Kuinka monta tietoturvayritystä Suomeen mahtuu?

Luovuttuamme kännyköiden valmistuksesta Suomi on pääasiassa peliyritysten ja tietoturvayritysten kotimaa. Kansainvälisten tähtien (Blancco, F-Secure) lisäksi ponnistavat jatkuvasti suurempaan kokoluokkaan esimerkiksi Nixu ja monta muuta asiantuntevaa yritystä. Luulisi siis, että maa on jo täynnä tietoturvaa tarjoavia yrityksiä.

Tietoturva on kuitenkin hyvin laaja käsite. Jos sanomalehti keräisi gallupin, olettaisin että valtaosa kansasta ymmärtää sen virustutkana (F-Secure, McAfee, Norton jne). Toki ICT alan ihmiset ymmärtävät sen olevan hyvin laaja asia, käsittäen mm. eri palvelinkerrosten ja verkkokerroksen aktiivista valvontaa, konfigurointia ja tilanteisiin reagointia sekä tietysti koko organisaatio vaikuttaa omalla toiminnallaan tietoturvaan. Ja se perinteinen heikoin lenkki pätee tässäkin asiassa.

Mitä on sitten tietokantojen tietoturva?

Yksinkertaistetaan asiaa vähän:
1. Kaikki järjestelmät tallentavat tietonsa tietokantaan, olipa se sitten Oracle, DB2, SQL Server, PostgreSQL, MySQL, MariaDB, MongoDB, Hadoop johdannainen tai vaikka TokuMX.
2. Sovelluksiin rakennetut tietoturvakerrokset ja lokitukset voi ohittaa kirjautumalla suoraan tietokantaan sovelluksen ohi.
3. Suoraan tietokantaan kirjautumalla ei jää mitään järjestelmä/sovellustason jälkeä tietojen hausta ja datat saadaan imuroitua talteen.

Kirjautumalla suoraan tietokantaan datat voidaan siis viedä ilman, että kukaan on huomannut mitään. Järjestelmän loki ei näytä mitään, eikä murrosta jää näkyvää jälkeä. Ei kovin toivottava tilanne!

Noista johtamalla siis tietoturva ei ole kattava ennenkuin käyttö on valvottu nimenomaan tietokantatasolla.
Sisäisen tarkastuksen näkövinkkelistä ei ole myöskään mitään mahdollisuutta osoittaa, ettei tietoja ole viety ellei tietoturvakerros ole nimenomaan tietokantatasolla.

Olemassaolevien järjestelmien turvaaminen

Käännetäänpä tilanne täysin päälaelleen. Olemassaolevat järjestelmät on rakennettu eri aikoina pääasiassa toimittamaan tiettyjä toiminnallisuuksia. Tässä välissä viittaisin Jaakko Lindgrenin ansiokkaaseen kirjoitukseen asiasta.

Järjestelmiin on voitu rakentaa jotain vaatimuksia täyttävää tietoturvatoiminnallisuutta esim. reilu 10 vuotta sitten. Joskus on riittänyt, että loppuasiakkaille on saatu uskoteltua sovellukseen rakennetun lokituksen olevan kattava.

Vaatimukset kuitenkin kasvavat jatkuvasti ja yritysten asiakaskenttä laajenee uusille markkinoille.
Esimerkiksi USAn vaatimukset tietyillä alueilla ovat olleet jo pitkään huomattavasti euroalueen vaatimuksia tiukempia. Nyt Euroopan vaatimustasoa nostetaan esim. henkilötietojen turvaamisen osalta USAn vaatimuksia tiukemmiksi ja varsinkin povatut liikevaihtoon pohjautuvat sanktiot tuntuvat varsin järisyttäviltä.

Eli tietokantojen tietoturva on itse asiassa olemassaolevien järjestelmien turvaamista.

Olemassaolevaan, kriittiseen järjestelmään luodaan juuri niin tiukka tietoturvakerros kuin halutaan.
Siinä voidaan ottaa huomioon tiedon salaus levypinnalla, verkkoliikenteessä, lokitukset joita ei voi ohittaa, auditointi jonka jälkiä ei voi poistaa, vastaukset erittäin hankaliin kysymyksiin kuten kuka on hakenut viimeisen vuoden aikana tämän henkilön tietoja tietokannasta jne.
Adminien pääsyn estäminen itse dataan, adminien valvonta niin ettei heillä ole edes tietoa siitä että heitä valvotaan.
Aktiivinen käytön esto / yhteyden katkaisu / hälytys sillä hetkellä kun yritetään päästä hakemaan sensitiivistä dataa.

Nämä kaikki ominaisuudet voidaan rakentaa olemassaolevaan järjestelmään ja saada ne uusien vaatimusten tasolle. Niitä ovat tietokantojen tietoturvaratkaisut.

Palataanpa lopuksi vielä hetkeksi otsikkoon.
Emme onneksi jääneet pohtimaan vastausta otsikon kysymykseen, vaan käytimme senkin tarmon töiden tekemiseen.

Muutenkin tuntuu erinomaiselta tehtävältä olla Suomen yritysmaailmassa mukana turvaamassa asiakasyritystemme liiketoiminnan jatkuvuutta ja turvallisuutta.

Yritysten liiketoimintaa turvaamassa jo vuodesta 2014!

Terveisin,
Pasi Parkkonen / Advance

About Pasi Parkkonen