Heartbleed ja tunnistustietojen kalastelu ongelmana? Kaksi helppoa tapaa varautua.

Verohallinnon, Tullin ja Postin nimissä on vastikään lähetetty huijaussähköpostia ja koitettu onkia verkkopankkitunnuksia. Yli 60% kaikista maailman Internet-palveluista on oletettu haavoittuvan Heartbleedin myötä ja mm. NSA:n on myös sanottu keränneen salasanatietoja. Miten yritykset voivat turvata asiakkaidensa tunnistustiedot jatkossa? Helposti.

Suurelle yleisölle nämä uutiskynnyksen ylittävät tietoturva-asiat tulevat aina kulman takaa, sen jälkeen päivitellään tilanteen vakavuutta ja sitten on jo kiire. Olisiko jo vihdoin aika varautua näihin asioihin? Kysehän ei ole rakettitieteestä vaan pienestä investoinnista jota voidaan verrata yrityksen vahinkovakuutukseen. Harva yritys jättää vakuutuksia ottamatta.

Ensinnä tunnistustietojen kalastelu eli Phising. Kalastelijat rakentavat kohdesivun (kuten pankkien kirjautumissivut) kaltaiset sivut ja lähettävät linkkejä suoraan feikkisivuille uskotellen vastaanottajalle kyseessä olevan aito tapaus. Hyväuskoiset ihmiset menevät halpaan ja antavat verkkopankkitunnuksensa rikollisille.

Sitten tapaus Heartbleed. Hyökkääjät ovat käyttäneet haavoittuvuutta hyväkseen ja saaneet käsiinsä käyttäjätunnukset ja salasanat. Ilman mitään muuta suojausta salasanat on välittömästi vaihdettava, jotta vältytään enemmältä vahingolta.

Yritykset voivat kahdella yksinkertaisella tavalla varautua paremmin tulevaisuudessa näihin uhkiin;

1 -  Ota käyttöön kaksitasoinen tunnistautuminen. Vaadi verkkopalvelun käyttäjiltä käyttäjätunnuksen ja salasanan lisäksi toisen kanavan varmistus mobiilina esim. kertakäyttöisenä SMS salasanana.

2 - Älä koskaan lähetä linkkejä sähköpostiin ja kerro asiakkaillesi tästä politiikasta usein. Jos haluat kohdentaa markkinointia, ota mielummin käyttöön saitillasi ”Syötä tarjousnumero”-tyylinen palvelu joka asiakkaan syötettyä oikea koodi ohjaa sen turvallisesti oikeaan osoitteeseen esim. allekirjoittamaan sähköisesti tarjous.

Kaiken tämän lisäksi täytyy tietoturvan tietoisuutta pitää yllä niin henkilöstön, asiakkaiden kuin mahdollisten rikollistenkin osalta jatkuvasti. Hyvin vartioitu linna ei ole rikollisten ensimmäisenä hyökkäyskohteena!

Signicat tarjoaa ulkoistettua tunnistus- ja allekirjoituspalvelua. Tunnistuspalvelun avulla asiakasyritys voi keskittyä liiketoimintaansa ja Signicat omaansa. Palvelussa Signicat vastaa käyttäjien identiteettien todentamisesta, monitasoisesta tunnistuspalvelusta ja mahdollisesta kertakirjautumisesta muihin verkkopalveluihin. Verkkopalvelua tarjoava taho ei missään tilanteessa varastoi käyttäjiensä tunnistustietoja kuten salasanoja. Näin ollen tietomurron kohteena yleensä olevat salasanat ovat hyökkääjiltä turvassa tai tunnistus on varmistettu tarvittaessa vielä esim tekstiviestillä toimitettavaan kertakäyttösalasanalla. Signicatin SaaS palvelut sijaitsevat Norjan valtionkin käyttämässä huipputurvallisissa palvelinkeskuksissa. Signicatin palvelu ei haavoittunut Heartbleedissä!