Ads 468x60px

keskiviikko 12. syyskuuta 2012

Suomi ei maailman 10 huonoimman tietoturvamaan joukossa – Syytä juhlaan ei silti ole



Suomeen ja tiettyihin www-palveluihin kohdistui 11.9.2012 laaja palvelunestohyökkäys. Tällä viikolla mediassa on käyty vilkasta keskustelua siitä, miten Suomi voitaisiin lamauttaa kyberhyökkäyksen avulla. Esimerkiksi professori Hannu H. Kari muistutti Ilta-Sanomien artikkelissa, ettei yhteiskunnan sekoittamiseen tarvita sähköverkon lamauttamista tai ydinvoimalan kaappaamista. Pelkkä tietoliikenteen estäminen riittää.
                       
Suomi ei maailman 10 huonoimman tietoturvamaan joukossa – Ei silti syytä juhlaan
KPMG:n hiljattain julkaiseman KPMG:n Cyber Vulnerability Index 2012 -tutkimuksen mukaan Suomi ei kuulu niiden kymmenen maan joukkoon, jossa yritykset tietoturvassaan ilmenevien puutteiden vuoksi vuotavat internetin kautta eniten tietoja. Eniten tällaisia tahattomia tietovuotoja tapahtuu Sveitsissä, Japanissa, Espanjassa, Italiassa, Brasiliassa, Yhdysvalloissa, Saudi-Arabiassa, Thaimaassa, Saksassa ja Malesiassa. Syytä juhlaan ei suomalaisillakaan silti ole, sillä tutkimuksen kohteena olivat Forbes 2000 -listan yritykset, eikä tällä listalla ole montaa suomalaisyritystä.

Tutkimuksen mukaan yli 75 prosenttia yrityksistä vuotaa ulospäin hyökkääjille hyödyllisiä tietoja. Suurimmat riskit ovat finanssisektorin yrityksillä – huolimatta siitä, että ne yleensä myös panostavat tietoturvallisuuteen muita enemmän – sekä lisäksi teknologia, media ja telealan yrityksillä. 

Koska yritysten järjestelmien testaaminen ilman lupaa ei ole mahdollista, tutkimus tehtiin käyttämällä julkisesti saatavilla olevia tietoja, esimerkiksi verkkosivujen, dokumenttien ja hakukoneiden kautta löytyviä tietoja sekä tietoja, joita saadaan järjestelmistä ilman, että niihin yritetään aktiivisesti murtautua. Tätä kutsutaan yleensä murron kohteen profiloinniksi, joka edeltää varsinaista tietomurtoa; vastaavia menetelmiä käyttävät siis myös verkkorikolliset kartoittaessaan mahdollisia hyökkäyskohteitaan.

Tutkimuksen tulokset antavat hyvän yleiskuvan siitä, missä määrin organisaatiot, niiden henkilöstö ja yritystieto altistuvat verkon kautta tapahtuville hyökkäyksille perustietoturvan heikkouksien vuoksi.

Ongelmia ohjelmistoversioissa, tietojen suojauksessa ja vaatimusmäärittelyissä
Tutkimustulosten valossa Forbes 2000 -yritysten internet-sivuista 16 prosenttia altistuu tietomurroille joko puuttuvien päivitysten tai vanhojen ohjelmistoversioiden takia. Yli kolme neljäsosaa tutkittujen yritysten verkkosivuista vuotaa hyökkääjälle hyödyllistä tietoa dokumenttien metatietojen kautta.

– Myös Suomessa asiakkaillemme suorittamien tietoturvallisuuden teknisten testausten perusteella voidaan jo usean vuoden ajalta todeta, että iso osa suomalaisista tietojärjestelmistä ja tietojenkäsittely-ympäristöistä on ensimmäisen testauksen hetkellä huonosti tai melko huonosti suojattuja, kertoo KPMG:n tietoturvapalveluista Suomessa vastaava Mika Laaksonen.

– Esimerkkinä tästä on ollut muun muassa erään kriittiseen infrastruktuuriin kuuluvan yrityksen asiakaskäyttöön tarkoitetun tietojärjestelmän tietoturvallisuus, jonka testasimme tämän vuoden alkupuolella. Järjestelmästä pystyi internetin kautta lukemaan koko asiakastietokannan sisällön ilman minkäänlaista tunnistautumista. Tietoja pystyi myös muuttamaan luvattomasti. Järjestelmä oli testaushetkellä ollut tuotannossa jo pidemmän aikaa, Laaksonen kertoo.

– Sillä ei useinkaan ole merkitystä, onko tietoturvasovellus pienemmän toimittajan tai suuren ohjelmistotalon tuottama. Syitä huonoon tilanteeseen ovat muun muassa tiukka hintakilpailu sekä se, että asiakkaat eivät osaa määritellä ja edellyttää riittäviä tietoturvavaatimuksia eivätkä myöskään testata niitä ennen tuotantoon menoa, toteaa Laaksonen.

Kyberrikollisuutta vastaan yhteistyön ja ennakoivan toiminnan kautta
Tietoverkkoihin pohjautuvassa yhteiskunnassa niin julkiset kuin yksityiset organisaatiot ovat suuressa määrin toisistaan riippuvaisia, ja tämä tekee niistä aivan uudella tavoin entistä haavoittuvampia.

Maailmanlaajuisesti rikolliset järjestäytyvät internetin tarjoamien teknologioiden avulla, eivät vain tavoitellakseen rahallista hyötyä vaan myös häiritäkseen koko yhteiskunnan kannalta elintärkeitä toimintoja esimerkiksi ideologisista syistä. Taistelussa kyberrikollisuutta vastaan on tärkeää, että tieto kulkee myös viranomaisten ja yritysten välillä ja yli valtiorajojen.

Laaksosen mukaan paniikkiin ei kuitenkaan ole syytä: organisaatiot voivat tehdä paljonkin ennakoivaa työtä suojautuakseen verkkohyökkäyksiltä.

– Tietoturvallisuudesta tulee huolehtia aidosti ja tietoturvallisuus tulisi nostaa yritysten johtajien agendalle, minne se kuuluu. Erityistä huomiota tulisi kiinnittää uusien järjestelmien tietoturvallisuuden määrittelyyn ja testaamiseen. Tulisi myös huomata, että tästä joutuu yleensä alkuvaiheessa maksamaan ylimääräistä, mutta pidemmällä tähtäimellä se kannattaa aina, hän painottaa.



Ei kommentteja:

Lähetä kommentti