta.

Kyseessä on uuden tietoturva-kansalaistaidon opettelu, aikana jolloin ilmaiset pilvipalvelut, tai viimeksi puolet Suomen langattomista Wi-Fi-verkoista, paljastuvat teknisen haavoittuvuuden vuoksi vuotaviksi.
Toimivissa pilvissä salausprotokollat tunneloivat datan säälimättömän röyhkeiltä uuden polven kyberrikollisilta. Https-prokolla ja VPN-tunneli näet suojaavat, vaikka WiFi-taso olisikin onnistuttu murtamaan.

Kenties meitä vielä vaivaa jonkinlainen kokonaisnäkemyksen puute – nyt on kyse yleisestä tietoturva-ajattelusta, jonka on pakko uudistua.

Yksi osa uutta kyberrikollisuutta on tietojenkalastelu ja identiteettien varastelu keinoja kaihtamatta. Hirmuista, hirmuista, sanoi jo Paasikivi. Lokakuun loppuun mennessä rikosilmoituksia tilitietoja kalastelevista valepoliiseista oli tehty yli 750.

Kyberrikokset kohdistuvat nyt ensisijaisesti ihmisiin laitteistojen sijaan. Haittaohjelman tilalla taas on yhä useammin tietojenkalasteluviesti, ja monessa haittaohjelmasaastumisessa toimii käyttäjän huijaamista hyödyntävä elementti, esimerkiksi saastuneen office-dokumentin makrojen salliminen.

Reijo Holopainen

VIIMEISIN ARTIKKELI

Asiakastarina: Lemmikkihoitola Moppe ja Miiru Oy

29.01.2025 |

”Lemmikit ovat ihmisen parhaita ystäviä ja perheenjäseniä.Tiedämme miten tärkeitä tunnesiteitä lemmikin ja omistajan välille syntyy.” … LUE LISÄÄ…

Miksi sähköposti ei lähde – Yleisimmät ongelmat ja SMTP-asetukset

17.01.2025 |

Sähköposti on olennainen osa yritysviestintää. Jos sähköpostit eivät lähde omalta koneelta, on tilanne usein hyvin … LUE LISÄÄ…

Katsaus Sollertiksen vuoteen 2024

10.01.2025 |

Vuosi on vaihtunut ja kaikki ovat palanneet työn ääreen. Halusin tehdä pienen katsauksen vuoteen 2024 … LUE LISÄÄ…

Hakukoneoptimointi – avain asiakkaiden löytämiseen digitaalisessa ostopolussa

03.01.2025 |

Tiesitkö, että tutkimuksien mukaan asiakkaan digitaalinen ostopolku alkaa useimmiten Googlettamalla? Kyllähän sinä sen varmasti tiesit, … LUE LISÄÄ…

Olemme ulkoistaneet laskutuksemme

27.11.2024 |

Olemme ulkoistaneet laskutuksen hoitamisen BRANG Oy:lle 02.12.2024 alkaen. Huomioithan, että laskulla oleva tilinumero on muuttunut ja suoritukset tulee … LUE LISÄÄ…

3 tapaa tehostaa sesongin markkinointia

22.11.2024 |

Tärkeimpiin sesonkeihin on hyvä valmistautua hyvissä ajoin. Ensimmäinen askel on päivittää markkinoinnin vuosikello. Merkitse vuosikelloon … LUE LISÄÄ…

Woocommerce ohje: Arvonlisäveron asettaminen tai muuttaminen

22.08.2024 |

Alv-prosentin muuttuessa tulee verokanta päivittää verkkokauppoihin. Tässä ohjeessa neuvon askel askeleelta, kuinka asetat tai vaihdat … LUE LISÄÄ…

WordPress-ohje: Opas verkkosivuston päivittämiseen ja hallintaan

23.07.2024 |

WordPress on helppokäyttöinen, monipuolinen ja tehokas julkaisujärjestelmä, joka tarjoaa kaiken tarvitsemasi verkkosivustosi luomiseen, hallintaan ja päivittämiseen. Toteutamme Sollertiksella … LUE LISÄÄ…