Mobiilitietoturva - Kyberpahikset rakastavat kännykkääsi
Koelentoprojektien parissa työskennellyt Edward A. Murphyn mukaan nimetty Murphyn laki muistuttaa, että ”jos jonkin asian voi tehdä monella tavalla ja näistä tavoista yksi johtaa onnettomuuteen, ennen pitkää joku tekee asian sillä tavalla”.
Vaikka tietoturvallisuus ja tietotekniikka ei liity suoraan tieteelliseen tutkimukseen, mistä Murphyn periaate syntyi, voi sitä käyttää oivana muistutuksena toimivan tietoturvasuunnittelun tärkeydestä. Valistuneet yritykset ovat nähneet, kuinka esimerkiksi ransomware-ohjelmistot aiheuttavat turhaa haittaa liiketoiminnalle. Nykyään he osaavatkin vaatia, että heidän tietoihinsa päästään käsiksi vain laitteilla, joissa on nykyuhilta suojaavat tietoturvaohjelmistot ja riittävät tietoturvalliset määritykset. Näiden määritysten tulee löytyä niin tietokoneissa, kuin yrityksen käyttämissä mobiililaitteissakin. Näin yritykset ovat pystyneet minimoimaan mahdollisesta inhimillisestä virheestä johtuvan tietovuodon riskin ja keskittymään olennaiseen, eli bisnekseen.
Nykypäivän bisneksessä yritysten aktiivisessa käytössä on lähes poikkeuksetta älypuhelin. Puhelimen kautta verkkoon siirtyy salasanoja, luottokorttitietoja ja toisinaan myös yrityksen muuta bisneskriittistä tietoa.
On huolestuttavaa, että kymmenien eurojen arvoisilla pienillä, Kiinasta tilattavilla laitteilla voi anastamistarkoituksesta kiinnostuneet luoda hotellin tai muun yrityksen ilmaisverkolta näyttävän wi-fi -tukiaseman, purkaa puhelimen salauksen ja saada tiedot vaikkapa Dark webiin jälleenmyytäväksi. Dark webistä sitten koko Internet-verkon alueella toimiva järjestäytynyt rikollisuus voi nämä tiedot ostaa ja edelleen hyödyntää, käyttämällä niitä esimerkiksi toimitusjohtajahuijauksiin tai luottokorttihuijauksiin.
Mikäli lisätienestiä haluava ei pääse ihmisten luokse, voi tietotekniikan perustaidot omaava henkilö helposti kalastella esimerkiksi LinkedIn -salasanoja, netistä ladattavilla ohjeilla ja Kali Linux -ratkaisulla. Älypuhelin helpottaa kalastelua sillä, että se usein piilottaa epäilyttävät WWW-osoitteet, näyttääkseen vain käyttäjän kannalta tärkeän käyttöliittymän.
Teollisuusvakoilu- tai kiristysmielessä on huolestuttavaa, että puhelin pystyy kertomaan, missä sitä käytetään, ottamaan valokuvia ympäristöstään ja tallentamaan keskusteluita, joita ei ole tarkoitettu huoneen ulkopuolelle vuodettavaksi.
Cyber security saunassa keskustelua mobiililaitteiden tietoturvasta.
Onkin hyvä herätä älypuhelinten mukanaan tuomaan riskiin. Uhkien pienentämiseen on kaksi tärkeää ratkaisua: Puhelinten laitehallinta ja tietoturvaohjelmistot.
Puhelinten laitehallinta, sisäinen keino vaikuttaa tietoturvaan
Keskitetyllä mobiililaitteiden hallinnalla voidaan varmistaa, että yrityksen tietoja ei pääse katselemaan tai muokkaamaan, mikäli käyttäjän identiteettiä ei tarkisteta luotettavasti tai ollenkaan. Hallituissa puhelimissa on mahdollisuus eriyttää yrityksen käyttämät ohjelmistot ”toiseen virtuaaliseen kännykkään”, johon muut kuin yrityksen ohjelmistot eivät pääse käsiksi. Näin ollen, jos käyttäjä onnistuu lataamaan troijalaisen sisältämän applikaation, haittaohjelma ei pääse keräämään tietoja yrityksen suojaamista ohjelmista.
On tärkeää ymmärtää, että yritys omistaa tietonsa, vaikka ne olisivatkin työntekijän omassa puhelimessa. Yritys voi tarjota työntekijälle mm. oman sähköpostisovelluksen ja Teams -sovelluksen, joilla käytetään vain yrityksen tietoja. Kun työntekijä lähtee pois yrityksestä, poistetaan puhelimesta yrityksen tiedot ja mahdollisesti sovellukset, joissa näitä on käytetty.
Laitehallinnalla voi varmistaa, että laite on riittävän turvallinen.
Sillä voi esimerkiksi pitää huolen, että puhelimessa on
- sellainen käyttöjärjestelmän versio, jossa ei ole tunnettuja tietoturva-aukkoja
- suojakoodi käytössä
- Monivaiheinen tunnistautuminen
- vaaditut tietoturvaohjelmistot
Työntekijä voidaan päästää kiinni yrityksen tietoihin, kun on varmistettu, että puhelimessa toteutuu yrityksen toivoma tietoturvan taso.
Tietoturvaohjelmisto suojaa kyberpahiksilta
Tarjolla on kahdentyyppisiä tietoturvaratkaisuja: Puhelintasolla hyökkäykset estäviä puhelinten tietoturvaohjelmistoja ja tietoliikenteen suojaavia VPN-ratkaisuja.
Tietoturvaohjelmisto voi havaita esimerkiksi hotelleissa ja kahviloissa tapahtuvat man in the middle -hyökkäykset, tunnistamalla hyökkääjän, joka esittää olevansa luotettu WiFi -verkon toimittaja. Ohjelmisto voi tunnistaa epäilyttävät applikaatiot, kalasteluyritykset ja virukset.
VPN salaa automaattisesti kaiken laitteeseesi tulevan, ja siitä lähtevän liikenteen, antaen osaltaan sinulle mahdollisuuden käyttää turvallisesti julkisia Wi-Fi- ja mobiiliyhteyksiä. Se pyrkii varmistamaan, että puhelimesta lähtevä tieto ei kulkeudu muualle, kuin luotettuihin palvelimiin. VPN mahdollistaa myös mm. IP-osoitteesi piilottamisen, sekä maantieteellisesti rajoitetun sisällön käyttämisen.
”Käytännössä yli 90% hyökkäyksistä torjutaan toimivalla tietoturvaohjelmistolla. Tärkeintä on, että työntekijöillä on käytössään jonkinlainen puhelimen tietoturvaohjelmisto. Lisäksi on tärkeää, että ohjelmisto toimii niin hyvin, että sitä halutaan pitää päällä.”
–Aleksi Ceder, Asiakkuuspäällikkö ja tietoturvan ammattilainen, e-IT Oy
Kyberturvallisuuskeskus varoittaa:
FluBot-haittaohjelmakampanja on aktivoitunut jälleen ja sitä levitetään tekstiviestitse. Kyberturvallisuuskeskukselle tulleiden ilmoitusten perusteella, suomenkielellä kirjoitettuja huijausviestejä lähetetään tällä hetkellä kymmenille tuhansille suomalaisille.
https://www.kyberturvallisuuskeskus.fi/fi/varo-tekstiviestitse-levitettavaa-haittaohjelmaa
e-IT:n mobiilitietoturva
Me luotamme kotimaiseen, maailman parhaaseen WithSecuren mobiilitietoturvaan. Käy katsomassa lisää palvelusta mobiilitietoturvasivultamme.
