TigerTeam - suomalainen tietoturvablogi

Ensimmäiset suomalaisasiakkaiden saamat kalastelu- eli phishing-viestit kolahtivat postilaatikoihin lokakuussa 2005. Viestit muuttuivat hyvin pian suomenkielisiksi – kieli oli kuitenkin pitkään tökeröä ja usein englantia ja suomea sekaisin. Aina muutama viesteihin lankesi ja tarjosi rikollisille pääsyn verkkopankkiinsa. Vuonna 2012 tilanne on täysin toinen.

• Huijausviestien laatu on parantunut ja mm. ääkkösettömät viestit ovat historiaa. Samalla rikolliset tavoittelevat entistä aggressiivisemmin auki olevaa verkkopankki-istuntoa, eivät siis enää saamaan käyttäjää syöttämään istuntoon tarvittavia tunnuksia huijaussivustolle.

• Osa pankeista on ottanut käyttöön ns. maksun lisävahvistuksen. Toiminnon käyttöönottanut asiakas saa pankista tekstiviestin, jossa annetuilla tiedoilla poikkeava tai esimerkiksi uudelle tilille ensi kertaa menevä maksutapahtuma voidaan vahvistaa. Tätä toiminnallisuutta vastaan on kuitenkin kehitetty Android-sovellus, joka pystyy väärentämään pankin lähettämän tekstiviestin.

Verkkorikollinen pyrkii haittaohjelmalla osaksi verkkopankki-istuntoa ja käyttäjän näkemä kohdetilinumero on haittaohjelman avulla väärennetty.

• Tilin saldoa ei enää pysty verkkopankissa näkemään pelkän käyttäjätunnuksen ja salasanan avulla. Toisaalta joillain pankeilla on palvelu, jolla saldotiedon voi tilata sähköpostiin.

• Pankkiasiointiin käytettävän tietokoneen tietoturvasta huolehtimista edellytetään asiakkaalta. Virustorjunta+palomuuri kuntoon -ohjelitanian tilalle ovat tulleet mm. kehotukset päivittää myös selain ja sen lisäosat. Suuntaus on oikea, verkkopankkiturva on paljon muutakin kuin virustorjuntaa.

• Suomessa jo pitkään levinneen Zeus-troijalaisen muunnoksen todettiin viime kesänä räätälöidyn suomalaispankkeja vastaan. Zeus kuuluu ns. man-in-the-browser-kategoriaan ja siitä näyttää tulleen pysyvä vieras suomalaisten tietokoneisiin.

Jouduinko pankkitroijalaisen kohteeksi?

• Pankit kehottavat mm. sulkemaan verkkopankki-istunnon odottamattomien sivujen ilmestyessä näytölle. Onnistuneissa hyökkäyksissä näytölle on tullut mm. ilmoitus huoltokatkosta ja kirjautuneen asiakkaan odottaessa katkon loppumista on vilpillinen tilisiirto tehty tuona aikana.

• Pankkien korvausvastuu ei ole enää selviö. Takavuosina lähinnä pelkkien phishing-huijausviestien aikana asiakkaan vahingot pääsääntöisesti korvattiin. Nyt asiakkaalta edellytetään tietokoneen päivittämistä auton säännöllisen huoltamisen tapaan ja korvauksia harkitaan tapauskohtaisesti.

• Pankit suhtautuvat tiukemmin verkkopankkitunnusten luovutuskieltoon. Tähän liittyy tiettyä problematiikkaa esim. tilanteissa, joissa iäkkäät vanhemmat ovat antaneet tunnuksensa lapsilleen. Tunnukset ja avainlukulista ovat kuitenkin henkilökohtaisia eikä niitä pidä antaa muille.

Odottamaton, outo ilmoitusikkuna onkin merkki mahdollisesta haittaohjelmatartunnasta. Mikäli epäilee joutuneensa hyökkäysyrityksen kohteeksi, ei istuntoa kannata jatkaa ja verkkopankista tulee kirjautua ulos.

Kannattaa lisäksi muistaa, että mikään virustorjuntaohjelma ei tarjoa sataprosenttista suojaa ja tunnistepohjaisissa virustorjuntaohjelmissa suojaus uusia haittaohjelmamuunnoksia vastaan tulee vähintään tuntien viiveellä.

