6 yleistä väärinkäsitystä tietoturvasta

”Minulla ei ole mitään kyberrikollisia kiinnostavaa, mutta jos hyökkäys kuitenkin iskee, mietitään sitten, mitä tehdään.” Kuulostaako tutulta? Ota oheiset opit talteen ja kasvata tietämystäsi tietoturvasta.

1. ”Palomuuri on yhtä kuin tietoturva”

Kaikki muistavat ajan, jolloin hyvä palomuuri oli lähes valloittamaton linnake. Nykyään palomuuri on hyvä alku – jos sitä ei olisi, kaikki aika menisi yksinkertaisten hyökkäysten torjumiseen.
Enää palomuuri ei kuitenkaan riitä vaativampien hyökkäysten torjuntaan. Haitakkeet eivät ole enää pelkästään viruksia tai matoja, vaan esimerkiksi normaaliksi salatuksi https-liikenteeksi naamioitunutta liikennettä. Oma taiteenlajinsa on ujuttautua kalastelun avulla yrityksen verkkoon.
Jotta IT-ympäristö pystytään oikeasti suojaamaan, täytyy kyetä seuraamaan laitteella tapahtuvia prosesseja. Kun verkkoyhteyden salaus purkaantuu päätelaitteella, poikkeavat ja mahdollisesti haitalliset prosessit paljastuvat. Virian ratkaisu on päätelaitteiden suojauspalvelu: se tunnistaa uhkia päätelaitetasolla sekä pysäyttää ne, ennen kuin ne pääsevät syvemmälle organisaatioon.

2. ”Olen turvassa, koska minulla ei ole mitään salattavaa”

Yksi yleisimmistä luuloista on se, että on verkossa turvassa, jos omasta mielestä ei ole mitään salattavaa. Kenellä tahansa voi kuitenkin olla kyberrikollisia kiinnostavia tietoja tai resursseja. Rikolliset eivät aina havittele pelkästään tietoa, kuten salasanoja tai vaikkapa liikesalaisuuksia, vaan he voivat esimerkiksi hyödyntää laitteen verkkoyhteyttä tai prosessoritehoa vilpillisesti toisen laskuun.
Tuttu lausahdus on myös ”Jos jotakuta kiinnostaa minun asiani, niin siitä vain”. Kyse on kuitenkin samalla myös työkavereiden, asiakkaiden ja sidosryhmien asioista.

3. ”Jos hyökkäys iskee, se antaa kyllä kuulua itsestään”

Hyökkäys ei aina tule kello kaulassa. Se ei tule välttämättä edes digitaalisessa muodossa, vaan voi alkaa esimerkiksi lahjana toimitetusta hienosta USB-näppäimistöstä, jonka pahaa-aavistamaton saaja kytkee työkoneeseensa. Siksi fyysiseen ja digitaaliseen turvallisuuteen tulisi aina suhtautua kokonaisuutena.
Jos kyse on kybervakoilusta tai vaikkapa koneen prosessoritehon varastamisesta bitcoinien louhintaan, hyökkääjä pyrkii nimenomaan toimimaan piilossa. Tällöin torjuminenkin on huomattavasti haasteellisempaa. Saattaa kestää kuukausia ennen kuin edes epäilykset heräävät siitä, että yrityksen verkkoon on voitu tunkeutua ja tietoja on varastettu. Hyökkääjä piilottaa toimintansa ja hävittää todisteet, jotta samaa hyökkäystä voidaan käyttää uudelleen samassa tai toisessa kohteessa.

4. ”Mobiililaite ei tarvitse tietoturvaa”

Samaa puhelinta käytetään usein sekä työhön että vapaa-aikaan, ja se on harvoin suojattu – toisin kuin työkone, jota ei voida ajatellakaan käytettävän ilman virustorjuntaa.
Mobiililaitetta käytetään työasioissa esimerkiksi sähköpostiin, tiedostojen käsittelyyn ja konferenssipuheluihin. Samaan aikaan laitteessa on asennettuna erilaisia vapaa-ajan sovelluksia, joilla on pääsy mikrofoniin, kameraan ja tiedostoihin.
Kun pystymme tunnistamaan ja pysäyttämään eri hyökkäystaktiikat sekä näemme poikkeavat prosessit ja analysoimme ne nopeasti, joutuu taitavakin hyökkääjä luopumaan leikistä tai etsimään helpomman kohteen.

5. ”Kodinkoneeni on verkossa ilman tietoturvaa – sehän on vain kodinkone?”

Kyberhyökkäyksiä tehdään entistä useammin muita kuin tietokoneita vastaan, sillä IoT-laitteet ovat usein helppoja kohteita. Edullinen verkkoon kytketty kodinkone voi olla suuri tietoturvariski.
Tieto on valuuttaa ja laitteet haluavat kerätä meistä tietoa: Onko jääkaapissa terveysruokaa, valmisruokaa vai pelkästään valo? Televisiot on jo kytketty internetiin ja suoratoistopalvelut profiloivat meitä tarjoten elokuvia ja sarjoja, joista voisimme pitää. Mutta kuka huolehtii ulkomailla valmistetun jääkaapin verkkoyhteyksien ja käyttöjärjestelmän tietoturvasta?
Murretun IoT-laitteen kautta voidaan päästä sisään yrityksen verkkoon tai se voidaan esimerkiksi valjastaa palvelunestohyökkäykseen omistajan tietämättä. Siksi laitteet tulisi vähintään asettaa turvallisen ja suojatun verkon taakse.
Maailman suurimmat ohjelmistojärjestelmätkin päivittävät järjestelmiään joka kuukausi paikaten tietoturva-aukkoja. Kuinka paljon onkaan aukkoja laitteissa, joita ei päivitetä ikinä?

6. ”Jos kyberhyökkäys sattuu iskemään, mietitään sitten, mitä tehdään”

Harjoittelu tekee mestarin. Kyberammattilaisena ei synnytä – kyberammattilaiseksi tullaan!

Varautumiseen suhtaudutaan usein rennosti, ja ajatellaan, että toimitaan sitten tilanteen mukaan. Jokaisen kannattaisi kuitenkin miettiä omalta osaltaan, mikä oma riskitaso on, ja mitoittaa suojaustoimenpiteet sen edellyttämällä tavalla. Virialla on erilaisia palveluita, joita voi käyttää tässä apuna. Kyberriskeihin varautuminen ja suojautuminen on jatkuva prosessi, johon kuuluu ennakointi, suojaaminen, havaitseminen sekä reagointi.
Sitä paitsi hyökkääjätkin harjoittelevat: heidän etunaan on, että hyökkäys voidaan harjoitella sekä testata omassa laboratoriossa, ennen kuin se ajetaan käyttöön. Puolustajan sen sijaan täytyy ennustaa ja arvata, miten mahdolliset hyökkäykset toteutetaan. Mitre-järjestö ylläpitää Mitre Att&ck -verkkosivustoa, jossa voi käydä tutustumassa erilaisiin maailmalla havaittuihin kyberhyökkäyksiin ja niissä käytettyihin tekniikoihin ja tapoihin. Tähän kannattaa varata aikaa, sillä tekniikoita ja tapoja on paljon.

Lisälukemista aiheista:
Kuka tahansa voi olla kiinnostava kybervarkauden kohde
Hyvikset testaavat puolustustaan pahisten keinoilla
Paikkaa taskusi tietoturva-aukko
Kokonaiskuva tietoturva-arvioinnilla
Offensiiviset tietoturvapalvelut