Monimutkainen järjestelmä haavoittuu helposti

Potilaspuhelut vuotivat nettiin, ja sähkönjakelujärjestelmä annettiin vääriin käsiin. Tällaisia IT-mokia on sattunut viime aikoina. Usein turvallisuuspuutteiden syy on inhimillinen tekijä.

Montako eri IT-sovellusta yrityksessäsi on käytössä? Kysymykseen voi olla mahdotonta vastata, sillä jatkuvan digitalisaation myötä ohjelmistoja ja komponentteja kehitetään valtavia määriä. Yhdessä yrityksessä saattaa olla käytössä satoja erilaisia digitaalisia ohjelmistoja, kertoo Jonas Söderström, joka työskentelee strategina inUse-yrityksessä. Söderström on myös kirjoittanut Jävla skitsystem -kirjan.

Se, että ohjelmistoja on niin paljon käytössä, on hänen mukaansa usein riski.

– Olen lukenut spekulaatioita siitä, että ne Boeing-onnettomuudet olisivat johtuneet siitä, että heidän järjestelmistään oli tullut liian monimutkaisia, ja sen takia yksityiskohtia olisi jäänyt pimentoon. Ruotsalaisesta terveysneuvontapuhelimesta vuoti puheluja, ja senkin kerrottiin johtuneen järjestelmän monimutkaisuudesta. Teemme näillä järjestelmillä itse itsestämme entistäkin haavoittuvaisempia.

Kysyntää ”IT-purkajille”

Söderström uskoo, että IT-kehittäjien rinnalle tarvittaisiin toinen ammattikunta, nimittäin “IT-purkajat”.

– On ihan luonnollista, että paukut pistetään kehittämispuolelle, sillä onhan se paljon ikävämpää uhrata ajatuksia ja resursseja purkamiseen. Se, että lisäämme ja lisäämme uusia osia, mutta emme poista vanhoja, voi kuitenkin johtaa turvallisuusriskeihin, Söderström kertoo.

Söderström uskoo, että myös liiallisessa turvallisuushakuisuudessa on omat riskinsä. – Mietipä kuinka montaa eri salasanaa tarvitset nykyään sekä työ- että yksityiselämässäsi. Sitten kun joudut taas luomaan uuden tilin pikkujuttua varten, käytät sitä samaa salasanaa, joka on ensimmäisenä mielessäsi.

Tämä johtaa siihen, että sama salasana on käytössä kaikkialla, ja hakkeri saa sen helposti käsiinsä juuri sen pikkujuttua varten luomasi tilin takia.

Salasanat telkkariin

Onko ratkaisu sitten käyttää pitkälle mietittyjä salasanoja? Siinäkin on ongelmansa. Sen ovat huomanneet esimerkiksi brittikonduktöörit , Super Bowlin turvallisuusosasto ja ranskalainen TV-kanava TV5 Monde . Monimutkaisia salasanoja on laitettu esille seinille tai tv-näytöille, ja kun joku ottaa paikan päällä kuvan, salasanat näkyvät kuvissa.

– Tämä voi kuulostaa hassulta, mutta se voi johtaa isoihin ongelmiin. Tällainen tarjoaa rikollisille mahdollisuuksia, Söderström huomauttaa.

Isoista lapsuksista turvallisuuden suhteen voi oppia Söderströmin mukaan kaksi tärkeää asiaa.

– Ensiksikin: turvallisuus maksaa. Siinä ei missään tapauksessa kannata pihistellä. Tämä huomattiin esimerkiksi Karoliinisessa yliopistosairaalassa, kun teho-osaston röntgenlaite ei yllättäen toiminutkaan. Syynä oli se, että sairaalassa oli käytetty vanhaa systeemiä ilman, että tietoturvaa oli päivitetty. Jatkuva ohjelmistojen lisääntyminen taas tarkoittaa sitä, että turvallisuuskustannukset nousevat kiihtyvää tahtia.

Valmius vastoinkäymisiin

Toinen tärkeä oppi on se, että yksikään ohjelmisto ei ole pomminvarma, joten vastoinkäymisiin kannattaa valmistautua.

