Microsoft 365 on sovellusten ja palvelujen integroitu käyttökokemus, jonka avulla voit tehdä tarvittavat toimet ja kasvattaa liiketoimintaasi. Saat esimerkiksi Wordin, Excelin ja PowerPointin päivitettyinä kuukausittain uusimmilla ominaisuuksilla ja suojauspäivityksillä. Voit tavoittaa asiakkaasi ja työtoverisi pilvipohjaisen sähköpostipalvelun avulla kaikkialta. Voit tehdä yhteistyötä Microsoft Teamsin avulla. Se on uusi ryhmätyökeskus, jossa voit keskustella, järjestää kokouksia ja jakaa tiedostoja.

Voit tallentaa tiedostot OneDriveen yhden teratavun verkkotallennustilaan, jolloin voit käyttää tiedostoja kaikissa laitteissa ja myös matkoilla. Voit hoitaa liiketoimintaasi yrityssovelluksilla, joilla voit hallita esimerkiksi asiakasaikatauluja, laskutusta ja lähetteitä yhdestä paikasta.

Saatavilla on myös lisenssit pelkille sähköposteille. (Exchange Online). Tällöin käyttäjällä on käytössään Microsoftin tuottama yritystason sähköpostipalvelu, ilman toimistosovelluksia. Exchange Online sähköposti toimii selaimella sekä ilmaiseksi saatavilla olevilla mobiili sovelluksilla. Jos asiakkaalla on jo voimassa oleva lisenssi esim. Microsoft Outlook sovellukseen voidaan tämä Exchange Online lisenssi liittää myös siihen. Myös muut sähköposti sovellukset ovat tuettuja.

Microsoftin maailmanlaajuisesti kuormituksen tasaavien tietokeskusten verkko auttaa saavuttamaan 99,99-prosenttisen verkon käyttöasteen. Microsoft 365 pilvipalvelun sähköposti alusta on myös erittäin suojattu, Microsoft käyttää vuositasolla miljoonia dollareita suojaustensa kehityksiin. Erittäin kehittynyt roskapostin suodatus, monimenetelmäinen (kaksivaiheinen) tunnistus sekä muut tietoturva ratkaisut takaavat sen että yrityksen tiedot pysyvät turvassa.

Voimme myös tarjota lisäturvana erilaisia Microsoftin sekä kolmannen osapuolen palveluita liitettynä Microsoft 365 ympäristöön jotka vievät turvallisuuden vielä seuraavalle tasolle.

Siirtyminen vanhasta sähköpostipalvelusta Microsoft 365 palveluun

Teemme asiantuntijatyönä siirtoja organisaatioille heidän vanhoista järjestelmistä Microsoft 365 palveluun. Melkein miten tahansa toteutettu sähköpostijärjestelmä on mahdollista siirtää Microsoft 365 pilvipalveluun menettämättä vanhoja posteja, kontakteja ym. Migraation hinta määräytyy nykyisen järjestelmän tyypistä sekä postilaatikkojen määrästä. Pyydä tarjousta!

Meidän rooli

V-Tek on rekisteröitynyt Microsoft Solution Provider (MSP)

Jälleenmyymme Microsoftin Microsoft 365 lisenssejä, se mikä erottaa meidät monista muista jälleenmyyjistä on että tarjoamme täyttä ylläpitoa Microsoft 365 asiakkaillemme. Tämä sisältää mm. uusien sähköpostitilien luonnin, poistot, erilaisten sääntöjen ym. luonnit, tietoturva kovennukset sekä jatkuvan seurannan. Tukipalvelumme on käytettävissä 24/7 ja vasteaikamme ovat erittäin nopeita.

Jokainen M365 sähköpostipalvelu tilaus V-Tekin kautta käy läpi SPF, DKIM, DMARC optimoinnit. Otamme asiakkaalle DKIM salausavaimet käyttöön sekä DMARC raportoinnin.*

Halutessaan asiakas saa meidän kautta myös Microsoft 365 ilman meidän ylläpitoa, jolloin hinnat ovat myös alhaisempia. Tällöin kaikki mahdolliset tuki pyynnöt menevät tuntiveloituksena hinnastomme mukaisesti.

