Järjestelmän suojauksen testaaminen

Jokainen IT-alan ammattilainen ja varsinkin tietoturva-alalla toimiva ammattilainen millä tahansa organisaatiotasolla ymmärtää, että on äärimmäisen tärkeää luoda järjestelmä, joka ei ole altis haavoittuvuuksille ja joka kykenee toimimaan ympärillä vaanivien tietoturvariskien keskellä. Tämän vuoksi järjestelmä täytyy valmistaa kohtaamaan kaikki erilaiset riskit, ja ainoa keino varmistaa tämä on tunnistaa kaikki mahdolliset haavoittuvuudet.

Tietoturvajärjestelmien haavoittuvuuksien tunnistamiseksi järjestelmille on tehtävä säännöllisiä, mielellään neljännesvuosittaisia, tietoturvatarkastuksia, jotka kattavat kaikki tietoverkon ja järjestelmän osa-alueet. Tämä ei ole välttämättä kovinkaan helppo toimenpide ja se vaatii runsaasti aikaa ja resursseja, mutta tietouhkien aiheuttamat monitasoiset vaatimukset edellyttävät näiden toimenpiteiden suorittamista. Tarkastusten jälkeen on helpompaa allokoida tietoturvaresursseja ja kouluttaa henkilökuntaa entistä tehokkaammin. Tietoturvatarkastukset ovat oleellinen prosessi järjestelmien turvallisuuden takaamiseksi.

Järjestelmän suojauksen testaaminen

Perusasioiden tarkastaminen

Kaikki tietoturvallisuuden eteen tehtävät toimenpiteet on aloitettava aivan perusteista riippumatta niistä alkuoletuksista, joita sinulla voi olla henkilöstöä tai tietoturva-asetuksia koskien. Vaikka tietoturva-ammattilaiset ovat kenties implementoineet perustyökalut ja toimenpiteet järjestelmän alkuperäistä suunnitelmaa ja tietosuojakäytäntöjä varten, näitä ohjeita ei välttämättä aina kuitenkaan noudateta. Aluksi on tarkastettava, onko järjestelmässä käytössä yksinkertaiset palomuurit ja tietoturvaohjelmistot, ja onko näiden työkalujen asetuksia muutettu vahingossa tai tahallisesti. Järjestelmissä on oltava käytössä vahvat varmentamismenetelmät ja käytettävien salasanojen on oltava vahvoja. Mikäli työntekijöillä on tarve käyttää tietoverkkoa etänä, heidän käyttöönsä on syytä antaa suojattu VPN-yhteys.

Järjestelmätestaus

Järjestelmän kattava ja ammattimainen tietoturvatarkastus vaatii penetraatiotestausta. Penetraatiotestaus saatetaan yhdistää lähinnä ohjelmistoihin, mutta järjestelmä tarvitsee aktiivista testaamista sen selvittämiseksi, voivat hakkerit mahdollisesti murtautua järjestelmään. On paljon turvallisempaa antaa ystävällismielisen hakkerin yrittää murtautumista organisaation järjestelmään kuin oppia virheet kantapään kautta tositilanteessa. Penetraatiotestauksen järjestäminen riippuu hyvin paljon järjestelmän ja organisaation koosta. Mikä tarjolla on enemmän aikaa ja vähemmän resursseja, testaaminen voi olla kannattavampaa suorittaa itse, mutta muussa tapauksessa on yleensä järkevämpää hankkia testauspalvelut alihankkijalta tai penetraatiotestauspalveluihin erikoistuneelta yritykseltä.

Verkon suodattaminen ja suojaaminen

Järjestelmän suojaamisessa on estettävä luvattomien henkilöiden murtautuminen sisään sekä sen lisäksi varmistettava, etteivät luvattomat vierailijat kykene tuottamaan mitään harmia. Verkkosuodatus sisältää epätoivotut lähteet, mutta internetin alati muuttuvan luonteen vuoksi et voi koskaan olla varma siitä, mikä lähde saattaa tartuttaa verkkoon uhkia tai olla epäsovelias järjestelmän kannalta.

Verkon suodattaminen ja suojaaminen

Verkon suodattimisen kanssa samanaikaisesti on tarkasteltava verkon suojausasetuksia. Verkon valvomisesta vastuussa oleva taho ei voi sallia huolimattomia asetuksia ja toimia, vaikka ne saattaisivat olla käytön kannalta joissain tapauksissa hieman epäkäytännöllisiä. Huolimattomasti säädetyt asetukset voivat vaikuttaa koko järjestelmään ja organisaatioon. Mikäli verkon suojausasetuksia joutuu säätämään, on oltava erittäin huolellinen. Jos suojausasetuksiin tehdään muutoksia helpomman käytettävyyden edesauttamiseksi, on huolehdittava, ettei koko järjestelmä joudu hyökkäysuhan alaiseksi.

Inhimillinen tekijä

Kun kyseessä on järjestelmän päivittäinen suojaaminen, huomattavasti suurempi riski järjestelmän kannalta ovat muut ihmiset ja piittaamattomasti toimivat organisaation jäsenet kuin jotkut kuvitteelliset hakkerit, jotka yrittävät murtautua huolellisesti suojattuun järjestelmään tuhansien kilometrien päästä yötä päivää hakkeroimalla. Tutkimusten mukaan 80–90 prosenttia kaikista suurista tietosuojamurroista aiheutuu inhimillisestä virheestä. Myös hakkerit tietävät, että heikoimpaan henkilöön kohdentuminen riittää järjestelmään murtautumiseen. Vaikka käyttäjän manipulointiin perustuva testaaminen saattaa jo olla osa organisaation penetraatiotestausprosessia, kannattaa silti tarkastaa käytettävät prosessit sekä myös tietoturvan teknilliset osa-alueet. Organisaation inhimillistä käyttäytymistä voi testata esimerkiksi jättämällä parkkipaikalle muistitikun. Hakkereita ajatellen kannattaa asettaa itsensä heidän asemaansa ja pohtia, millä keinoilla he saattaisivat pyrkiä manipuloimaan organisaatiota. Jokainen järjestelmä on omanlaisensa, joten harjoitusmateriaalit ja testaaminen on aina sovitettava omien tarpeiden mukaisesti.