Ads 468x60px

maanantai 7. marraskuuta 2016

Kiristääkö tietoturvavyö?

Ihmiset kokevat usein organisaatioiden käyttämien tietoturvasuojauksien haittaavan työn tekemistä, koska eivät tiedä niiden perusteluja ja koska organisaatiot ovat valinneet käyttäjien työtä estäviä suojauksia: Miksi sähköpostin linkkejä ei voi klikata ilman pelkoa haittaohjelmista? Miksi asiakirjojen makrotoiminnot voivat olla vaarallisia? Miksi erilaisia mielenkiintoisia ohjelmia ei saisi asentaa työasemille vapaasti? Miksi en voisi käyttää löytämääni tai lahjaksi saamaani USB muistitikkua? Miksi en voi valita helppoa salasanaa? Miksi ylipäätänsä pitää vaihtaa salasanaa säännöllisesti? Miksi liitetiedosto ei avaudu suoraan muokattavaksi? Miksi näytölleni tulee koko ajan varoituksia vaaroista? Miksi tietoturvakäytännöt ovat usein rajoittavia? Emmekö voisi ratkaista tietoturvauhkien taustalla olevia oikeita ongelmia häiritsemättä käyttöä ja käyttäjiä?

Eräs suurimmista yrityksiä ja organisaatioita uhkaavista kyberriskeistä on kiristysohjelmien tarttuminen ja leviäminen organisaation työasemiin epidemian tavoin. Maailmalla on tapauksia, joissa verkkokiristäjät ovat iskeneet yhteiskunnan kriittisiin toimintoihin kuten sairaaloihin. Suomessakin on hyökätty terveydenhuollon järjestelmien tietoja vastaan. Kiristysohjelmien julkistamistahti on vain kiihtymään päin, koska rikolliset ovat onnistuneet kiristämään rahaa niillä käyttäjiltä ja organisaatioilta. Mitä voi tapahtua potilaalle, kun kiristysohjelma tarttuu sairaalassa röntgenlaitetta tai leikkausrobottia ohjaavaan tietokoneeseen? Mitä voit tehdä, kun tietosi tai laitteesi on kidnapattu, etkä voi käyttää niitä?

Kun kiristysohjelma tarttuu koneeseen, kaikki tietosisältöä sisältävät tiedostot kidnapataan salakirjoittamalla ne käyttäjän ulottumattomiin. On syytä huomata, että kaikki asiakirjat, joihin kiristysohjelma pääsee käyttäjän oikeuksilla kiinni, kidnapataan. Kiristysohjelma salaa työasemasta löytyvien tiedostojen lisäksi tyypillisesti myös käyttäjälle näkyvien verkkolevyjen hakemistot kuten kotihakemiston tai organisaation yksikön yhteisen verkkolevyn ja jopa pilvipalveluiden tiedostokirjastot, jos on käytössä pilvipalvelun kirjaston replikointi osaksi työaseman levyjärjestelmää. Kyllä olen niin mieleni pahoittanut, kun tiedon suojaamista varten kehitettyä teknologiaakin, salakirjoittamista, käytetään rikolliseen ansaintaan välittämättä seurauksista.

Kun kiristysohjelma on kaapannut salaamalla kaiken käyttäjän tiedon, se esittää lunnasvaatimuksen työaseman tai mobiililaitteen näytöllä: ”Jos haluat tietosi takaisin, maksa 1000€”. Jos maksaa lunnassumman, saa kiristäjiltä salauksenpurkuavaimen, jolla saa tietonsa takaisin – yleensä, mutta ei aina. Aina ei auta vaikka maksaisikin, koska kiristäjien lähettämä salauksenpurkukoodi ei välttämättä toimi, koska kiristysohjelmissakin on esiintynyt ohjelmointivirheitä.

