Rautaa rajalle?

Tietoturvallisuudesta on totuttu huolehtimaan rakentamalla puolustuslinjoja, ostamalla uusia palomuureja ja IPS/IDS-laitteita, koventamalla palvelimia, suojaten verkkoja sekä kouluttaen käyttäjiä käyttämään hyviä salasanoja, ja niin edelleen. Nämä ovat pakollisia toimia ja varustelua on jatkettu vuodesta toiseen, ja silti saamme lähes joka päivä lukea uusista tietomurroista, milloin pieniin sovelluksiin ja milloin suuriin organisaatioihin. Onko jossain siis menty pieleen?

Kyllä ja ei. Uhkien tunnistaminen, puolustuksen rakentaminen ja torjuntatoimet yleensäkin ovat välttämätön osa niin fyysistä turvallisuutta kuin tietoturvallisuutta. Monessa organisaatiossa perustoimet tällä saralla onkin jo tehty, jolloin herää kysymys, että mitä seuraavaksi pitäisi tehdä riskien pienentämiseksi?

Yksi vastaus on suhteellisen helppo, kun ajatellaan vaikkapa varastoa ja sen fyysistä turvallisuutta. Varaston tontti voi olla hyvin turvattu aidoilla ja porteilla (vrt. palomuurit verkon rajalla), ovet ovat lukossa (pääsynhallinta) ja avaimet ovat vain luokitelluilla henkilöillä (autentikointi), lisäksi varastossa voi olla kameravalvonta (lokien hallinta), rikosilmoitinjärjestelmä (IDS / eheyden valvonta) ja vartiointiyhtiö hälytettävissä (incident response).

Mikäli varastossa säilytetään arvokasta materiaalia, kaikki edellä mainitut turvallisuusmekanismit lähes varmasti löytyvät. Tietoturvallisuuden ja it-ympäristöjen puolelta kuitenkin varsinkin viimeiset menetelmät hyvin yleisesti puuttuvat. Olisiko monella yrityksellä tässä siis parannettavaa? Varmasti. Osallistuin viime vuoden loppupuolella Hacker Halted -tapahtumaan (jonka yhteydessä pidettiin myös Global CISO Forum) ja aihe oli varsin vahvasti esillä myös Atlantin toisella puolella. Useammassakin esityksessä alleviivattiin samaa havaintoa: jossain vaiheessa tietoturvapoikkeama (joko sisäinen tai ulkoinen, tahallinen tai tahaton) tulee tapahtumaan ja siinä vaiheessa merkityksellisintä on, miten asia havaitaan ja miten siihen reagoidaan. Samaa korostivat niin yritysten, konsulttien kuin viranomaistenkin edustajat.

Tietomurto voi paljastua kuukausien viiveellä

Julkisuudessa on usein esitetty arvioita, että kaikkia tietomurtoja ei ilmoiteta poliisille tai viranomaisille, ja julkitulleet ovat vain jäävuoren huippu. Yhtälailla voidaan arvioida, että suuri osa tietoturvapoikkeamista ei koskaan paljastu edes uhriorganisaatiolle, ainakaan riittävän ajoissa. Nixukin on ollut mukana tutkimassa tapauksia, joissa uhri on kuullut tietomurrosta poliisilta tai naapuriorganisaatiolta kuukausien viiveellä. Mitä asialle sitten tulisi tehdä? Ihmeitä ei tälläkään saralla voi päivässä tehdä, mutta on hyvä asennoitua siten, että jotain ikävää saattaa kuitenkin tapahtua. Jossain vaiheessa järjestelmien suunnittelua saattaa myös tulla se raja vastaan, jossa uusi palomuuri ei vähennä riskejä enää merkittävästi, vaan paras tuotto sijoituksella saadaan investoimalla toimien jäljitettävyyteen ja murtojen havainnointiin sekä tehokkaaseen vastatoimintaan. Lokien hallinta ja eheyden turvaaminen tulee myös toteuttaa läpi organisaation, erityisesti kriittisissä järjestelmissä.

Hyvin toimiva Incident response -ryhmä vertautuu hyvinkin vartiointiliikkeeseen. Vahingon satuttua heillä on valmiit suunnitelmat vahingon rajoittamiseksi, jälkivahinkojen torjumiseksi, poliisin toiminnan tukemiseksi ja toiminnan palauttamiseksi normaaliksi. Lähes varmasti sinunkin organisaation toimitiloissa on rikosilmoitinjärjestelmä ja sopimus vartiointiliikkeen kanssa, mutta ovatko it-järjestelmäsi myös hallinnassa?