Potilaspuhelut vuotivat nettiin, ja sähkönjakelujärjestelmä annettiin vääriin käsiin. Tällaisia IT-mokia on sattunut viime aikoina. Usein turvallisuuspuutteiden syy on inhimillinen tekijä.
Montako eri IT-sovellusta yrityksessäsi on käytössä? Kysymykseen voi olla mahdotonta vastata, sillä jatkuvan digitalisaation myötä ohjelmistoja ja komponentteja kehitetään valtavia määriä. Yhdessä yrityksessä saattaa olla käytössä satoja erilaisia digitaalisia ohjelmistoja, kertoo Jonas Söderström, joka työskentelee strategina inUse-yrityksessä. Söderström on myös kirjoittanut Jävla skitsystem -kirjan.
Se, että ohjelmistoja on niin paljon käytössä, on hänen mukaansa usein riski.
– Olen lukenut spekulaatioita siitä, että ne Boeing-onnettomuudet olisivat johtuneet siitä, että heidän järjestelmistään oli tullut liian monimutkaisia, ja sen takia yksityiskohtia olisi jäänyt pimentoon. Ruotsalaisesta terveysneuvontapuhelimesta vuoti puheluja, ja senkin kerrottiin johtuneen järjestelmän monimutkaisuudesta. Teemme näillä järjestelmillä itse itsestämme entistäkin haavoittuvaisempia.
Kysyntää ”IT-purkajille”
Söderström uskoo, että IT-kehittäjien rinnalle tarvittaisiin toinen ammattikunta, nimittäin “IT-purkajat”.
– On ihan luonnollista, että paukut pistetään kehittämispuolelle, sillä onhan se paljon ikävämpää uhrata ajatuksia ja resursseja purkamiseen. Se, että lisäämme ja lisäämme uusia osia, mutta emme poista vanhoja, voi kuitenkin johtaa turvallisuusriskeihin, Söderström kertoo.
Söderström uskoo, että myös liiallisessa turvallisuushakuisuudessa on omat riskinsä. – Mietipä kuinka montaa eri salasanaa tarvitset nykyään sekä työ- että yksityiselämässäsi. Sitten kun joudut taas luomaan uuden tilin pikkujuttua varten, käytät sitä samaa salasanaa, joka on ensimmäisenä mielessäsi.
Tämä johtaa siihen, että sama salasana on käytössä kaikkialla, ja hakkeri saa sen helposti käsiinsä juuri sen pikkujuttua varten luomasi tilin takia.
Salasanat telkkariin
Onko ratkaisu sitten käyttää pitkälle mietittyjä salasanoja? Siinäkin on ongelmansa. Sen ovat huomanneet esimerkiksi brittikonduktöörit , Super Bowlin turvallisuusosasto ja ranskalainen TV-kanava TV5 Monde . Monimutkaisia salasanoja on laitettu esille seinille tai tv-näytöille, ja kun joku ottaa paikan päällä kuvan, salasanat näkyvät kuvissa.
– Tämä voi kuulostaa hassulta, mutta se voi johtaa isoihin ongelmiin. Tällainen tarjoaa rikollisille mahdollisuuksia, Söderström huomauttaa.
Isoista lapsuksista turvallisuuden suhteen voi oppia Söderströmin mukaan kaksi tärkeää asiaa.
– Ensiksikin: turvallisuus maksaa. Siinä ei missään tapauksessa kannata pihistellä. Tämä huomattiin esimerkiksi Karoliinisessa yliopistosairaalassa, kun teho-osaston röntgenlaite ei yllättäen toiminutkaan. Syynä oli se, että sairaalassa oli käytetty vanhaa systeemiä ilman, että tietoturvaa oli päivitetty. Jatkuva ohjelmistojen lisääntyminen taas tarkoittaa sitä, että turvallisuuskustannukset nousevat kiihtyvää tahtia.
Valmius vastoinkäymisiin
Toinen tärkeä oppi on se, että yksikään ohjelmisto ei ole pomminvarma, joten vastoinkäymisiin kannattaa valmistautua.
– Olemme järjestäneet työmme sille pohjalle, että ohjelmat pyörivät eivätkä hakkerit pääse iskemään. Mutta on naiivia uskoa, että kaikki pyörii hamaan ikuisuuteen ilman ongelmia. Jotta ongelmatilanteet pystyttäisiin hoitamaan mahdollisimman mutkattomasti, on oltava suunnitelma sille varalle, kun ei pystytäkään toimimaan normaalisti.
– Monin paikoin ollaan tottuneita siihen, että ohjelmisto-ongelmia ja turvallisuuspuutteita tulee. Mutta tähän mennessä on huomattu joka kerta, että turvallisuustoimenpiteet ovat sittenkin olleet riittämättömiä, ja niitä tulee parantaa, ja parantaa vielä vähän lisää.
Näinkin on käynyt:
Oho, se meni nettiin
Computer Sweden kertoi tänä vuonna löytäneensä 2,7 miljoonaa ruotsalaiseen 1177-terveysneuvontapuhelimeen tullutta puhelua avoimelta serveriltä. Palvelimelle ei ollut minkäänlaista salasanasuojausta eikä mitään muutakaan turvaa. Yhteensä 170 000 tuntia arkaluontoisia puheluita löytyi vuodesta 2013 saakka. Kuka tahansa saattoi kuunnella ja jopa tallentaa niitä.
