Tämä blogikirjoitus perustuu Thomas Wongin, Improsec, haastatteluun podcast Regnskabets Time, kausi 2, jakso 4
Valmiskauppaketju 7-eleven joutui viime viikolla mahdollisen hakkerihyökkäyksen kohteeksi, jonka seurauksena kaikki sen myymälät Tanskassa suljettiin. Mielestämme on varmasti sopivaa, että tuomme otteen podcastistamme Improsec-yhtiön Thomas Wongin kanssa, jossa pääsimme puhumaan nykyisestä uhasta, joka liittyy siihen, että tietoverkkorikolliset vaarantavat omat tietonsa.
Haastattelija: Thomas: Puhuimme hieman ennen kuin istuimme alas nauhoittamaan tänään. Kerroit minulle, että monilla tanskalaisilla yrityksillä ei ole tarvittavaa tietoturvatasoa. Voisitko selventää sitä hieman?
Thomas: Kyllä. Tarkoitan, että suurin osa yrityksistä haluaisi keskittyä tietoturvaan. Mutta kun se halutaan sisällyttää osaksi yrityskulttuuria, resurssien osoittaminen siihen osoittautuu usein paljon vaikeammaksi kuin aluksi odotettiin. Se voi liittyä esimerkiksi näiden perusasioiden, kuten riskinarviointien tai liiketoiminnan jatkuvuussuunnitelman tekemiseen, jossa kerrotaan, mitä tehdään, jos jokin menee pieleen. Kun asiat menevät pieleen, lumipallo, jonka olet työntänyt eteesi, on juuri kasvanut paljon suuremmaksi. Useimmat yritykset joutuvat jossain vaiheessa vaaraan, joten on varmistettava, että vahinkojen määrä on mahdollisimman pieni. On siis tärkeää olla hyvin valmistautunut hyökkäykseen.
Haastattelija: Yritykset käyttävät nykyään pilvipohjaisia IT-ratkaisuja. Mihin tarkalleen ottaen on kiinnitettävä huomiota pilviratkaisun tietoturvan osalta?
Thomas: Thomas: Se on hyvin laaja kysymys. Yksi tärkeimmistä asioista, joista on oltava selvillä, on se, kuka on vastuussa ja milloin. Toimittajalla on vastuu. Mutta vain siihen asti, kunnes heidän palvelunsa "loppuu". Kun SaaS-ratkaisu toimittaa tietoja yrityksen käyttöjärjestelmään tai vastaavaan, on siis yrityksen vastuulla, että tiedot säilytetään turvallisesti ja että järjestelmä päivitetään riittävästi.
Haastattelija: Mitä voit itse tehdä pilviratkaisun työntekijänä tai käyttäjänä lisätäkseni tietoturvan tasoa?
Thomas: Thomas: Yksinkertaisesti: Valitse hyvä salasana. Älä käytä salasanoja uudelleen. Tämä koskee myös tapauksia, joissa käytät eri käyttäjätunnuksia, sähköpostitilejä tai muuta vastaavaa - älä käytä salasanoja uudelleen. Olen myös sitä mieltä, että salasanoja ei pidä vaihtaa helposti tunnistettavan mallin mukaan. Viimeisenä mutta ei vähäisimpänä asiana on myös pidettävä erillään työhön liittyvät ja yksityiset asiat. Jos kaikki tekisivät niin ja lopettaisivat yksityisen sähköpostinsa tarkistamisen työkoneelta, hyökkäyksiä tapahtuisi vähemmän.
Haastattelija: Miten huomaat, että sinua vastaan hyökätään?
Thomas: Tiedostoja ei voi enää käyttää, ohjelmat eivät enää toimi, ja tämän jälkeen tulee yleensä viesti, jossa kerrotaan, että voit saada tavarasi takaisin, jos maksat niistä. Se on yleensä muotoiltu hyvin kauniisti ja kohteliaasti. Tämän jälkeen on melko tärkeää olla avoin asioista. Hyökkäys voi kestää pitkään, ja on täysin ok olla avoin siitä. Mutta mitä seuraavaksi pitäisi tapahtua, on se, että yritys noudattaa edellä mainittuja liiketoiminnan jatkuvuussuunnitelmia. Silloin tiedetään, mitä tehdä hyökkäyksen kaikissa vaiheissa ja sitä seuraavassa toipumisvaiheessa. Se säästää uskomattoman paljon aikaa ja viime kädessä rahaa.
Eräät yritykset ovat kärsineet kovia iskuja, koska niillä ei ole suunnitelmia valmiina etukäteen. Monissa tapauksissa yleisö ei välttämättä edes kuule hyökkäyksestä. Koska yritys on toiminut nopeasti, koska sillä on ollut selkeä suunnitelma ja strategia siitä, mitä tehdä ennen hyökkäystä, sen aikana ja sen jälkeen.
Haastattelija: Pitäisikö yritysten maksaa hyökkääjille, jotta he lopettaisivat?
Thomas: En suosittelisi sitä asiakkailleni. Sanon sen eettisestä näkökulmasta. Voin kuitenkin keksiä esimerkkejä, joissa yrityksen olisi järkevää maksaa hyökkäyksestä. Se voisi olla esimerkiksi tapaus, jossa yritys ei yksinkertaisesti pysty jatkamaan toimintaansa ja jossa konkurssi on luonnollinen seuraus hyökkäyksestä. Tällöin voi olla vaikea sanoa, että teillä on valinnanvaraa. Jos kuitenkin päätät valita tämän tien, suosittelen, että teet yhteistyötä ammattilaisten kanssa, joilla on kokemusta neuvotteluista tietoverkkorikollisten kanssa.
Jos kuitenkin haluat välttää joutumasta tilanteeseen, jossa joudut edes harkitsemaan hyökkäyksen maksamista, riskinarviointi, koulutus, valmistautuminen, tunkeutumistestit jne. ovat oikea tapa edetä. Se kuulostaa hyvin surulliselta, mutta se voi lopulta olla tärkein investointi, jonka yritys on koskaan tehnyt.
