Tietojärjestelmien toimintaympäristö muuttuu niin nopeasti, että tietoturvan säännöllinen testaaminen ja todentaminen pitäisi olla organisaatioiden rutiineja ja kirjattu arjen toimintaohjeisiin.
Vaikka kriittisten järjestelmien tietoturvan testaus olisi yrityksille ja organisaatioille elintärkeää, se jää usein resurssien puuttuessa tai säästöpaineissa tekemättä. Eihän se salama meihin voi osua, ajatellaan.
Todellisuus on kuitenkin karumpi. Verkkorikollisilla on nimittäin aikaa, resursseja ja tahtoa testata ja todentaa heikkouksia. Vaikka järjestelmät olisivat sinänsä uusia ja kunnossa, kyberrikolliset keksivät murtautumistapoja, jotka eivät aina edes tulisi mieleen. Salama osuu, usein jopa useasti.
Surullisen kuuluisa esimerkki on hakkeriryhmä LAPSUS$:n tapaus. Ryhmä murtautui satojen isojen valtiollisten toimijoiden järjestelmiin yksinkertaisella metodilla. He soittivat helpdeskin pääkäyttäjälle ja pyysivät admin-tunnuksia tarjoamalla vastineeksi muutamaa tuhatta dollaria. Jos sillä summalla ei irronnut, summaa korotettiin tai kohdetta vaihdettiin. Aina jossain tuli vastaan henkilö ja summa, joiden avulla portti aukesi.
LAPSUS$:n tapaus oli malliesimerkki siitä, että testaamisesta ja todentamisesta olisi ollut apua. Testaaja näkee isomman kuvan ja keksii, missä voi piillä heikkouksia, joita on syytä testata. Heikkoudet kun eivät ole aina siellä, missä ensin olettaisi.
Kuinka monen omaan uhkamalliin ja riskiarvioon sisältyy omaan helpdeskiin hyökkäys? Onko tätä kokeiltu? Onko varmistettu ja testattu, että vaikka helpdeskin tunnukset vuotaisivat ulos tavalla tai toisella, muut kontrollit estäisivät niiden käytön ulkopuolisilta?
Ovatko kriittiset järjestelmät palautettavissa?
Järjestelmällinen testaamisen ja todentamisen suunnittelu kannattaa aloittaa kriittisten järjestelmien ja niihin liittyvien uhkien tunnistamisesta. Miettikää, mikä on elintärkeää?
Ensimmäinen testattava asia on elintärkeiden järjestelmien palautumiskyky. Vaikka varmuuskopiot olisivat olemassa, saadaanko tietojärjestelmät todellisuudessa palautettua kokonaan. Jos esimerkiksi osa lisensseistä on vanhentunut, kaikki ei ehkä ole enää asennettavissa uudelleen.
Palautettavia järjestelmiä ja tietoja voi olla useita ja niiden yhdisteleminen uudelleen toimivaksi kokonaisuudeksi ei välttämättä onnistukaan. Mitä tietoa voimme menettää?
Jos organisaatiolla on palveluita julkisessa internetissä, haavoittuvuuksien testaus sekä kuormitustestaus palvelunestohyökkäysten varalta pitäisi kuulua rutiineihin. Samoin testaaminen ja harjoittelu häiriöiden toteutumisen varalta. Mitä tarkoittaa, jos palvelu on pois käytöstä tunnin, viikon tai jopa kuukauden?
Simulaatio paljastaa vaaran paikat
Koska tietomurrot johtuvat usein inhimillisistä syistä, käyttäjien valveutuneisuutta ja ohjeiden jalkautumista on hyvä todentaa ja parantaa hyökkäyssimulaatiolla. Yksinkertaisimmillaan organisaation kaikille työntekijöille syötetään eri tasoisia kalastelukampanjatyyppisiä viestejä kertomatta siitä etukäteen.
Hyökkäyssimulaatiossa ketään ei nosteta tikun nokkaan, vaan viesteihin langenneet saavat tiedon huijausviestistä ja ohjeet sähköpostissa vastaavan varalta. Vaihtoehtoisesti voidaan järjestää testausten perusteella tarpeellisiksi todettuja tietoturvakoulutuksia. Näin osaaminen karttuu kaikilla.
