Ads 468x60px

maanantai 17. syyskuuta 2012

Katsaus kyberrikollisuuden tilaan Hollannissa

KPMG Julkaisi aiemmin tänä vuonna Shifting Viewpoints -whitepaperin [1], jossa käsitellään yhä ajankohtaisemmaksi muuttuvia tietoturvakäytäntöjä yrityksissä.

Tämän päivän kyberrikollisilla on mahtavat resurssit käytössään. Kommunikaatiota ja maksuliikennettä voidaan hoitaa erittäin vaikeasti jäljitettävien kanavien kautta käyttämällä hyväksi TOR-verkon ja Bitcoinin kaltaisia tekniikoita. Bitcoinia tukeva luottokorttikin on hyvää vauhtia tekemässä tuloaan [2]. Resursseillaan kyberrikolliset tähtäävät pääasiassa rahansiirtojen manipulointiin sekä mielipiteitä ilmaiseviin palvelunestoihin. 80% kyselyyn vastanneista oli sitä mieltä että kyberrikollisuus ei ole ohimenevä hype-ilmiö, vaan tulee jatkumaan hyvin haasteellisena osa-alueena.

Kyberrikolliset ovat jakautuneet kahteen leiriin, pikkutekijöihin ja suuriin pelureihin. Pikkutekijät keskittyvät lähinnä luottokorttihuijauksiin, mielenilmaisuihin, palvelunestoihin, sekä taitojensa julkiseen esittelyyn. Suuret pelurit, kuten isot yritykset ja hallitukset, keskittyvät sen sijaan yritysvakoiluun, toimintojen lamauttamiseen ja liiketoimintaan negatiivisesti vaikuttaviin jälkiseuraamuksiin. Myös resursseissa on eroja, pikkutekijöiden resurssit löytyvät tietomurron avulla haltuun saaduista laitteista ja näiden muodostamista botneteistä, kun taas isoilla pelureilla voi olla omia konesaleja käytössään.

Tietoturva nähdään yhä lähinnä kustannuksena, siitäkin huolimatta, että tietomurron tapauksessa toteutuvat kustannukset ovat moninkertaiset verrattuna murtautumisen estämisen kustannuksiin. Tietoturvan budjetti kannattaa suunnitella suojeltavien tietojen näkökulmasta, eikä niinkään mahdollisten hyökkäysten näkökulmasta. Varmista siis ensin, ettei kovalevyn rikkoutuminen estä liiketoimintoja, ennen kuin harkitset tunkeutumisestojärjestelmän (IDS) pystyttämistä.

Organisaatiot saattavat nähdä tietonsa ja järjestelmänsä eri arvoisina kuin hyökkääjä. Siinä missä jokin pieni järjestelmä saattaa jäädä vähemmälle huomiolle, voi hyökkääjän näkökulmasta tuon pienen järjestelmän hyödyntämät rajapinnat osoittautua kultakaivokseksi. Tiedolla on arvonsa, pienemmästä organisaatiosta saaduilla tiedoilla on helpompi suorittaa sosiaalinen hakkerointi varsinaiseen kohdeyritykseen. Tämä aiheuttaa sen, että organisaatioiden on syytä kiinnittää huomiota myös muiden organisaatioiden tietoturvaan. Miltä tuntuisi lähettää sähköpostia yritykseen, jossa tiedät olevan sähköposteja lukevan haittaohjelman?

Tehokas tietoturva tarkoittaa lyhyen tähtäimen valvontaa, sekä pitkän tähtäimen suunnitelmallisuutta ja kontrollointia. Tietoturvauhat tulisi selvittää riskianalyysein hyökkääjän ja yrityksen näkökulmasta. Kriittiset järjestelmät tulisi tunnistaa ja analysoida, sekä laatia toipumissuunnitelma uhan toteutumisen varalle. Onnistunut tietoturvasuunnitelma on kustannustehokas, yrityksen toimintaa tukeva, sekä laadittu siten, että se on osana yrityksen muita toimintasuunnitelmia ja prosesseja.

Täydelliesti suojatut järjestelmät ovat illuusio. Tämä pätee sekä suojautumiseen pikkutekijöitä, että suuria pelureita vastaan. 45% vastaajista kertoi kokeneensa tietoturvahyökkäysyrityksen vuonna 2011. 55% vastaajista kertoi kokevansa epävarmuutta liittyen tietoturvahyökkäyksen tehokkaaseen käsittelyyn. Tiedätkö sinä missä määrin ja millä tavalla yritykseesi on hyökätty?

Ylimmän johdon suhtautumisella on vaikutusta. Mikäli ylin johto käyttäytyy tietoturvan suhteen dinosauruksen tavoin, ei seuraajienkaan voi kuvitella piittaavan tietoturvasta. Tehokas koulutus, johtoa myöten, auttaa oikeanlaisen kuvan viestittämiseen. Osaathan tarvittaessa lähettää sähköpostin liitetiedoston salattuna ja salasanan tekstarina?


Tekstiä muokattu bitcoin-luottokortin osalta, jota siis ei vielä tällä hetkellä saa.
[1] http://www.kpmg.com/NL/en/Issues-And-Insights/ArticlesPublications/Documents/PDF/Risk%20Consulting/Shifting-viewpoints.pdf

[2] http://thenextweb.com/insider/2012/08/20/bitinstant-may-bridge-virtual-real-world-currencies-international-bitcoin-credit-card/

1 kommentti:

Anssi Porttikivi kirjoitti...

Se Bitcoin luottokortti - mitä se sitten tarkoittaisikaan - on huhun tasolla.

Lähetä kommentti