Lisenssi vaihtoedot

Microsoft 365 lisenssejä on lukemattomia erilaisia. Pelkästä sähköpostista aina Office sovelluksiin. Ota yhteyttä ja voimme kartoittaa mikä on juuri teidän yrityksen tarve.

* Ainoastaan käytössä kun palvelulle tilataan V-Tek ylläpito. Muutoin lisäpalvelu.

The post V-Tek Managed M365 appeared first on V-Tek.

• Palvelimet optimoitu yritysten sivuja varten
• Uusimmat teknologiat
• Ei satoja tai tuhansia käyttäjiä per palvelin. Sivustojen latausnopeudet noin 30 % nopeammat kuin kilpailijalla.
• Dedikoidut palvelimet raskaimmille alustoille.
• Ilmaiset SSL-sertifikaatit vakiona
• DNSSEC tietoturva laajennus vakiona kaikille hallinnoimillemme verkkotunnuksille
• Alan asiantuntijat käytettävissänne sivustoprojekteissa ym.
• Tietoturvakovennukset palvelintasolla sekä esim. WordPress-alustalla sekä jatkuva seuranta.
• DDoS-hyökkäysten (palvelunesto) mitigaatio (perustaso, kovemmat suojaukset myös saatavilla)
• CDN-palveluiden hyväksikäyttö. Sivusto latautuu nopeasti niin Helsingissä kuin Singaporessa.
• Rekisteröitynyt verkkotunnusvälittäjä (kaikki saatavilla olevat domainit)
• Nimipalvelimet
• Palveluiden joustava räätälöinti
• Kotisivujen sisältö päivitykset.
• Nopeat ja ystävälliset tukipalvelut. Palvelutasosopimukset (SLA) myös mahdollisia.
• Täydellinen ylläpito*

*Jos haluatte ylläpitää omaa palveluanne itse, onnistuu se helposti ja tehokkaasti cPanel-käyttöliittymällä, jonka rinnalla saatte myös SSH-oikeudet palvelimelle.

Tarjoamme myös sähköpostipalveluita yrityksille, mm. Microsoft 365 täysin ylläpidettynä.

Kaikki pakettimme räätälöidään täysin asiakkaiden tarpeiden ja toiveiden mukaisesti. Ota rohkeasti yhteyttä ja kartoitetaan teidän yrityksen tarpeet.

The post V-Tek Yritys-hosting appeared first on V-Tek.

It’s one thing to have your #IoT toaster, dvr, smart candle, fridge, etc., appliance with stupid, unnecessary internet access compromised. But when it comes to #healthcare devices, ah well, it’s plain dangerous to peoples health. #IoT future is getting scarier each day.

Firstly it must be said that the device in question here is not connected to the internet. Quote from the original rapid7 disclosure of this vulnerability

 “Attack range  The OneTouch Ping does not communicate on 802.11 WiFi, or otherwise communicate on the internet. However, it is believed these attacks could be performed from one to two kilometers away, if not substantially further, using sufficient elevation and off-the-shelf radio transmission gear available to ham radio hobbyists.”

Internet or no internet, nevertheless, potentially a very dangerous scenario.

Johnson & Johnson (The manufacturer of the insulin pump) stated on the Reuters article that:

 “The probability of unauthorized access to the OneTouch Ping system is extremely low,” the company said in letters sent on Monday to doctors and about 114,000 patients who use the device in the United States and Canada.”

Extremely low? Well eh, that is still too much when taking in to consideration that a random hacker might kill you. This is not the first healthcare device scare where hackers can compromise the device and potentially cause such damage that the patient is killed. And I predict there will be a lot more to come.

On to the second matter, the massive DDoS (Distributed Denial of Service) attack against a journalist who is a security blogger and the French hosting provider OVH.

A botnet, Mirai was used in this attack, consisting of roughly 1.5million unprotected IoT devices, mostly internet-connected security cameras. The Mirai itself is not that sophisticated, it simply exploits the default credentials what manufactures use in their devices and take over the device. Most people, who purchase e.g. a security camera or any other internet connected IoT device do not change the default passwords on these devices. So it makes exploiting them very very easy.