On hyvä valmistautua lopputulokseen, että kaikki tiedot häviävät täysin työasemalta, verkkolevyiltä ja pilvipalveluiden tiedostokirjastoista. Ainoa varma ratkaisu on ottaa säännöllisiä varmuuskopioita paikkaan, johon normaalisti ei ole auki yhteyttä työasemalta. Onhan käytössäsi helppo tapa ottaa säännöllisesti varmuuskopioita tiedostoistasi paikkaan, johon työasemasi ei ole koko ajan yhteydessä? Onko sinun organisaatiosi tietohallinto tuottanut helpon ja luotettavan tavan sekä ottaa säännöllisesti että palauttaa tarpeen vaatiessa varmuuskopioita? Paremmissa pilvipalveluissa on käytössä asiakirjojen versiointi, jolloin voidaan palauttaa aikaisemmat versiot asiakirjoista takaisin työaseman putsaamisen jälkeen. Organisaatioiden tietohallinnon pitäisi, ellei jo ole, olla miettimässä mitä lisäsuojauksia työasemiin tarvitaan kiristysohjelmia vastaan.

Tätä lukiessa tullee helposti mieleen ajatus, että tietoturvan ja helppokäyttöisyyden välillä on aina tehtävä kompromissi. Saatamme ajatella, että hyvin suojatussa palvelussa tai tietojärjestelmässä on rajoitettu toiminnallisuuksia tietoturvan nimessä, ja että joustavammassa ja helppokäyttöisemmässä palvelussa tai tietojärjestelmässä on pakko olla heikko tietoturva. Tämä ei pidä paikkaansa. Jos haetaan alun perin tietoturvan ja helppokäyttöisyyden välistä kompromissia, saavutamme sen, mutta silloin palvelut ja tietojärjestelmät eivät ole kumpaakaan – ne eivät ole tietoturvallisia eivätkä helppokäyttöisiä. Meidän pitäisi tavoitella samanaikaisesti sekä helppokäyttöisyyttä että tietoturvallisuutta. Se on mahdollista.

Esimerkkejä häiritsevistä kompromisseista ja vaivattomista ratkaisuista

Työasemiemme näytölle pomppaa sähköisiä palveluita käyttäessämme mitä erilaisimpia varoitusikkunoita vaaroista. Jos varoituksessa lukee ”Tiedosto on peräisin ei-luotetusta lähteestä, oletko varma, että haluat avata tiedoston?”, niin käyttäjä ajattelee ”Taas tuo häiritsevä viesti, josta pitää päästä mahdollisimman nopeasti eroon.. Klikkaa äkkiä nappulaa..”. Valitettavan usein varoituksia annetaan käyttäjille varmuuden vuoksi ja liian usein, jolloin käyttäjät turtuvat niihin eivätkä jaksa enää lukea niitä, jolloin varoituksien teho laskee. Varoituksia tulisi antaa vain tilanteissa, joissa oikeasti on vaara haittaohjelman tarttumiselle, jotta käyttäjät eivät turtuisi varoituksiin. Vaatii tietojärjestelmien kehittäjiltä ja ylläpitäjiltä ymmärrystä ja aikaa säätää varoitukset ilmestymään vain tosi tarpeessa.

Olemme vuosien varrella oppineet, että linkkien takaa löytyy usein mielenkiintoista tietoa. Tiedonhausta, googlaamisesta, kuolaamisesta on tullut arkipäivää. Viimeaikaisin rikollisten uusi tapa levittää kiristysohjelmia on murtautua tunnettuihin uutissivustoihin, joissa vierailee paljon ihmisiä säännöllisesti, levittää kiristysohjelmaa jokaiselle sivustolla käyvälle. Nykyään tietoturva-ihmiset pohtivat päänsä puhki, miten saisimme opetettua ihmisille, että hakukoneiden ensimmäisiä linkkejä ja sähköpostiviestien epäilyttäviä linkkejä ei saisikaan klikata, koska niiden takana voi lymytä haittaohjelmia ja arkaluontoisten henkilötietojen kalasteluyrityksiä. Kuinka voisimme onnistua tässä, kun ihmisiä on vuosia opetettu siihen, että linkit ovat klikkaamista varten?

