Nykyaikainen teknologia ja yhteiskunnan jatkuva yhteys Internetiin mahdollistavat enemmän luovuutta liike-elämässä kuin koskaan aiemmin – myös mustassa pörssissä. Verkkorikolliset keksivät huolellisesti uusia tapoja hyödyntää maailman arkaluonteisimpia verkkoja. Yritystietojen suojaaminen on kasvava haaste, mutta tietoisuus on ensimmäinen askel. Tässä ovat tämän päivän 10 tärkeintä tietoturvauhkaa:
Teknologia, jonka tietoturva on heikko – Uutta teknologiaa julkaistaan joka päivä. Useimmiten uusissa vempaimissa on jonkinlainen internet-yhteys, mutta niissä ei ole tietoturvasuunnitelmaa. Tämä on erittäin vakava riski – jokainen suojaamaton yhteys tarkoittaa haavoittuvuutta. Teknologian nopea kehitys on osoitus innovaattoreista, mutta tietoturva laahaa pahasti jäljessä1.
Sosiaalisen median hyökkäykset – Verkkorikolliset käyttävät sosiaalista mediaa välineenä levittääkseen monimutkaista maantieteellistä hyökkäystä nimeltä ”water holing”. Hyökkääjät tunnistavat ja tartuttavat ryppään verkkosivustoja, joilla he uskovat kohdeorganisaation jäsenten vierailevan2.
Kännykkähaittaohjelmat – Tietoturva-asiantuntijat ovat nähneet riskin mobiililaitteiden tietoturvassa jo siitä lähtien, kun ne liitettiin Internetiin. Viimeaikaisten hyökkäysten pitkässä luettelossa olevat minimaaliset mobiililaitteiden haittaohjelmat ovat saaneet käyttäjät huolestumaan paljon vähemmän kuin heidän pitäisi. Kun otetaan huomioon kulttuurimme rikkomaton riippuvuus matkapuhelimista ja se, miten vähän kyberrikolliset ovat kohdistaneet niitä, se luo katastrofaalisen uhan.
Kolmannen osapuolen tunkeutuminen – Kyberrikolliset suosivat pienimmän vastarinnan polkua. Target on malliesimerkki suuren verkkohyökkäyksen toteuttamisesta kolmannen osapuolen tunkeutumispisteiden kautta. Maailmanlaajuisen vähittäiskauppiaan LVI-toimittaja oli se onneton urakoitsija, jonka tunnistetiedot varastettiin ja jota käytettiin 70 miljoonan asiakkaan taloudellisten tietokokonaisuuksien varastamiseen3.
Kunnollisen konfiguroinnin laiminlyönti – Big data -työkalut on mahdollista räätälöidä organisaation tarpeisiin sopiviksi. Yritykset laiminlyövät edelleen tietoturva-asetusten asianmukaisen konfiguroinnin tärkeyden. New York Times joutui hiljattain tietomurron uhriksi, koska se oli ottanut käyttöön vain yhden monista kriittisistä toiminnoista, joita tarvitaan organisaation tietojen täydelliseen suojaamiseen4.
Päivittyneet tietoturvaohjelmistot – Tietoturvaohjelmistojen päivittäminen on perustavanlaatuinen tekniikanhallintakäytäntö ja pakollinen askel big datan suojaamisessa. Ohjelmistot kehitetään puolustautumaan tunnettuja uhkia vastaan. Tämä tarkoittaa, että mikä tahansa uusi haittakoodi, joka osuu tietoturvaohjelmiston vanhentuneeseen versioon, jää havaitsematta.
Social Engineering – Verkkorikolliset tietävät, että tunkeutumistekniikoilla on säilyvyysaika. He ovat siirtyneet luotettaviin ei-teknisiin menetelmiin, kuten sosiaaliseen manipulointiin, joka perustuu sosiaaliseen vuorovaikutukseen ja psykologiseen manipulointiin luottamuksellisten tietojen saamiseksi. Tämä tunkeutumismuoto on arvaamaton ja tehokas.
Salauksen puute – Arkaluonteisten liiketoimintatietojen suojaaminen liikenteessä ja levossa on toimenpide, jonka vain harvat toimialat ovat vielä ottaneet käyttöön sen tehokkuudesta huolimatta. Terveydenhuoltoalalla käsitellään erittäin arkaluonteisia tietoja ja ymmärretään niiden menettämisen vakavuus – minkä vuoksi HIPAA-vaatimusten noudattaminen edellyttää, että jokainen tietokone on salattu.
Yritystiedot henkilökohtaisilla laitteilla – Riippumatta siitä, jakeleeko organisaatio yrityspuhelimia vai ei, luottamuksellisiin tietoihin päästään silti käsiksi henkilökohtaisilla laitteilla. Mobiilihallintatyökaluja on olemassa toiminnallisuuden rajoittamiseksi, mutta porsaanreikien turvaaminen ei ole päässyt monien organisaatioiden prioriteettilistalle.
Puutteellinen tietoturvateknologia – Investoinnista verkon tietoturvaa valvoviin ohjelmistoihin on tullut kasvava trendi yritystoiminnassa vuoden 2014 tietomurtojen tuskallisen repeämän jälkeen. Ohjelmistot on suunniteltu lähettämään hälytyksiä, kun tunkeutumisyrityksiä tapahtuu, mutta hälytykset ovat arvokkaita vain, jos joku on käytettävissä puuttumaan niihin. Yritykset luottavat liikaa siihen, että teknologia suojaa täysin hyökkäyksiltä, vaikka se on tarkoitettu hallittavaksi työkaluksi.
Jos haluat lisätietoja Georgetownin yliopiston verkossa toimivasta Master’s in Technology Management -ohjelmasta, pyydä lisätietoja tai ota yhteyttä sisäänpääsyasiamieheen numerossa (202) 687-8888.
Lähteet
1Ten Napel, Novealthy, Mano. ”Wearables and Quantified Self Demand Security-First Design”. Wired.com. Conde Nast Digital, 2015. Web. 12.9.2015.
2Sterling, Bruce. ”Spear-phishing ja Water-holing”. Wired.com. Conde Nast Digital, 10.10.2012. Web. 12 Sept. 2015.
3Krebs, Brian. ”The Target Breach, By the Numbers”. Krebs on Security RSS. Krebs on Security, 14. toukokuuta 2014. Web. 12 Sept. 2015.
4 ”Cybersecurity Lessons from the New York Times Security Breach.” GovDefenders. DLT Solutions, 2013. Web. 12 Sept. 2015.