The traffic that was thrown at the security blogger Brian Krebs was a huge approximately 665 Gigabits per second. OVH reported it got hit with even more junk traffic, over 1 Terabytes per second. Those numbers are so high that even the most advanced protection systems are bound to be crippled and the costs go sky high, so high in matter of fact that the company (Akamai) who was providing the protection to Brian Krebs had to take the site offline to avoid collateral damage to it’s other customers.

The attack on Brian Krebs, a journalist was a retaliation on some of his blog posts. In effect, the attackers censored his writings by taking his site down.

These massive attacks are coming more and more popular. With so many internet connected devices which are not protected we will see huge crippling attacks in the future. And I believe 1 Terabytes of traffic per second is just the beginning.

Manufactures of these IoT devices need to start taking security seriously. Stop using default credentials on their devices and either start enforcing password change at first login or use random passwords labeled on the device itself. Some even suggest Government oversight of these manufactures, forcing them to take steps to improve their devices security. Not a bad idea in my opinion.

What comes to #healthcare and #IoT, well… Stop that shit and do not make them available through a wireless connection. No no no, do not do that. It might be convenient for the user but.. ah well there’s the risk that your pacemaker will end up with that IoT toaster with default credentials.

Some very good reading below regarding and the issues I wrote about.

 Insulin Pump vulnerability:

Reuters article on the Insulin Pump vulnerability: http://www.reuters.com/article/us-johnson-johnson-cyber-insulin-pumps-e-idUSKCN12411L (J&J warns diabetic patients: Insulin pump vulnerable to hacking)

The original Rapid7 blog post about the vulnerability: https://community.rapid7.com/community/infosec/blog/2016/10/04/r7-2016-07-multiple-vulnerabilities-in-animas-onetouch-ping-insulin-pump

 Recent massive DDoS attacks:

KrebsOnSecurity Hit With Record DDoS: https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

The Democratization of Censorship: https://krebsonsecurity.com/2016/09/the-democratization-of-censorship/

How 1.5 million connected cameras were hijacked to make an unprecedented botnet: https://motherboard.vice.com/read/15-million-connected-cameras-ddos-botnet-brian-krebs

The Internet of Things Sucks So Bad Even ‘Amateurish’ Malware Is Enough: https://motherboard.vice.com/read/internet-of-things-malware-mirai-ddos

 Future of IoT security

We Need to Save the Internet from the Internet of Things: https://motherboard.vice.com/read/we-need-to-save-the-internet-from-the-internet-of-things

The post A small rant about IoT and security appeared first on V-Tek.

Teollinen internet eli IoT (Internet of Things)

Tässä artikkelissa tarkastellaan teollisuudessa ja ammattikäytössä olevien IoT-laitteiden tietoturvaa. Tässä ei tarjoa valmiita ratkaisuja, vaan pyritään paremminkin herättämään keskustelua teollisen internetin tietoturvasta.

Teollinen internet alkaa Suomessakin olla jo ”iso juttu”. Siitä ennustetaan yrityksille merkittäviä säästöjä, tuotannon tehostamista, parempaa analytiikkaa yms. Teollista internetiä koskevissa keskusteluissa ja esityksissä nousee aina sama asia esiin: taloudellinen hyöty – se, että IoT kätkee sisälleen satoja tai tuhansia miljoonia euroja hyötyä.

Nykyisin yhä useammat laitteet verkostoituvat ja tarjoavat dataa erilaisiin tarkoituksiin. On selvää, että ammattikäytössä, esimerkiksi teollisuudessa, IoT tarjoaa valtavia seuranta- ja etäkäyttömahdollisuuksia.

Teollisuudessa halutaan myös päästä helppoon datan käytettävyyteen, sen analysointiin ja varastointiin. Tätä ei ole enää nykypäivänä vaikea järjestää tehtaassa kuin tehtaassa. Koneisiin ja laitteisiin pystytään asentamaan monenlaista eri sensoria, jotka raportoivat tapahtumia reaaliajassa sekä osaavat ennakoida tarvittavat huollot yms. Etävalvonta ja -käyttö ovat myös vaivattomia. Myös vikadiagnostiikka helpottuu huomattavasti, kun toimittaja voi ottaa etäyhteyden esimerkiksi isoon kokonaisuuteen, joka koostuu satojen kilometrien päässä itse toimipisteestä olevista kymmenistä roboteista.

