Artikkeli on julkaistu TIVIA-blogissa 8.6.2015
Tietoturvahyökkäyksiltä voi suojautua hakkereiden omalla lääkkeellä: hakkeroimalla omat järjestelmänsä ennen kuin vihamieliset toimijat tekevät sen.
Tietoverkoissa ylläpidetään yhteiskuntaa, pyöritetään yrityksiä ja tunnistetaan yksityishenkilöitä. Suurin osa yritysten liiketoiminnan kannalta kriittisestä tiedosta on tietoverkoissa. Näiden tietojen varassa yritykset menestyvät tai kaatuvat.
Koska tietoverkoista löytyvä tietomäärä on suhteellisen helppo muuttaa rahaksi tai sen avulla voi tehokkaasti edistää omia aikeitaan, se houkuttelee myös tietojen väärinkäyttäjiä: rikollisia, oman maan edun ajajia ja omistautuneita aatteen miehiä. Heidän on huomattavasti nopeampaa, näyttävämpää ja riskittömämpää toimia tietoverkoissa, kuin fyysisessä maailmassa.
Pientä ja suurta haittaa
Uutisiin päätyvät tapaukset, joissa hakkerit ovat varastaneet luottokorttitietoja, vakoilleet kansalaisia tai kaataneet verkkosivuston, mutta tavallisiin yrityksiin kohdistuu paljon hyökkäyksiä, jotka jäävät pimentoon – myös yrityksiltä itseltään. Hakkeri saattaa löytää vaikkapa verkkokauppajärjestelmästä haavoittuvuuden, jolla pystyy ohittamaan maksuvaiheen ja silti tilaamaan tuotteen. Yrityksen järjestelmässä näyttää siltä, että tilaus on tehty onnistuneesti.
Aina yritykselle koituva haitta ei ole suoraan rahallinen, vaan kärsijänä on yrityksen maine. Esimerkiksi yritykset, joiden henkilötietojärjestelmissä on haavoittuvuuksia, menettävät helposti asiakkaidensa luottamuksen. Ne myös saattavat rikkoa lakia, sillä henkilötietolain mukaan tiedot tulee suojata asianmukaisesti.
Hakkeroida voi myös eettisesti
Lähes kaikissa ohjelmistoissa on haavoittuvuuksia. Ohjelmistot ovat ihmisten tekemiä ja oman aikansa tuotteita. Kehittäjät tekevät usein parhaansa tietoturvan eteen, mutta heidän on lähes mahdotonta ottaa huomioon kaikki mahdolliset keinot, joilla järjestelmään voidaan yrittää tunkeutua nyt ja tulevaisuudessa.
Yritykset pystyvät suojautumaan hyökkäyksiltä toimimalla samoin kuin hakkerit: kokeilemalla voiko heidän järjestelmiinsä tunkeutua. Jos työhön palkattu, kokenut ja taitava hakkeri ei löydä järjestelmästä haavoittuvuuksia, järjestelmä on hankalampi pala niillekin, jolla on vähemmän hyvät aikeet.
Eettistä hakkerointia eli tietoturvatestaamista voi tehdä käsin, koneellisesti tai näiden yhdistelmänä. Koneellisen skannauksen avulla pystytään käsittelemään lyhyessä ajassa suuri määrä dataa, ja sitä on hyvä tehdä usein ja säännöllisesti.
Koneet eivät kuitenkaan pysty jäljittelemään kaikkia ihmismielen oivalluksia. Näiden paljastamiseksi tarvitaan käsin tehtyä tietoturvatestausta, jossa tunnistetaan järjestelmän käytön logiikkaan liittyviä haavoittuvuuksia.
Jos eettinen hakkerointi ei kuulu oman yrityksen ydinosaamiseen, tietoturvapalveluyritykset kuten 2NS (Second Nature Security Oy) tekevät järjestelmien haavoittuvuustarkastuksia yrityksille. Kun haavoittuvuudet korjataan, tulee yritysten käyttämistä ohjelmistoista entistä laadukkaampia ja luotettavampia. Muuttuvassa ja monimutkaistuvassa maailmassa tämä on monelle yritykselle arvokas kilpailuetu.