You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2008-3

Jani Mäkelä

IT-laitetilojen turvallisuuden esittely ja käytännön arviointi

1. Johdanto

Kuinka hyvin yritysten IT-laitetilat tulisi suojata? Minkälaisia uhkia voi laitetiloihin kohdistua ja miten niihin tulisi varautua?

Tässä harjoitustyössä pohdin erään yrityksen IT-tilojen turvallisuutta. Aluksi kerron lyhyesti yrityksestä ja sen laitetiloista sekä IT-laitetilojen suojaustasoista. Sen jälkeen mietin mahdollisia tiloihin kohdistuvia uhkia, minkälaisia ne on, kuinka todennäköisiä ne on ja kuinka hyvin niiltä on suojauduttu. Lopuksi tiivistän työn yhteenvetoon.

2. Yritys ja sen laitetilat

Kyseessä oleva yritys, Ab Firma Oy, jonka tietoteknisiä laitetiloja tutkin, on parikymmentä henkilöä työllistävä pk-yritys. Firma on pienelektroniikan maahantuoja ja tukkuyritys, jolla on pääkonttori pääkaupunkiseudulla, jossa suurin osa työntekijöistä työskentelee. Pääkonttorissa on myös yrityksen varastotilat, hallinto- ja talousosasto. Työntekijöistä noin puolet on myyntimiehiä, muutama teknisen tuen osaaja, talousmiehiä sekä logistiikkatyöntekijöitä. Firman asiakkaat koostuvat yrityksistä, joita on ympäri Suomea, sekä jonkin verran myös muissa Euroopan maissa.

Firma Oy:n IT-laitetilat sijaitsevat pääkonttorissa erillisessä serverihuoneessa. IT-tiloissa on useampi palvelin, joihin on tallennettu yrityksen tietojärjestelmä, web-sivut sekä joiden kautta sähköpostiliikenne kulkee. Palvelimilla on paljon Firmalle elintärkeää tietoa, liiketoimintatietoa ja liikesalaisuuksia, joka kilpailijoiden käsissä voisi koitua Firman kohtaloksi. Tämän takia IT-tilat pitäisi suojata kohtuullisen hyvin. Lisäksi Firman toiminta hankaloituisi huomattavasti, sillä tilauksista tulee suurin osa sähköpostin tai internet-sivujen välityksellä. Myös laskutus on täysin sähköistetty, sekä yleinen kommunikaatio perustuu lähinnä sähköpostiin. Firma Oy:n palvelimien tiedot tallennetaan päivittäin nauhoille, joten laiterikon jälkeen toimintaa voidaan jatkaa melko pian uusien laitteiden hankkimisen jälkeen.

2.1. Suojaustasot

Valtiohallinnon tietoturvallisuuden johtoryhmän suosituksen [1] mukaan suojaustasoja on neljä: perustaso, tehostettu perussuojaus, erityis- ja täyssuojaus. Täyssuojaus, eli luokka 4 on nimensä mukaisesti täysin suojattu kaikilta mahdollisilta uhilta. Luokasta 3, eli erityissuojauksesta, puuttuu luokkaan 4 verrattuna vain ydinräjähdyksestä syntyvää sähkömagneettista pulssia eli EMP:tä, säteilyä sekä mikroaaltoasetta eli HPM:ää vastaan suojautuminen. Kuitenkin 3. luokka sisältää hyvin merkittävästi turvallisuustekniikkaa.

Perustaso (luokka 1) pyrkii yksinkertaisilla perusratkaisuilla aikaansaamaan tarpeisiin nähden riittävän kokonaisturvallisuuden, jolla voidaan varautua tavallisimpia uhkia vastaan. Sitä suositellaan vähimmäisvaatimuksena kaikille kiinteille IT-laitetiloille. Erona perustasossa luokaan 2, tehostettuun perussuojaukseen, on vain olosuhdehälytys, eli käytetään valvontalaitteistoja ja henkilöllistä valvontaa rakenteellisen suojauksen ohella. [1].

Firma Oy:ssä tulisi olla vähintään perustason suojaus, jota suositellaan kaikkien IT-tilojen suojaukseksi. Ehkä vielä parempi olisi tehostettu perussuojaus, eli 2. luokan suojaustaso tai hieman siitä kehitelty suojaus, jossa olisi otettu joitain suojauksia ylemmistä tasoista, mm. videovalvontaa. Kuitenkaan ei kannata suojata tasojen 3 tai 4 suojaustasolla, sillä se on aivan liian työlästä ja kallista saatuihin hyötyihin nähden.

3. Mahdollisia uhkia

IT-laitetiloihin kohdistuvat uhkat voidaan jakaa kolmeen ryhmään; ensimmäiseen kuuluu verkkotietoturva, haittakoodit, roskapostit ym., toiseen fyysiset uhat muun muassa tulipalo, vesivahingot ja varkaus ja kolmanteen ryhmään kuuluu järjestelmien käyttäjät [2]. Tässä tutkielmassa keskitytään lähinnä toiseen ryhmään. Ensimmäisen ryhmän uhkia vastaan on Firma Oy:ssä, niin kuin useimmissa muissakin yrityksessä, suojauduttu hyvin. Käytössä on virustorjuntaohjelmistot, palomuuri, roskapostien suodatus ja tietojen varmuuskopiointi, mutta tunkeutumisen esto ja tietojen salaus on jäänyt vähemmälle huomiolle.

3.1. Kulunvalvonta

Firma Oy:ssä on erittäin hyvin panostettu varkautta ja vahingontekoa vastaan. Koskisen [3] mukaan pääsyvalvontaa voidaan hallita sipulirengasmallilla. Firma Oy:n tapauksessa ensimmäisessä tasossa on ulkomaailma, toisessa vierailualue, kolmannessa normaalien työntekijöiden alue ja neljännessä IT-laitehuone. Neljänteen tilaan pääsee vain yhdestä lukitusta kevytrakenteisesta ovesta, jota videokamerat valvovat. Huoneeseen pääsee kaikki työntekijät omalla avaimellaan, mutta jäävät videokameran tallennettavaksi. Kolmanteen alueeseen, eli työntekijöiden alueeseen pääsee vierailualueesta, tai suoraan ulkomaailmasta turvalukituista ovista, jotka on myös videovalvonnan alaisuudessa. Toisesta alueesta pääsee kolmanteen lukittumattomasta ovesta, joka kuitenkin on kameroilla valvottu. Ensimmäisestä toiseen tasoon pääsee vain yhdestä ovesta, josta noutoasiakkaat tulevat. Ovi on avoin arkisin, kun työntekijät ovat paikalla, muutoin turvalukittu ja videokameroiden valvonnassa.

Kaikkialla toimitiloissa on myös rikosilmoitinjärjestelmä, jotka otetaan pois päältä työpäivän ajaksi. Kuitenkaan IT-laitehuonetta ei ole erikseen osioitu hälytinjärjestelmällä, jolloin sielläkään ei ole järjestelmä päällä työpäivän aikana. IT-laitehuone sijaitsee toisessa kerroksessa ulkoseinän vieressä. Sijainti ei ole paras mahdollinen, sillä vain osa seinistä on jykeviä tiiliseiniä, osa heikompia väliseiniä, sekä lisäksi huoneessa on ikkuna. Tilat on kuitenkin kokonaisuudessaan melko hyvin suojattu varkaudelta, mutta mikäli ammattimainen varas tiloihin haluaa, ja tietää missä laitteet sijaitsevat, hän sinne kyllä pääsee. Seiniä ei kuitenkaan kannata alkaa vahvistamaan, sillä kustannukset ovat erittäin suuret ja riskin sattumistodennäköisyys on hyvin pieni.

3.2. Tulipalo, vesivahinko ym fyysiset riskit

Firma Oy:n toimitiloihin on asennettu hälytinjärjestelmän yhteyteen paloilmoitinjärjestelmä ja tiloissa on käytetty hyväksi myös palo-osastointia. IT-laitehuone ei kuitenkaan ole erillinen osasto, eikä siellä ole omaa savuilmaisinta. Toimitiloissa ei ole minkäänlaista sammutusjärjestelmää, joten palon syttyessä vahinkoa ehtii tulla ennen kuin paloautot saapuvat. Tiloissa ei myöskään ole varauduttu savun aiheuttamia vahinkoja vastaan. IT-laitetilan lämpötilasta huolehtii erillinen ilmalämpöpumppu, joten lämpötilan vaihteluihin on panostettu hyvin.

Firman IT-laitetilassa ei ole varauduttu tulviin, eikä vesivahinkoon, mutta koska tilat sijaitsevat toisessa kerroksessa ja rakennus on korkealla paikalla kaukana vesistöistä, tulvan riski on olematon. Kosteusilmaisimella päästäisiin kuitenkin helposti veden aiheuttamista suuremmista vahingoista, mikäli esimerkiksi katto vuotaisi tai läheisestä wc-tiloista pääsisi vettä.