Nykyään hyviin tapoihin kuuluu liitetiedostojen sijaan viljellä sähköpostiin linkkejä sisäisille nettisivuille, yhteistyöalustoille tai pilvitoimiston työtiloihin, jotka parhaimmillaan tehostavat yhteistyötä ja asiakirjanhallintaa vähentämällä manuaalista työtä asiakirjamuutosten yhdistelemisessä. Myös sähläys siitä, missä ja kenellä olikaan se viimeinen versio asiakirjasta, poistuisi, jos näin toimittaisiin laajemmin. Kuinka voisimme vähentää haittaohjelmien tarttumista liitetiedostojen kautta, varsinkin Officen makrojen ja PDF tiedostojen skriptien kautta? Asiakirjojen makrojen automaattinen suorittaminen tulisi laittaa käyttäjän hyväksynnän varaiseksi. Yhteistyöalustat ja pilvitoimistot mahdollistavat linkkien jakamisen liitetiedostojen sijaan. Organisaation tietohallinnon tulisi mahdollistaa yhteistyötilojen käytön organisaation ulkopuolisten kanssa, jolloin myös ulkopuolisten kanssa voidaan asiakirjoja jakaa työtilassa sähköpostin liitetiedostojen sijaan.

Organisaation työasemat ovat yleensä tarkoitettu työn tekemistä varten, mutta yllätys yllätys käyttäjät eivät yleensä voikaan muuttaa työasemiensa asetuksia eivätkä asentaa työasemalle uusia ohjelmia, jotta hän voisi tehdä paremmin työnsä, koska työasemaan voisi tarttua haittaohjelmia. Tehokkain yleinen tapa suojautua kaikkia haittaohjelmia vastaan on ollut se, että normaalissa päivittäisessä työskentelyssä ei käytetä tunnuksilla, joilla voisi muokata koneen asetuksia tai asentaa uusia ohjelmia. Kenenkään ei pitäisi käyttää päivittäiseen normaaliin työskentelyynsä työasemaa ylläpito-oikeuksilla. Valitettavasti kiristysohjelmat on tehty fiksummin eivätkä ne yritä laajentaa käyttöoikeuksiaan, muuttaa käyttöjärjestelmän asetusrekistereitä tai kirjoittaa levylle ennen kuin aloittavat asiakirjojen kidnappauksen. Kiristysohjelmat toimivat aivan normaaleille käyttäjän oikeuksilla etsien kaikkia asiakirjoja, joihin käyttäjällä on muutosoikeus. Työasemien ylläpito-oikeuksien kieltäminen käyttäjiltä ei toimi kiristysohjelmia vastaan. Ainoa varma suojautumiskeino on varmistaa ajantasaiset varmuuskopiot, joilta voi palauttaa kaikki asiakirjat tarpeen vaatiessa.

Miksi työasemien suojauksia haittaohjelmia vastaan ei voisi tehdä ilman rajoituksia? Vastausta tähän kysymykseen tulee etsiä kuumeisesti ja ottaa käyttöön heti kun sopiva sellainen löytyy organisaatiolle. Uudemmissa käyttöjärjestelmäversioissa ja selaimissa on mahdollista avata liitetiedostot ns. eristetyssä hiekkalaatikossa, jolloin liitetiedoston mahdollisesti sisältämä haittaohjelma ei voi tarttua koko työasemaan ja sen levyihin. Eräs mahdollinen ratkaisu on myöntää normaalin käyttäjätunnuksen lisäksi ylläpitäjätunnus erikseen niille organisaation työntekijöille, jotka tarvitsevat sellaista. Joissakin käyttöjärjestelmissä on mahdollista myöntää tarkemmin erilaisia laajempia oikeuksia työaseman hallintaan. Lisäksi löytyy maksua vastaan myös uusia haittaohjelmien torjuntaohjelmistoja, jotka havaitsevat kiristysohjelmien tartunnat, jolloin tietoturvavalvontafunktiolla on lyhyt muutaman minuutin aikaikkuna estää asiakirjojen kidnappaaminen.

