Turvallisuusjärjestelmien koventaminen

Turvallisuusjärjestelmä ei ole turvallinen, jos sitä ei tehdä sellaiseksi.

Turvallisuusjärjestelmät ovat ICT-järjestelmiä

Käytännössä kaikki turvallisuusjärjestelmät mekaanista lukitusta lukuun ottamatta ovat tänä päivänä ICT-järjestelmiä tai niitä tulee tietoturvan kannalta käsitellä sellaisina. Vaikka järjestelmät sijoitettaisiinkin suljettuun verkkoon ja palvelin suojattaisiin palomuurilla ja tietoturvaohjelmistolla, voi järjestelmään silti jäädä haavoittuvuuksia.  

Heti ensimmäiseksi on hyvä ottaa haltuun ketjuajattelu: jos mikä tahansa ketjun lenkeistä pettää, se ei ole enää turvallinen. Tämä ei tarkoita automaattisesti yli suojaamista, halpaa mummo pyörää ei kannata lukita 13mm kettingillä ja järeimmällä riippulukolla. Toisaalta kalliin sähköpyörä lukitsemiseen eivät nekään riitä, jos pyörä on ulkosalla. Ketjun ei myöskään tarvitse olla aina tasavahva, vaan lisäsuojaus kohdistetaan niihin leikkeihin, joissa se on tarpeen. 

Kaikki alkaa riskikartoituksesta:

  • Mikä on suojattavien kohteiden käyttötarkoitus ja mitä niissä suojataan.
  • Millaisia uhkia kohteisiin kohdistuu
  • Voidaanko järjestelmä pitää täysin suljetussa verkossa vai tarvitaan pääsyä esimerkiksi julkiseen verkkoon.

Tämän jälkeen on syytä miettiä myös järjestelmän käyttökokemusta, kuinka paljon halutaan/voidaan tinkiä mukavuudesta turvallisuuden parantamiseksi? Alla esimerkkiä kulkutunnisteen salaamisen vaikutuksista lukutapahtuman nopeuteen sekä lukuetäisyyksiin.



Salauksen vaikutuspng

Aina eivät kuitenkaan mukavuus ja turvallisuus ole vastakkain. Turvallisuusjärjestelmän koventamiseksi voidaan tehdä paljon toimenpiteitä, jotka eivät suoran vaikuta loppukäyttäjän kokemukseen. Tarkemmat toimenpiteet vaihtelevat järjestelmäkohtaisesti ja myöskin oma toimintaympäristö vaikuttaa merkittävästi. Alla kuitenkin muutamia ylätason toimenpiteitä, joita olisi syytä käydä läpi jokaisessa organisaatiossa.

Verkon suojaus

Kuten jo johdannossa viitattiin, turvallisuusjärjestelmät tulisi aina sijoittaa erilliseen, palomuurilla erotettuun turvaverkkoon. Turvaverkosta avataan yhteys julkiseen verkkoon vain, jos se on ehdottomasti välttämätöntä. Tällöinkin avaus tehdään tarkoin rajatusti ja jos mahdollista, käytetään erillistä, DMZ-vyöhykkeelle sijoitettua välipalvelinta kommunikointiin julkiseen verkkoon. Tyypillisimpiä käytettyjä välipalvelimia ovat SOAP-palvelun sisältävät palvelimet tai IIS-palvelimet. Myöskään toimistoverkosta ei tyypillisesti sallita pääsyä turvaverkkoon kuin tarkasti rajatuilta työasemilta. 

Turvaverkko olisi myös syytä rakentaa siten, että verkkoon liittyminen sallitaan ainoastaan ennakkoon hyväksytyiltä laitteilta. Ennakkohyväksyntä voidaan tehdä muutamallakin eri tavalla, mutta tyypillisempiä ratkaisuja ovat joko MAC-osoitteen perusteella tapahtuva tunnistautuminen tai sertifikaattiin perustuva tunnistautuminen (esimerkiksi EAP-TLS).