Tietoturva

IoT:n haasteina ovat tietoturva ja palveluiden tiukat saatavuusvaatimukset, joita ei välttämättä mietitä aina kovin tarkasti yrityksen johdossa. Teollinen internet ei itse asiassa poikkea ”tavallisesta” internetistä mitenkään. Koska data liikkuu samoja kaapeleita pitkin kuin muukin internetliikenne, IoT on myös yhtä lailla haavoittuva. Tämän vuoksi teollisen internetin tietoturvan pitäisi herättää paljon keskustelua. Esimerkiksi hakusanalla teollinen internet Google löytää kyllä runsaasti tuloksia, mutta sana ”tietoturva” esiintyy niissä vain harvoin.

Asiansa osaavat toimijat panostavat tietoturvaan ja ottavat sen vakavasti. Mutta kun puhutaan esimerkiksi yhtiöistä, jotka tekevät miljoonia liikevaihtoa, työllistävät satoja tai tuhansia henkilöitä ja omistavat patentteja, pitäisi tietoturvanäkökulman olla paljon enemmän esillä.

Teollisuudessa, alalla kuin alalla, kilpailu on kovaa ja armotonta. Teollisuusvakoilua esiintyy sen eri muodoissa paljon. On paljon skenaarioita, joissa kilpailija voi saada liikesalaisuuksia tietoonsa. Teollinen internet on mahdollinen uusi reitti teollisuusvakoilulle, joten teollisen internetin käyttöönotto vaatii yrityksiltä myös vakavaa tietoturvariskien analysointia.

Miten käy, jos kolmas taho saa hallintaansa koko yrityksen automatisoidun robottilinjan? Mitä tapahtuu, jos yritys on satsannut IoT:hen paljon ja kaikki koneet ja laitteet ovat verkostoituja? Muutama rivi PLC-koodia riittää aiheuttamaan esimerkiksi myrkkykaasujen poistoimurin toimintahäiriön tai laserleikkuriin tahallisia mutta vaikeasti havaittavia kalibrointivirheitä. Ongelmat eivät välttämättä ilmene heti, mutta pidemmällä aikavälillä tapahtuu merkittäviä vahinkoja. Ikävä esimerkki on Stuxnet-mato, joka ujutettiin Iranissa sijaitsevaan ydinlaitokseen. Tässä tapauksessa aiheuttajana oli ainoastaan yhden työntekijän saastunut työasema. Vaikka esimerkki on räikeä, voidaan miettiä, mitä Suomessa tapahtuisi, jos vastaava tapahtuisi vaikkapa vedenpuhdistamossa tai sähkölaitoksessa.

Yleensä asiansa osaavat hyökkääjät tekevät työnsä äärimmäisen pikkutarkasti. Kohdetta tiedustellaan viikkoja, jopa kuukausia, seurataan verkkoliikennettä, selvitetään palvelinten osoitteet ja se, minkä kanssa ne keskustelevat. Motivoitunut, asiansa osaava ja ehkä jopa palkattu hyökkääjä pystyy yleensä murtautumaan järjestelmään kuin järjestelmään ajan kuluessa. Tällöin ovat vaarassa automatisoidut etäkäytön mahdollistavat laitteet sekä koko yrityksen sisäinen verkko ja palvelimet. Olisi katastrofaalista, jos hyökkääjä saisi käsiinsä yrityksen salaiset piirustukset, henkilöstötiedot ja liikesalaisuudet. Julkisuudessa on ollut esillä tapauksia, joissa yrityksiä on kiristetty sillä, että ne saavat tietonsa takaisin haittaohjelman saastuttaneesta yrityksen verkosta. Tällaisia tapauksia on lukemattomia, mutta niistä ei välttämättä raportoida viranomaisille tai kerrota medialle. Selvästä syystä: maine kärsii.

IoT-järjestelmät varsinkin teollisuudessa poikkeavat tavallisista tietojärjestelmistä jonkin verran. Esimerkiksi koneisissa käytettävät sensorit on suunniteltu niin, että niitä käytetään massiivisessa skaalassa.