Kuluvan kuun aikana olemme nähneet harvinaisen paljon OS X -käyttöjärjestelmässä toimivaa haittaohjelmaa koskevia uutisia. Jo useamman vuoden ajan on povattu, että hyökkäykset OS X:ää vastaan tulevat lisääntymään kunhan käyttöjärjestelmän markkinaosuus on ”riittävän kiinnostava”. Nyt ollaan varmastikin tässä tilanteessa. Niin sanotun Flashback-epidemian alkuvaiheessa yli 600 000 tietokoneen kerrottiin saastuneen ko. troijalaisella. Suomesta tartuntoja raportoitiin muutamia satoja.

Applen tietoturvapäivitystä Oraclen jo helmikuun puolivälissä korjaamaan Java-haavoittuvuuteen CVE-2012-0507 saatiin odotella ja niinpä kyseinen Flash-päivitykseksi naamioitu haittaohjelmamuunnos syntyi.

Myöhemmin ilmestyi myös SabPub-niminen troijalainen, jonka uskotaan liittyvän Luckycat-bottiverkkoon. Myös Maceille suunnattuja, Word-haavoittuvuuksia hyödyntäviä APT-hyökkäyksiä (pitkäkestoinen kohdistettu hyökkäys) on tässä kuussa nähty.

Onko työasemani Java haavoittuva?

Ensimmäistä kertaa koko OS X:n olemassaolon aikana usea toimija julkaisi muutaman päivän välein Flashback-poistotyökalun sekä isjavaexploitable.com:n ja flashbackcheck.com:n kaltaisia tarkistussivustoja, joilla voi tarkistaa onko oman työaseman Java päivitetty. Onpa troijalainen saanut myös englanninkielisen Wikipedia-artikkelinsa. Lopulta Java-päivitys Applelta tuli jakeluun poistaen samalla tietokoneessa mahdollisesti majailleen troijalaisen.

Yhtenä viimeisimmistä käänteistä asiassa on tieto, jonka mukaan keskimäärin Mac-tietokoneissa on runsaasti Windows-haittaohjelmia. Ei mikään mitätön asia, mikäli Macissä ollut muistitikku käy Windows-koneessa.

Miksi näin sitten pääsi käymään?

• Moni käyttäjä tuudittautuu siihen, että OS X:llä on turvallinen maine ja haittaohjelmia on käyttöjärjestelmälle olemassa vain kourallinen. Tämä johtaa siihen, ettei Javaa, Flashia, Quicktimea tai esimerkiksi selaimen lisäosia tule päivitettyä, sovellusohjelmista puhumattakaan.

• OS X:n tapa kysyä käyttäjän salasanaa on varoittava merkki käyttäjälle jostain poikkeuksellisesta. Käyttäjä on tottunut syöttämään salasanansa esimerkiksi ohjelmia asennettaessa. Flashback-tapauksessa salasanaa ei kuitenkaan kysytä, vaan haittaohjelma aktivoituu taustalla ilman käyttäjän toimenpiteitä.

• Oletuksena OS X muistuttaa saatavilla olevista päivityksistä vain kerran viikossa. Ellei käyttäjä ole muuttanut Ohjelmiston päivitys (Software Update) -asetuksia ei muistutusta esimerkiksi Flashbackiin liittyvästä Java-päivityksestä tullut käyttäjälle ajoissa. Osa käyttäjistä sai varmuudella tartunnan aikana, jolloin päivitys olisi jo ollut saatavilla.

• Myös mm. Microsoft Officen päivittämisestä huolehtiva Microsoft AutoUpdate -toiminto ilmoittaa päivityksistä viikon välein. Senkin asetuksia kannattaa tihentää:

• Windowsin tavoin tietoturvapäivitysten jakelu vanhempiin versioihin loppuu aikanaan. Leopard-versioon eli 10.5:een ei Java-päivitystä enää julkaistu. Vaihtoehtoina on tässä tilanteessa joko päivittää uudempaan OS X -versioon tai kytkeä Javan suoritus pois päältä.

