Asiantuntijan vinkki: Muista tietoturva joka tasolla. Heikoimman kerroksen pettäminen voi tehdä kaikki muut hienot ja kalliit kerrokset täysin hyödyttömiksi.
Tietoturva on asia, jota ei voi korostaa tarpeeksi. Kun rakennamme tietojärjestelmiä, panostamme usein vahvoihin salasanoihin, monivaiheiseen todennukseen, salattuun tiedonsiirtoon ja jopa immutable-tyylisiin varmistuksiin. Nämä ovat kaikki tärkeitä toimenpiteitä, mutta jos emme kiinnitä huomiota heikoimpaan lenkkiin, voi koko järjestelmämme olla vaarassa.
Heikoin lenkki tietoturvassa voi olla jotain, jota emme aluksi edes ajattele. Se voi olla yksinkertainen salasana, joka on jätetty oletusasetukselle tai joka on jaettu monien käyttäjien kesken. Tämä on juuri se tapaus, josta sain hiljattain kokemuksen erään asiakkaan kautta.
Yksi IT-talo, joka oli aiemmin hostannut asiakkaan ympäristön, lähetti meille tietokannan pääkäyttäjän salasanan, joka oli edelleen oletusasetuksella. Tämä salasana oli käytössä myös asiakkaan client-sovelluksessa tietokantayhteydessä. Tilanne oli siis täysin vastoin kaikkia tietoturvasääntöjä. Olin yhteydessä asiakkaaseen ja kehotin heitä vaihtamaan salasanan välittömästi.
Ehdotin, että luomme erillisen käyttäjätunnuksen client-sovelluksen tietokantayhteydelle ja rajoitamme sen käyttöä vain tiettyihin lähteisiin. Tällä tavoin voisimme luoda useamman tietoturvakerroksen, joka suojaisi tietokantaa entistä paremmin.
Näiden ehdotusten avulla, vaikka joku ulkopuolinen pääsisi jostain syystä käsiksi tietokantaan ja client-sovelluksen käyttämään tunnukseen, hän ei voisi hyödyntää niitä, ellei hän ole määritellystä lähteestä. Tämä lisäkerros auttaa suojaamaan järjestelmää kokonaisuutena.
On tärkeää ymmärtää, että tietoturva ei ole vain yhden henkilön tai yhden toimenpiteen vastuulla. Se on kokonaisvaltainen lähestymistapa, joka vaatii kaikkien osapuolten sitoutumista ja yhteistyötä. Meidän on opittava näkemään asiat eri näkökulmista ja tarkastelemaan järjestelmäämme kriittisesti. Jokaisen heikon lenkin paikantaminen ja vahvistaminen on välttämätöntä.
Tietoturva ei ole kertaluontoinen projekti, vaan jatkuva prosessi. Sen on oltava osa yrityksen kulttuuria ja arvoja. Muistakaamme siis tietoturva joka tasolla ja varmistetaan, että heikoimmastakin lenkistä tulee vahva osa tietoturvaketjua.
Jos aihe kiinnostaa lisää, kannattaa sinun kuunnella IT:n pelastajat #Pilvessä-podcastin jakso, jossa kerron, miten kerrospukeutuminen liittyy IT-infran tietoturvaan ja kuinka syvällä foliohattu pitää olla tietoturvallisen infran saavuttamisessa. 👇
Kirjoittaja:
Matti Väisänen
Ratkaisuarkkitehti, Magic Cloud
