Miljardi vuodettua salasanaa – pitäisikö huolestua?

Miljardi vuodettua salasanaa – pitäisikö huolestua?

Elokuun alussa Hold Security julkisti tiedot väitetystä salasanamurrosta, jossa 420 000 eri verkkopalvelusta kaapattiin yhteensä arviolta puolesta miljardista reiluun miljardiin käyttäjätunnus-salasana-yhdistelmää. Hurja määrä, pitäisikö tästä olla huolestunut? Ei, mikäli salasanoihin liittyvät yksinkertaiset perusasiat ovat sinulla ja organisaatiollasi kunnossa. Eri verkkopalveluja tullaan murtamaan nyt ja jatkossa – se kuuluu tähän päivään.

Yleisten tietomurtojen pohjalta ei tule painaa paniikkinappulaa varsinkaan jos murto ei ole kohdistunut sinuun tai organisaatioosi. Yllä mainittu salasanamurto toimii hyvänä esimerkkinä siitä, miten jäitä kannattaa pistää hattuun tällaisten tapausten yhteydessä. Kyseisen tietomurron yhteydessä organisaatioille alettiin kaupitella maksullisia palveluja, joiden avulla organisaatio voi tarkistaa, onko kaapattujen salasanojen joukossa heille kuuluvia tunnuksia. Vastaavanlaisten tietomurtojen yleistyessä, tapahtumat houkuttelevat helposti eri tarjoajia rahastamaan organisaatioita uutisten aiheuttamalla hysterialla.

Miten minimoit tietomurron riskin?

Organisaation näkökulmasta salasanojen vuotamisen riskiä pienennetään edelleen yksinkertaisin ja perinteisin keinoin: määrittelemällä salasanapolitiikka, kieltämällä samojen salasanojen käyttö organisaation ja yleisten verkkopalvelujen välillä sekä kouluttamalla henkilöstöä säännöllisesti.

Oman haasteensa kuvioon tuo organisaatioiden lisääntyvät pilvipohjaiset palvelut. Erityisesti palvelun ollessa liiketoimintakriittinen, on syytä välttää käyttäjähallinnan ulkoistamista pilvipalvelun tarjoajalle. Organisaation tulee muodostaa vähintään selkeä sisäinen politiikka asiasta sekä määritellä tarkasti sopimusehdot palvelusopimuksessa. Näin reagointinopeus ja -vastuu säilyvät salasanavuototilanteessa organisaatiolla itsellään. Muussa tapauksessa riskinä saattaa olla se, että yrityksen järjestelmissä ja ulkoisissa työkäyttöön liittyvissä palveluissa käytetään samoja salasanoja tai käyttäjät eivät suojaa ulkoisissa palveluissa olevia yritysten tietoja riittävän vahvoilla salasanoilla.

Mitkä ovat kriittisimmät salasanat yksityishenkilöille?

Myös yksityishenkilöille salasanojen hallinta aiheuttaa tunnetusti harmaita hiuksia. Useimmat salasanoista ja käyttäjätunnuksista johtuvat tietovuodot liittyvätkin juuri yksityisten henkilöiden käyttämiin vapaa-aikaan liittyviin palveluihin. Internet on täynnä kirjautumista vaativia palveluja ja periaatteessa niiden salasanoja tulisi vaihtaa jatkuvasti. Taakkaa helpottaakseen palvelut kannattaa jakaa kolmeen eri luokkaan niiden tarjoaman sisällön perusteella:

  1. Rahaan, henkilötietoihin tai muuhun arkaluontoisiin tietoihin liittyvät palvelut, kuten esimerkiksi PayPal-maksujenvälitysjärjestelmä. Käytä näissä palveluissa vahvoja erillisiä salasanoja ja vaihda ne säännöllisesti.
  2. Yksityisyyteen ja luottamuksellisuuteen vaativat palvelut, kuten Facebook ja Twitter. Käytä palveluiden välillä eri salasanaa ja pyri vaihtamaan niitä aika ajoin.
  3. Satunnaiset ja sisällöltään esimerkiksi hupia sisältävät sivustot, joissa ulkopuolisen pääsy ei käytännössä aiheuta henkilölle merkittävää haittaa. Näissä palveluissa voit käyttää samaa salasanaa

Jos sinulla on vaikeuksia muistaa salasanoja käyttämiisi palveluihin, yksi ratkaisu on ulkoistaa ongelma ja käyttää erillistä ohjelmistoa salasanojen hallinnointiin. Tällaisiin ohjelmiin voit tallentaa yhden pääsalasanan taakse kaikki käyttämäsi salasanat, jolloin käytännössä yhden salasanan muistaminen riittää. Toisaalta kaikki munat ovat tässä tapauksessa samassa korissa, joten kyseiseen palveluntarjoajaan ja tuotteeseen on tällöin syytä tutustua huolella ja siihen on pystyttävä luottamaan. Yksityishenkilönäkin kannattaa tarkistaa tällaisten palveluiden osalta, onko niillä tietoturvallisuuden hyvistä käytännöistä kertovia sertifiointeja tai ISAE-lausuntoja.

Vaikka tietomurrot tulevat varmasti yleistymään entisestään ja tuhot voivat olla pahimmassa tapauksessa merkittäviä, voi oman organisaation ulkopuolelle kohdistuvien tietomurtojen aiheuttamia välillisiä riskejä pienentää hyvinkin yksinkertaisten ja tuttujen keinojen avulla. Tärkeintä on tiedostaa uhat ja varautua ja valmistautua niihin ajoissa. Näin voidaan välttää paniikkinappulan painamista ja siitä mahdollisesti seuraavia väärien ratkaisujen tekemistä. Tutut ja helpot keinot kannattaa muistaa myös yksityishenkilötasolla, jolloin välttyy parhaimmillaan taloudellisilta menetyksiltä ja yksityisten tietojen joutumiselta vääriin käsiin.

Käy lukemassa myös edelliset blogimme ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen” ja ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.