• Ylläpitäjiä varten Apple on julkaissut kattavat konfigurointiohjeet käyttöjärjestelmän koventamisesta Snow Leopardiin asti. Pirteänä alkuna voi tutustua puolestaan NSA:n julkaisemaan kahden arkin vinkkilistaan, linkki pdf:ään tässä.

Johtopäätöksenä voi sanoa, että Flashback ei ole Macin tietoturvattomuuden alku, mutta herättäjänä ja prosessien tarkistajana se kannattaa ottaa. Microsoft Office, Flash, mediasoitin ja monet, monet muut ohjelmistot eivät päivity itsestään. Maccejä on yrityksissä jo niin paljon, että rikolliset alkavat pitää Mac-työasemia potentiaalisina hyökkäyskohteina.

Kirjoittaja on ollut sataprosenttinen Mac-käyttäjä yli viiden vuoden ajan, mutta käyttää kuitenkin virustorjuntaohjelmistoa ja mm. tietoturvaa parantavia selaimen lisäosia sekä pitää Maccinsä päivitettyinä.

Suomi osallistui hiljattain merkittävään kyberturvallisuusharjoitukseen (kybersotaharjoitukseen) – NATO:n CCDCOE-osaamiskeskuksen (Cooperative Cyber Defence Centre of Excellence) Cyber Defence Exercise CDX-12:een, joka puolestaan tuki MNE7-harjoitusta.

Tässä yhteydessä ei voi olla palaamatta Ylen maaliskuiseen nettiartikkeliin Tässä on Suomen pahin uhkakuva: Viiden minuutin sota. Uhkaskenaariossa Suomi voitaisiin lamauttaa pysäyttämällä minuutin portain maksuliikenne, suurin osa julkisesta liikenteestä, elintarviketoimitusten käyttämät logistiikkajärjestelmät, tärkeimmät tietoliikenneyhteydet ja lopulta sähkönsiirron kantaverkko, jolla aiheutettaisiin valtakunnallinen sähkökatko.

Kirjoittajalla oli tilaisuus tutustua harjoitukseen Viestintävirastoon perustetussa tilannehuoneeseessa osana sidosryhmäyhdistysten vierailua. Ilahduttavaa oli kuulla, että harjoitusympäristöön kuului myös pienimuotoinen SCADA-laitteisto.

Tilannehuoneen kalusto muodostui kuitenkin hyvin tavanomaisesta kuluttajaelektroniikasta. Se, kuinka perusteellisesti pidempiin sähkökatkoihin, infran lamautumiseen tai vaikkapa sabotaasi-iskuihin oli varauduttu, jäi osittain epäselväksi.

Suomi on monen muun valtion tavoin hyvin riippuvainen häiriöttömästä tietoliikenteestä ja sähkönjakelusta. Vuodenvaihteen sähkökatkot ovat omaa luokkaansa, mutta jo paikallinen sähkökatko tai tietoliikennehäiriö esimerkiksi supermarketin ympäristössä pääsiäispyhien alla sekoittaisi tuhansien ja tuhansien kansalaisten arjen. Hyvin suurella todennäköisyydellä koko liike suljettaisiin ja täydet ostoskärryt pakasteineen jäisivät sulamaan pimeään markethalliin.

Tällaisia uhkia on hyvä pysähtyvä miettimään ihan oman perheenkin näkökulmasta. Oletko muuten huomannut, että rekisteriotteen kääntöpuolelle on painettu valmis ruudukko mahdollista polttoaineen säännöstelyä varten. Ja oletko kuullut kotivarasta, jonka jauhovarastoa voi muuten hyödyntää kätevästi yllätysvieraiden saapuessa ja taskulamppua käyttää sähkökatkon osuessa kohdalle.

Kyberuhka on yhteiskunnassamme siis paljon muutakin kuin vain sotilaallinen uhka.

Turvallista pääsiäisviikonloppua!