– Olemme järjestäneet työmme sille pohjalle, että ohjelmat pyörivät eivätkä hakkerit pääse iskemään. Mutta on naiivia uskoa, että kaikki pyörii hamaan ikuisuuteen ilman ongelmia. Jotta ongelmatilanteet pystyttäisiin hoitamaan mahdollisimman mutkattomasti, on oltava suunnitelma sille varalle, kun ei pystytäkään toimimaan normaalisti.

– Monin paikoin ollaan tottuneita siihen, että ohjelmisto-ongelmia ja turvallisuuspuutteita tulee. Mutta tähän mennessä on huomattu joka kerta, että turvallisuustoimenpiteet ovat sittenkin olleet riittämättömiä, ja niitä tulee parantaa, ja parantaa vielä vähän lisää.

Näinkin on käynyt:

Oho, se meni nettiin

Computer Sweden kertoi tänä vuonna löytäneensä 2,7 miljoonaa ruotsalaiseen 1177-terveysneuvontapuhelimeen tullutta puhelua avoimelta serveriltä. Palvelimelle ei ollut minkäänlaista salasanasuojausta eikä mitään muutakaan turvaa. Yhteensä 170 000 tuntia arkaluontoisia puheluita löytyi vuodesta 2013 saakka. Kuka tahansa saattoi kuunnella ja jopa tallentaa niitä.

Palvelua pyörittäneen yrityksen Voice Integrate Nordicin toimitusjohtajan mukaan “ joku oli todennäköisesti päivityksen aikana pistänyt nettipiuhan kiinni kovalevyyn. Siitä muodostui ip-osoite, minkä jälkeen kaikki oli vapaasti saatavilla.”

Tiedot julkisina pari vuotta

Noin 80 IT-teknikolla oli 29 kuukauden ajan pääsy Ruotsin Transportstyrelsenin IT-järjestelmään. Kyseessä oli IBM:n sisaryritysten teknikkoja Unkarista, Serbiasta, Romaniasta ja Tšekistä, eikä heillä ollut ruotsalaista turvallisuusluokitusta. Selvisi, että esimerkiksi salassa pidettävät tiedot ajokortti- ja ajoneuvorekistereistä olivat olleet nähtävillä asiaankuulumattomille toukokuusta 2015 lokakuuhun 2017.

Transportstyrelsenin oman raportin mukaan turvallisuuspuutteet johtuivat ainakin osittain siitä, että heidän järjestelmänsä on ollut olemassa jo 1970-luvulta alkaen, ja sitä on päivitetty tarpeen ja lakimuutosten mukaan edellisen pohjalle. Tämä on johtanut siihen, että järjestelmä on laaja ja monimutkainen.

Sähkönjakelu vaarassa

Ulkomaalaisilla IT-teknikoilla oli pääsy Ruotsin sähkönjakelua pyörittävään ja valvovaan järjestelmään. Pääsy oli annettu ilman, että lain edellyttämää turvallisuusselvitystä oli tehty. Järjestelmä on luokiteltu kansallisen turvallisuuden kannalta merkittäväksi. Teknikot olisivat halutessaan voineet aiheuttaa häiriöitä sähkönjakeluun Ruotsissa.

Virusturvavedätys

Vakava tietoturvapuute Microsoftin Malware Protection Engine -tietoturvaohjelmassa johti siihen, että hakkerit pystyivät saamaan tietoturvan avaamaan haittaohjelmat, ja näin virusturva oli hakkereiden käsissä. Ongelma huomattiin keväällä 2017.

Käsissä koko muisti ja salasanat

Alkuvuodesta 2018 Meltdownin tietoturvaongelma aiheutti huolta kansainvälisesti. Kyse oli siitä, että hakkerit pystyivät ostamaan tilaa pilvipalvelusta ja pääsemään siten käsiksi muiden käyttäjien tietoihin. Hakkerit saattoivat päästä käsiksi käyttäjän tietokoneen muistiin, salasanoihin ja salausavaimiin.

Salasanan voi kiertää

Meltdown-ongelma koski Intel-prosessoreja. Samalla selvisi, että Intelin järjestelmä on hyvin helppo murtaa. Intelin etätietokonejärjestelmää ei oltu asennettu oikein, ja siksi tietokoneisiin saattoi pystyä murtautumaan jopa vajaassa minuutissa.

