Tietoturva Nyt!
Erilaisten palveluiden, järjestelmien ja laitteiden tietoturva ei ikinä tule täysin valmiiksi. Koska tietoturvaongelmia tulee vastaan joka tapauksessa, yritysten on tärkeää ymmärtää riskienhallinnan perusperiaatteet. Toiminnan jatkuvuuteen tähtäävän riskienhallinnan ymmärtäminen on hyödyllistä myös valkohatuille, jotka pohtivat löydöstensä torjuntakeinoja.
Kaikessa riskinhallinnassa on yleisesti neljä mekanismia, joita voidaan tarpeen tullen yhdistellä. Nämä on niin valkohattujen kuin pienyritysten hyvä ymmärtää.
- Riskin aiheuttava seikka korjataan, eli riski poistetaan. Tämä tapahtuu esimerkiksi korjaamalla löydetty haavoittuvuus tai vaikkapa kokonaan poistamalla palvelu, josta se löytyi.
- Riskin todennäköisyyttä pienennetään jollain mekanismilla. Esimerkiksi pääsyä palveluun voidaan rajata yrityksen IP-verkkoalueeseen, jolloin palvelun hyväksikäytön riski pienenee, mutta ei poistu kokonaan.
- Riskin vaikutusta pienennetään jollain mekanismilla, esimerkiksi lisäämällä valvontaa ja reagointikykyä riskin realisoitumiseen. Riskin vaikutusten minimoinnin erikoistapauksena on riskin siirtäminen. Esimerkiksi vakuutuksen avulla osa riskistä siirretään vakuutusyhtiölle ja täten pienennetään riskin vaikutuksia, koska riskin realisoituessa yritys saa rahaa korjaustoimiin vakuutuksesta.
- Riski – tai jäännösriski muista toimista – voidaan hyväksyä. Tämä tarkoittaa sitä, että kun organisaation päättävä taho on saanut tiedon ongelmasta, sen vaikutuksista ja korjaavien toimien kustannuksista, päätetään ettei asialle tarvitsee tehdä mitään.
Yleensä korjaus koostuu kohtien 2 ja 3 yhdistelmästä kunnes jäljelle jäävä jäännösriski on sellaisella tasolla, jonka päättävä taho voi hyväksyä.
Esimerkki 1
- Verkkopalvelusta löytyy tietoturva-aukko, joka mahdollistaa laskujen summien muokkaamisen.
- Riski on, että tätä aukkoa hyväksikäytetään ja yritys saadaan maksamaan väärä summa rahaa.
- Luodaan uusi prosessi, jossa kaikki yli tietyn rajan ylittävät laskut tarkistetaan käsin.
- Tämä siis pienentää vaikutusta vain rajan alittaviin määriin.
- Prosessi saadaan käyttöön heti.
- Tämän lisäksi tietoturva-aukko annetaan ICT-kumppanille korjattavaksi. Korjausta ei tarvitse tehdä ylitöinä, koska yrityksen päätöksentekijät hyväksyvät pienentyneen riskin, kunnes korjaus saadaan valmiiksi normaalin työajan puitteissa. Kun korjaus on tehty, riski on poistettu tämän tietoturva-aukon osalta.
- Tässä kohtaa yritys tekee uuden riskiarvion siitä, tarvitseeko käsipelillä tehtävää tarkistusta jatkaa vai hyväksytäänkö se riski, että olisi joku muu mekanismi, jolla laskuja voitaisiin manipuloida.
Esimerkki 2
- Valkohattu ilmoittaa viime vuoden kesäkampanja-sivustolla olevan päivittämätön sisällönhallintajärjestelmä, joka mahdollistaa esimerkiksi haittaohjelmien jakamisen tai valeuutisten tekemisen yrityksen omistamasta osoitteesta.
- Väärin käytettynä tästä aiheutuu maineriski, mutta kesäkampanjasivustolla on myös mahdollisesti ollut arvontaan liittyvä henkilörekisteri, jonka vuotamisesta voisi aiheutua hieman suurempi riski taloudellisista sanktioista.
- Lisävahingon riski poistetaan yksinkertaisesti ottamalla sivusto pois netistä.
- Riski tietovuodosta pienenee palvelimen tietoja tutkimalla, jotta voidaan päätellä, onko ulkopuolisilla tahoilla ollut pääsyä henkilörekisteriin. Näitä tietoja on voitu muokata, joten riskiä ei pystytä kokonaan poistamaan, mutta se voidaan saada melko pieneksi tutkinnan varmuuden perusteella.
- Päätöksentekijät hyväksyvät tämän jäännösriskin ja tietoteknistä tutkintaa ei tarvitse jatkaa.
Lue myös muut Valkohattuhakkerit-sarjan jutut:
Tuore valkohattu Toni Ruhanen löysi tietoturvaongelmia julkisista palveluista alkuvuonna 2019. Kyberturvallisuuskeskuksen avulla Tonin löydökset saatiin palveluista vastaavien tietoon.
Toni Ruhanen ja muut valkohatut kuuluvat hyvisjengiin (Ulkoinen linkki)
Kun valkohatut ja yritykset löytävät toisensa helpommin, myös haavoittuvuudet saadaan korjattua nopeammin.
Vinkkejä valkohatuille parempaan ja helpompaan yhteistyöhön (Ulkoinen linkki)
Tietoturvaongelmista ilmoittavaa valkohattuhakkeria ei tarvitse säikähtää. Lue vinkkimme sujuvaan yhteistyöhön ja jatkotoimiin.
"Palveluistanne löytyi tietoturva-aukko" (Ulkoinen linkki)
Bug bounty -ohjelma on helppo tapa saada keskitetysti tietoa omien järjestelmien ja palveluiden mahdollisista tietoturvapuutteista. Yritykselle ohjelma voi antaa mahdollisuuden todelliseen avoimuuteen ja suunnannäyttäjän asemaan.
Bug Bounty -ohjelmien avulla tietoturvaongelmat voi kääntää PR-voitoiksi (Ulkoinen linkki)