Palvo perusasioita tietoturvassa

Kirjoitin aikaisemmassa kirjoituksessani WordPressin tietoturvasta hyökkääjän näkökulmasta ja mainitsin kirjoituksessa tietoturvan olevan kokonaisuus, joka koostuu sovellustason tietoturvan lisäksi useista osa-alueista, jotka vaikuttavat tietoturvan kokonaistasoon.

Kokonaisuuden hahmottamisen helpottamiseksi kokosin selkokielisen tarkistuslistan, jota voit käyttää oman organisaatiosi tietoturvan lähtötason arviointiin.  Lista sopii myös esimerkiksi toimittajien tietoturvan perustason vertailuun kilpailutustilanteessa.

Sertifikaattia tämän listan läpikäymisestä ja noudattamisesta ei saa, mutta se tarjoaa lähtökohdan oman organisaation tietoturvan tarkasteluun ja sen kehittämiseen.

Toimitilat

Hyvä tietoturva ei ole jälkeenpäin lisättävä ominaisuus tai sovelluksen lisäosa, vaan se on osa arkea ja päivittäisiä rutiineja. Oman organisaation tietoturvan arviointi kannattaakin aloittaa arkisista asioista, kuten toimitilojen kulunvalvonnasta.

Tarkista ainakin nämä:

  1. Ovatko toimitilojen ovet aina lukittuna?
  2. Onko työntekijöiden avaimet rekisteröity?
  3. Voidaanko avaimen käyttäjä tunnistaa?
  4. Onko kadotetun avaimen raportointi ohjeistettu?
  5. Onko ulkopuolisilla pääsy toimitiloihin?

Vierailijat

Henkilöstön ohella on hyvä kiinnittää huomioita myös vierailijakäytäntöihin, jotta voidaan olla varmoja, että luottamukselliset tiedot ovat vain niiden henkilöiden saatavissa, joille ne kuuluvat.

Mikäli WLAN-salasana löytyy modeemin pohjasta ja se on sama työntekijöille ja vierailijoille, on todennäköisesti tarvetta toimenpiteille.

Tarkista ainakin nämä:

  1. Onko vierailijoille varattu oma vierailu- tai neuvottelutila?
  2. Pidetäänkö vierailijoista kirjaa?
  3. Pääseekö vierailija kulkemaan tiloissa ilman saattajaa?
  4. Onko vierailijoille varattu erillinen WLAN-vierasverkko?
  5. Onko vierailijalla näköyhteys työpisteisiin?

Työasemat

Työasemien suojausta on hyvä tarkastella sekä arkisen käytön että mahdollisen katoamisen tai varkauden varalta. Arkiseen käyttöön liittyy mm. työaseman riittävän vahva salasanasuojaus ja varmuuskopiointi. Katoamisen tai varkauden osalta olennainen kysymys on, että onko tiedot salattu siten, ettei niihin pääse käsiksi.

Työasemien osalta tietojen salaus on nykyään tehty kohtuullisen helpoksi, mutta varmuuskopioiden osalta salaus saattaa helposti unohtua. Tällöin tietojen luvaton haltuunotto tulee turhankin helpoksi: varmuuskopiointilevy taskuun ja usb-liitännällä omaan koneeseen.

Tarkista ainakin nämä:

  1. Onko työasemien tallennusvälineet salattu?
  2. Onko työasemat suojattu salasanalla tai sormenjäljellä?
  3. Onko työasemissa automaattiset tietoturvapäivitykset päällä?
  4. Onko työasemissa palomuuri käytössä?
  5. Onko työasemissa jatkuva varmuuskopionti käytössä?
  6. Onko ohjelmistojen asentaminen rajoitettu luotettaviin lähteisiin?
  7. Lukittuuko työasema automaattisesti?
  8. Onko työasemien varmuuskopiot salattu?
  9. Testataanko varmuuskopioiden palauttamista säännöllisesti?
  10. Onko kadonnut laite mahdollista jäljittää?
  11. Onko kadonnut laite mahdollista tyhjentää?

Palvelimet

Palvelinten tietoturvan osalta keskeisiä tarkistettavia asioita ovat käyttöoikeuksien hallintaan, valvontaan, häiriötilanteisiin ja varmuuskopiointiin liittyvät käytännöt.

