Valkohattuhakkereiden hyödyntäminen tietoturvassa

Teksti on julkaistu alun perin Digioivan sivuilla. Digioiva yhdistyi Kumuran ja Pasaatin kanssa kesällä 2020.

Yrityksen tai organisaation kasvaessa tulee väistämättä hetki ottaa tietoturva tosissaan. Kasvuyrityksessä aika ja resurssit usein ymmärrettävästi keskitetään tuotteeseen ja toiminnan kasvattamiseen, eikä tietoturvaa useinkaan oteta alkuun vakavasti. Perusasiat, kuten kaksivaiheisen tunnistuksen päälle laittaminen kaikkiin työntekijöiden avainjärjestelmiin, on tietysti syytä ottaa käyttöön.

Kun yrityksen tai organisaation toiminnan perusta on kunnossa, olisi kuitenkin hyvä kääntää katse myös tietoturvaan. Yksi tämän alueen osaajaryhmä, Valkohattuhakkerit, on erityisen mielenkiintoinen. Tässä blogissa keskitytäänkin näihin valkohattuisiin ammattilaisiin ja siihen, kuinka heidän osaamistaan voi hyödyntää.

Valkohattuhakkerit ovat ”hyviksiä” hakkereiden joukossa

Toisin kuin edelleen liian yleinen näkemys antaa ymmärtää, kaikki hakkerit eivät ole pahoja, rikollisia tai vaarallisia. Nimitys White Hat Hacker juontaa juurensa aina vanhoihin mustavalkoisiin lännenelokuviin asti.

Näissä elokuvissa sankarina oli usein komea, hyvin pukeutunut cowboy, joka käytti tyylikästä valkoista hattua. Vastapuolella pahikset puolestaan pitivät mustia hattuja, jottei yhdellekään katsojalle jäisi epäselväksi kuka tässä olikaan hyvä ja kuka paha. Samalla tavoin voidaan hakkerit jakaa karkeasti kolmeen ryhmään hatun värin perusteella: mustahattuiset tekevät pahaa, valkohattuiset hyvää ja harmaahattuiset jotain siltä väliltä.

”Hakkerit voidaan jakaa karkeasti kolmeen ryhmään hatun värin perusteella.”

Hakkeri itsessään voi olla kuka tahansa, joka hyödyntää osaamistaan turvajärjestelmien ohittamiseen. Tässä ole mitään laitonta niin pitkään kuin hakkeri ei aiheuta tietokoneelle, laitteelle tai verkolle vahinkoa. Monet yritykset ja hallitukset itse asiassa käyttävät hakkereita apuna järjestelmiensä turvaamisessa.

Järjestelmien haavoittuvuuksia voi selvittää valkohattuhakkereiden avulla

Valkohattuhakkerit ovat eettisiä hakkereita, jotka etsivät haavoittuvuuksia järjestelmistä. Osalle valkohattuhakkereista motivaatio on raha, osalle mahdollisuus testata (ja todistaa maailmalle!) oma osaamisensa. Joillekin valkohattuhakkereille riittää palkkioksi pelkkä jännitys. Maksettujen palkkioiden suuruus vaihtelee muutamista kympeistä kymmeniin tuhansiin ohjelmasta riippuen. Jotkut ryhmät lahjoittavat ansaitsemansa palkkiot hyväntekeväisyyteen.

Hakkeroijien isku voi tulla mistä päin maailmaa tahansa, mutta niin voi apukin. Facebookin heikkouksia raportoitiin vuonna 2017 Bug Bounty -ohjelman kautta eniten Intiasta, seuraavaksi Yhdysvalloista ja kolmanneksi, hieman yllättäen, Trinidad & Tobagon saarivaltiosta. Erilaisten uhkien paljastaminen onnistuu valkohattuhakkereilta nykyaikana etätyönä vaikkapa paratiisisaaren rannalta.

Ulkoistaminen voi helpottaa valkohattuhakkerin palvelujen hyödyntämistä

White Hat -hakkerin tunnusmerkkinä voi pitää sitä, että hakkerointi tehdään aina toimeksiantajan luvalla. Nämä eettiset hakkerit voivat olla kuukausipalkkaisia työntekijöitä, sopimuksella työskenteleviä konsultteja tai itsenäisiä ammattilaisia jonkin ohjelman kautta.

Ulkoistaminen on trendi myös valkohattuhakkereiden hyödyntämisessä tietoturvan parantamiseksi. Haavoittuvuuksia kartoittava Bug Bounty -ohjelma voi olla joko suljettu tai kaikille avoin. Suomessa esimerkiksi LähiTapiola/LocalTapiola on tehnyt jo pitkään menestyksekästä yhteistyötä hakkerien kanssa.

Haavoittuvuuksia metsästäessä tärkeää on avoin, rehellinen ja nopea kommunikointi molempiin suuntiin. Vastausaika ja havaittujen ongelmien korjaukset kannattaa pitää lyhyinä.

Monet parhaista osaajista valitsevat toimeksiantonsa paitsi palkkion myös asiakkaan vastausajan perusteella. Tämä vaatii projektijohtamista, ja mikäli omasta tiimistä ei löydy sopivaa osaajaa, Digioivan (nykyisin Kumura) konsultoivan projektipäällikön käyttö on hyvä vaihtoehto.

”Valkohattuhakkereiden palvelujen käyttö vaatii projektijohtamista.”

Yhtä tärkeää on oikea ohjelmalle sopiva laajuus, palkkiorakenne, miten testataan ja myös taito osata rajata tietyt itsestäänselvyydet pois ohjelmasta. Muuten on mahdollista päätyä maksamaan omalle organisaatiolle epäolennaisten haavoittuvuuksien löydöistä. Alhaalla riippuvat hedelmät kyllä maistuvat myös valkohattuiselle hakkerille.

Oikein ohjattuna ja riittävillä resursseilla tehtynä valkohattuhakkereiden ohjelma löytää yhdessä haavoittuvuudet sekä korjaa ne ennen kuin aukot tietoturvassa ovat yleisessä tiedossa. Prosessin aikana organisaatio voi myös oppia paljon näiltä valkohattuisilta hakkeroinnin osaajilta ja kehittää siten omia toimintatapojaan.

Timo Oravala

Kuulumisia

Ohjausryhmä on olemassa projektia varten

Millainen ohjausryhmän kokoonpanon tulisi olla? Mikä on ohjausryhmän puheenjohtajan rooli? Mikä on ohjausryhmän ja projektipäällikön suhde? Vastaukset näihin kysymyksiin ja vinkkejä jokaiseen kohtaan löydät tästä blogista.

Lue lisää