Tietoturvaloukkauksista puhutaan paljon, ja syystäkin. Kyberturvallisuushyökkäykset ovat yleisiä, ja Yhdistyneen kuningaskunnan yrityksiin kohdistuneet lunnasohjelmahyökkäykset kaksinkertaistuivat viime vuonna. Yritysten on kuitenkin oltava huolissaan muustakin kuin kyberhyökkäyksistä. Fyysiset tietoturvaloukkaukset ovat yleisiä, ja ne liittyvät usein kyberturvahyökkäyksiin.
Seuraavassa on lueteltu joitakin yleisimpiä fyysisiä turvallisuusriskejä ja ehdotuksia niiden ehkäisemiseksi.
Otetaan fyysiset turvallisuusrikkomukset
Tietoturvan fyysinen puoli on osa laajempaa yritystäsi suojaavaa toimintaa. Ponemon-instituutin 2020 Cost of a Data Breach Report -raportin mukaan 10 prosenttia tietomurroista johtuu fyysisen tietoturvan vaarantumisesta. Raportissa huomautetaan myös, että fyysisen tietoturvaloukkauksen tunnistamiseen kuluu 223 päivää ja sen rajoittamiseen 69 päivää. Tästä seuraa, että fyysisen tietomurron keskimääräiset kustannukset ovat noin 2,8 miljoonaa puntaa, mikä tekee fyysisistä tietoturvaloukkauksista kiireellisesti korjattavan ongelman.
Viisi yleistä fyysistä rikkomusta ovat:
Ongelma: Luvaton pääsy palvelimiin
Palvelinhuoneet ovat organisaation verkon sydän. Niissä säilytetään tärkeitä liiketoimintatietoja, arkaluonteisia tietoja ja varmuuskopioita, ja ne sisältävät kalliita laitteistoja. Kyseessä on myös säännelty alue, sillä ISO27001-standardien, kuten ISO27001:n fyysisten ja ympäristöön liittyvien alueiden turvallisuusstandardien, mukaan palvelinhuoneiden käyttöoikeuksia on hallinnoitava ja suojattava. Palvelimien ja muiden tietokoneiden fyysinen käyttöoikeus on osa laajempaa tietoturvallisuuden hallintajärjestelmää (ISMS).
Jos huijari tai tyytymätön työntekijä tai jopa tuntematon henkilö pääsee palvelinhuoneeseen, hän voi aiheuttaa paljon vahinkoa. Tällaisia vahinkoja ovat palvelimien fyysinen vahingoittaminen, kriittisten laitteiden varastaminen ja verkkohyökkäykset, joissa palvelimelle luodaan etäyhteys ja asennetaan suoraan haittaohjelmia.
Palvelimien luvattoman käytön estäminen
- Palvelinhuoneissa olisi oltava korkeatasoiset lukot, joissa käytetään integroitua pääsynvalvontaa, joka perustuu etuoikeutettuun pääsyyn.
- Biometrisiin tunnisteisiin perustuvat järjestelmät voivat auttaa estämään palvelinhuoneiden fyysisiä murtautumisia.
- Eri palvelimien eristäminen ja yksityiskohtaisten käyttöoikeuksien yhdistäminen voivat myös auttaa suojautumaan useiden palvelimien täydelliseltä haltuunotolta.
- Näitä nollaluottamuksen ja fyysisen pääsyn valvontatoimia on kuitenkin tuettava järjestelmänvalvojien tietoturvatietoisuuskoulutuksella, jolla varmistetaan, etteivät he jaa henkilökortteja tai pääsypisteitä kollegoidensa kanssa.
Ongelma: Tailgating
Tailgating, joka on saanut nimensä huonosta käytöksestä, joka liittyy siihen, että kuljettajat tulevat liian lähelle autoasi, on tapa, jossa sosiaalinen suunnittelu kohtaa fyysisen maailman.
Pahamaineisin tapaus (tai tapaukset) peräänajosta dokumentoitiin elokuvassa "Catch Me If You Can". Elokuva kertoi Frank Abagnalen tarinan, joka vietti useita vuosia esiintyen ihmisinä ja päästäkseen erittäin rajoitettuihin paikkoihin, kuten lentokoneen ohjaamoon.
Voit lukea lisää tailgatingista MetaCompliancen blogikirjoituksesta, joka käsittelee tailgatingia, joka voi olla salakavala ja ovela taktiikka, jonka avulla rikolliset pääsevät organisaation rajoitetuille alueille.
Tailgaters manipuloivat työntekijöitä päästämään heidät paikkoihin, joihin pääsyä on yleensä rajoitettu. Rikollinen voi esimerkiksi teeskennellä olevansa urakoitsija ja käyttää käyttäytymistä, kuten taipumusta olla kohtelias, rohkaistakseen tai jopa pakottaakseen työntekijän avaamaan yrityksen oven.
Tailgatingin estäminen:
- Kouluta työntekijöitäsi perässäjuoksun vaaroista ja siitä, miten sitä käytetään huijaamaan heitä avaamaan ovia (sekä virtuaalisia että todellisia) häijyille henkilöille.
- Kouluta työntekijäsi siihen, miten he voivat puuttua epäilyttävään käytökseen, ja varmista, että he ymmärtävät, miten peräänajajat manipuloivat heitä ja käyttävät kohteliaisuutta hyväkseen.