Murtosalaus perustuu integraatiolaskennan älykkääseen arvaukseen. Läpimurto tehtiin kun ymmärrettiin hyödyntää kognitiivis-neuraalista paradigmaa uudessa yhteydessä. Menetelmän ydin on toistaiseksi vain erään eurooppalaisen huippuyliopiston signaalispektianalyytikkojen käytössä, mutta analyytikot näkevät jo käytännön sovellutuksia mm. viestiliikenteen salauksessa ja erilaisissa aseteollisuuden kehityskohteissa.

Menetelmän avulla viestit, kuten sähköpostit, pystytään salaamaan niin että vain haluttu vastaanottaja pystyy ne tulkitsemaan. Mullistavan menetelmästä tekee siinä käytetty algoritmi: laaditaan ensiksi “älykäs” arvaus rekursioyhtälön suljetun muodon ratkaisuksi ja sitten osoitetaan arvaus oikeaksi induktiolla. Arvaus löydetään tehtävään koulutetun neuroverkon intuitiivisella työskentelyllä perustuen koulutusmateriaalin samankaltaisiin tapauksiin.

Yritysmaailmassa menetelmän tehokkuus kasvaa eksponentiaalisesti kun koulutusmateriaalina voidaan käyttää koko yrityksen viestiliikennettä. Valtiolliset toimijat pystyvät vastaavasti hyödyntämään neuroverkon koulutuksessa kybertiedustelun tuottamaa, käytännössä rajatonta, tietomassaa.

Neuroverkkoa hyödynnetään viestin ordon, eli O:n, laskennassa. O:n arvoa voidaan arvata eräänlaisen “binäärihaun” avulla, jossa esitetään arvaus ja jos tämä ei tuota haluttua tulosta, esitetään edeltävää nopeammin kasvava funktio. Jos tämä on liian suuri, otetaan em. kahden välistä ehdokas jne. Tekniikka on usein tuloksellinen, koska rekursioyhtälöihin liittyvä aritmetiikka on melko yksinkertaista.

Käytännössä tällä saadaan aikaiseksi se, että väärä arvaus, esimerkiksi verkkorikollisen tekemänä, tuhoaa murtosalatun viestin sisällön. Vain oikean vastauksen tietävä, eli alkuperäinen vastaanottaja, pystyy tulkitsemaan viestin.

Uskomme Nixussa, että murtosalaus tulee mullistamaan sähköisen viestinnän. Lisätietoja aiheesta annamme megafonia käyttäen 1.4. klo 18 Nixun toimiston parvekkeelta (Espoo, Keilaranta 15). Tervetuloa.

CIA. Kolme kirjainta, jotka useimmat liittävät erään suurvallan tiedustelupalveluun. Samalla nuo kirjaimet kuitenkin muodostavat myös tietoturvan perustan: Confidentiality, Integrity, Availability. Eli luottamuksellisuus, eheys ja saatavuus.

Tiedon on siis pysyttävä vain niiden hallussa joilla on siihen oikeus, sen on oltava yhtenäistä, eli tiedosta ei saa puuttua osia ja sen lisäksi tiedon on pysyttävä saatavilla. Siinä tiedon turvaamisen perusvaatimukset.

Tässä kirjoituksessa otan kantaa tiedon saatavuuteen, sillä se on juuri tähän aikaan vuodesta monen yrityksen ongelma. Eikä ainakaan lähitulevaisuus ole tuomassa siihen parannusta.

Kun kirjoitin tätä yöllä itsenäisyyspäivän tienoilla, kattopelti paukkui tuulessa, nurkissa humisi ja valot räpsyivät. Niin, sähkön saanti oli jälleen kerran veitsen terällä, näin oli jo kolmas kerta viikon sisällä. Ja se on tietoturvaongelma – tiedon saatavuus on jatkuvan uhan alla. Ilman sähköä en pääse käsiksi mihinkään mikä on verkossa, en sen enempää henkilökohtaisiin sähköposteihini kuin työpaikkani järjestelmiin etäyhteyksien avulla.

Hieno tavoite teoriassa, mutta…

Valtioneuvosto asetti vuonna 2008 tavoitteeksi, että käytännössä kaikki vakinaiset asunnot, mikä kattaa yli 99 % väestöstä, sekä yritysten että julkishallinnon organisaatioiden vakinaiset toimipaikat ovat vuoden 2015 loppuun mennessä enintään kahden kilometrin etäisyydellä 100 megabitin yhteyden mahdollistavasta valokuitu- tai kaapeliverkosta.