Tietokone käyntiin CD-levyllä

Lopuksi vielä klassikko vuodelta 2003. Bugi Windows XP:ssä mahdollisti sen, että kuka tahansa, jolla oli CD-levyllä Windows 2000, pystyi käynnistämään tietokoneen ja sai pääsyn Windows XP:hen, ilman salasanoja. Tämä tietenkin onnistui vain silloin, jos pääsi käsiksi kyseiseen tietokoneeseen, mikä rajasi riskiä, mutta olihan tuo aika käsittämätön juttu.

Lähteet:
www.grahamcluley.com/train-control-centre-passwords-revealed/
www.sbnation.com/lookit/2014/2/2/5371540/super-bowl-2014-security-wifi-password-tv
www.independent.co.uk/life-style/gadgets-and-tech/news/tv5monde-hack-staff-accidentally-show-passwords-in-report-about-huge-cyber-attack-10168475.html
www.svd.se/datavirus-slog-ut-sjukhusrontgen
computersweden.idg.se/2.2683/1.714787/inspelade-samtal-1177-vardguiden-oskyddade-internet
www.dn.se/ekonomi/ansvarig-for-vardguiden-haveriet-manskliga-faktorn/
www.voister.se/artikel/2018/01/rapporten-fran-transportstyrelsen-om-it-skandalen/
www.dn.se/nyheter/sverige/svenska-kraftnat-gav-utlandsk-personal-tillgang-till-styrsystem-for-elforsorjningen/
techworld.idg.se/2.2524/1.682173/microsoft-massiv-sakerhetsmiss
www.expressen.se/dinapengar/tech/global-sakerhetsmiss-i-datorer-kriminellas-ingang-till-dina-losenord/
www.nyteknik.se/digitalisering/sakerhetsmiss-gor-det-busenkelt-att-knacka-losenordet-pa-datorn-6893112
pcforalla.idg.se/2.1054/1.67427/pinsam-sakerhetsmiss-i-windows-xp

10 kesäkuuta 2019

CMP saattoi IT-ympäristönsä palveluistumisen satamaan

Vuonna 2001 perustettu CMP on kasvanut yhdeksi Skandinavian suurimmista satamaoperaattoreista. Sillä on toimintaa Juutinrauman molemmilla puolilla. Nyt heidän liiketoimintansa on palveluistettu lähes kokonaan.

9 syyskuuta 2019

Dustin on Climat80-ryhmän IT-kumppani

Kun yhtiö kasvaa ja muuttuu nopeaan tahtiin on väistämätön fakta, ettei IT aina pysy mukana vauhdissa. Climat80-ryhmä sai yhteistyöllään Dustinin kanssa oikeat edellytykset proaktiiviseen työskentelyyn ja liiketoimintansa eteenpäin viemiseen.

6 syyskuuta 2019

Miten Dustin työstää kestävän kehityksen mukaista IT:tä?

Dustinin visiona on määrittää standardit tehokkaalle ja kestävälle IT:lle. Sen lisäksi, että me keskustelemme jatkuvasti toimittajiemme kanssa siitä, minkälaisia tuotteita ja palveluita me haluamme myydä, me pyrimme myös koko ajan auttamaan asiakkaitamme tekemään kestävämpiä valintoja.

29 elokuuta 2019

Suojaa arkaluontoiset tiedot pilvipalvelimella

Lisääntynyt palvelujen tarjoaminen IT-alalla tarkoittaa sitä, että yhä suurempi määrä tiedoista säilytetään pilvipalveluissa. Näin ollen asiakkaan on oltava tietoinen siitä, miten luottamuksellisia tai arkaluontoisia tietoja käsitellään.

12 heinäkuuta 2019

Viisi vinkkiä toimivan lähiverkon rakentamiseen

Järkevästi ja tarkoituksenmukaisesti suunniteltu ja toteutettu lähiverkko on olennainen osa lähes minkä tahansa yrityksen tuottavuutta. Dustinin teknologiakonsultti Pauli Riikonen vinkkaa viisi asiaa, jotka on syytä ottaa huomioon lähiverkkoa rakennettaessa.

5 heinäkuuta 2019

Sano hyvästit hitaalle langattomalle verkolle

Internet tuntuu olevan kaikkialla. Dustinin ja ITaidon asiantuntijat kertovat keinot, joilla yritykset saavat parhaan hyödyn irti langattomista verkkoyhteyksistään ja välttävät kompastuskivet muun muassa huolellisen ennakoinnin ansiosta.

4 heinäkuuta 2019