Esimerkiksi kotioloissa on helppoa katkaista verkkoyhteys kodin älytelevisiosta, jos epäilee olevansa hyökkäyksen kohteena. Aivan toinen asia on katkaista yhteys teollisuudessa toimivilta laitteilta, joiden toiminta vaatii jatkuvaa online-tilaa. Tämän takia teollisen internetin turvallisuus on niin kriittinen.

Myös monet teollisuuden IoT-laitteet ovat homogeenisiä, eli niillä on lukemattomia samoja ominaisuuksia. Esimerkiksi jonkin toimijan kommunikaatioprotokolla voi olla käytössä monissa erimerkkisissä sensoreissa. Kun tämä protokolla murretaan, ovat kaikki vaarassa.

Monista IoT-enabloiduilta laitteilta odotetaan jopa kymmenien vuosien toimivuutta. Tätä kuluttajamarkkinoilla harvemmin on. Tämä tuo turvallisuusongelman myös esille. Jos esimerkiksi sensorin kehittänyt yritys lopettaa toimintansa, mistä sensorille saadaan tietoturvapäivitykset tulevaisuudessa? IoT-järjestelmiä ei voi verrata esimerkiksi kotikoneen käyttöjärjestelmään, joka automaattisesti pitää itsensä ajan tasalla useiden vuosien ajan.

Lisäksi monet IoT-laitteet on suunniteltu niin, että niitä ei voida päivittää tai päivitysprosessi on yksinkertaisesti liian työläs tai mahdoton toteuttaa teollisessa ympäristössä. Hyvä esimerkki kuluttajamarkkinoilta koskee Fiat Chrysleriä, joka vuonna 2015 kutsui takaisin 1,4 miljoonaa ajoneuvoa, koska hyökkääjä pystyi langattomasti hakkeroimaan ajoneuvon. Korjaustoimenpidettä varten asiakkaan tuli toimittaa auto jälleenmyyjälle huoltoon. Todellisuudessa iso osa näistä autoista ei koskaan saanut päivitystä, koska omistajat näkivät prosessin liian hankalaksi – autohan toimi muuten hyvin.

IoT-laitteet toimivat monesti myös siten, että käyttäjällä on hyvin vähän mahdollisuuksia selvittää, mitä dataa laite kehittää. Tämä luo tietoturvaongelman, eli käyttäjä olettaa laitteen tekevän tiettyä dataa, mutta itse asiassa laite tekee myös jotain ylimääräistä.

Laitteiden fyysinen koskemattomuus on myös äärimmäisen tärkeää. Esimerkiksi kauppakeskuksissa ja yrityksissä vapaat seinissä olevat verkkoliitännät ovat riski, samoin reititin, kytkin tai muu laite, joka on piilotettu näkyvistä mainostaulun taakse. Hyökkääjällä on mahdollisuus pahimmillaan ottaa laite haltuunsa, mikäli sen fyysisiä liittimiä ei ole suojattu tarpeeksi hyvin.

Vaikka olemme Suomessa, meidän ei tule sivuuttaa iranilaisen ydinlaitoksen tapahtumia. Tämä on nykypäivää, eikä sitä kenenkään päättävässä asemassa olevan pitäisi unohtaa. Tietoturva maksaa, mutta maksaako se enemmän kuin iskut maineelle arkaluontoisten tietojen levittyä mediaan tai enemmän kuin vuosia kestäneen tuotekehityksen vuotaminen internetiin kaikkien kopioitavaksi.

Valvontaa pitää olla, ja sen pitää kattaa sekä yrityksen ulkoinen että sisäinen verkko. Omat työntekijät voivat myös olla se suurin riski yrityksen IT-toiminnalle. Liialliset käyttöoikeudet, salasanojen arvattavuus, tietoturvakäytännöt (niiden puuttuminen) yms. altistavat yrityksen kuin yrityksen hyökkäyksille.

