Kyberaika haastaa kaikki vanhat turvakäytännöt
Kyberturvallisuuteen erikoistuneen Silverskin-yrityksen toimitusjohtaja Marko Savolainen oli taannoin aamu-tv:n vieraana kertomassa suomalaisten yritysten tietoturvan tasosta.
Asiantuntijat puhuvat yhdellä suulla tietoturva-asioista. Mutta yrityksissä asiat eivät vain mene helposti perille.
Tietoa voi vuotaa sanan mukaisesti ovista ja ikkunoista. Ovista kulkee haalariasuisia nuuskijoita ja ikkunalasin värinää on peilattu huippuherkällä antennilla, joka muuntaa värinän takaisin äänteiksi.
Perinteiset murtokonstit ovat palaamassa vorojen arsenaaliin.
Ilmeisesti muistitikun mukana – koska muita jälkiä ei ole löytynyt – lähti luottoyhtiö Equifaxin 143 miljoonan asiakkaan tiedot. Se on yksi suurimmista koskaan kerrotuista tietomurroista Yhdysvalloissa.
Totta on, että suomalaisyritystenkin välillä tietoturvaosaamisessa ja suojautumisessa on paljon eroja. Silverskinin yritysvakoilusimulaatioissa tulos oli kuitenkin yleisestikin murskaava: kaikilla toimialoilla firmojen tietoturvasta löytyi isoja aukkoja.
Silverskinin analyysit eivät ole yleistettävissä, mutta kolmannes yrityksistä saattaa olla suojautunut vakoilulta kohtalaisen hyvin. Parhaiten vakoilulta ovat suojautuneet voimakkaasti säännellyt alat, kuten finanssisektori ja terveydenhuolto. Kolmasosan tietoturva on keskitasoa, mutta niidenkään kaikkien tietoturvaa ei ole koskaan testattu.
Ai, kuinka tietoturvaa voi testata? Kokeilemalla ulkopuolelta tietoteknisiä järjestelmiä, niin kuin rikollisetkin tekevät.
Silverskin meni vielä pidemmälle. Tietoturvaa sen asiakasyrityksissä testattiin rajuilla keinoilla, joista erikoisin, mutta ”erittäin menetyksellinen” oli fyysinen tunkeutuminen työpaikalle. Onnistumisprosentti oli huikeat 100. Testaajat kävivät kääntymässä jopa toimitusjohtajan huoneessa. Tällaisessa tilassa ruudulla saattaa komeilla ihan mitä vain, vaikka tulevan pörssitiedotteen luonnos.
Testaajat toimivat simulaatiossa samoin kuin rikolliset. Marko Savolaisen mukaan kaikissa testatuissa tapauksissa päästiin sisälle. Joissakin jopa laboratorio-, tuotekehitys- tai johdon tiloihin. Tämä on totta, vaikka se kuulostaakin toimintajännärin käsikirjoitukselta.
Moni asia on pielessä, jos haalarit päällä tai tiedetoimittajaksi tekeytymällä päästään tarkastamaan kalusteiden kuntoa toimitusjohtajan huoneeseen.
Testaustulokset ovat yhtiöille yleensä järkytyksiä, sillä Suomessa ei vieläkään ole totuttu hybridi- ja kyberrikollisuuden trendeihin. Turvapäälliköt voivat mukamas identifioida murtomiehen tai vakoojan pelkällä psykologisella silmällä. Ehkä joskus näin on ollutkin. Nyt panokset kovenevat ja ala ammattimaistuu. Rikollisilla saattaa olla taustallaan jopa näyttelijän opintoja.
Teknisellä tietoturvalla ei koskaan ole täyttä merkitystä, jos ovet vuotavat.
Emme kuitenkaan ole vielä auttamattomasti myöhässä turvatoimien kanssa, sillä raportoituja tunkeutumisia yritysten tiloihin on tapahtunut verraten vähän – kun taas laajakaistaa myöten botit kolkuttelevat portteja harva se päivä.
Raflaavat esimerkit, joita käytetään in real life -murtojen simuloinneissa, eivät ole yleisiä suomalaisissa tiedepuistoissa. Tietoturvan Lean-periaatteen mukaan kaikkeen tulee varautua ennaltaehkäisevästi ja luoda toimintamallit pahan päivän varalle.
Aina voi olla varuillaan.
Torjuin juuri ruudulta kaksi omia aikojaan ilmaantunutta ohjelmistopäivitystä, jotka näköjään olivat tulleet tarjolle ohi käyttöjärjestelmän kontrollin.
