CGI Suomen blogi
Jan Mickos

Harjaantunut kybernyrkki vai kalkkunalauma?

Harjaantunut kybernyrkki vai kalkkunalauma?

Äkillinen tarve reagoida tietoturvaongelmaan paljastaa toimintatapojemme heikkoudet.

Tuore esimerkki on Heartbleed-nimen saanut OpenSSL-salausohjelmiston haavoittuvuus. Se aiheutti globaalin ja massiivisen kilpajuoksun järjestelmiään paikkaavien organisaatioiden ja hyväksikäyttömahdollisuuksia kärkkyvien mustahattujen välille.

Aika näyttää, kuka juoksun voitti missäkin sarjassa. Oppia tuli joka tapauksessa monenlaista.

On valaisevaa aloittaa selvittämällä, miten organisaatiot reagoivat tapahtumiin:

  • Mistä tieto uudesta haavoittuvuudesta tuli?
  • Kenelle tieto tuli?
  • Kuinka organisoiduttiin?
  • Kuinka tilannearvio muodostettiin?
  • Miten viestittiin?
  • Kuinka toimet ja resurssien käyttöä priorisoitiin?
  • Kuinka tilanne johdetaan loppuun asti?

Moni organisaatio huomasi, että oma varautuminen tilanteeseen oli riittämätöntä.

Kyllä, kyseinen haavoittuvuus oli vaikutuksiltaan poikkeuksellisen laaja. SSL kun on kaikesta huolimatta digitalisoituneen maailman tietoturvan ja tietosuojan peruskiviin lukeutuva teknologia.

Toisaalta haavoittuvuuden löytyminen ohjelmistosta ei ole tavatonta. Jos lisäksi haavoittuvuudelle jo on olemassa korjaus, tilanteen pitäisi olla kohtalaisen hyvä.

Mutta kun haavoittuvuus tuli julkisuuteen, alkoi yleinen kuohunta. Muutaman ensimmäisen päivän jälkeen tieto oli jo saavuttanut valtaosan ihmisistä – tietoturva-asiantuntijoista keskivertokansalaiseen.

Tällä kertaa haavoittuvuus myös kosketti käytännössä jokaista. Niinpä alkoi "kalkkunailmiö", jossa joku sanoo jotain ja suuri joukko ryhtyy toistelemaan sanomaa ympäriinsä. Samalla sanoma hämärtyy. Lopulta ei tiedetä, miksi yleensä kalkatetaan.

Digimaailmassa tämä näkyy sähköpostimyrskyinä ja ehtymättömänä twiittivirtana, julkisina ja organisaatioiden sisäisinä.
Ja mitä pitikään tehdä? Piti tunnistaa haavoittuvuuden vaikutus omassa toimintaympäristössä eli

  • löytää paikat, joissa OpenSSL on omassa organisaatiossa käytössä
  • arvioida tilanne
  • laatia toimintasuunnitelma siitä, miten rajata vahingot ja
  • estää lisävahinkojen syntyminen.

Tällä kertaa paikattavia kohtia oli tosin niin monta ja niin monessa tuotteessa, ratkaisussa ja palvelussa, että tilannearviointiin kuluikin rutkasti aikaa – jos oma laite- ja ohjelmistoinventaario ei ollut kunnossa.

Lisäksi OpenSSL on osana niin monia muita ratkaisuja, että valmistajat eivät itsekään aina tiedä, sisältääkö heidän tuotteensa haavoittuvan version OpenSSL:stä vaiko ei.

Johtopäätöksenä tästä kaikesta on, että meillä on vielä hyvin paljon parannettavaa perusasioiden tekemisessä:

  • On tunnettava toimintaympäristö.
  • On suunniteltava, organisoitava, resursoitava ja harjoiteltava toimintaa yllättävienkin olosuhteiden varalta.

Arvokkain Heartbleedin mukanaan tuomista opeista oli kuitenkin se, että on opittava kommunikoimaan täsmällisesti ja tehokkaasti. Se erottaa lopulta kybernyrkin kalkkunalaumasta.

Blog moderation guidelines and term of use