Hieno tavoite, mutta tässä Suomen valtio lähti aivan väärästä kohtaa liikkeelle. Eihän taloakaan yleensä rakenneta, ennen kuin tontille on vedetty tarpeellinen kunnallistekniikka.

Ilman sähköä ei se kaikenkattava 100 megabitin verkkokaan toimi, ei sitten millään. Sen ovat huomanneet varmasti monet näin syksyisin erityisesti isojen kaupunkien ulkopuolella. Sähkökatkokset vaikeuttavat yhtälailla yritysten toimintaa, kuin kolauttavat monen nuoren nettinatiivin maailmaa World of Warcraftin, Facebookin, Messengerin tai jonkin muun pelin tai palvelun ollessa poissa pahimmillaan vuorokausia. Tämä on siis erityisesti pienten kaupunkien ja haja-asutusalueiden arkipäivää – iso osa nettiyhteyskatkoksista johtuu huonosti toimivista sähköverkoista. Jopa täällä yli 20 000 asukkaan Valkeakoskella sähköt pätkivät taajama-alueella aina kun hieman kovemmin tuulee tai puiden oksille kertyy lunta.

Tässä nouseekin esiin Fingridin ja alueellisten sähkölaitosten merkitys koko maamme nettiyhteyksille. Miten saisimme sähköverkoista luotettavampia ja sen kautta myös nettiyhteyksistä toimivampia? Luonnollisesti kaivamalla kaapelit maahan. Nykyisillä laitteilla jotka samaan aikaan kaivavat kaapeliuraa ja laskevat kaapelia maahan, työ käy juoheasti. Mutta se edellyttäisi isoja investointeja sähköyhtiöiltä.

Tässä pitäisi valtion tulla apuun – ennemmin tavoitteena tulisi olla sähkön saanti maamme yrityksiin ja talouksiin 24/7, vuoteen 2015 mennessä, kuin 100 megan laajakaista.

Yritysten onkin syytä panostaa myös mobiiliverkon käyttömahdollisuuksiin, yhtä lailla kuin yksityisten, sillä sähkökatkon sattuessa mobiiliverkko usein toimii vielä tuntikausia kiinteän verkon ollessa nurin.

Mutta näin ei voi jatkua. Henkilökohtaisesti olen valmis maksamaan sähköstä hieman enemmän, jos saan sitä asuntoomme katkotta 24/7. Tämänhetkinen tilanne kun on se, että joudun hankkimaan muutaman UPS-laitteen sähkökatkosten varalta. Jos olisin yrittäjä, hankkisin UPSien lisäksi mahdollisesti peräkärrygeneraattorin millä varmistaisin sähköntuotannon yhtiölleni kriittisessä tilanteessa.

Niin, kumpi on sinulle tai yhtiöllesi tärkeämpi, 100 megan laajakaista vai varmuus sähkön saannista?

Kirjoittaja Olli Haukkovaara toimii vanhempana tietoturvakonsulttina Nixun Advise-yksikössä.

Maailman suurimmista ohjelmistovalmistajista Microsoftin ja Adoben vakioaikataulun mukaiset tietoturvapäivitysten säännölliset jakelut – ns. paikkauspäivät sattuivat tällä viikolla samalle päivälle. Eikä kyseessä ole ensimmäinen kerta.

SANS-instituuttiin kuuluva Internet Storm Center -keskus näyttää käyttävän päiväkirjamerkinnässään myös Adoben päivityspäivästä aikaisemmin Microsoft-päivityksille varaamaansa termiä Black Tuesday – “Musta tiistai”.

Merkillepantavaa on myös se, että kun Microsoftin 13 bulletiinista kaksi – IE:tä ja nimipalvelua koskevat – kuuluu luokitukseltaan vakavimpaan Critical-luokkaan on kaikki Adoben elokuussa korjaamat Flash-haavoittuvuudet luokiteltu kriittisiksi.

