Valkohattuhakkereiden hyödyntäminen tietoturvassa
Teksti on julkaistu alun perin Digioivan sivuilla. Digioiva yhdistyi Kumuran ja Pasaatin kanssa kesällä 2020.
Yrityksen tai organisaation kasvaessa tulee väistämättä hetki ottaa tietoturva tosissaan. Kasvuyrityksessä aika ja resurssit usein ymmärrettävästi keskitetään tuotteeseen ja toiminnan kasvattamiseen, eikä tietoturvaa useinkaan oteta alkuun vakavasti. Perusasiat, kuten kaksivaiheisen tunnistuksen päälle laittaminen kaikkiin työntekijöiden avainjärjestelmiin, on tietysti syytä ottaa käyttöön.
Kun yrityksen tai organisaation toiminnan perusta on kunnossa, olisi kuitenkin hyvä kääntää katse myös tietoturvaan. Yksi tämän alueen osaajaryhmä, Valkohattuhakkerit, on erityisen mielenkiintoinen. Tässä blogissa keskitytäänkin näihin valkohattuisiin ammattilaisiin ja siihen, kuinka heidän osaamistaan voi hyödyntää.
Valkohattuhakkerit ovat ”hyviksiä” hakkereiden joukossa
Toisin kuin edelleen liian yleinen näkemys antaa ymmärtää, kaikki hakkerit eivät ole pahoja, rikollisia tai vaarallisia. Nimitys White Hat Hacker juontaa juurensa aina vanhoihin mustavalkoisiin lännenelokuviin asti.
Näissä elokuvissa sankarina oli usein komea, hyvin pukeutunut cowboy, joka käytti tyylikästä valkoista hattua. Vastapuolella pahikset puolestaan pitivät mustia hattuja, jottei yhdellekään katsojalle jäisi epäselväksi kuka tässä olikaan hyvä ja kuka paha. Samalla tavoin voidaan hakkerit jakaa karkeasti kolmeen ryhmään hatun värin perusteella: mustahattuiset tekevät pahaa, valkohattuiset hyvää ja harmaahattuiset jotain siltä väliltä.
”Hakkerit voidaan jakaa karkeasti kolmeen ryhmään hatun värin perusteella.”
Hakkeri itsessään voi olla kuka tahansa, joka hyödyntää osaamistaan turvajärjestelmien ohittamiseen. Tässä ole mitään laitonta niin pitkään kuin hakkeri ei aiheuta tietokoneelle, laitteelle tai verkolle vahinkoa. Monet yritykset ja hallitukset itse asiassa käyttävät hakkereita apuna järjestelmiensä turvaamisessa.
Järjestelmien haavoittuvuuksia voi selvittää valkohattuhakkereiden avulla
Valkohattuhakkerit ovat eettisiä hakkereita, jotka etsivät haavoittuvuuksia järjestelmistä. Osalle valkohattuhakkereista motivaatio on raha, osalle mahdollisuus testata (ja todistaa maailmalle!) oma osaamisensa. Joillekin valkohattuhakkereille riittää palkkioksi pelkkä jännitys. Maksettujen palkkioiden suuruus vaihtelee muutamista kympeistä kymmeniin tuhansiin ohjelmasta riippuen. Jotkut ryhmät lahjoittavat ansaitsemansa palkkiot hyväntekeväisyyteen.
Hakkeroijien isku voi tulla mistä päin maailmaa tahansa, mutta niin voi apukin. Facebookin heikkouksia raportoitiin vuonna 2017 Bug Bounty -ohjelman kautta eniten Intiasta, seuraavaksi Yhdysvalloista ja kolmanneksi, hieman yllättäen, Trinidad & Tobagon saarivaltiosta. Erilaisten uhkien paljastaminen onnistuu valkohattuhakkereilta nykyaikana etätyönä vaikkapa paratiisisaaren rannalta.
Ulkoistaminen voi helpottaa valkohattuhakkerin palvelujen hyödyntämistä
White Hat -hakkerin tunnusmerkkinä voi pitää sitä, että hakkerointi tehdään aina toimeksiantajan luvalla. Nämä eettiset hakkerit voivat olla kuukausipalkkaisia työntekijöitä, sopimuksella työskenteleviä konsultteja tai itsenäisiä ammattilaisia jonkin ohjelman kautta.
Ulkoistaminen on trendi myös valkohattuhakkereiden hyödyntämisessä tietoturvan parantamiseksi. Haavoittuvuuksia kartoittava Bug Bounty -ohjelma voi olla joko suljettu tai kaikille avoin. Suomessa esimerkiksi LähiTapiola/LocalTapiola on tehnyt jo pitkään menestyksekästä yhteistyötä hakkerien kanssa.
Haavoittuvuuksia metsästäessä tärkeää on avoin, rehellinen ja nopea kommunikointi molempiin suuntiin. Vastausaika ja havaittujen ongelmien korjaukset kannattaa pitää lyhyinä.
Monet parhaista osaajista valitsevat toimeksiantonsa paitsi palkkion myös asiakkaan vastausajan perusteella. Tämä vaatii projektijohtamista, ja mikäli omasta tiimistä ei löydy sopivaa osaajaa, Digioivan (nykyisin Kumura) konsultoivan projektipäällikön käyttö on hyvä vaihtoehto.
”Valkohattuhakkereiden palvelujen käyttö vaatii projektijohtamista.”
Yhtä tärkeää on oikea ohjelmalle sopiva laajuus, palkkiorakenne, miten testataan ja myös taito osata rajata tietyt itsestäänselvyydet pois ohjelmasta. Muuten on mahdollista päätyä maksamaan omalle organisaatiolle epäolennaisten haavoittuvuuksien löydöistä. Alhaalla riippuvat hedelmät kyllä maistuvat myös valkohattuiselle hakkerille.
Oikein ohjattuna ja riittävillä resursseilla tehtynä valkohattuhakkereiden ohjelma löytää yhdessä haavoittuvuudet sekä korjaa ne ennen kuin aukot tietoturvassa ovat yleisessä tiedossa. Prosessin aikana organisaatio voi myös oppia paljon näiltä valkohattuisilta hakkeroinnin osaajilta ja kehittää siten omia toimintatapojaan.
Kuulumisia
Kokemuksia tekoälystä projektipäällikön työkaluna
Millaisia käyttötapoja projektipäällikkömme Päivi on löytänyt tekoälylle projektityössä? Missä tekoäly on erityinen valttikortti? Lue Päivin ajatukset tästä kirjoituksesta.
Helpotusta muutoskylläisyyteen muutosportfolion johtamisella
Milloin muutosta on liikaa? Silloin, kun ämpäri valuu yli. Muutosjohtamistakin valmentaja ja siinä konsultoiva Virpi Elers kertoo, kuinka muutosportfolio parantaa muutoksessa onnistumista muutoskylläisyyttä ehkäisemällä.
Yksilön muutosmatka osana laajaa muutosohjelmaa
Niin pienen kuin isonkin muutoksen onnistuminen on loppujen lopuksi kiinni ihmisistä. Muutoksen johtaminen myös yksilön tasolla auttaa sitouttamaan ihmiset tavoiteltuun muutokseen ja saamaan aikaan pysyvän toiminnan muuttamisen.
