Tietoturvariskit ja AWS:n tietoturva – lue AWS-asiantuntijan haastattelu

Published 6.6.2023
Reading time approx 3 min

Digitaalisen ympäristön muuttuessa myös kyberrikollisuuden keinot ja tietoturvariskit muuttuvat. Haastattelimme kokenutta AWS-asiantuntijaa ja -kouluttajaa Petri Riihikalliota ja kysyimme, mitä asioita on huomioitava juuri nyt tietoturvariskien pienentämiseksi. Lisäksi kysyimme Petriltä, miten AWS-soveltuu mm. organisaatioihin, joissa on korkeat tietoturvaan liittyvät vaatimukset. Lue Petrin vastaukset alta.

Millaisiin tietoturvariskeihin on erityisesti juuri nyt hyvä varautua?

Salauskiristykset ovat todella yleisiä. Organisaation toiminta halvaantuu täysin, jos kaikki tiedostot ovat yht’äkkiä käyttökelvottomia. Virtuaalivaluutat tekevät kiristämisestä helppoa ja turvallista rikollisten kannalta, koska lunnaita ei voida jäljittää. Rikolliset voivat toimia mistä päin maailmaa tahansa ja automatisoida toimintansa. Automatisoitu kiristys skaalautuu erinomaisesti ja toiminta on hyvin tuottoisaa. Ilmanko sitä yritetään niin laajasti.

Hajautettuja palvelunestohyökkäyksiä tehdään edelleen. Palvelunestohyökkäykset ovat lähinnä kiusantekoa, josta ei saa rahallista hyötyä, joten rikollisia ne eivät kiinnosta. Alussa näitä hyökkäyksiä tehtailivat huomionkipeät hakkerit, mutta nykyään asialla on ilmeisesti valtiollisia toimijoita. Osa hyökkäyksistä on suunnattu näkyviä kohteita vastaan, kuten valtionhallintoon, mutta välillä kohteiden valintaperusteita on vaikea ymmärtää. Tarkoituksena kai on vain aiheuttaa yleisössä epävarmuutta ja turhautumista.

Salasanojen kalastelu on yhä suosittua. Osa on rikollisten tekemää, jossa tavoitellaan pankkitunnuksia tai muita henkilötietoja. Enää ei voi luottaa siihen, että kalastelun tunnistaa tökeröstä ulkoasusta tai kielioppivirheistä. Kalasteluviestien laatu on parantunut koko ajan. Vielä vaarallisempaa on kohdennettu kalastelu, jossa tavoitteena on joku tietty henkilö. Tästä ihmisestä on ensin selvitetty kaikki mahdollinen tieto julkisista lähteistä, kuten sosiaalisesta mediasta. Sitten käytetään tuttuja nimiä ja tapahtumia hämäämään kohde kirjautumaan huijaussivustolle.

Mitkä kolme asiaa nostaisit, jotka on muistettava tietoturvahyökkäyksien minimoiseksi?

Salauskiristyksiin auttaa tietysti haittaohjelmilta suojautuminen, mutta ainoa varma keino on ajantasaiset varmuuskopiot. Varmuuskopiointi kuulostavaa tylsältä ja vanhanaikaiselta, mutta se on edelleen tärkeää, vaikka varmuuskopioita ei enää juuri tarvita laiterikkojen varalle. Varmuuskopioita ei saa säilyttää samalla koneella, koska silloin nekin voivat joutua salakirjoitetuiksi. Varmuuskopiot pitää siirtää toisaalle tai muuten estää niiden päälle kirjoittaminen.

Palvelunestohyökkäyksiä vastaan auttaa pilvipalvelut. Käyttämällä pilvioperaattorin suojauksia voi hajauttaa oman palvelunsa kestämään hajautettuja hyökkäyksiä. Jos yhden koneen tukahduttamiseen tarvitaan vaikka tuhat hyökkäyskonetta, niin pilvioperaattorin tuhannen koneen farmin tukahduttamiseen botteja tarvitaan miljoona. Vaikka oma palvelu haluttaisiin edelleen pitää omassa konesalissa, voi yhteyspyynnöt ohjata kulkemaan pilvessä olevan suojauskerroksen kautta.

Salasanojen kalastelua vastaan auttaa tietysti käyttäjien opastus, mutta myös käyttäjätunnusten federointi. Sen sijaan, että on monia tunnuksia eri järjestelmiin, kannattaa keskittää tunnukset yhteen, hyvin suojattuun järjestelmään. Käyttäjät tunnistautuvat tähän järjestelmään useammalla keinolla: salasana, tekstiviesti, sähköposti, mobiilisovellus – ja sen jälkeen pääsevät käyttämään kaikkia tarvittavia järjestelmiä.

Miten AWS soveltuu organisaatioille, joilla on hyvin korkeat tietoturvaan liittyvät vaatimukset ja miten AWS soveltuu sensitiivisen datan käsittelyyn tai säilyttämiseen?

AWS:n koko toiminta on avoinna internetiin päin, joten AWS:n on pakko ottaa tietoturvauhat tosissaan ihan oman toimintansakin takia. AWS:llä on paljon työntekijöitä, jotka vastaavat tietoturvasta kokopäiväisesti ja heitä on paikalla myös vuorokauden joka hetkenä. Kaikkia järjestelmiä valvotaan koko ajan. Heillä on valtavasti kokemusta erilaisista hyökkäyksistä ja niiden torjumisesta.

AWS noudattaa amerikkalaisia standardeja PCI-DSS ja HIPAA maksuliikenteen ja potilastietojen suojaamiseksi. Molemmat ovat kovia vaatimuksia, koska näiden palvelujen varassa on iso osa kansalaisten luottamuksesta yhteiskunnan toimivuuteen. Myös eurooppalaista GDPR:ää voi noudattaa esimerkiksi valitsemalla missä tietoja säilytetään. Nämä ovat kuitenkin vasta perusinfrastruktuuria, joiden varaan rakennettu palvelu pitää myös suunnitella tietoturvalliseksi. Toisaalta luotettava perusta on hyvä alku turvallisen palvelun rakentamiseen. AWS:llä on paljon dokumentaatiota tietoturvasta – ovathan he nähneet jo vaikka mitä. Muiden kokemuksista on hyvä ottaa opiksi.

Sinua saattaisi kiinnostaa

Tags

AWS Tietoturva Kyberturvallisuus