Voit puolustaa vain sitä minkä tunnet

Tietoturvakeskustelu saa usein varsin korkealentoisiakin käänteitä ja saattaa tuntua monimutkaiselta, varsinkin kun ala kehittyy jatkuvaa vauhtia. Välillä on kuitenkin hyvä palata perusasioiden äärelle. Tällä kertaa kyseinen perusasia on se, että oman hallussa olevan datan, omien järjestelmien ja oman verkon tunteminen on pakollinen ensiaskel sille, että niitä voi myös puolustaa.

Jokaisen tietoturvasta vastuussa olevan henkilön tulee siis tuntea organisaation verkot, data ja käytössä olevat järjestelmät. Mikäli ei tiedetä mitä kaikkea organisaation verkossa on ja miten tärkeää se on toiminnalle, on toimivan suojauksen rakentaminen pelkkää hakuammuntaa. Ilman ymmärrystä verkon rakenteesta ja siinä sijaitsevista järjestelmistä on mahdotonta ymmärtää hyökkäyspinta-alaa ja mahdollisia hyökkäysvektoreita. Toisaalta ilman ymmärrystä käytössä olevasta datasta ja erinäisten järjestelmien tärkeydestä toiminnalle on mahdotonta arvioida etukäteen hyökkäysten aiheuttamia riskejä ja mahdollisia vaikutuksia toiminnan jatkuvuuteen.

Muutamia esimerkkejä jotka avaavat tätä lisää:

Jos et tunne verkkosi rakennetta, on sinun mahdotonta arvioida esimerkiksi onko verkon segmentointi toteutettu oikein (tai onko sitä toteutettu lainkaan). Et pysty tekemään kehitystoimenpiteitä turvallisuuden parantamiseksi – tai sitten konsultin kalliilla asentama palomuuri ei lisää turvallisuuttasi sillä se on väärässä paikassa tai väärin konfiguroitu.

Jos et tunne organisaation käytössä olevia laitteita ja järjestelmiä, on mahdotonta sanoa ovatko esimerkiksi kaikki laitteet suojattu asianmukaisesti. Ilman ajantasaista listaa et voi selvittää esimerkiksi onko antivirus levitetty kaikkiin koneisiin. Toisaalta ilman tarkkaa listaa laitteista et voi myöskään varmistaa, onko verkossa laitteita joiden ei kuuluisi siellä olla. Tämäntapainen tarkistus unohtuu usein, mutta se on yhtä lailla tärkeää. Jos verkossasi on laite, aiheuttaa se tietynlaisen riskin.

Jos et tunne käytössä olevaa dataa, on esimerkiksi tietosuojasta mahdotonta varmistua. Jos et tiedä tai pysty hallinnoimaan missä kaikkialla esimerkiksi tuotekehitykseen liittyvät materiaalit tai asiakkaiden henkilötiedot sijaitsevat, et pysty myöskään suojelemaan näitä tietoja. Hyökkäyksen tapahtuessa et myöskään pysty varmuudella sanomaan mitkä tiedot ovat vaarantuneet.

Hauska anekdootti: yrityksen infra lakkasi toimimasta koska jo kauan tyhjillään olleesta toimistosta päätettiin poistaa tavarat, ja kun eräs palvelin sammutettiin vei se toimintakyvyn yrityksen eniten rahaa tuottavalta liiketoiminnalta. Yritys ei tuntenut verkkoaan ja järjestelmiään ja oli itse itselleen tietoturvauhka.

Mikä on siis pahinta mitä voi tapahtua? Tärkeää tietoa sijaitsee laitteella josta et tiedä mitään, ja hyökkääjä pääsee siihen käsiksi verkossa olevan aukon kautta josta sinulla ei ole aavistustakaan. Tai sitten yhdeltä organisaatiosi työasemista puuttuu päätelaitesuojaus ja seurauksena kiristyshaittaohjelma pääsee salaamaan tärkeät palvelimesi kun verkon segmentointikaan ei ollut kunnossa.

Mitä asialle voi sitten tehdä? Lääke on onneksi melko yksinkertainen. Tärkeintä on aloittaa kaikki tietoturvatekeminen siltä pohjalta, että ymmärretään millainen verkko on, mitä kaikkia järjestelmiä on käytössä, mitä dataa niissä sijaitsee ja miten nämä kaikki toimivat yhdessä. Sitä kautta on helppo lähteä selvittämään toiminnalle kriittisiä suojaamisen kohteita, mahdollisia riskitekijöitä ja aukkoja ja nykyistä suojauksen tasoa.

Jokaisella organisaatiolla pitäisi olla vähintään jatkuvasti päivittyvä lista käytössä olevista laitteista ja järjestelmistä, sekä tapa seurata niiden suojausta. Lisäksi verkon rakenteen avaava kaavio tai kartta on erityisen arvokas tietoturvapoikkeamien välttämisessä ja niiltä suojautumisessa. Tärkeän datan ja sen sijainnin listaus tulisi myös olla kunnossa jotta voidaan seurata sen turvallisuutta.

Näiden asioiden kuntoon laittaminen mahdollistaa tietoturvan jatkuvan kehittämisen ja parantaa huomattavasti tilannekuvaa. Alkuun pääsee esimerkiksi istumalla alas avainhenkilöiden kanssa ja alkamalla perkaamaan läpi sitä, mitä tiedetään olemassaolevasta infrastruktuurista ja mitkä asiat tulisi selvittää. Myös tiedon validointi on tärkeää: onko tämä tietomme todellakin paikkansapitävää. Sitä mukaa kun tietoa kertyy, voidaan todeta kasvavalla varmuudella että on saavutettu ymmärrys siitä, mitä ollaan puolustamassa.

Tuntemattoman puolustaminen on hakuammuntaa. Lopuksi lainaus Sun Tzulta joka kiteyttää hyvin tämän kirjoituksen ajatuksen, miten hyökkääjien ymmärtämisen lisäksi oman ympäristön tunteminen on elintärkeää:

Jos tunnet itsesi ja vihollisesi, sinun ei tarvitse pelätä sadan taistelun tulosta. Jos tunnet itsesi, mutta et vihollista, jokaista ansaittua voittoa kohden kärsit myös tappion. Jos et tunne itseäsi etkä vihollistasi, antaudut jokaisessa taistelussa.

Sun Tzu

Kategoria Blogi