Terkkuja tietoturvan BSides-tapahtumasta Tallinnasta! 

Developerimme Niklas Schönberg osallistui syyskuussa tietoturvaa ja kyberturvallisuutta käsittelevään BSides Tallinn 2024 -tapahtumaan. Lue Niklaksen terveiset reissusta!

Nousiko tapahtumassa esiin jokin yksittäinen tietoturvallisuuteen liittyvää teema, johon olisi hyvä varautua?

Mitään yksittäistä uutta teemaa tai trendiä ei kyberturvallisuuden alalla taida olla, aika perinteisiä uhkia kuten phishing-yrityksiä ja deepfake-huijauksia käsiteltiin Tallinnassakin.

Mikä kuitenkin on silmälle pantavaa on se, että AI:n myötä erilaiset huijausyritykset ovat kehittyneet varsin taitaviksi. Ääniväärennökset ovat nykyään todella vakuuttavia ja lähes mahdottomia erottaa aidosta. Ainoa asia, mikä saattaa paljastaa tämäntyyppiset väärennökset, on keskustelun mahdolliset viiveet – vastaushan tulee sitä mukaa, mitä huijari ehtii omalla koneellaan kirjoittaa. Vaihtoehtoisesti huijarilla on valmis setti standardivastauksia, joita käyttää puhelun aikana.

Tämäntyyppisten huijausten tekeminen on myös aiempaa helpompaa, tekijöille näyttäisi jo muodostuneen selvät prosessit miten toimia ja luoda esimerkiksi sekunneissa täysin aidon näköinen kirjautumissivu.

Itseäni kiinnosti erityisesti tapahtuman keynote-puhujan Christian Herrmannin alustus RFID-avainkortteihin kohdistuvasta uhista – periaatteessa kaikki kortit ovat murrettavissa, kehittyneimpienkin korttien salaus muutamassa viikossa. Avainkortilla lukittuun tilaan ei kannatakaan varastoida kovin arvokasta tavaraa!

Yksi klassikkouhka löytyi kuitenkin: salasanat ja niihin liittyvä inhimillinen tekijä. Ihmiset tekevät kirjautumisen helpoksi käyttämällä samoja salasanoja useammalla sivustolla. Se on valtavan riskialtista; aika ajoin isojakin alustoja hakkeroidaan, jolloin salasanoja ja käyttäjätunnuksia päätyy avoimeen verkkoon. Kun rikolliset ajavat näitä ristiin, he voivat huomata, että samalla sähköpostiosoitteella ja samalla salasanalla on kirjauduttu useampaan palveluun. Sen jälkeen ei tarvitse kuin testata, kävisikö samat tunnukset myös muihin palveluihin.

Miten erilaisiin huijauksiin voi varautua?

Suosittelen lämpimästi käyttämään salasanojen hallintaohjelmaa, jolloin niitä ei erikseen tarvitse muistaa tai kirjoittaa muistiin. Se on helppo tapa varautua tietoturvauhkiin.

Jos ajatellaan kalastelua ja deepfakea, poikkeukselliset pyynnöt tunnistaa helpommin. Mutta jos esimerkiksi tavaksi on muodostunut, että esimies soittaa ja pyytää maksamaan sähköpostiin tulleen laskun eräpäivää aiemmin, huijauksia voi olla vaikea huomata.

Tunnistautumiseen kannattaakin luoda jonkinlainen turvakysymysten järjestelmä. Puhelun aikana voi esimerkiksi kysyä, muistaako langan päässä oleva henkilö, mistä kahdenkeskisessä keskustelussa eilisellä lounaalla puhuttiin. Hyvä keino on myös lähettää tekstiviestillä jokin sana oletetulle keskustelukumppanille, ja pyytää se luettavan ääneen puhelun aikana.

Tunnistaminen ei oikeastaan ole kovin vaikeaa – vaikeampaa on herätä siihen silloin, kun siihen on tarvetta!

Miten tietoturvauhkiin varaudutaan J&Co:lla?

Tietoturva ja kyberturvallisuus ovat meille äärimmäisen tärkeitä asioita. Panostamme niihin kaikessa tekemisessämme. Kaikki asiakkaillemme rakentamamme verkkosivut, -kaupat ja sovellukset noudattavat tiettyjä turvallisuusstandardeja, joista yksinkertaisin on salasanojen hallinta. Huolehdimme myös verkkosivujen ja työkalujen päivityksistä, jotta niihin ei muodostu haavoittuvuuksia. Tarvittaessa neuvomme myös asiakkaita. 

Seuraamme myös aktiivisesti alaa ja ylläpidämme osaamistamme. Las Vegasissa järjestetystä Black Hat -tapahtumasta spinoffina syntynyt BSides on yksi tapa pysyä kärryillä kyberturvallisuudesta ja vaihtaa ajatuksia aiheesta alan asiantuntijoiden kanssa.

Käyttämämme alusta WordPress on nykyään hyvin turvallinen. Siihen liittyvät lisäosat, eri plug init, saattavat sen sijaan muodostaa aukon tietoturvassa. Nekin pitää muista päivittää, kun sivustolla tehdään taustapäivityksiä.

Minulla ei ole tullut vastaan, että asiakkaidemme sivustoja olisi hakkeroitu. Olemme kyllä muutaman muun sivuston pelastaneet ja korjanneet ne hakkeroinnin jäljiltä.

Täydellinen turvajärjestelmä on lähinnä teoreettinen. Käytännössä mikään järjestelmä ei koskaan ole 100-prosenttinen, sillä ihminen on osa järjestelmää ja tekee siihen liittyviä päätöksiä. Kuten yllä jo nähtiin, on inhimillistä erehtyä ja tehdä virheitä.

Lisäksi tietoturvan perusperiaatteita on tasapaino turvallisuuden ja käytettävyyden välillä. Mitä turvallisempi järjestelmä, sitä monimutkaisempi siitä tulee, mikä tekee siitä vaikean käyttää. Kyberturvallisuudessa joutuukin usein tekemään valintoja turvallisuuden ja käyttömukavuuden välillä.

Jos haluat varmistaa, että sivustosi on turvallinen ja ajan tasalla, ota yhteyttä meihin niin käydään läpi tilanne!