Tietoturvan heikoin lenkki on käyttäjä, tämä on todettu valitettavan usein. Tietomurrot ja tietojen kalastelu onnistuvat helposti, jos käyttäjä ei osaa toimia oikein.

Onneksi organisaatioille on tarjolla lukuisia keinoja tietoturvariskien ennaltaehkäisemiseksi ja haittojen minimoimiseksi. Yksi näistä on Multi-factor Authentication, eli monivaiheinen tunnistautuminen. Lempinimeltään MFA.

Monivaiheisesta tunnistautumisesta on puhuttu jo vuosia, mutta silti globaalisti vain n. 8 prosenttia O365-tenanteista käyttää MFA:ta tunnistautumiseen. Vain kahdeksan prosenttia. MFA on kuitenkin tämän päivän palomuuri – ensimmäinen puolustuslinja. Ilman sitä ei ole juuri muuta suojaa, kuin loppukäyttäjien valveutuneisuus. Kysyin taannoin eräässä noin 50 osaanottajan tapahtumassa, monellako yleisöstä on MFA käytössä.  Kuusi kättä nousi, joka tekee tällä pienellä otannalla 12 %. Emme me täällä Suomessa taida paljon parempia olla. Valitettavasti.

Työtä on vielä tehtävä, jotta asia saadaan suomalaisissa organisaatioissa kuntoon. Kyse ei ole siitä, että tietoturvasta ei olla kiinostuneita tai ettei siitä välitetä. Mielestäni MFA:n tärkeydestä ei vain olla riittävän tietoisia.

Kuulen usein väitteitä siitä, kuinka hankalaa MFA:n käyttäminen on. Tulee tekstiviestejä, notifikaatioita ja ilmoituksia. Microsoft Authenticator on älypuhelimessa toimiva todentajasovellus, jolla monivaiheinen tunnistautuminen onnistuu kevyesti ja vaivattomasti. Paradoksaalisesti myös sovelluksen huonoin puoli on se, että tunnistautuminen onnistuu kevyesti ja vaivattomasti.

Käyttäjien osaamisen ylläpitäminen minimoi riskejä

Asiakkaamme kohtasi taannoin seuraavan tilanteen; organisaatiossa oli havaittu, että yksittäisen käyttäjän sähköpostilaatikossa tapahtuu kummia. Kaikki saapuneet viestit oli merkitty säännönmukaisesti aina luetuiksi, kun käyttäjä avasi sähköpostinsa. Asiaa tutkittiin ja todettiin, että laatikkoon oli päästy luomaan automaattinen sääntö käyttäjän tietämättä. Se lähetti kaikki saapuneet viestit kopiona eteenpäin ”rosvon” määrittämään osoitteeseen.

Tässä tapauksessa rosvon luomaan komentosarjaan jäänyt kauneusvirhe, eli sähköpostien luetuksi merkkaaminen, paljasti lopulta tietomurron. Siitä huolimatta sähköposteja ehdittiin välittää eteenpäin usean kuukauden ajan, eikä käyttäjä ollut liputtanut sähköpostin kummallisuutta tietohallinnolle heti sen ilmaannuttua. Satoja viestejä lähti väärille teille. Entä jos komentosarjasta olisi jäänyt tuo kauneusvirhe pois? Kuinka kauan haitta olisi silloin jatkunut?

Edellä kuvattu tilanne oli alkanut tietojenkalastelusta, jossa loppukäyttäjän kirjautumistunnus ja salasana oli saatu tietoon sähköpostihuijauksella. Tämän tyyppisestä toiminnasta käytetään yleisesti termiä ”phising”.

Toinen esimerkki. Asiakas kysyi minulta: miksi Authenticator-sovellus kyselee häneltä tunnistautumisia jatkuvasti, vaikka hän ei itse ole kirjautumassa mihinkään järjestelmään? Tämän kaltaisessa tilanteessa voidaan olettaa tunnuksen ja salasanan vuotaneen, joten oikea ratkaisu oli vaihtaa salasana uuteen. Ongelmaa ei enää ilmennyt tämän jälkeen.

Asiakas toimi tässä tilanteessa täysin oikein, eikä hyväksynyt tuntemattomia tunnistautumispyyntöjä. MFA toimi juuri oikealla tavalla. Mutta entä jos asiakas olisi ollut vähemmän valveutunut? Olisi hyväksynyt pyynnöt sen enempää ihmettelemättä? Onnistuuhan tuo Authenticatorilla – kevyesti ja vaivattomasti. Tarvittaessa vaikka kotisohvalta uutisten lomassa.

Testaa organisaatiosi loppukäyttäjien valveutuneisuus

Kuten sanottua, tietoturvassa moni asia on pitkälti kiinni käyttäjien osaamisesta ja hoksottimista. Onneksi heille voidaan tarjota toimintaohjeita ja koulutusta aiheesta. Mielenkiintoinen väline organisaatiosi valmiuden testaamiseen on Microsoft Attack Simulator. Sen avulla luodaan tekaistu, aidon oloinen kalasteluviesti, joka lähetetään valituille vastaanottajille organisaation sisällä. Attack Simulator kerää viestin avaukset ja kaikki siellä suoritetut toiminnot statistiikaksi, jonka pohjalta voidaan tehdä johtopäätöksiä loppukäyttäjien toimintamalleista ja niiden aiheuttamista tietoturvariskeistä.

Lasse Ketola

Lasse toimii Tietokeskuksessa pilvitiimin esimiehenä.

Voisimmeko olla avuksi Office 365-asioissa?

Jätä yhteystietosi alle, olemme sinuun yhteydessä: