Tietoturvan suunnannäyttäjät tuovat tietoturvapoikkeamia päivänvaloon .

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus seuraa Suomen tietoturvatilannetta ja saa vuosittain lähes 11 000 ilmoitusta tietoturvapoikkeamista. Monet näistä tulevat aktiivisilta vapaaehtoisilta, joilla on tärkeä rooli riskien tunnistamisessa. Riskit koskevat jokaista organisaatiota ja niihin kannattaa varautua ennalta.

Kyberturvallisuuskeskuksen tietoturvatutkijat etsivät tietoverkoista haavoittuvuuksia. Kun aukkoja löydetään, Kyberturvallisuuskeskus osallistuu tilanteen korjaamiseen aktiivisesti – se varoittaa riskeistä, auttaa ongelman korjaamisessa ja huolehtii jälkiseurannasta. Ilmoituksia saadaan myös ulkopuolelta – kuka tahansa voi ilmoittaa organisaatiossaan tai muualla havaitsemastaan tietoturvariskistä, halutessaan anonyymisti. Näitä ilmoituksia tietoturva-asiantuntija Ville Kontinen ja hänen kollegansa selvittävät työkseen.

Tietoturvan suunnannäyttäjä -palkinto aktiivisille ilmoittajille

Kyberturvallisuuskeskus jakaa vuosittain Tietoturvan suunnannäyttäjä -palkinnon tietoturvaa edistävälle henkilölle tai organisaatiolle. Viimeisimmät palkinnot myönnettiin haavoittuvuuksien aktiivisille esiintuojille. Aktiivisilta ilmoittajilta saadaan tavallisesti hyviä ilmoituksia, Kontinen kehuu: ”Ilmoituksen laatu helpottaa työtämme: kun saamme oikea-aikaisesti kovaa faktaa riittävillä lisätiedoilla ja hyvällä kuvauksella, pääsemme nopeasti homman päälle ja auttamaan muita uhreja.”

Yksi palkituista on Enfon vanhempi tietoturva-asiantuntija Jussi Törhönen. Hän kertoo raportoineensa erityisesti suomalaisten organisaatioiden O365-pilvipalveluiden kalasteluviesteistä. Uhrien joukossa on suuria ja pieniä yrityksiä, julkisyhteisöjä ja organisaatioiden toimitusjohtajia.

Kalasteluongelma alkoi Suomessa suuressa mittakaavassa vuonna 2018. Rikolliset ottivat käyttöönsä käyttötilejä, saivat yritysten ja käyttäjien dataa pilvestä ja pyrkivät laajentamaan jalansijaansa kalasteluviesteillä. Kyberturvallisuuskeskus kannusti ilmoittamaan tapauksista matalalla kynnyksellä. Tähän Törhönen tarttui: pienellä pro bono -talkootyöpanoksella tapauksia saataisiin esiin ja ratkaistua.

”Ilmoitukset auttavat organisaatiota häätämään rikollisia. Kyberturvallisuuskeskuksella on Suomessa vahva rooli ja osaaminen sekä lakisääteinen velvollisuus pitää tietoverkot puhtaina”, Törhönen sanoo.

Sähköposti kriittinen hyökkäysvektori

Sähköposti on yhä tärkeässä roolissa yrityksissä, mutta se altistaa tietoverkot, palvelinresurssit ja käyttäjien datan hyökkäyksille. Sähköpostin suodatuskäytäntöihin kannattaakin kiinnittää huomioita ja varmistaa O365-pilvipostipalvelun lisenssin mahdollisuudet. ”Päivitetyt lisenssit mahdollistavat paljon tehokkaampien kalastelu- ja anti-spoofing-suodatusmahdollisuuksien käytön. Yritysten kannattaa myös perehtyä tarjolla olevaan security score -pisteytysseurantaan, joka auttaa tunnistamaan haasteita ja ottamaan käyttöön parempia tietoturvakontrolleja”, Törhönen kannustaa.