Unohdamme usein salasanat, joita meidät pakotetaan valitsemaan tietojärjestelmiin, joita käytämme harvoin, tai jos meidät pakotetaan valitsemaan liian vaikea salasana. Tämän välttämiseksi talletamme salasanan selaimeen, paperilapulle lompakkoon tai kännykkään tai parhaimmassa tapauksessa salasanojen kassakaappi-ohjelmaan. Voimme myös joutua pyytämään uuden salasanan, joka kerta kun käytämme harvoin käytettävää tietojärjestelmää tai palvelua. Tällöin tietojärjestelmien suojauksilla ei enää välttämättä ole väliä, vaan tietoturva pelkistyy selaimen, kännykän tai sähköpostin turvallisuudeksi, jos käyttäjällä ei ole erillistä salasanojen kassakaappiohjelmaa käytettävissään.

Koska vihdoinkin pääsisimme salasanoista eroon? On olemassa paljon uusia erilaisia helpompia tapoja ja teknologioita tunnistaa käyttäjät kuin salasanat. Miksi niiden käyttöönottaminen on vielä harvinaista? Käyttäjän tunnistaminen voidaan nykyään tehdä hyvin näkymättömäksi ja automaattiseksi niissä laitteissa, jotka ovat käyttäjän henkilökohtaisia työvälineitä. Näiden teknologioiden käyttöönottaminen vaati aikaa ja investointeja sekä tietojärjestelmien liittämistä keskitettyyn käyttövaltuushallintaan sekä uusien teknologioiden käyttämistä tietojärjestelmissä. Niitä on voitava ottaa käyttöön, koska riippuen organisaation koosta henkilöstöltä kuluu joka päivä aikaa salasanojen kirjoittamiseen kymmeniä ellei satoja päiviä. Vuodessa suurehkon organisaation henkilöstöltä voi kulua salasanojen kirjoittamiseen jopa kymmeniä tuhansia työpäiviä.

Uhrien syyllistäminen tulee lopettaa

Tietoturvauhkien uhrien – käyttäjien - syyllistäminen pitää lopettaa. Tietoturva ei ole ihmisten opettamista tekemään sitä mitä tietoturva tai IT palvelutuotanto haluaa. Hyvät suojaukset toimivat riippumatta siitä mitä ihmiset tekevät. Suojauksien tulee täyttää koko organisaation ja palveluiden käyttäjien turvaamistavoitteet ilman, että käyttäjien pitää tietää loputon määrä erilaisia tietoturvasääntöjä. Palveluiden omistajien ja käyttäjien tulee vaatia samaan aikaan sekä helppokäyttöisiä että turvallisia tietojärjestelmiä. Tietoturvan ja organisaation sisäisten palveluiden tuottajien tulee minimoida käyttäjien häiritseminen tietoturvarajoituksilla, jotka eivät oikeasti ratkaise taustalla olevaa ongelmaa – tietoturvauhkaa – ja opetella miten suojaukset tehdään taustalle huomaamattomiksi rajoittamatta käyttäjiä. Tässä kohtaa on kuitenkin todettava, että valitettavasti teknologia eikä sen tietoturvatoiminnot aina ole läheskään vielä helppokäyttöisiä. Sen ei kuitenkaan pitäisi estää palvelutuotantoa näkemästä aikaa ja vaivaa pohtiessa miten saavutamme sekä helppokäyttöisyyden että tietoturvan samaan aikaan.

Olemme velkaa asiakkaillemme ja henkilöstöllemme, että organisaatio on turvallinen ja joustava työskentely-ympäristö, jossa voi tehdä rauhassa ja pelotta työnsä sekä asiakkaat saada palvelua häiriöttä.