Nyt päivitetyistä ohjelmistoista Shockwave Playeriä, Flash Media Serveriä ja RoboHelpiä ei joka työasemasta löydy, mutta Flash on asennettuna ja tuettuna selaimessa käytännössä jokaisessa minkä tahansa kokoisen organisaation työasemassa. Vihamielisen koodin ajamisen mahdollistavia haavoittuvuuksia paikattiin Adobe Flash Player -versiosta 10.3.181.36 peräti 12 kappaletta.

Haavoittuvuustutkijat kiireisinä

Iso osa Flash-haavoittuvuuksista on tullut Adoben tietoon haavoittuvuusjulkistusohjelmien kautta. On kuitenkin mahdollista ja myös todennäköistä, että samoja haavoittuvuuksia ovat löytäneet myös tahot, jotka haluavat käyttää niitä vihamielisiin ja rikollisiin tarkoituksiin. Ja jos haavoittuvuus on code execution -tyyppinen voi sitä käyttää esimerkiksi yritykseen tehtävään kohdistettuun hyökkäykseen.

Mistään vaatimattomasta haavoittuvuusmäärästä ei Adoben tuotteiden – esimerkiksi Flashin osalta puhuta. Jos Flash on organisaation työasemissa päivittämättä muutamankin kuukauden ajalta puhutaan helposti kymmenistä paikkausta vailla olevista haavoittuvuuksista.

Pohdimme vakiopäivityspäivän mukanaan tuomia piirteitä vajaa vuosi sitten. Onko Adoben päivityspäivästä tulossa nyt organisaation työasematietoturvapäivitysten hallinnan kannalta entistäkin kriittisempi? Adobe päivittää käytännössä joka päivityksessään Flashia ja Adobe Readeria – juuri nuo ohjelmistot löytyvät lähes jokaisesta työasemasta ja niitä myös käytetään paljon.

Kirjoittajan kesäloma kului kesäteatterinäytöksissä ja maalauspuuhissa maalaismaisemissa kaukana tietokoneesta, mutta seuraten tietoturvakenttää älypuhelimella.

Seurasitpa sitten suomenkielisiä tai kansainvälisiä it-uutisia olet hyvin todennäköisesti törmännyt termiin zero-day (tai zero day). Juuri joulun alla saatiin vahvistus Internet Explorerin paikkaamattomasta CSS-haavoittuvuudesta, joka on tyypillinen esimerkki nollapäivätyyppisestä haavoittuvuudesta. Loppuvuoden aikana nollapäiväaukkoja on ollut useasti Flashissa ja Adobe Readerissa ja niitä on myös hyödynnetty.

Suomen kielessä käyttöön ovat vakiintuneet pääasiassa termit nollapäivähaavoittuvuus (tai -aukko) ja zero-day-haavoittuvuus.

Nollapäivä tarkoittaa sitä, että haavoittuvuuden julkitulon ja hyödyntämisen väliin mahtuu nolla vuorokautta.

Hyödyntäminen todentaa haavoittuvuuden olemassaolon ja esimerkiksi sen, että toimiva verkkomato on pystytty kehittämään.

Käytännössä hyökkäysten alkamisen ja haavoittuvuuden julkitulon väli on siis kirjaimellisesti nolla päivää.

Nollapäivään ei korjausta saatavilla

Nollapäivähaavoittuuvuudelle on ominaista myös se, ettei siihen ole valmistajan korjauspäivitystä saatavilla.

Termi Zero Day on myös ZERT-ryhmittymän nimen innoittaja (Zeroday Emergency Response Team), ZDNetin tietoturvablogi, osa Zero Day Initiative -haavoittuvuusjulkistusohjelman nimeä ja ei-tietoturvamaailmassa mm. elokuva ja hip hop-albumi. ZERT on tietoturva-ammattilaisten ryhmä, joka julkaisi vuonna 2007 tilapäiskorjauksen Windowsin kohdistimienkäsittelyä koskevaan nollapäivähaavoittuvuuteen ennen virallisen korjauspäivityksen julkaisua.

Myöhemmin tällaisia epävirallisia korjauspäivityksiä on nähty aina silloin tällöin muihinkin nollapäivähaavoitttuvuuksiin, mutta hyvin harvinaista niiden julkaiseminen kuitenkin on.

