flash

Press Release

Vuoden 2010 merkittävimmät tietoturvariskit

Helsinki, 4. helmikuuta 2010 - Suomalainen tietoturvayhtiö Stonesoft on kartoittanut vuoden 2010 merkittävimmät tietoturvariskit. Stonesoft kehottaa kiinnittämään huomiota erityisesti luottokorttimaksamisen, sosiaalisen median käytön, pilviteknologian ja mobiililaitteiden tietoturvaan.

Viime vuoden lopulla Espanjassa tehdyssä laajassa tietomurrossa varastettiin jopa kymmenien tuhansien suomalaisten luottokorttien tiedot. Kohteena oli korttimaksuja välittävä yritys ja tuhannet suomalaiset joutuivat vaihtamaan korttinsa uuteen.

Kun yritys kadottaa asiakastietojaan, menettää se samalla arvokasta luottamuspääomaansa. Monet yritykset suojaavat asiakkaidensa luottokorttitietoja palomuurein, mutta tämä ei tarjoa riittävää suojaa rikollisilta. Yritysten tulisikin keskittää tietoturvainvestointinsa kattavampiin ratkaisuihin, kuten tunkeutumisen havainnointi- ja estojärjestelmiin (IPS, Intrusion Prevention System). Maksukortteja koskevan tietoturvastandardin (PCI-DSS, Payment Card Industry Data Security Standard) astuttua voimaan on riittävän suojan hankkiminen pakollista kaikille organisaatioille, jotka prosessoivat tai siirtävät suuria määriä maksu- tai luottokorttitietoa.

IPS havaitsee tunkeutujan ennen kuin tämä pääsee kriittisille alueille verkossa. Järjestelmä poistaa verkkoliikenteestä automaattisesti matoja, vakoiluohjelmia ja muita haittaohjelmia. Samalla yksityiskohtaiset raportit auttavat ylläpitäjiä tarkistamaan, ketkä ovat käsitelleet mitäkin tietoa ja mihin aikaan. Tämä tarjoaa paremman puolustuksen hyökkäyksiä vastaan ja auttaa havaitsemaan mahdolliset ongelmat ajoissa.

Sosiaalinen media rikollisten huomion kohteena

Yhteydenpidon nopeus ja vaivattomuus houkuttelee yhä enemmän käyttäjiä sosiaalisen median pariin. Palveluiden helppokäyttöisyys ja viestinnän nopeus ovat erittäin houkuttelevia tekijöitä, mutta palveluiden käyttö ei ole aivan riskitöntä. Useimmiten suurin riski on käyttäjä itse. Mitä nopeampaa ja helpompaa tiedon julkaiseminen Internetissä on, sitä varovaisempia käyttäjien tulee olla. Kun tieto on kerran Internetissä julkaistu, on miltei mahdotonta saada sitä sieltä täydellisesti poistetuksi. Vaikka alkuperäiset tiedostot poistettaisiin tai ylikirjoitettaisiin, löytyy informaatio usein sen jälkeenkin hakupalvelimien välimuistista tai arkistoista. Yritysten tulisi huomioida tämä ja luoda selkeät pelisäännöt sosiaalisen median käyttöön työpaikoilla.

Yksi suurimmista tietoturvauhista vuonna 2010 on niin kutsuttu sosiaalinen manipulointi (social engineering). Hyökkääjät hakevat tietoja organisaation työntekijöistä esimerkiksi sosiaalisesta mediasta ja käyttävät näitä hyväkseen väärennetyn identiteetin luomiseen. Tämä tarkoittaa, että myös tutuilta tai ystäviltä tulleet viestit voivat sisältää haitallista ohjelmakoodia, ilman että vastaanottaja tätä ymmärtää. Esimerkiksi vuoden 2009 alussa Conficker-mato saastutti Suomessa tuhansia tietokoneita, ja on todennäköistä, että tietoturvahenkilöstö tulee olemaan työllistetty myös tänä vuonna. Tulevaisuudessa hyökkääjät etsivät ja löytävät yhä enemmän keinoja tunkeutua niin yksityisiin kuin yritystenkin verkkoihin. Sisäiset sähköpostit voivat olla riski siinä missä yksityisviestitkin sosiaalisen median palvelussa. On tärkeää, että käyttäjät kiinnittävät tähän huomiota.

Pilvilaskennan tumma reunus

Pilviteknologia (Cloud computing) tarjoaa houkuttelevia kustannusetuja yritysten IT-toimintojen ulkoistamiseen sopimuskumppanille. Valitettavan usein valitessaan sopivaa ulkoistuskumppania yritykset eivät kuitenkaan osaa vaatia ulkoistamalleen tiedolle riittävää tietoturvan tasoa. Tämä virhe saattaa aiheuttaa suuria riskejä ulkoistamissopimusten määrän kasvaessa. 


On hyvä huomata, että yritysten ulkoistaessa IT-palvelujaan ulkopuoliselle kumppanille, ne myös ulkoistavat hallinnoimansa tiedon luottamuksellisuuden, koskemattomuuden ja helpon saatavuuden. Useimmat palveluntarjoajat myyvät asiakkailleen pakettiratkaisua. Vaikka palvelun laatu on turvattu palvelutason sopimuksilla (SLA, Service Level Agreement), tietoturvaa nämä sopimukset kattavat vain harvoin. Tietoturva hankitaan tässä yhteydessä ”sikana säkissä”, josta asiakas maksaa osana kokonaispakettia. Asiakasyrityksen yksilöllisiä tietoturvan tarpeita ei oteta huomioon. Palveluntarjoajaa valitessaan yritysten järjestelmävastaavien tulisi kiinnittää yhä enemmän huomiota tietoturvaan. Voiko asiakas käyttää omaa käyttäjätietokantaansa tai autentikointipalveluaan pilvipalvelun kanssa esimerkiksi federated authentication -menetelmän, eli yhdistetyn todentamisen avulla? Vastaako järjestelmä yrityksen yksilöllisiä tarpeita? Mitä takuita palveluntarjoaja antaa? Onko raportointi riittävän kattavaa? Mitä tapahtuu mahdollisen tietomurron yhteydessä? Ja kuka on vastuussa?

