Millainen on ollut tietoturvan 2000-luku ja missä mennään nyt?
Tämä on kertomus siitä, miten yrityksen tai organisaation työn tekeminen ja tietoturvauhat ovat mielestäni kehittyneet Suomessa ja miten tietoturvaratkaisut ovat seuranneet perässä. Poikkeuksia tietenkin on, mutta tämä on kaava, miten oman kokemukseni perusteella asiat ovat menneet useimmissa suomalaisissa yrityksissä.
Vuosituhannen alussa löydettiin etätyö
Vuosituhannen vaihteessa kannettavat työasemat alkoivat yleistyä. VPN-ratkaisujen myötä voitiin alkaa tehdä töitä myös etänä kotona, etupäässä illalla ja viikonloppuna työpäivän lisäksi. Olihan se vähän hienoa, kun oli saanut ”läppärin” töistä ja saattoi tärkeän oloisena pyyhältää läppärilaukku olalla.
Tämä mahdollisti sen, että työtä tehtiin koneilla, jotka olivat IT:n hallussa – tiedostoja ei enää tarvinnut siirtää USB-tikuilla tai floopeilla kotikoneen ja työkoneen välillä. IT oli tietenkin kieltänyt tiedostojen siirtelyn, mutta sitä ei voitu valvoa. Läppäreiden lisäksi etäkäytössä olivat Nokian kommunikaattorit, joilla pystyi hoitamaan firman sähköpostia ja ehkä vähän surffaamaan internetissä. Tietoturvapolitiikkaa ei monessakaan yrityksessä ollut, tai sitä alettiin vasta tekemään. Uskottiin, että työkoneen virustorjunta hoitaa homman.
Tietoturvan 2000-luku kuvitettuna.
Virukset ja madot olivat vielä etupäässä ajettavia tiedostoja. Hyökkääjät naamioivat ikoneilla ja nimillä haittaohjelmat kuva- tai dokumenttitiedostoiksi. Saastuneita koneita tuli eteen aina silloin tällöin, kun virustietokantaa ei ollut päivitetty tai käyttäjä oli admin-oikeuksilla pysäyttänyt tai poistanut virustorjunnan, koska tämä hidasti konetta. Virukset ja madot tuhosivat koneilta tiedostoja ja lähettivät itseään eteenpäin käyttäjän osoitekirjaa hyväksi käyttäen. Korjauksena käyttäjän kone asennettiin uudelleen, ja nolostuneelle käyttäjälle pidettiin saarna virustorjuntaohjelman tärkeydestä.
Koska läppäri oli IT:n pystyttämä ja siinä oli VPN-ohjelma sekä virustorjunta eikä mobiililaitteisiin ollut oikeastaan mitään haittaohjelmia, suurin tietoturvahuoli oli, että nämä kannettavat työvälineet varastetaan ja sitä kautta päästään lukemaan niiden sisältä tiedostoja ja sähköposteja.
Hakkerit koettivat läpäistä yrityksen palomuurin tai löytää muita keinoja päästä käsiksi yrityksen verkkoon. Hakkerointi vaati paljon taitoa. Hakkerit ja viruksen kehittäjät hakivatkin etupäässä mainetta omissa piireissään.
Torrent-verkot yleistyivät 2000-luvun puolivälin jälkeen, kuten The Pirate Bay. Halu saada ilmaiseksi leffoja tai pelejä saattoi johtaa myös siihen, että saikin haittaohjelman, joka oli naamioitu uutuuspeliksi.
Työ ja vapaa-aika sekoittuivat
Vuosikymmenen vaihteessa maailmaa muutti älypuhelinten ja sosiaalisen median yleistyminen, minkä myötä työ ja vapaa-aika alkoivat sekoittumaan. Älypuhelimet saatiin yritykseltä, mutta ne muuttuivat henkilökohtaisiksi, kun niihin ladattiin Facebook, WhatsApp sekä muita omaan elämään liittyviä sovelluksia. Lisäksi puhelimeen tulivat työsähköpostit, joita luettiin ja joihin vastattiin myös vapaa-ajalla, koska puhelimesta oli jo tullut osa omaa vapaa-aikaa.
Moni käytti edelleen yrityksen sähköpostitiliä myös omiin henkilökohtaisiin asioihin, varsinkin, jos oli ollut yrityksen työntekijänä pitkän aikaa. Yleensä työpaikan vaihto sai siirtymään Gmailin tai vastaavan käyttäjäksi, jolloin työsähköposti ja henkilökohtainen sähköposti eriytyivät. IT:ssä toivottiin ja neuvottiin, ettei käytetä samoja salasanoja vapaa-aikana kuin töissä.Vuosikymmenen vaihteessä älypuhelimet yleistyivät.
Tabletit alkoivat myös yleistymään. Puhelin ja tabletti olivat nyt mobiililaitteita. IT:lle tämä oli haaste, koska mobiililaitteet olivat jo niin henkilökohtaisia, että niihin oli hankalaa saada keskitettyä hallintaa ja tietoturvaa. Toivottiin, ettei mitään tapahdu, ja yritettiin opettaa käyttäjiä ainakin käyttämään näytön salasanaa. Puhelimien haittaohjelmia ei edelleenkään pidetty isona uhkana, vaan huolena oli yhä, että joku varastaa puhelimen ja pääsee firman sähköposteihin.
Käyttäjiltä kuuli edelleenkin, että ”jos jotakuta kiinnostaa minun asiat, niin siitä vaan”. Ongelmana tässä on, että kyse ei ole vain omista asioista, vaan myös työkavereiden asioista.
