Ads 468x60px

maanantai 17. helmikuuta 2014

Sotshin olympialaiset ja leijonien menestys on organisaatioille uusi tietoturvariski


Viime viikon torstaina käynnistyivät pitkään odotetut olympialaiset Suomen jääkiekon osalta. Olympiadi, eli kisojen välinen nelivuotiskausi, on tietotekniikassa sekä erityisesti internetissä ja kyberturvallisuudessa käytännössä katsoen ikuisuus. Viimeaikaisten urheilutapahtumien myötä olemme törmänneet aivan uudenlaiseen tietoturvallisuuden haasteisiin, josta myös media on uutisoinut näyttävästi. 

Tietoturvallisuuden kannalta haasteellinen tilanne aiheutui Tampereen kaupungin työntekijöiden seuratessa YLE Areena -palvelun välittämää suoratoistolähetystä Suomen leijonien avausottelusta. Ottelua katsoessaan työntekijät saattoivat huomaamattaan häiritä jopa potilastietojärjestelmien käyttöä. Mitä luultavimmin vähintäänkin 100 000 suomalaista seurasi ottelua internetistä työpaikoillaan ja mahdollisesti vielä suurempi määrä opiskelijoita eri oppilaitosten verkoissa. Se on tietysti sinällään hyvä uutinen - tässä on erinomainen esimerkki tekniikan hyötypotentiaalin käyttöönotosta ja siitä, miten eri mediaratkaisut kehittyvät käyttäjäläheisemmiksi. 

Suoratoistoon liittyy monenlaisia uhkia

Aihetta olisi mahdollista lähestyä kysymällä, onko tällainen työajan käyttö sallittua ja sopivaa. Mitä muita vaikutuksia menetetyillä työtunneilla on saattanut olla? Jättämällä humoristiseksi tarkoitetut viisastelut sikseen, voimme syventyä itse ongelmaan ja kysyä esimerkiksi miten julkishallinnon, eri yhtiöiden ja kansallisen koulutusjärjestelmämme tietohallinnot ovat varautuneet tämän kaltaiseen toimintaa haittaavaan liikenteeseen?  Tämän tyyppinen ilmiöhän voitaisiin määritellä myös aivan uudenlaiseksi hyökkäystavaksi - nimetään se tässä tapauksessa vaikkapa ”Internal Distributed Denial of Services” (IDDS), jossa hajautetusti organisaation sisältä pyritään estämään oman verkon palveluiden saatavuus.

Tämän kaltaisessa yleisen massan omavaltaisessa toiminnassa, joka mitä luultavimmin rikkoo organisaation tietoturvapolitiikkaa, on helposti myös muita suuria riskejä. Tässä tapauksessa YLE tarjoaa luotettavan palvelunsa kautta suoratoistoa olympiakisoista, mutta kuinka moni suomalainen etsii internetistä hakuammunnalla erilaisia suoratoistosivustoja nähdäkseen maksullisten kanavien lähetyksiä vaikkapa paikallisten urheilusarjojemme finaaleista tai formulasankarimme suorituksista. Ei tarvitse olla suurikaan skeptikko epäilläkseen näiden Googlen ja sosiaalisten medioidenkin kautta löytyvien sivustojen turvallisuutta muun muassa erilaisten haittaohjelmien välittäjinä.

Kun asioita pohditaan vielä analyyttisemmalta näkökulmalta, nousevat väistämättä esille yleiset puutteet niin saatavuutta uhkaavien riskien tunnistamisessa kuin tietoliikenne- ja arkkitehtuurisuunnittelussa. Esimerkiksi uuden järjestelmän tai palvelun hankinnassa ei välttämättä oteta huomioon hankinnan kohteen aiheuttamaa lisäkuormaa tietoliikenneverkkoon. Tämä pätee etenkin pilvipalveluissa, joiden riskianalyysissa arvioidaan tietoliikenneverkon kriittisyyttä usein aivan liian yleisellä tasolla - (”sen on pakko toimia”), mutta ei kuitenkaan lasketa sen vaikutuksia ja lisätarpeita koko liiketoiminnan näkökulmasta. Ongelmia tarkasteltaessa huomataan usein, että koko organisaatioiden jatkuvuudenhallinta, mikä käsittää edellä mainitut riskiarvioinnit, keskeytysvaikutusanalyysit sekä suunnitelmat ongelmatilanteiden selvittämistä varten, on vielä lapsenkengissä.

On hyvin todennäköistä, että monissa tapauksissa verkkojen käyttö on jo valmiiksi niin äärirajoilla, että tahattomasti aikaansaatu ”IDDS” on lähempänä kuin saatetaan uskoakaan. Kysymys kuuluukin, kuinka monessa organisaatiossa tänä päivänä varaudutaan juuri tällaisiin yllättäviin piikkeihin tietoliikenneverkon käytössä? Tulisiko organisaatioiden suunnitella jatkossa IT-arkkitehtuuriaan entistä tarkemmin liiketoimintakriittisten järjestelmien ja sovellusten tietoliikennetarpeiden mukaan? Eli nykyistä kovemmalla kädellä luoda periaatteet sille, mihin tarkoitukseen, millä prioriteetilla ja millä aikavälillä tietoliikenneverkkoa saa käyttää – ja kuka tai mikä sitä saa käyttää?

Bring your own network!

Mikäli paniikkinappulaa on jo painettu, on olemassa myös eräs nopea ja kustannustehokas ensiratkaisu. Jos organisaatiolla on toimiva Bring your own device (BYOD) –politiikka ja olympialaisten seuraaminen on virallisesti sallittua työajalla, tulisi työntekijöiden hoitaa mahdollinen suoratoisto esimerkiksi omien mobiililaitteidensa kautta käyttäen muita verkkoja kuin organisaation verkkoa – kuten 3G – verkkoa. Näin poistettaisiin riski (liike)toimintakriittisten järjestelmien hidastumisesta sekä uhka mahdollisista haittaohjelmista. Asian voisi myös ilmaista kauniisti toteamalla: Bring your own network!

Suomen Leijonien seuraava peli on keskiviikkona Norja vs. Venäjä -pelin voittajaa vastaan.  Pelin tarkkaa ajankohta ei ole vielä tiedossa, mutta kisasivuston mukaan se alkaa joko 10:00, 14:30 tai 19:00.  On siis täysin varmaa, että kahden aikaisemman ajankohdan osuessa Suomen ja Venäjän otteluajaksi, organisaatioiden verkot tulevat olemaan kovilla. Yrityksillä ja julkishallinnon organisaatioilla on siis keskiviikkoaamuun asti aikaa reagoida asiaan tai sitten vain toivoa, että pelin ajankohdaksi tulee iltaohjelman mukainen 19:00. Suomen kyberturvallisuuden seuraavan haasteen määrittelee siis Häkämiestäkin mukaillen kolme asiaa: 1) ajankohta, 2) oma toimintamme ja 3) Venäjä. 

Näissä tunnelmissa toivomme peukut pystyssä sekä Suomen menestystä että elintärkeiden ja liiketoimintakriittisten järjestelmien toimivuutta!


Blogitekstin on kirjoittanut olympiatunnelmissa
Partner Harri Wihuri, joka vastaa liikkeenjohdon konsultoinnin palveluista,
Kristian Backman, joka on tietoturvan ja kokonaisarkkitehtuurin asiantuntija sekä
Olli Knuuti, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla.

Ei kommentteja:

Lähetä kommentti