Stonesoftin asiantuntijat odottavat pilviteknologia-trendin kasvavan vuoden 2010 aikana. Vain vakava tietomurto tai tiedon häviäminen saattaa kiinnittää huomion pilviteknologian tietoturvaan liittyviin seikkoihin, vaikka näitä asioita tulisi tarkastella kriittisesti jo nyt.  Jatkossa asiakkaiden tulee itse aktiivisesti vaatia palveluntarjoajilta järjestelmiä, jotka vastaavat heidän tietoturvatarpeitaan.

Mobiililaitteet portti yritysverkkoon

Mobiililaitteet, kuten älypuhelimet ja kämmentietokoneet ovat löytäneet tiensä yritysmaailmaan jo vuosia sitten, tarjoten pääsyn liiketoimintakriittiseen tietoon myös tien päällä. Mobiililaitteissa tietoturvan taso on kuitenkaan harvoin sama kuin tietokoneessa. Tämän vuoksi ne kiinnostavat kasvavassa määrin myös tietoturvarikollisia.

Uhat eivät ole uusia, sillä hyökkäykset ovat samankaltaisia kuin tietokoneisiinkin. Pääasiallinen ero laitteiden välillä on, että vaikeampikäyttöisen näppäimistön vuoksi käyttäjät suosivat yksinkertaisia ja lyhyitä salasanoja. Lisäksi työntekijät käyttävät laitteitaan sekä henkilökohtaisiin että työasioihin, ja unohtavat helposti virustorjuntaohjelmiston tai palomuurin päivittämisen. Viruksen on tämän vuoksi helppoa saastuttaa paitsi käyttäjän laite, myös yritysverkko mobiilaitteen kautta. Tämän ongelman tehokas ratkaiseminen tulevaisuudessa vaatii mobiililaitteiden keskitettyä hallintaa, samaan tapaan kuin tietokoneissa. Keskitetyn hallinnan avulla on mahdollista varmistaa, että tietoturva-asetukset ja -päivitykset ovat ajan tasalla jokaisessa mobiililaitteessa. Tällä hetkellä todellisuus on kuitenkin karumpi.

”Monet yritykset jättävät huomiotta lisääntyneen liikkuvan työn tietoturvariskit. Älypuhelinten ja kämmentietokoneiden tarve kasvaa, mutta riittävät tietoturvaratkaisut näille laitteille puuttuvat,” sanoo Stonesoftin tietoturvapäällikkö Joona Airamo. ”Vasta kun käyttäjät tulevat tietoisiksi mahdollisista vaaroista, alkavat he vaatia parempia mekanismeja suojautuakseen niiltä. Siihen mennessä tulemme valitettavasti näkemään paljon tietoturvahyökkäyksiä mobiililaitteisiin.”

Lisätietoja PCI-tietoturvastandardista maksukorteille:
https://www.pcisecuritystandards.org/.

Lisätietoja:

Klaus Majewski, markkinointijohtaja
Stonesoft Oyj
Puh. (09) 476 711
Sähköposti: klaus.majewski(AT)stonesoft.com

Stonesoft Oyj

Stonesoft Oyj (NASDAQ OMX: SFTIV) on innovatiivinen integroitujen verkkotietoturvaratkaisujen toimittaja, joka on keskittynyt hajautettujen organisaatioiden tiedonkulun turvaamiseen. Asiakkaidemme liiketoiminta edellyttää vaativaa verkkoturvallisuutta ja sovellusten luotettavaa saatavuutta.

StoneGate(TM) on tietoturvaratkaisu, jossa yhdistyvät palomuuri, VPN, IPS (tunkeutumisen havainnointi- ja estojärjestelmä) sekä turvallisen etäkäytön mahdollistava SSL VPN. Ratkaisu yhdistää verkkotietoturvan, jatkuvan saatavuuden sekä palkitun kuormantasausteknologian yhtenäiseksi, keskitetysti hallittavaksi järjestelmäksi. StoneGate-tietoturvaratkaisu tarjoaa alhaiset käyttökustannukset, erinomaisen suorituskyvyn ja tehostaa verkko-investointien tuottavuutta.
Virtuaalinen StoneGate-tietoturvaratkaisu suojaa verkkoa ja takaa liiketoiminnan jatkuvuuden sekä virtuaali- että fyysisessä ympäristössä.

StoneGate Management Center -hallinnan avulla StoneGate-palomuuria, VPN-, IPS-, sekä SSL VPN -ratkaisua voidaan hallita keskitetysti. StoneGate-palomuuri ja hyökkäyksen havainnointi- ja estojärjestelmä toimivat saumattomasti yhdessä muodostaen koko yritysverkon kattavan kehittyneen kerroksellisen puolustuksen. StoneGate SSL VPN tarjoaa tehokkaan suojan mobiili- ja etäkäytön tarpeisiin.

Vuonna 1990 perustettu Stonesoft Oyj on maailmanlaajuisesti toimiva yhtiö, jonka pääkonttori on Helsingissä ja Amerikan alueen pääkonttori Atlantassa, Georgiassa. Lisätietoa osoitteesta www.stonesoft.com ja http://stoneblog.stonesoft.com/.

Thursday, February 4, 2010