UPS-laitteisto (uninterruptible power system), eli keskeytymättömän sähkönsaannin laitteet perustuvat yleensä akkuihin, toisinaan käytetään myös vauhtipyöriä [3]. UPS suojaa laitteet sähköverkon aiheuttamilta häiriöltä, kuten hetkellisestä yli- tai alijännitteestä, lyhyistä katkoksista yms [1]. Firma Oy:ssä on pienehkö UPS, jolla voidaan torjua jännitehäiriöitä vastaan ja lyhyitä katkoja. Kuitenkaan pidempiä sähkökatkoja varten varavoimaan ei ole yrityksessä panostettu.

Pölyn torjumiseksi ja puhtautta saavuttaakseen IT-laitetiloja siivotaan säännöllisesti.

Muita harvinaisempia riskejä, kuten EMP:tä, säteilyä, HPM:ä, kemikaaleja, räjähteitä ym vastaan ei ole yrityksessä suojauduttu ollenkaan niiden erittäin pienen sattumistodennäköisyyden ja hyvin suurten suojauskulujen takia.

3.3. Järjestelmien käyttäjät

Ohjelmistoyhtiö Compuwaren ja tutkimuskeskus Ponemon Instituten julkistaman tutkimuksen [4] mukaan työntekijät aiheuttavat 54 prosenttia kaikista tietomurroista Euroopassa, kun ulkopuoliset hakkerit vastaavat vain kuudesta prosentista murroista. Suurimmat ongelmat johtuvat usein tietämättömyydestä ja huolimattomuudesta, sekä ajan puutteesta [2]. Verizonin tekemän tutkimuksen mukaan vain viidesosa tietomurroista johtuu työntekijöistä ja todellinen syyllinen löytyy talon ulkopuolelta. Työntekijä on huolimaton ja unohtaa salaisia tietoja sisältävän muistitikun junaan. Hän surffaa työkoneeltaan kielletyille sivuille ,ja koneelle pääsee haittaohjelma. Erotettu työntekijä vuotaa tietoja tahallisesti kilpailijalle [5]. Tutkimukset ovat osittain ristiriidassa keskenään, mutta ulkopuolisten hyökkäyksien mahdollistamiseen vaikuttaa kuitenkin paljolti työntekijöiden huolimattomuus. Myös Firma Oy:ssä tulisi keskittyä enemmän työntekijöiden aiheuttamiin virheisiin. Pääsy IT-tiloihin pitäisi sallia vain muutamalle luotetulle henkilölle, joiden tulisi myös tietää järjestelmistä riittävästi. Firma Oy:n tapauksessa laitteita hoitaa pääasiassa kaksi yrityksen omaa työntekijää, joilta löytyy myös tietoa ja osaamista laitteiden käyttöön. Ei kuitenkaan riitä että muilla työntekijöillä ei ole suoraa pääsyä IT-laitetiloihin, vaan mm. oikeuksienhallinnan avulla pitäisi varmistaa, että eivät edes vahingossa tekisi vahinkoa omalta tietokoneelta.

4. Päätelmät ja parannnusehdotukset

Firma Oy:n fyysinen suojaus on toteutettu melko hyvin ja se täyttää perustason suojauskriteerit. Parhaiten on yrityksessä suojauduttu tunkeutumista ja varkautta vastaan, sillä kaikkia tiloja seurataan videokameroilla, ovet ovat lukittu, sekä tiloihin on asennettu rikosilmoitinjärjestelmä. Kuitenkin parempi paikka IT-laitehuoneelle olisi rakennuksen keskellä ikkunattomassa tilassa, sekä huoneen oven tulisi olla murron kestävä. Vaikka murron, tulipalon ja vesivahingon riskien todennäköisyydet ovat verrattain pieniä, niihin on kuitenkin kiinnitetty huomiota.

Yksi suurimmista riskeistä on kuitenkin Firma Oy:ssä, kuten monessa muussakin yrityksessä, omat työntekijät. Tämän takia IT-laitehuoneen oveen tulisi asentaa lukko, johon vain asianomaisilla olisi avain. Vaikka työntekijät ovatkin luotettavia, tämä on edullinen ja pieni toimenpide, jolla voidaan vahinkoja mahdollisesti vähentää. Muita kustannuksiltaan pieniä, mutta vaikutuksiltaan tehokkaita parannuksia olisi asentaa palo-, kosteus- ja liikeilmaisin IT-laitetiloihin sekä osioida hälytinjärjestelmä erikseen laitehuoneeseen, jolloin siellä voitaisi pitää järjestelmä aina päällä. Firmassa on panostettu hyvin myös varmuuskopiointiin, mutta silti kaikkien omien työntekijöiden tietotaito tulisi varmistaa, sekä huolellisuutta korostaa myös tietotekniikassa.

Lähteet

Print version |  PDF  | History: r5 < r4 < r3 < r2 | 
Topic revision: r5 - 17 Nov 2009 - 20:36:09 - JaniMaekelae
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback