Eettinen hakkerointi on tärkeämpää kuin koskaan aiemmin

Yrityksesi IT-järjestelmässä on todennäköisesti vähintään yksi avoin takaovi hakkereille. Mikä on paras tapa löytää se, ennen kuin on liian myöhäistä? Kysy hakkereilta itseltään.

Vanhan ajan lännenelokuvissa hatun väri kertoi, oliko hahmo hyvä vai paha: sankareilla oli valkoinen hattu ja pahiksilla musta. Nykyään tämä perinne jatkuu (ainakin kuvaannollisessa merkityksessä) kyberavaruuden vastineessa villille lännelle: internetin reunamailla, missä lain pitkä koura hapuilee umpimähkään. Täällä toimivat niin kutsutut black hatit eli mustahatut ja white hatit eli valkohatut – hakkerit, jotka käyttävät kykyjään joko tehdäkseen verkkohyökkäyksiä tai auttaakseen organisaatioita, joilla on tietoturva-aukkoja IT-järjestelmässään.

David Jacobylla on sinulle huonoja uutisia

Jos luulet, että oma yrityksesi on turvassa, Kasperskyn tietoturvatutkijalla David Jacobylla on sinulle huonoja uutisia. Hänen mukaansa tietomurroilta ei voi koskaan suojautua kokonaan – tavoitteena on sen sijaan tunnistaa ja tukkia murtoaukot, ennen kuin joku muu ehtii ne löytää. Jacoby kertoo, että yritys voi luottaa asiassa joko tietoturvakonsultteihin, kouluttaa omaa henkilöstöään tekemään testejä – tai kääntyä hakkereiden puoleen. Esimerkiksi Tukholman Kuninkaallisessa teknillisessä korkeakoulussa 200 opiskelijaa opiskelee niin kutsuttua eettistä hakkerointia. Lisäksi niin kutsutuissa bug bounty -ohjelmissa ulkoiset valkohattuhakkerit saavat palkkion löydettyään aukon järjestelmästä. Tähän ratkaisuun ovat turvautuneet esimerkiksi Apple, Spotify ja Yhdysvaltain ilmavoimat.

– Hakkereille on selkeät säännöt siitä, mitä he saavat ja eivät saa tehdä sekä mitä järjestelmiä on luvallista testata ja mitä järjestelmissä saa tehdä. Nämä palvelut on tapana sijoittaa erillisiin verkkoihin, joten vaikka joku saisikin pääsyn testiympäristöön, sen kautta ei voi saada pääsyä arkaluonteisiin tietoihin tai yritysverkkoon, Jacoby sanoo.

Kuin käynti hammaslääkärissä

Prosessin hinta riippuu sen laajuudesta ja toimeksiantajan profiilista. Esimerkiksi pari vuotta sitten Google lupasi 112 500 Yhdysvaltain dollaria sille, joka löytäisi vakavan tietoturvapuutteen yhtiön Pixel-puhelimista. Kustannukset saa kuitenkin pidettyä kurissa, kunhan tekee kotiläksynsä hyvin ja oikeasti miettii yrityksen tietoturvaa perusteellisesti, ennen kuin pyytää ulkopuolisia koettelemaan sitä.

– Testaamista voi verrata hammaslääkärillä käymiseen. Jos ei ole koskaan harjannut hampaitaan, yksi hammaslääkärikäynti voi viedä vararikkoon, mutta jos on pitänyt huolta hampaista, käynti ei maksa maltaita.

Hakkereiden suosikkiaukko

Bug bounty -kilpailuja voi järjestää niitä varten erikseen perustetuilla alustoilla. Esimerkiksi HackerOne-sivusto on satojen tuhansien asiantuntijoiden muodostama verkosto, joka voi testata yrityksen järjestelmiä. (Juuri tähän palveluun Yhdysvaltain puolustusvoimat luottaa.) Valtaosa näistä asiantuntijoista on itseoppineita valkohattuhakkereita – ja suuri osa kertoo myös joskus havainneensa tietoturvapuutteita, joista ei kuitenkaan ole ollut mahdollista ilmoittaa kyseiselle yritykselle ilmoituskanavan puuttumisen vuoksi.

Suosituin hakkereiden nuuskima tietoturva-aukko on XSS, cross site scripting, joka muun muassa antaa pahantahtoisille hakkereille mahdollisuuden vahingollisen koodin syöttämiseen tai suojattujen tietojen varastamiseen sivustoista.

Vaikka bug bounty -ohjelma onkin huomattavasti parempi menetelmä kuin peukaloiden pyörittäminen, Jacoby varoittaa kuitenkin, että tietoturvatyö ei koskaan valmistu.

– Yksikään yritys ei ole täysin turvassa. Vertailukohtia on vaikka kuinka monta – onko olemassa taloa tai rakennusta, joka olisi täysin murtosuojattu? Tai suojassa tulipalolta? Ei ole, edes bunkkeri ei ole täysin turvallinen.

Pilviratkaisut ovat luultua turvallisempi

Tietoturvakonsultti Linus Kvarnhammar johti aiemmin Syneptic-yritystä, joka tarjoaa eettistä hakkerointia yrityksille. Hänen mukaansa eettisen hakkeroinnin tarve kasvaa jatkuvasti, mutta myös pilviratkaisujen tietoturva on parempi kuin yleisesti luullaan.

– Tarve kasvaa koko ajan. Uhkien määrä lisääntyy, koska ne paikat, joihin tieto ja raha kerääntyvät, vetävät rikollisia puoleensa. Tietoturvariskit pitää siis ottaa tosissaan, ja tässä pilviratkaisusta voi itse asiassa olla hyötyä. Osa pilviratkaisuista tarjoaa hyvän yleisnäkymän ja aktivoi hälytyksen, jos järjestelmässä tapahtuu jotain odottamatonta, Kvarnhammar sanoo.

Skaalautuvaa tietoturvaa pilvipalvelussa – näin pääset alkuun

Lue lisää

Yksikään yritys ei ole täysin turvassa. Vertailukohtia on vaikka kuinka monta – onko olemassa taloa tai rakennusta, joka olisi täysin murtosuojattu? Tai suojassa tulipalolta? Ei ole, edes bunkkeri ei ole täysin turvallinen.

David Jacoby, Kasperskyn vanhempi turvallisuustutkija

17 kesäkuuta 2020