Saatavuus

Oletamme nykyaikana, että melkein kaikki tärkeät palvelut ovat saatavilla 24/7: pankkiautomaatit, luottokorttien maksujärjestelmät yms. Yleensä tällaiset kriittiset palvelut ovat niin hyvin varmennettuja, että häiriöitä ei tapahdu – mutta häiriöitä tapahtuu silti. Pankit ovat tästä kärjistetty esimerkki, sillä häiriöt ovat harvinaisia, mutta joka tapauksessa niitä tapahtuu. Häiriöitä tapahtuu huomattavasti enemmän muussa liikenteessä, ja jos hyökkääjällä on tarpeeksi resursseja, saa hän käytännössä minkä tahansa palvelun estettyä.

Otetaan skenaario: Teollisessa yrityksessä on käytössä uudenaikaiset IoT-systeemit. Tehtaan hitsauskoneet vaativat aina työntekijän kirjautumisen esimerkiksi viivakoodin avulla. Tällöin dataan tallentuu työntekijän tiedot sekä se, mitä on tehty, miten paljon, millä hitsausarvoilla yms.

Mitä tapahtuu, kun yhteys pilvipalveluun katkeaa? Työntekijä ei pääse kirjautumaan sisään ja työnteko estyy. Kyseessä voi olla esimerkiksi hyvin kiireellinen työ. Koska palvelun saatavuus on estynyt, yritykselle tulee taloudellisia menetyksiä ja se voi jopa menettää asiakkaita.

Yhteyden katkeamiseen voi olla monia eri syitä, esimerkiksi laiterikot, verkkohäiriöt (toimittajan puolesta) mutta myös se suurin uhka – palvelunestohyökkäys. Tällaisia hyökkäyksiä tapahtuu internetissä jatkuvasti, ne kohdistuvat yrityksiin, pankkeihin ja julkiseen sektoriin. Hyökkäys voi kestää minuutteja, tunteja ja jopa päiviä, ja tänä aikana palvelun saatavuus on joko kokonaan poissa käytöstä tai toimii vajaalla teholla. Tämä riippuu yrityksen tietoturvaratkaisusta.

Tietoturva-ammattilaisille edellä kuvatut asiat ovat selviä, mutta tärkeintä on kuitenkin yrityksen johdon suhtautuminen tietoturvaan. Turvallisuuden, luotettavuuden ja vikasietoisuuden pitää olla tärkeysjärjestyksessä ensimmäisenä, kun suunnitellaan koneiden ja laitteiden verkostoitumista. Järjestelmätoimittajan tulee selvittää tietoturvaan liittyvät asiat riittävällä tarkkuudella ja investointinäkökulmasta johtajille, jotta he pystyvät tekemään oikeat päätökset.

Turvallisuus maksaa, samoin myös tietoturva. Tämän asian tiedostavat ovat valmiita ostamaan asiantuntijapalveluja ja ovat edellä niitä, joita tietoturva ei kiinnosta. Laitteiden ja koneiden liittäminen omaan verkostoon on varsin helppoa, mutta toinen asia onkin se, miten niistä saadaan turvallisia.

Loppujen lopuksi kyse on ihmisten ja yritysten tietoturvasta. Yritysten pitää ottaa huomioon tietoturva kaikessa, mitä ne tekevät IoT:n edistämiseksi omassa yrityksessään. Se tarkoittaa ammattilaisten konsultointia ja apua. Ei riitä, että yrityksellä on palomuuri, jonka ”pitäisi” estää tietyt asiat. Kun puhutaan kymmenien, satojen, tuhansien ihmisten henkilötiedoista sekä yrityksen liikesalaisuuksista, pitää turvatoimienkin olla riskien tasoiset.

Teollinen internet on hieno asia, jonka jokainen nykypäivän teknologiayritys ottaa huomioon sekä integroi omiin järjestelmiinsä. Mutta koskaan ei pitäisi olla huomioimatta tietoturva-aspektia. Se etu, joka saavutetaan uusilla menetelmillä, hyvin helposti myös menetetään – siksi tietämättömyys ja välinpitämättömyys saattavat pahimmillaan aiheuttaa yritykselle suuren vahingon.