Tarkista ainakin nämä:

  1. Onko palvelimille kirjautuminen rajoitettu organisaation sisäverkkoon tai VPN:n kautta tapahtuvaksi?
  2. Käytetäänkö palvelimelle kirjautumiseen aina salattua yhteyttä?
  3. Vaatiiko palvelimelle kirjautuminen aina tunnistautumisen?
  4. Onko salasanakirjautuminen poistettu käytöstä?
  5. Hallitaanko käyttäjiä ja SSH-avaimia keskitetysti?
  6. Päivitetäänkö palvelimet säännöllisesti?
  7. Seurataanko viranomaisten antamia tietoturvaohjeistuksia?
  8. Onko palvelinten konfiguraatio dokumentoitu?
  9. Onko mahdollisiin hyökkäyksiin ja häiriötilanteisiin varauduttu?
  10. Onko palvelimilla käytössä tunkeutumisenestojärjestelmä?
  11. Muodostuuko tärkeistä tapahtumista lokitiedostot?
  12. Seurataanko palvelimen uptimeä ja suorituskykyä jatkuvasti?
  13. Onko kuormituspiikkeihin varauduttu?
  14. Onko palvelinten kapasiteettia mahdollista kasvattaa portaattomasti?
  15. Onko palvelimilla käytössä jatkuva varmuuskopiointi?
  16. Testataanko varmuuskopioiden palauttaminen säännöllisesti?
  17. Otetaanko varmuuskopiot tuotantoympäristöstä erilliseen tilaan?
  18. Onko pääsy varmuuskopioihin rajattu organisaation sisäverkkoon tai tai VPN:n kautta tapahtuvaksi?

Verkot

Organisaation sisäverkossa toimivilla on pääsääntöisesti suuremmat käyttöoikeudet kuin ulkopuolisilla. Tämän vuoksi on hyvä pohtia, miten helpoksi sisäverkkoon pääsy on tehty.

Tarkista ainakin nämä:

  1. Voiko organisaation sisäverkkoon liittyä liittämällä laite suoraan langalliseen verkkoon?
  2. Voiko organisaation WLAN-verkkoon liittyä pelkällä salasanalla?
  3. Käytetäänkö WLAN-verkossa vahvaa autentikointiprotokollaa?
  4. Vaatiiko verkkolaitteiden hallinta tunnistautumisen?
  5. Onko verkkolaitteiden oletussalasanat vaihdettu?
  6. Päivitetäänkö verkkolaitteet säännöllisesti?

Mobiililaitteet

Useimmat meistä ovat joskus unohtaneet puhelimen taksiin, bussiin tai junaan. Laitteen häviäminen onkin todennäköisesti yleisin mobiililaitteisiin kohdistuva uhka epäluotettavista lähteistä asennettujen sovellusten ohella.

Usein mobiililaitteen kautta on pääsy esimerkiksi sähköpostiin ja sitä kautta luottamukselliseen tietoon ja muihin tileihin salasanoja palauttamalla. Lisäksi puhelin on usein kaksivaiheisen todennuksen toinen osatekijä.

Tarkista ainakin nämä:

  1. Onko mobiililaitteet suojattu vahvalla tunnistautumismenetelmällä?
  2. Onko ohjelmistojen asentaminen rajoitettu luotettaviin lähteisiin?
  3. Voidaanko kadonnut mobiililaite paikantaa?
  4. Voidaanko kadonnut mobiililaite tyhjentää?
  5. Lukittuuko/tyhjeneekö mobiililaite liian monen epäonnistuneen kirjautumisyrityksen jälkeen?
  6. Onko mobiililaitteeseen pääsy muilla kuin omistajalla?
  7. Pidetäänkö laitteista kirjaa?

Salasanojen hallinta

Salasanoja tarvitaan edelleen lähes joka palveluun, jolloin kiusaus käyttää samaa tai helppoa salasanaa on ymmärrettävästi suuri, koska ihmisen kyky muistaa monimutkaisia salasanoja on rajallinen.