Kyberrikolliset koettivat tehdä rahaa etupäässä luottokorttitiedoilla ja huijauksilla. Sitä ei koettu valtavan isoksi uhaksi, koska luottoyhtiöt korvasivat, mikäli kortti varastettiin.
Viime vuosikymmenellä hyökkäykset kehittyivät
Bitcoinin eli kryptovaluutan myötä kyberrikolliset löysivät uuden tavan tienata rahaa helposti. Ransomwaret alkoivat yleistyä. Bitcoinilla hoidetut lunnasvaatimukset pysyvät nimettöminä, eikä rikollisten perään päästy. TOR-verkon kautta voitiin tuottaa kyberrikoksia myös palveluna ”Ransomware as a Service”. Maailmalta tuli isoja uutisia isoista hyökkäyksistä ja suurista taloudellisista haitoista. Suomessa oli selvitty toistaiseksi pienemmillä vahingoilla.
Haittaohjelmat eivät olleet enää vain tiedostoja, vaan ne olivat kätkettyjä toiminnallisuuksia tai skriptejä piilotettuna normaaleihin tiedostoihin. Toiminta ei ollut suoraan hyökkääjältä käyttäjän laitteeseen, vaan saastutettu laite otti yhteyttä hyökkääjään naamioituneena esimerkiksi normaaliksi https-liikenteeksi (C&C-hyökkäys). Hyökkääjä latasi haittaohjelman saastuneeseen koneeseen ja esimerkiksi tiedostojen kryptaaminen aloitettiin. Perinteiset virustorjuntaohjelmat eivät enää tahtoneet pysyä mukana, koska haittaohjelmat muuttivat ”muotoaan”. Ongelmana olivat etätyöntekijät, jotka eivät olleet yrityksen verkon suojassa.
Käyttäjien admin-oikeuksista oli onneksi jo luovuttu tai ne olivat erilliset tunnukset. Ransomware oli ulkomailla isompi ongelma, mutta vuosikymmenen loppupuolella isoja hyökkäyksiä kohdattiin Suomessakin.
Nykyään vaaditaan tarkempaa havainnointia
Nykyään pilvipalveluiden määrä, etupäässä O365, lisääntyy ja useita töitä voidaan tehdä monilla eri laitteilla (halusi IT sitä tai ei). Osa yrityksistä on muuttanut toimintamallia siten, että työntekijöillä ei ole enää vakituista työpistettä, vaan työtä voidaan tehdä kotoa, mökiltä tai mistä vain, missä on internetyhteys. Moni IT vakioi edelleen 2-3 eri PC-mallia käyttäjille, vaikka varsinkin nuoremmat käyttäjät haluaisivat itse valita esim. Macin Windowsin sijaan. Ja miksei heille sitä voisi myös suoda.
Pilvipalvelut ovat mahdollistaneet startup-yritysten aloituksen ja kasvun ilman varsinaisia IT-investointeja palvelimiin ja verkkolaitteisiin. Dokumentit ja sähköpostit ovat esimerkiksi G-suitessa tai O365:ssä ja koodi GitHubissa. Muutkin palvelut löytyvät pilvistä SaaS-tyyppisinä palveluina, kunhan joku antaa tunnukset uusille työntekijöille ja tilaa koneen ja puhelimen (sellaiset kuin työntekijä itse haluaa). Uusilla yrityksillä ei ole varsinaista IT:tä, vaan joku hoitaa aina tunnukset johonkin. Käyttöjärjestelmissä on sisäänrakennetut suojaukset ja pilvipalvelun tarjoajat pitävät huolen palvelusta. Käyttäjä saa hallinnoida koneitaan itse.
Perinteisen yrityksen verkossa hyökkäykset on mahdollista huomata helpommin. On panostettu keskitettyihin järjestelmiin ja koneista kerätään tietoa. Yrityksen SIEM-järjestelmä ehkä varoittaa epäilyttävästä tunnuksen käytöstä ulkomailla ja IT reagoi hälytykseen. Luotetaan, että pilvipalvelun tarjoaja huolehtii tietoturvasta.
Mutta entä jos käyttäjän tunnukset saadaan varastettua suojaamattomalta tietokoneelta tai mobiililaitteelta phishingin eli kalastelun keinoin? Onneksi vahva tunnistautuminen on yleistymässä.
Mobiililaitteet ovat edelleen melko heikosti suojattuja, vaikka niillä tehdään yhä enemmän työtä. Sähköpostin käytön lisäksi esimerkiksi jaetaan dokumentteja ja käydään konferenssipuheluita – ja silti samaan aikaan laitteessa on ulkopuolisia ohjelmia, joilla on pääsy laitteen eri osiin, kuten mikrofoniin, kameraan ja tiedostoihin. Muutoinkin suojauksessa ajatellaan yhä, että hyökkäykset torjutaan verkkotasolla ja palomuuri estää haitallisen liikenteen.
Verkkotason suojaukset eivät kuitenkaan riitä enää varmistamaan tietoturvaa eri laitteiden ja etätyön maailmassa. Hyökkäykset alkavat yleensä aina käyttäjien päätelaitteista. Jotta voimme oikeasti suojata IT-ympäristömme, meidän täytyy kyetä seuraamaan laitteellamme tapahtuvia prosesseja; kun salattu verkkoyhteys puretaan, poikkeavat ja mahdollisesti haitalliset prosessit paljastuvat. Vain tällöin voimme havaita, mitä laitteessa todellisuudessa tapahtuu.
Virian päätelaitteiden suojauspalvelu tunnistaa ja ehkäisee uhkia päätelaitetasolla sekä pysäyttää ne, ennen kuin ne pääsevät syvemmälle organisaatioon.