”Absoluuttista luottoa ei koskaan ole ollutkaan” – Kaksi merkittävää tietomurtoa, neljä vastausta

Kyberturvallisuuskeskus suosittelee salasananhallintapalvelujen käyttöä LastPass-palveluun kohdistuneesta tietomurrosta huolimatta.

internet
Tietoiikennejohtoja.
Yle

Verkkomaailmaa ovat jälleen ravistelleet uudet, merkittävät tietomurrot. Kesäkuun puolivälissä paljastuivat niin tutkimuslaitos Kaspersky Labiin kohdistunut hyökkäys kuin salasananhallintapalvelu LastPassiin tehty tietomurto.

Lisäksi heinäkuun alussa paljastui, että valtioille ja viranomaisille verkkovalvonta- ja vakoilutyökaluja myyvään Hacking Teamiin oli hakkeroitu ja muun muassa yrityksen asiakastietoja ja sähköposteja vuodettu julkisuuteen.

LastPass on palvelu, joka luo pitkät ja vahvat salasanat eri palveluihin, ja palvelun käyttäjän tarvitsee muistaa vain yksi pääsalasana palveluun. Palvelusta onnistuttiin viemään käyttäjätietoja ja salatut pääsalasanat, mutta ei tiettävästi kuitenkaan sinne tallennettuja salasanoja. Salattujen pääsalasanojen murtaminen on kuitenkin mahdollista etenkin, jos ne eivät ole vahvoja.

Maailman johtaviin tietoturvataloihin kuuluvaan Kasperskyyn kohdistunut tietomurto puolestaan oli merkittävä siksi, että siinä käytettiin hyväksi kolmea niin sanottua nollapäivähaavoittuvuutta, eli haavoittuvuutta, jota ei aiemmin ole tunnistettu, eikä sitä ole siksi voitu paikata tai tunnistaa virustorjuntaohjelmistoilla.

Tietoturva-asiantuntija Ilkka Sovanto Viestintäviraston Kyberturvallisuuskeskuksesta, voiko minkään palvelun tietoturvaan enää luottaa, jos tällaisiinkin palveluihin ja organisaatioihin päästään tunkeutumaan?

Absoluuttista luottoa ei koskaan ole ollutkaan. Tietomurtoja tapahtuu jatkuvasti, joskin näitä korkean profiilin juttuja hieman harvemmin. Esimerkiksi viime vuonna oli useampikin isompi tapaus, jossa tunnettuun palveluun tehtiin tietomurto. Tietomurtoja on hyvinkin monenlaisia, ja se vaihtelee paljonkin, millaisia tavoitteita hyökkääjällä on. Kyseessä voi olla esimerkiksi taloudellisen edun tavoittelun vuoksi tehty tietomurto tai sitten valtiollinen tiedustelu.

Millaisia trendejä kyberturvallisuudessa sitten on tällä hetkellä näkyvissä? Kasperskyn kohdalla on veikkailtu, että hyökkäyksen taustalla olisi valtiollinen taho. Onko esimerkiksi valtiollinen tiedustelu lisääntynyt?

Valtiollinen toiminta on ollut julkisessa keskustelussa enemmän kyllä ollut esillä, ja Kasperskyn kohdalla saattaisi olla hyvinkin taustalla valtiollista tiedustelua käytettyjen menetelmien edistyksellisyyden vuoksi.

Mitä merkitystä tällaisilla tietomurroilla on tavalliselle ihmiselle?

Tavallisen käyttäjän kannalta suurin yksittäinen vaikutus on se, että palvelusta viedään käyttäjätietoja. Esimerkiksi sähköpostiosoitteet voidaan tällöin lisätä roskapostilistoille.

Kannattaako salasanojen hallintapalveluita sitten puolestaan enää käyttää, jos yhteen on jo murtauduttu?

Kyllä meidän suosituksemme edelleen on, että niitä kannattaa käyttää. Ne mahdollistavat sen, että joka palveluun on eri salasana, joka on tarpeeksi pitkä ja vahva. LastPassin mukaanhan palveluun tallennettuja salasanoja ei viety, vaan ainoastaan käyttäjätietoja ja salattu pääsalasana.