Kun yrityksen nettisivusto on joutunut hyökkäyksen kohteeksi, pitää jäljet siivota ja vahingot korjata. Telian tietoturva-asiantuntija Markku Parviainen antaa tässä parhaat palautumisvinkit.
Kaikista ensimmäinen toimenpide verkkohyökkäyksen jälkeen on sulkea murtautujalta kaikki yhteydet palvelimelle. Se tarkoittaa kaikkien ylläpitotunnusten ja salasanojen vaihtamista. Jos epäilet, että hyökkäys on levinnyt ja internet-palvelimen lisäksi on murrettu muutakin, pitää myös puhdistaminen tehdä laajemmalla skaalalla.
”Jos ylläpitäjän työasemalta on saatu nuuskittua ylläpitotunnukset, niin palvelimen lisäksi tulee puhdistaa kyseinen työasema. Se tarkoittaa kaikkia koneelta käytettyjä tunnuksia palvelusta riippumatta, siis esimerkiksi Gmailia ja Facebookia. Kun käyttäjätunnukset ja salasanat on vaihdettu, murtautuja ei voi enää hyödyntää niitä”, Telian tietoturva-asiantuntija Markku Parviainen neuvoo.
1. Varmuuskopiot kuntoon
Jotta järjestelmät voidaan palauttaa entiselleen, tarvitaan varmuuskopioita. Niiden turvallinen ylläpito on oma juttunsa, eikä yhdestäkään varmuuskopiosta ole hyötyä, jos yrityksen järjestelmiin murtautunut pääsee käsiksi myös niihin.
”Varmuuskopiot pitää säilyttää niin, ettei niitä voi missään tilanteessa poistaa siltä koneelta käsin, joka on varmuuskopioitu. Kopioita ei pidä tallentaa yrityksen verkkoon, jotta palvelimen murtaja ei pääse niihin helposti käsiksi. Toisaalta usb-muistillekaan ei kannata varmuuskopioida läppärin sisältöä, sillä tikun sisällön voi tuhota samalla hetkellä, kun se kiinnitetään koneeseen.”
Hyvin varmistettu pilvipalvelu on Parviaisen mukaan varma vaihtoehto varmuuskopiointiin.
”Sielläkin pitää tarkista, ettei palvelu ole vain verkkolevy, joka otetaan käyttöön, kun varmuuskopio tehdään. Silloin esimerkiksi hakkeroitu työasema voi tuhota myös pilvessä olevan kopion. Varmin tapa tehdä varmuuskopiointi turvallisesti on se, että pilvipalvelu tekee varmuuskopiosta itsenäisesti rinnakkaiskopion. Ja vielä niin, että dataa lähettävä kone ei pääse rinnakkaiskopioon käsiksi.”
Palvelinympäristössä yleisin tapa toteuttaa tämä on se, että varmuuskopiopalvelin hakee tarvittavat tiedot. Näin se palvelin, jolla data sijaitsee, ei pääse suoraan käsiksi varmuuskopioihin.
2. Aukot umpeen
Tiedostojen palauttamisen lisäksi on tärkeää tukkia alkuperäinen aukko, josta hyökkääjä pääsi palvelimelle sisään. Sen löytäminen voi olla erittäin vaikeaa. Usein alkuperäinen syy löytyy jonkinlaisesta ohjelmistovirheestä.
Lääke aukkoja vastaan on päivittäminen. Järjestelmässä oleva aukko voi olla esimerkiksi avoimeen lähdekoodiin perustuvassa ohjelmistossa. Murtautumisen riski pienenee, kun käytössä on aina uusin mahdollinen versio.
”Tilanteen korjaaminen on vaikeampaa, jos yrityksellä on palvelimellaan jokin itse toteutettu järjestelmä. Kun sellaiseen murtaudutaan, ei maailmassa ei ole todennäköisesti yhtään toista käyttäjää, jolla olisi samanlainen ohjelmistovirhe. Tällaisenkin tietoturva-aukon löytyminen on sitä helpompaa, mitä parempia järjestelmälokeja on käytössä”, Markku Parviainen ohjeistaa.
3. Oikeudet oikeille ihmisille
Yritysten palvelimilla pyörii usein jokin sisällönhallintajärjestelmä, kuten yleisesti käytetty WordPress. Siinä voi olla satoja moduuleita, jotka lisäävät järjestelmään toimintoja. Moni niistä on yrityksen kannalta täysin turhia. Tällaisen järjestelmän ylläpito on vähintään yhtä tärkeää kuin päivittäminen.
”Palvelimen turvallisuus paranee, kun siellä pyörivistä järjestelmistä poistetaan tarpeettomat toiminnallisuudet. Käytössä pidettävät toiminnot konfiguroidaan niin, että tiedetään, kuka saa tehdä mitäkin ja millä ehdoilla. Tietoturvallisessa järjestelmässä tiedetään tarkasti, mitkä hakemistot ovat yleisesti kirjoitettavia ja mistä käsin saa käynnistää ohjelmia.”
Teksti: Sami Sirkiä
Kuva: Shutterstock