Cert-fi tietomurroista: Perusasiat poskellaan kohteissa

Julkaistu: , Päivitetty:

Murretut yritykset olisivat monessa tapauksessa voineet estää tai ainakin rajata vahingot noudattamalla hyviä käytäntöjä.
Viestintäviraston tietoturvayksikkö Cert-fi kommentoi alkuvuonna tiuhasti tehtyjä tietomurtoja. Cert-fi arvioi, että suuri osa julkisuuteen tulleista tietovarkauksista olisi todennäköisesti voitu estää toimimalla tunnettujen hyvien suunnittelu- ja ylläpitokäytäntöjen mukaisesti.

Metsään mennään välillä jo aivan perusasioissa. Osassa tietomurroista on murron kohteessa lyöty laimin jopa haavoittuneiden palvelinohjelmistojen päivittäminen tai järjestelmän toiminnan riittävä seuraaminen. Lokitietojen säntillinen lukeminen voisi paljastaa murtoyritykset nopeammin. Lisäksi joistain palveluista murtautujalle on tarjolla jopa salasanat selväkielisinä.

Moni viime aikojen puhutuista murroista on ilmeisesti Lulz Security -ryhmittymän käsialaa, mutta tunkeutujia riittää moneen lähtöön. Siinä missä Lulz on enemmänkin julkisuudenhakuinen kiusankappale, on monilla murtautujilla rahallinen motiivi.

Merkille pantavasti usea verkossa uhriksi joutunut yritys on sellainen, jonka olisi voinut kuvitella olevan hyvin suojautunut tunkeutumisia vastaan. Näihin lukeutuu Sony, jolta vietiin huhtikuussa henkilötiedot yli sadalta miljoonalta käyttäjätililtä.

Vaikka Suomi on suurimmalta osin säästynyt rikollisten huomiolta, on Cert-fi:llä vakava viesti kotimaisille organisaatioille:

"Samalla kun verkon kautta tavoitettavien palvelujen ja tietojen määrä lisääntyy, kasvaa myös palvelujen suunnittelijoiden ja ylläpitäjien vastuu tietojen säilyttämisestä ja palvelujen toimivuudesta. Organisaatioiden tietohallinnoissa tämä haaste on otettava vakavasti ja varsinkin internetiin yhteydessä olevien palvelujen riskianalyysi tehtävä huolellisesti".

Kommentit

    Näytä lisää