Lopuksi vielä vähän statistiikkaa. Eli tietomurto lukuina (Nixu Oyj)

• 192 euroa – kustannus jokaista tietomurrossa menetettyä asiakastietoa kohden
• 25 % – inhimillisten virheiden osuus tietomurtoon johtaneista syistä
• 24 103 – tietomurrossa keskimäärin varastettujen asiakastietojen määrä
• 12 % – vähennys tietomurrosta aiheutuvissa kustannuksissa, kun yrityksessä on riskienhallintapäällikkö, tieturvaongelmiin erikoistunut asiantuntijaryhmä sekä jatkuvuuden hallintaprosessi
• 16 % – todennäköisyys yli 10 000 asiakastietoa kattavalle tietomurrolle (seuraavien 24 kuukauden aikana)
• 23 % – tietoturvaloukkauksista aiheutuvien kustannusten kasvu vuodesta 2013
• 69 päivää – keskimääräinen tietomurron selvittämiseen kulunut aika
• 206 päivää – keskimääräinen tietomurron havaitsemiseen kulunut aika

Lähteet joita käytetty tässä blogi kirjoituksessa.

The Internet of Things: An Overview Understanding the Issues and Challenges of a More Connected World. http://www.internetsociety.org/sites/default/files/ISOC-IoT-Overview-20151022.pdf

Nixu Oyj: Mitä tietoturva maksaa? http://www2.nixu.com/nixuCDC

The post Teollinen internet ja tietoturva appeared first on V-Tek.

Suosituimpia CMS-järjestelmiä ovat mm. WordPress, Drupal ja Joomla. WordPress-järjestelmää käytetään alustana miljoonissa eri sivustoissa. Näihin lukeutuu myös lukuisa joukko kansainvälisten uutistoimistojen ja suurten konsernien sivustoja.

CMS-järjestelmät ovat kehittäjän kannalta erittäin käteviä ja aikaa säästäviä verrattuna staattisiin, koodattuihin html-sivustoihin. Esimerkiksi WordPress ja Joomla perustuvat avoimeen lähdekoodiin, ja niihin on saatavilla tuhansia lisäosia, mm. verkkokauppoja, kuvagallerioita ja keskustelupalstoja.

CMS-järjestelmissä on hyvä pohja, johon kehittäjät voivat rakentaa omia lisäosia. Käyttäjähallinta on helppoa ja vaivatonta. Sivustoista saadaan myös näyttävän näköiset vähällä vaivalla. CMS-järjestelmissä on kuitenkin yksi haittapuoli, jota harvat www-kehittäjät ja ylläpitäjät ottavat huomioon: heikko tietoturva.

Yleinen trendi on, että mainostoimisto tekee asiakkaalleen kotisivut, ja yleensä alustana on WordPress. Sivustoista tulee näyttävät ja ne toimivat hienosti, ja toimisto kerää rahat asiakkaalta ja sanoo näkemiin. Kuukauden kuluttua tulee julki, että tietyssä moduulissa tai koko järjestelmässä on ilmennyt ”haavoittuvuus”. Sivuston tilannut asiakas, jolle on ehkäpä annettu myös sivujen päivityskoulutusta, on asiasta täysin tietämätön. Yleisesti saatetaan ajatella, että levytilan ja palvelun tarjoava hosting-yritys hoitaa nämä asiat. Väärin. Sivuston tekijä eli tässä tapauksessa mainostoimisto on varmastikin tietoinen WordPressin jatkuvista tietoturvapäivityksistä, ja käytännössä se on vastuussa päivityksistä, jos asiasta on ennalta sovittu. Mutta jos kyseinen toimisto ei ole informoinut asiakastaan mahdollisista uhista, se toimii moraalisesti ja eettisesti väärin.

Haavoittuvuuden vakavuus voi vaihdella, mutta pahimmassa tapauksessa haavoittuva sivusto saatetaan hakkeroida tuntien tai jopa muutamien minuuttien kuluessa haavoittuvuuden julkistamisesta. Sivuston tilannut yritys on nyt täysin sekaisin, sillä etusivulla näkyy jihadistijärjestön propagandaa! Se pyytää hosting-yritystä palauttamaan varmuuskopioista alkuperäisen sivuston, mutta muutaman tunnin kuluttua jihadistit ovat taas vauhdissa! Miksi niitä kiinnostaa suomalainen yrityssivusto, jossa esitellään hitsaustaitoja?