Testauspalettiin on syytä ottaa myös tietosuoja. Käyttöoikeuksien ja -valtuuksien testaaminen varmistaa, että tietosuojattuun aineistoon pääsevät vain ne, joilla on siihen oikeus. Erityisesti henkilövaihdokset ja roolimuutokset muodostavat helposti riskejä käyttövaltuuksiin. Tietosuojaloukkaukset aiheuttavat mainehaittoja ja viranomaisseuraamuksia. Suurin ja usein peruuttamaton vahinko niistä tulee kuitenkin ihmisille, joiden tiedot ovat päätyneet vääriin käsiin
Tietoturvan testaaminen on paras ulkoistaa luottokumppanille
Todellinen avoimuus ja läpinäkyvyys tietoturvan suhteen edellyttää ulkopuolista testaajaa. Paras tulos saadaan, kun testaajalle annetaan vapaus suunnitella testauksen aika, paikka ja kohteet. Itse määritellään ainoastaan testauksen tavoitteet ja käytettävissä olevat resurssit.
Todellisessa elämässä pahantahtoinen kyberrikollinen ei toimi välttämättä työaikana vaan voi iskeä vaikka joululomilla. Ammattitestaaja ei myöskään testaa vain oletettuja asioita vaan voi sisällyttää testiin vaikkapa toimintaympäristön ja sitä ympäröivät rakenteet. Usein hyökkääjät nimittäin tunkeutuvat vahvasti suojattuun tilaan heikoimmin suojatun oven kautta tai naapuritontilta. Digitaalisessa maailmassa usein toimitus- tai luottamusketjujen kautta.
Esimerkiksi jokin aika sitten Liikenne- ja viestintäviraston Traficomin ajoneuvorekisteriin kohdistunut väärinkäyttö tapahtui kiertoteitse autokorjaamon käyttämän laskutusjärjestelmän kautta. Murron kohteeksi joutuneella toimijalla oli hyvin suojattuun rekisteriin oikeutettu pääsy. Kuvio paljastui tietosuojaloukkausilmoitusten kautta, kun murtautujat olivat tehneet käyttöehtojen vastaisia hakuja.
Toimintaympäristö muuttuu nopeasti
Tietojärjestelmät, toimintaympäristö ja verkkorikolliset kehittyvät hurjaa vauhtia. Tekoäly tuo uutta volyymia ja nopeutta pahantahtoisten työkalupakkiin. Onneksi tekoäly parantaa myös reagoinnin sekä erityisesti testaamisen automatisoinnin mahdollisuuksia.
Jokaisen tietoturvasta vastaavan onkin hyvä kysyä, olemmeko reaktiivisia vai proaktiivisia tietojärjestelmiemme suojaamisen suhteen? Ryhdymmekö toimiin vasta vahingon satuttua vai estämmekö vahingot pitämällä huolta, että järjestelmämme ovat testatusti suojattuja?
Järjestelmien ensimmäinen testaus on syytä tehdä jo käyttöönottovaiheessa, ennen kuin järjestelmät otetaan tuotantoon. Sen jälkeen testaamisen pitäisi olla osa niiden säännöllistä ylläpitoa.
Jatkuvaa testausta puoltaa sekä tietosuojalainsäädäntö että uusi kyberturvalainsäädäntö. Ne velvoittavat organisaatioita riittäviin toimenpiteisiin kyberturvallisuuden takaamiseksi. Ellet testaa, miten muutoin voit uskottavasti todentaa riittävien toimenpiteiden toteutumisen?
Säännöllinen testaus ja todentaminen rutiiniksi
Kannustan kaikki yrityksiä ja organisaatioita testauttamaan säännöllisesti järjestelmiensä tietoturvaa. Kun tekoäly yleistyy, ensimmäiset uhrit ovat niitä, joilla perustestaukset on tekemättä.
Parasta testauksessa on, kun löytyy parannettavaa, ongelmakohdat saadaan korjattua ja niistä opitaan hyvän sään aikana. Ja kun testaamista vielä tehdään säännöllisesti, kyberturva vahvistuu testaus testaukselta. Näin pystymme vastaamaan kehittyvän teknologian haasteisiin ja muuttuviin kyberuhkiin.
Jos testaaminen ja todentaminen kiinnostaa, Tieran asiantuntijapalveluiden dynaamisessa hankintajärjestelmässä on laaja valikoima tietoturvan sopimuskumppaneita, joilla on laaja testaamisen ja todentamisen osaaminen kaikkiin tarpeisiin.
Kori 1: Tietoturva ja tietosuoja.
Tieran asiantuntijaverkosto (DPS)
Lue lisää aiheesta:
Kyberturva tarvitsee säännöllistä harjoittelua
Matti Turunen
Kirjoittaja on Tieran tietoturvajohtaja.