Enfo tuottaa sähköpostisuodatuspalvelua omaan ja asiakkaidensa käyttöön. Palvelussa on kiinnitetty paljon huomiota kalasteluviesteihin, toimitusjohtajahuijauksiin sekä väärällä sähköpostiosoitteella tulevien viestien tunnistamiseen ja karanteeniohjaukseen. Tavoitteena on siivota sähköpostiliikenteestä tietoturvariskit ja pitää ympäristö puhtaana.

Sähköpostiliikenteen suodatusta ei koskaan saada täysin aukottomaksi, joten ehdottoman tärkeää on myös kehittää henkilöstön tietoturvatietoisuutta, Törhönen muistuttaa. Osaava ja valpas henkilöstö voi olla viimeinen linkki yritysten ja käyttäjien dataan kohdistuvien tietoturvaloukkausten tunnistamisessa.

Kuinka välttää uhkia?

Kyberturvallisuuskeskuksen saamat ilmoitukset koskevat todettuja haavoittuvuuksia ja poikkeamia. Riskejä voidaan välttää myös ennakkoon. ”Tämä ei tarkoita, että kaupasta haetaan lisää rautaa rajalle ja ongelmat ratkeavat sillä. Kannattaa katsoa, mitä omassa työkalupakissa on ja saadaanko näistä investoinneista hyöty irti”, Kontinen kehottaa.

Kontinen kannustaa tarkkaavaisuuteen IT-tuotteiden, -palveluiden ja -järjestelmien käyttöönotossa. Esimerkiksi O365-murtojen välttämiseksi on varmistettava, mitä ominaisuuksia palveluun sisältyy, kuinka lisenssitasosta saadaan tehot irti ja ovatko käyttäjätilien asetukset kohdallaan. Ulkoistuksissa puolestaan pitää huolehtia siitä, että sekä tilaaja että ulkoistuskumppani tietävät, mitä ollaan tekemässä, mikä on organisaatiolle tärkeää ja kuinka se pidetään suojassa.

Monia tietoturvariskejä voidaan estää tai rajoittaa melko pienillä toimilla. Esimerkiksi erillinen ja testattu varmuuskopio auttaa palauttamaan ainakin osan tiedoista tietomurron tai kiristyksen yhteydessä. Huolellinen käyttöoikeuksien hallinta auttaa puolestaan ottamaan tilanteen haltuun, jos tunnukset kaapataan. Kolmas esimerkki ovat hyökkäysrajapinnat: jokaisen organisaation tulisi pohtia, mitä sen järjestelmistä on tarpeen näkyä verkkoon. 

Tietoturvaa on kehitettävä jatkuvasti

Tietoturvariskit ja -poikkeamat koskevat kaikkia organisaatioita. ”Kannattaa unohtaa lintukotoajatus siitä, että ei tämä meille voi osua. Jotain tulee, ennemmin tai myöhemmin, kovempaa tai hiljempaa”, muistuttaa Kontinen. Tietoturvaongelma voi levitä mediaan ja pahimmillaan kaataa koko yrityksen.

Riskeihin varautumisessa voi lähteä liikkeelle siitä, että otetaan käyttöön sisäiset kanavat poikkeamista ilmoittamiseen, mielellään myös nimettömästi. Lisäksi on määriteltävä toimintatavat tai mallit ilmoitusten ja uhkatilanteiden käsittelemiseen. ”Johtoa myöten on tiedostettava, mitä tehdään ja kuinka reagoidaan, jos jotain tapahtuu. Kyberturvallisuuskeskukseen kannattaa olla yhteydessä varhaisessa vaiheessa, vaikka lait ja asetukset eivät tähän velvoittaisi”, Kontinen kannustaa.

Tietoturvan kehittäminen on nähtävä jatkuvana prosessina, muistuttaa Törhönen. Rikolliset kehittävät toimintatapojaan koko ajan, siksi suojautumiskeinojakin pitää uudistaa. Tässä auttaa jatkuvan kehittämisen oravanpyörä: ennakoi, estä, tunnista, reagoi.

Artikkeli pohjautuu 22.4.2021 Enfo Success Day -tapahtuman puheenvuoroon, "Tietoturvapoikkeamat päivänvaloon tietoturvan suunnannäyttäjien avulla". Puheenvuoro sekä muut tapahtuman esitykset ovat katsottavissa tallenteena.