Totuus on, että eihän se niitä kiinnostakaan. Lukemattomat palvelimet tekevät jatkuvasti automaattisia haavoittuvuusskannauksia netissä etsien sivustoista tiettyä CMS-järjestelmää. Kun sellainen sivusto löytyy, seuraava askel on etsiä haavoittuvia ja päivittämättömiä moduuleita tai kenties koko järjestelmiä. Yleensä noin 24 tunnin kuluessa haavoittuvuuden julkistamisesta se löytyy jo sekä ilmaiseksi että kaupallisesti saatavista hyökkäystyökaluista.

Jotta saadaan käsitys siitä, miten paljon CMS-järjestelmät aiheuttavat tietoturva-aukkoja, seuraavassa on muutamia lukuja: (8.5.2015)

• Joomla-haavoittuvuuksia noin 1 200 kpl
• WordPress-haavoittuvuuksia noin 800 kpl
• Drupal-haavoittuvuuksia noin 300 kpl.

Luvut on kerätty cvedetails.com- ja exploit-db.com-sivustoilta. Luvuissa ovat mukana sekä CMS-järjestelmiä että niiden lisäosia koskevat ongelmat.

Ammattimainen www-kehittäjä – on se sitten iso mainostoimisto tai pöytälaatikkofirma – huolehtii aina siitä, että asiakkaan sivustot on suojattu myös tulevaisuudessa. Tämä perustuu joko palvelusopimukseen, jossa kehittäjä maksua vastaan lupaa pitää tietoturvasta huolen, tai koulutussopimukseen tms., jossa asiakkaan henkilöstölle annetaan myös sivuston tietoturvakoulutusta.

Kukaan ei ole nykyisin turvassa – tämä koskee yhtä lailla hitsaustöitä tekevää pienyrittäjää kuin suurta CNN-uutistoimistoa Yhdysvalloista. Mikään ei ole nolompaa yrityksen kannalta kuin se, että sivusto hakkeroidaan ja etusivu korvataan esimerkiksi jonkin äärijärjestön propagandalla. Puhumattakaan verkkokaupasta, joka menettää downtime-ajan vuoksi asiakkaita.

Kaikenkokoisten yritysten verkkosivujen turvallisuus on äärimmäisen tärkeää. Vuosimaksun maksaminen sivuston tietoturvasta huolehtivalle taholle on korvaamatonta yrityksen brändin kannalta. Koska internetissä tilanteet muuttuvat erittäin nopeasti, on palveluntarjoajalle ilmoitettava heti alusta pitäen, että tietoturvan on oltava kunnossa. Tämä koskee etenkin yrityksiä, joilla on nettikauppa. Jos palvelu on äärimmäisen bisneskriittinen, kannattaa pyytää kolmatta tahoa auditoimaan sivuston turvallisuus.

Jos yrityksenne siis tilaa sivustojen toteutuksen mainostoimistolta, kannattaa selvittää, mikä järjestelmä on kyseessä. Varmistakaa, että jokin taho valvoo jatkuvasti sivustoanne ja tekee tietoturvapäivitykset. Siihen ei kannata koskaan luottaa, että ”ei teitä kukaan hakkeroi eikä ketään kiinnosta tällainen yritys jossain kaukana Suomessa”. Kaikki ovat haavoittuvaisia, kun etsitään haavoittuvia sivuja internetin valtavassa maailmassa.

Tässä artikkelissa huomion keskipisteenä olivat WordPress ja Joomla. Samat asiat pätevät myös muihin CMS-järjestelmiin ja yleisesti ottaen sivustoihin, jotka käsittelevät dynaamista sisältöä. Suomessa on lisäksi monia toimijoita, jotka tarjoavat itse kehittämiään CMS-järjestelmiä. Nämä ovat myös haavoittuvia, mutta yleisesti ottaen niiden turvallisuus on parempi. Yleensä tällaiseen räätälöityyn alustaan kuuluvat kuitenkin automaattiset tietoturvapäivitykset.

V-Tek toimii vastuullisesti, ja pidämme aina huolen siitä, että asiakkaallamme on turvallisesti toteutetut sivut. Niiden toimintaa tarkastellaan päivittäin ja tietoturvauhkiin suhtaudutaan aina vakavasti.

The post Vastuullinen kotisivujen suunnittelu sekä toteutus appeared first on V-Tek.