Kirjoitus aloittaa termit tutuksi -tyyppisen kirjoitussarjan, joka tutustuttaa tietoturva-alan – erityisesti haavoittuvuuksiin liittyviin – termeihin ja lyhenteisiin.

Tietoturvallisuus ja etenkin tietoturvattomuus on monia tunteita herättävä aihe. Nixun konsultit osallistuvat usein asiakkaiden kehityshankkeisiin, joissa arvioidaan uusien ratkaisujen tai tuotteiden tietoturvallisuutta tai sitten olemme toisella puolella pöytää kehittämässä uuden liiketoiminnan turvallisuutta.

Tietoturvallisuus tuntuu olevan hyvää markkinointia

Hieman huvittuneina olemme seuranneet myös etenkin perinteisten IT-ratkaisutoimittajien tapaa vakuuttaa asiakkaansa ratkaisunsa tietoturvallisuudesta. Monet web-palvelujen käyttäjät ovat voineet huomata kuinka heidän käyttämänsä web-palvelu on ehdottoman turvallinen koska yhteys on SSL-suojattu.

Kaikki sovellusturvallisuutta tuntevat ymmärtänevät, että tällä lausumalla on vain vähän tekemistä sen kanssa, kuinka turvallista tietojen luovuttaminen sovellukseen on.

Maailmalta on mahdollista löytää myös kaikenlaisia tietoturvatodistuksia, joiden tehtävä on vakuuttaa asiakas siitä, että palvelu on turvallinen. Huvittavin löytämämme on PCI DSS -tietoturvastandardiin kuuluvan haavoittuvuusskannauksen “korvaava” Scanless PCI -palvelu, jossa siis ei näkemyksemme mukaan ole kyse mistään muusta kuin huijauksesta.

Nixun periaatteena on tyypillisesti ollut, ettemme lähde takaamaan minkään ratkaisun tietoturvallisuutta, koska täydellinen takaaminen ei vain ole mahdollista. Jos välineitä ja aikaa on riittävästi murtautuminen yleensä onnistuu. Tällöin kyse on asiakkaan liiketoimintaan liittyvästä riskienhallinnasta, eli siitä, kuinka paljon turvallisuuteen halutaan panostaa.

Nixun tapa antaa tunnustusta tietoturvallisuudesta

Katsottuamme kuitenkin aikamme alalla vallitsevaa epäselvyyttä lanseerasimme pari vuotta sitten Nixu Security Verified -sertifikaatin SaaS-palveluille, jonka avulla pyrimme varmistamaan, että asiakas joka sertifikaattia esittää on panostanut riittävästi turvallisuuteen - eli käytännössä kaikki sovelluksen kriittisiksi luokitellut haavoittuvuudet on korjattu ja sovelluksen ylläpito ymmärtää mitä jatkuva tietoturvallisuuden ylläpito tarkoittaa.

Sertifikaatin myönnämme vain niille asiakkaillemme, jotka ylläesitetyt ehdot täyttävät, esimerkiksi asiakkaamme Balancion on esittänyt tavoitteekseen sertifikaatin hankkimisen ennen tuotantoonmenoa; betassahan tällaista sertifikaattia ei ole.

Toki teemme työtä monien muidenkin kuin sertifioitujen asiakkaiden tai sovellusten kanssa, mutta noudatetaanko suosituksiamme vai ei, on toki aina loppukädessä asiakkaan oma valinta.

Loppukädessä Nixu, eikä mikään muukaan tietoturvayhtiö, voi koskaan taata minkään sovelluksen tai järjestelmän tietoturvallisuutta. Meistä, kuten varmasti muistakin aiheeseen vakavasti suhtautuvista, on kuitenkin tärkeää, että asiakkaat panostavat asiaan ja tekevät sen kunnolla, sen sijaan että hankkisivat feikki-todistuksia markkinointinsa tueksi.

Petri Kairinen vastaa Nixun myynnistä ja markkinoinnista ja on ihmeissään seuratessaan netin tarjoamia esimerkkejä tietoturvalla tapahtuvasta myynninedistämisestä