Tietoturvan uusi kurssi romuttaa vanhan tietoturvatiedon ja -osaamisen
Viimeisten viiden-kuuden vuoden aikana kyberrikolliset ovat mitätöineet paljon: joukko klassisina pidettyjä turvallisen verkkosivuston tunnusmerkkejä, niitä, joita kuitenkin näkee vielä kulahtaneissa tietoturvaoppaissa, pannaan nyt roskiin. Toiminnan ohjaajina ne ovat vanhentuneet. Alallahan ei voi olla enää, jos koskaan ollutkaan raamattua, jota ei päivitetä jotenkin netissä, vaikkapa tämän blogin tapaan. Nyt vain on kyse enemmästä: yleisten it-oppien ja siinä sivussa toimivan tietoturvan perusta murenee.
Vanhat kirjat eivät tiedä mitään piirilevyjen komponenteissa toimivista mikrokoodeista, joihin isketään uusilla hyökkäysvälineillä. Tämä on rautavalmistajien oma riesa, joka on tuonut tietokonevalmistajat mukaan sotaan kyberkollisuutta vastaan. Heidän nettisivujaan on syytä pitää silmällä – ja olen ottanut repertuaariini nostot vakavista päivityksistä.
Rautavalmistajien on nyt pakko resursoida mikrokoodipaikkojen koodaukseen ja julkaisuun. Haavoittuvat prosessorit ja muut komponentit ovat uusi taloudellinen rasite tahoille, jotka luulivat olevansa kybertaistelunäyttämön katsomossa. Kuka tahansa voi haksahtaa.
Yksi uusista kujeista on osoiterivillä oleva lukkoikoni tai muuten vahvistettu turvallisena pidetty osoiterivi. Ei päde enää. Kun vuosikausia on kehotettu nimenomaan kiinnittämään huomiota varmoihin merkkeihin, hämmennys tyhjän päällä voi olla melkoinen.
Missä maailmassa me oikein elämme?
Maailmassa, jossa melkein kaiken opetetun perusta pettää? Näinpä voidaan sanoa.
Mitä tuumimme esimerkiksi Office.comin alle tehdystä tietojenkalastelusivusta, joka on naamioitu Onedrive-palvelun sisäänkirjautumisnäkymäksi ositetta myöten? Rikollinen esiintyy uskottavana Onedrive-sisäänkirjautumissivuna. Kalastelulomakkeisiin annetuilla tunnuksilla kirjaudutaan sisään automatisoidusti. Pahinta on, että tämä huijaus mahdollistaa myös kaksivaiheisen tunnistuksen ohittamisen. Tiedetään, että man-in-the middle-hyökkäys tunnuksen omistaja saa tekstiviestinä tai tunnistussovellukseensa ilmoituksen sisäänkirjautumisesta, ja vahvistaa kirjautumisen luullessaan sitä omakseen. Saatuaan esimerkiksi Office-tunnukset haltuunsa kyberkorikollisista viekkaimmat osaavat jäädä kyttäämään sähköpostikirjeenvaihtoa ja iskeä oikealla hetkellä.
Erilähteitä tietoa keräten muutoksen kourissa ovat nyt:
- käyttäjätunnistus, salasanahallinta
- tietoturvan ja riskienhallinnan periaatteet
- tietoturvan ja tietosuojan hallinta ja organisointi
- sähköpostin turvaaminen
- verkossa tunnistamisen ja maksamisen konseptit
- fyysiset ja laitteistoihin liittyvät tietoturvanäkökulmat
- IT-projektien riskikartoitukset
- sosiaalisen median hyödyt ja haitat
Siis säännöistä valtaosa ei enää päde. Mielellämme näkisimme tietotekniikan stabiilina (tai edes vähän stabiilimpana) maailmana. Siinä ei testattaisi muutospainekestävyyttä tavallisilla netinkäyttäjillä.