Tästä syystä muistin jatkeena on hyvä käyttää luotettavaa salasanojen hallintasovellusta, jonka avulla eri palveluissa voidaan käyttää yksilöllisiä salasanoja, jolloin yhden palvelun vuotama salasana ei pääse aiheuttamaan lisävahinkoja. Tietovuodoissa ei aina ole kyse välinpitämättömyydestä tai osaamattomuudesta, vaan isollekin toimijoille sattuu toisinaan vahinkoja.

Tarkista ainakin nämä:

  1. Käytetäänkö eri palveluissa yksilöllisiä salasanoja?
  2. Mitkä ovat salasanojen minimivaatimukset?
  3. Onko salasanakäytännöt ohjeistettu henkilöstölle?
  4. Käytetäänkö salasanojen hallintaan salasanojen hallintasovellusta?
  5. Onko kriittisissä palveluissa käytössä kaksivaiheinen todennus?

Etätyöskentely

Lähes joka junamatkalla näkee yhden tietokoneen, jonka lukitus on jätetty auki, kun omistaja on lähtenyt käymään WC:ssä tai ravintolavaunussa.

Kun siirrytään virallisista toimitiloista epävirallisempaan ympäristöön, tietoturvaan suhtautumisella on tapana löyhtyä. Avoimeen WLAN-verkkoon liitytään sen enempää ajattelematta, jos se sattuu toimimaan paremmin kuin oma 4G.

Lisäksi erityisesti junassa vierustovereihin suhtaudutaan usein kuin heitä ei olisi olemassakaan: kirjaudutaan verkkopalveluihin, selataan sopimuksia ja puhutaan puhelimessa asioita, jotka eivät kuuluisi muiden korviin.

Tarkista ainakin nämä:

  1. Onko organisaation sisäverkkoon pääsy rajoitettu VPN:ään?
  2. Käytetäänkö julkisia verkkoja aina VPN:n kautta?
  3. Onko työaseman automaattinen lukitus riittävän lyhyt?
  4. Onko julkisilla paikoilla työskentely ohjeistettu?
  5. Onko työntekijöillä käytössä näyttösuojukset esimerkiksi junassa tai kahvilassa työskentelyä varten?

Tuki- ja asiakaspalvelu

Salasanan vuotaminen tietomurtojen yhteydessä ei ole ainoa tapa, jolla niitä päätyy vääriin käsiin. Yksi potentiaalinen uhka on yliavulias asiakas- ja tukipalvelu, josta salasanan saattaa saada suoraan kysymällä, mikäli pyynnön tekijää ei tunnisteta riittävällä tarkkuudella.

Tarkista ainakin nämä:

  1. Tarkistetaanko tukipyynnön tekijän henkilöllisyys?
  2. Varmistetaanko sopimuksiin, laskutukseen tai käyttöoikeuksiin liittyvät pyynnöt asiakkaan pääyhteyshenkilöltä?
  3. Koulutetaanko tukihenkilöstöä huijausviestien tunnistamiseen?

Tietoturvan hallinta

Tietoturvaympäristö muuttuu jatkuvasti ja uhkien ja vahinkojen ennaltaehkäisy vaatii jatkuvia toimia, joihin on syytä varautua säännöllisellä työskentelyllä.

Tarkista ainakin nämä:

  1. Onko organisaatiossa nimetty tietoturvavastaava?
  2. Onko organisaatiolle laadittu kirjallinen tietoturvaohjeistus?
  3. Onko henkilöstö perehdytetty tietoturvaohjeistukseen?
  4. Kehitetäänkö tietoturvaa säännöllisesti?

Omassa yrityksessämme näihin kysymyksiin vastauksen antavat tietoturvan hallintajärjestelmä, tietoturvaohjeistus ja tietoturvakuvaukset, joita ylläpitää nelihenkinen tietoturvatiimi. Vaikka useat tietoturvaan liittyvät uhat ovatkin epätodennäköisiä, tietoturvassa ei kannata luottaa pelkästään tuuriin.

Aloita näistä ja kehitä tietoturvasta osa arkisia rutiineja. Mitään taikatemppuja ei tarvita –  riittää, kun perusasiat hoidetaan huolella.

Mikko Virenius

Työskentelen Valu Digitalissa WordPress-asiantuntijana. Koulutukseltani olen kauppatieteiden maisteri.

JÄTÄ KOMMENTTI