Laiteliikenteen salaaminen

Käytännössä kaikki uudemman sukupolven turvallisuusjärjestelmät tarjoavat mahdollisuuden laiteliikenteen salaamiseen päätelaitteen ja palvelimen välillä. Vaikka tietoa liikutettaisiin eriytetyssä turvaverkossa, on tämä suositeltu toimenpide kaikkien järjestelmien osalta. Laitevalmistaja tarjoavat tyypillisesti päätelaitteille kirjautumiseen ja niiden liikenteen salaamiseen ns. self-signed sertifikaatteja. Matalan turvallisuustason ympäristössä nämä ajavat asian, mutta suuremmissa organisaatioissa on sertifikaatit syytä ne itse hallinnoiduilla sertifikaateilla. 

Vanhempien, salaamatonta RS-liikennettä käyttäviä turvallisuusjärjestelmiä voidaan joissakin tilanteissa suojata erikseen RS-verkkoon liitettävillä palomuurin kaltaisilla laitteilla, joille voidaan opettaa järjestelmän normaalin liikenteen rakenne. Mikäli tällaiseen järjestelmän yritettäisiin man-in-the-middle (MITM) tyyppistä hyökkäystä, järjestelmä hälyttäisi poikkeavasta liikenteestä ja mahdollistaa siten nopen reagoinnin vahinkojen estämiseksi tai minimoimiseksi. Yksi tällaisia ratkaisuja tarjoava taho on esimerkiksi TXone.  TXOne Networks | The Leader of OT Zero Trust

Ohjelmistokäyttäjien tunnistaminen

Suurin osa yrityksistä on jo siirtynyt toimistoverkoissaan ja esimerkiksi Windows-ympäristöissä monivaiheiseen tunnistautumiseen (MFA), osa on jo ottanut Passkey-todennuksenkin käyttöön. Samaa periaatetta tulisi noudattaa myös turvallisuusjärjestelmien kirjautumisen suhteen. Kirjautuminen kannattaa siis varmentaa joko erillisellä MFA-tunnistautumisella tai turvallisuusjärjestelmän kirjautuminen kannattaa liittää käyttäjän Windows-tunnukseen, esimerkiksi LDAP- tai LDAPS-protokollan avulla.

Tietokannan koventaminen

Moni turvallisuusjärjestelmä käyttää palvelimella SQL-tietokantaa, toki muitakin variaatiota on. Tässä on nostettu esiin erityisesti MSSQL-palvelimen koventamiseen liittyviä seikkoja.  

Ensimmäinen toimenpide on tietoliikenteen salaaminen tietokantapalvelimen ja järjestelmäpalvelimen välillä. Tyypillisesti tähän käytetään TLS-salausta. Toinen toimenpide on SQL-palvelimen käyttäjien hallinta, erityisesti, jos käytössä on esimerkiksi SOAP-palvelu tai vastaava. Mikäli tiettyjen applikaatioiden osalta on tarpeen ainoastaan lukea tietoa tietokannasta, rajataan tähän liittyvän käyttäjätunnuksen oikeudet ainoastaan lukuoikeuksiin ja tiettyyn tietokantaan.  

Mikäli mahdollista, tietokanta olisi suositeltavaa salata, näin kriittinen tieto saadaan suojattua vaikka tietokannan tiedosto tai sen varmuuskopio joutuisi vääriin käsiin. Salaaminen vaikuttaa jossakin määrin palvelimen suorituskykyyn, riippuen sen toteutustavasta.  

Microsoftin SQL-palvelimen haavoittuvuuksien arviointiin on saatavilla SQL Server Management Studiossa työkalu, SQL Vulnerability Assessment. Työkalu on saatavilla SQL Serverin versiosta 2012 alkaen. SSMS versiosta 19.1 eteenpäin tuota työkalua ei ole saatavilla, vaan samaan tarkoitukseen on tarjolla Microsoft Defender for SQL. Haavoittuvuuksien arviointia on suositeltavaa tehdä järjestelmän käyttöönoton yhteydessä, mutta lisäksi siitä kannattaa tehdä säännöllinen rutiini esimerkiksi järjestelmän versiopäivitysten yhteydessä.


Turvallisuusjärjestelmä ei siis ole turvallinen, jos sitä ei tehdä sellaiseksi. Ota meihin yhteyttä, niin selvitämme, minkälaisia toimenpiteitä teidän turvallisuusjärjestelmään olisi tarpeen tehdä.