Palvelua pyörittäneen yrityksen Voice Integrate Nordicin toimitusjohtajan mukaan “ joku oli todennäköisesti päivityksen aikana pistänyt nettipiuhan kiinni kovalevyyn. Siitä muodostui ip-osoite, minkä jälkeen kaikki oli vapaasti saatavilla.”
Tiedot julkisina pari vuotta
Noin 80 IT-teknikolla oli 29 kuukauden ajan pääsy Ruotsin Transportstyrelsenin IT-järjestelmään. Kyseessä oli IBM:n sisaryritysten teknikkoja Unkarista, Serbiasta, Romaniasta ja Tšekistä, eikä heillä ollut ruotsalaista turvallisuusluokitusta. Selvisi, että esimerkiksi salassa pidettävät tiedot ajokortti- ja ajoneuvorekistereistä olivat olleet nähtävillä asiaankuulumattomille toukokuusta 2015 lokakuuhun 2017.
Transportstyrelsenin oman raportin mukaan turvallisuuspuutteet johtuivat ainakin osittain siitä, että heidän järjestelmänsä on ollut olemassa jo 1970-luvulta alkaen, ja sitä on päivitetty tarpeen ja lakimuutosten mukaan edellisen pohjalle. Tämä on johtanut siihen, että järjestelmä on laaja ja monimutkainen.
Sähkönjakelu vaarassa
Ulkomaalaisilla IT-teknikoilla oli pääsy Ruotsin sähkönjakelua pyörittävään ja valvovaan järjestelmään. Pääsy oli annettu ilman, että lain edellyttämää turvallisuusselvitystä oli tehty. Järjestelmä on luokiteltu kansallisen turvallisuuden kannalta merkittäväksi. Teknikot olisivat halutessaan voineet aiheuttaa häiriöitä sähkönjakeluun Ruotsissa.
Virusturvavedätys
Vakava tietoturvapuute Microsoftin Malware Protection Engine -tietoturvaohjelmassa johti siihen, että hakkerit pystyivät saamaan tietoturvan avaamaan haittaohjelmat, ja näin virusturva oli hakkereiden käsissä. Ongelma huomattiin keväällä 2017.
Käsissä koko muisti ja salasanat
Alkuvuodesta 2018 Meltdownin tietoturvaongelma aiheutti huolta kansainvälisesti. Kyse oli siitä, että hakkerit pystyivät ostamaan tilaa pilvipalvelusta ja pääsemään siten käsiksi muiden käyttäjien tietoihin. Hakkerit saattoivat päästä käsiksi käyttäjän tietokoneen muistiin, salasanoihin ja salausavaimiin.
Salasanan voi kiertää
Meltdown-ongelma koski Intel-prosessoreja. Samalla selvisi, että Intelin järjestelmä on hyvin helppo murtaa. Intelin etätietokonejärjestelmää ei oltu asennettu oikein, ja siksi tietokoneisiin saattoi pystyä murtautumaan jopa vajaassa minuutissa.
Tietokone käyntiin CD-levyllä
Lopuksi vielä klassikko vuodelta 2003. Bugi Windows XP:ssä mahdollisti sen, että kuka tahansa, jolla oli CD-levyllä Windows 2000, pystyi käynnistämään tietokoneen ja sai pääsyn Windows XP:hen, ilman salasanoja. Tämä tietenkin onnistui vain silloin, jos pääsi käsiksi kyseiseen tietokoneeseen, mikä rajasi riskiä, mutta olihan tuo aika käsittämätön juttu.
Lähteet:
www.grahamcluley.com/train-control-centre-passwords-revealed/
www.sbnation.com/lookit/2014/2/2/5371540/super-bowl-2014-security-wifi-password-tv
www.independent.co.uk/life-style/gadgets-and-tech/news/tv5monde-hack-staff-accidentally-show-passwords-in-report-about-huge-cyber-attack-10168475.html
www.svd.se/datavirus-slog-ut-sjukhusrontgen
computersweden.idg.se/2.2683/1.714787/inspelade-samtal-1177-vardguiden-oskyddade-internet
www.dn.se/ekonomi/ansvarig-for-vardguiden-haveriet-manskliga-faktorn/
www.voister.se/artikel/2018/01/rapporten-fran-transportstyrelsen-om-it-skandalen/
www.dn.se/nyheter/sverige/svenska-kraftnat-gav-utlandsk-personal-tillgang-till-styrsystem-for-elforsorjningen/
techworld.idg.se/2.2524/1.682173/microsoft-massiv-sakerhetsmiss
www.expressen.se/dinapengar/tech/global-sakerhetsmiss-i-datorer-kriminellas-ingang-till-dina-losenord/
www.nyteknik.se/digitalisering/sakerhetsmiss-gor-det-busenkelt-att-knacka-losenordet-pa-datorn-6893112
pcforalla.idg.se/2.1054/1.67427/pinsam-sakerhetsmiss-i-windows-xp