Mitä minä voin tehdä?

Mitä sinä voit tehdä? Huolehtia, että tiedoistasi on riittävän tuoreet varmuuskopiot kaiken varalta paikassa, johon työasemasi ei ole koko ajan verkkoyhteydessä. Päivitä työasemasi ja mobiililaitteesi käyttöjärjestelmä ja ohjelmat aina kun päivityksiä julkistetaan. Älä ole helppo uhri. Mieti kahdesti ennen kuin klikkaat varoitusikkunan pois, sähköpostin linkkiä tai liitettä, ja varsinkin, kun annat luvan suorittaa asiakirjan makron tai mediatiedoston skriptin tai asentaa selaimen ehdottaman ohjelman koneellesi.

Mitä organisaation johtajat voivat tehdä? Pohtia etukäteen, mitä pitää tehdä kun kiristysohjelma estää organisaation tai palvelun toiminnan. Maksaako organisaatio kiristysohjelman lunnaat vai ei? Onko minun organisaationi asiakirjoista aina ajan tasalla olevat varmuuskopiot? Olenko panostanut oman henkilöstöni kyberturva-osaamiseen ja kohdistanut resursseja kyberturvaan riittävästi?

Mitä organisaation palveluiden tietojärjestelmien omistajat voivat tehdä? Huolehtia, että palvelun tietojärjestelmiä kehittäessä käytetään käyttäjille helppoja tunnistamis- ja valtuutusmenetelmiä sekä keskitettyä käyttövaltuushallintaa. Lisäksi, että tietojärjestelmiin ei jää kehitysvaiheessa tietoturva-aukkoja eikä tietojärjestelmien vanhentunut teknologia estä ajantasaisia tietoturvapäivityksiä palvelimissa ja työasemissa. Tämä on helpommin sanottu kuin tehty, koska vaatii keskittymistä, asian tunnollista hoitamista, osaamista ja investointeja.

Mitä tietohallinto voi tehdä? Huolehtia siitä, että asiakirjoista otetaan riittävän usein ajan tasaiset ja toimivat varmuuskopiot sekä mahdollistetaan käyttäjille niiden helppo palauttaminen. Valitkaa infrastruktuuriin ja tietojärjestelmiin samaan aikaan sekä tehokkaat että käyttäjille vaivattomat suojausmekanismit. Halvin tehokkain suojaus on järjestelmien sopiva koventaminen kiristysohjelmia vastaan. Tämäkin on helpommin sanottu kuin tehty, koska vaatii keskittymistä, asian tunnollista hoitamista, osaamista ja investointeja. Edellisen lisäksi auttaa tietoturvapäivityksien pitäminen jatkuvasti ajan tasalla. Saattaa olla myös mahdollista konfiguroida nykyinen haittaohjelmien torjuntaohjelmisto tai hankkia uusi haittaohjelmien torjuntaohjelmisto torjumaan erityisesti kiristysohjelmia.

Mitä tietoturvavastaavat voivat tehdä? Panostaa oman osaamisen kehittämiseen kyberturvassa. Tukea kaikessa mitä yllä on mainittu valaisten realistisesti, liioittelematta, relevantteja riskejä toiminnan ja palveluiden omistajille ja mahdollisuuksia kustannustehokkaisiin ja häiriöttömiin suojauksiin. Valmistautua etukäteen miten auttaa kiristysohjelman häiriötilanneskenaariossa.

Lähteet

1. Blog 3.10.2016, Security Design: Stop Trying to Fix the User, Bruce Schneier.
https://www.schneier.com/blog/archives/2016/10/security_design.html
2. Turvallisuus ja riskienhallinta lehti, Lokakuu 2016, artikkeli: Verkon kiristysohjelmat jo hengenvaarallisia.

Ei kommentteja:

Lähetä kommentti