Ongelma: Asiakirjat jäävät lojumaan
Asiakirjat ja jopa post-it-laput voivat sisältää erittäin arkaluonteisia tietoja, jotka voivat johtaa tietojen paljastumiseen vääriin käsiin. Tulostimet ovat esimerkki fyysisten tietoturvaloukkausten vaarasta. Etätyötä tekevät työntekijät saattavat lähettää asiakirjan tulostimeen tarkoituksenaan hakea se toimiston ohi kulkiessaan, mutta unohtavat sen tai joku muu saa sen ensin.
Quocircan raportissa, joka käsitteli tulostusturvaa vuonna 2022, todettiin, että 68 prosentilla vastaajista oli tulostusturvaongelmaan liittyvä tietojen menetys.
Paikalleen jätettyjen asiakirjojen estäminen:
- Puhtaan työpöydän politiikka on olennaisen tärkeää huonosta asiakirjahygieniasta johtuvien tietojen menetysten vähentämiseksi. Puhtaan työpöydän periaatteet ovat myös osa ISO27001-standardin kaltaisia standardeja.
- Työntekijöiden valistaminen puhtaan työpöydän tärkeydestä ja siitä, miten huolimattomuus voi johtaa tietojen menetykseen, on olennaisen tärkeää riskin hallinnassa.
- Lisäksi teknisillä lähestymistavoilla, kuten vankalla käyttäjätunnistuksella, joka mahdollistaa "pull printing" -tulostuksen, varmistetaan, että kaikki tulostetut asiakirjat luovutetaan vasta, kun tulostuksen hyväksynyt henkilö on paikalla noutamassa niitä.
Ongelma: muukalaisvaara
Lukemattomat vierailijat eivät ole hyväksi kyberturvallisuudelle eivätkä fyysiselle turvallisuudelle. Health and Safety Executive (HSE) -viraston raportissa työpaikkaväkivallasta todettiin, että 60 prosentissa tapauksista rikoksentekijöinä olivat tuntemattomat henkilöt. Tuntemattomien tekemät fyysiset rikkomukset voivat aiheuttaa riskin myös tietokonejärjestelmille. Tuntemattomat voivat varastaa kalliita laitteistoja, kuten puhelimia ja kannettavia tietokoneita, jolloin näissä laitteissa olevat tiedot ovat vaarassa paljastua.
Muukalaisvaaran ehkäiseminen
- Varmista, että työpaikallasi on käytössään prosessit ja järjestelmät, joilla vähennetään todennäköisyyttä, että henkilö pääsee rakennukseen.
- Yksinkertaiset asiat, kuten sen varmistaminen, että ovet pidetään lukittuina, ovat tärkeitä.
- Työntekijöiden korttipääsy ja vierailijoiden sisäänpääsyjärjestelmä, jossa kirjautuvat sisään- ja ulospääsyt, ovat olennaisen tärkeitä jokaiselle yritykselle.
Ongelma: Kadonneet/varastetut henkilötodistukset
Monet fyysisiin tietoturvaloukkauksiin liittyvistä vaaroista perustuvat pääsynvalvontaan. Monissa yrityksissä käytetään nykyään työntekijöiden tunnuksia, joihin liittyy biometrinen tunniste. Nämäkin ovat kuitenkin tehokkaita vain, jos työntekijä noudattaa organisaation asettamia pääsyrajoituksia. Toisin sanoen työntekijöiden tunnistusjärjestelmät riippuvat siitä, että työntekijä käyttää niitä oikein.
Valitettavasti työntekijät, jotka eivät ymmärrä etuoikeutetun pääsyn merkitystä, saattavat tarjota kollegalleen henkilöllisyystodistuksensa käyttöä tai jopa tarjota sormenjälkensä tai muun biometrisen tunnisteen pyyhkäisemistä pääsyn mahdollistamiseksi. Sosiaalista manipulointia käyttävät rikolliset käyttävät myös hyväkseen tätä halua auttaa muita ja rohkaisevat työntekijöitä päästämään heidät rajoitettuihin alueisiin.
Kadonneiden/varastettujen henkilötodistusten ehkäiseminen
- Turvallisuustietoisuuskoulutus työntekijöiden tunnusten merkityksestä on olennaisen tärkeää työntekijöiden tunnusten ja käyttöoikeuksien väärinkäytön torjumiseksi.
5 tärkeää menetelmää fyysisten tietoturvaloukkausten estämiseksi:
- Varmista, että kaikki työntekijät on koulutettu fyysisen turvallisuuden rikkomistyypeistä.
- Käytä palvelinhuoneisiin ja muihin rajoitettuihin alueisiin vankkoja kulunvalvontajärjestelmiä ja rajoita pääsy tarpeen mukaan.
- ottaa käyttöön prosesseja ja järjestelmiä, joilla seurataan liikkumista rakennukseen ja rakennuksesta ulos.
- Pidä laiteluetteloa. Tämän avulla voit verrata mahdollisia kadonneita tai varastettuja laitteita, jotta voit käsitellä mahdollisesti altistuneiden tietojen seurauksia nopeasti ja sääntelyvaatimusten mukaisesti.
- Varmista, että turvallisuuspolitiikat vastaavat mahdollisia fyysisen turvallisuuden loukkauksia. Sisällytä prosessit, joita tarvitaan fyysisen turvallisuusrikkomuksen ja sen seurausten käsittelemiseksi.