<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=200535291051472&amp;ev=PageView&amp;noscript=1">

TURVALLISUUSTIETOA

 

USB-tikut yrityksissä

Posted by Patrik on Jun 21, 2021 12:45:00 PM

 

Onko USB-tikuille tarvetta 2020-luvulla?

USB-tikut (tai USB-muistit) ovat olleet perinteisesti hyödyllisiä työvälineitä yrityksissä ja ne ovat parantaneet työskentelyn sujuvuutta, mutta samalla ne ovat altistaneet niitä käyttävät yritykset mahdollisille kyberhyökkäyksille.

USB-tikkujen hyödyllisyys perustuu siihen, että ne soveltuvat erittäin hyvin tiedostojen tallentamiseen ja siirtämiseen laitteelta toiselle ilman, että ko. laitteet ovat muutoin keskenään missään yhteydessä.


Teknisesti katsoen USB-tikut perustuvat Flash-muistiin, joka on puolijohdemuistia ja se puolestaan mahdollistaa tikkujen pienen koon, muistin haihtumattomuuden, sekä kestävyyden (koska tarvetta fyysisille liikkuville osille laitteen sisällä ei ole).

 

Entä USB-tikkuihin liittyvät riskit?

USB-tikkujen käyttö organisaatiossa laajentaa kyberrikollisen hyökkäyspinta-alaa lisäämällä mahdollisia hyökkäysreittejä. Kyvykäs hyökkääjä voi muokata hallussaan olevaa USB-tikkua siten, että se valjastetaan kyberhyökkäysvälineeksi. Kun hyökkääjän saastuttama USB-tikku liitetään tietokoneeseen, voi se kaikessa yksinkertaisuudessaan pahimmillaan salata kaikki ko. tietokoneen tiedostot ja pyytää koneen käyttäjältä lunnaita (ramsomware) tiedostojen palauttamisesta.

Myös alun perin organisaation itse hankkima ja käyttämä USB-tikku voi kadota tai joutua varkauden kohteeksi. Tällöin tikun sisältämä tieto on luonnollisesti vaarantunut, erityisesti mikäli tiedostoja ei ole salattu käyttäen riittävän vahvoja salausmenetelmiä.

USB-tikuilta on myös mahdollista palauttaa sieltä jo aiemmin poistettuja tiedostoja tiettyjä teknisiä työkaluja hyödyntäen. Näin ollen USB-tikut eivät ole turvallisia senkään jälkeen, kun niiden sisältämä tieto on poistettu normaaliin tapaan.

Hieman vanhempi konkreettinen esimerkki USB-tikkujen vaarallisuudesta on Stuxnet, joka levittäytyi matona (itsestään levittäytyvä haittaohjelma) erilaitteisiin laitteisiin maailmalla vuonna 2010 ja lopulta pääsi Iranin ydinvoimalaan, jonne haittaohjelman kohde oli asetettu. Mato pääsi ydinvoimalaan saastutetun USB-tikun kautta, jonka laitoksen työntekijä oli vienyt muutoin asianmukaisesti eristettyyn kohdetilaan. Mato oli pysynyt hyvin piilossa, sillä se oli suunniteltu aktivoitumaan vain, mikäli se löysi tarkasti ennalta määriteltyjä kohteita. USB-tikulla ollut haittaohjelma sai kyseisessä ydinvoimalassa aikaan suuria fyysisiä tuhoja sen laitteille.

 

Millaisia USB-hyökkäyslaitteita vastaan yritysten tulisi suojautua?

- USB-tikku voi todellisuudessa olla myös tietokone, jonka saaminen kohdeympäristöön mahdollistaa hyökkääjälle laajan määrän uusia hyökkäysmenetelmiä ja mahdollisuuksia. Hyökkääjä voi tällöin pyrkiä rakentamaan takaovia verkkoympäristöön ja mahdollistaa pääsyn muille hyökkäysmenetelmille.


- Tikusta saa myös fyysisesti vaarallisen, sillä haitallinen tikku voi olla asetettu antamaan jännitepiikki, kun se liitetään fyysiseen laitteeseen. Jännitepiikki voi tuhota laitteen johon tikku on liitetty ja vaurio syntyy usein hyvin nopeasti.


- ”Rubberducky” -tikut mahdollistavat ennalta määriteltyjen komentojen syöttämisen automaattisesti heti, kun tikku liitetään tietokoneeseen. Käyttäjällä ei ole välttämättä mitään mahdollisuutta huomata, että jotakin odottamatonta tapahtui, sillä tikku suorittaa komennon erittäin nopeasti.

 

 

USB-tikkujen käytön turvallisuuden kohentaminen

Riskeistä huolimatta USB-tikut ovat hyödyllisiä tai joissain tapauksissa jopa pakollisia monissa työskentely ympäristössä, joten niiden käytön yksiselitteinen kieltäminen ei ole aina realistinen ratkaisu. USB-tikkujen käytön estäminenkään ei ole aina kovin helppo ratkaisu, sillä työasemien USB-portteja käytetään muidenkin oheislaitteiden kuten hiiren ja näppäimistön yhdistämiseen. Tosin näistäkin laitteista voidaan tehdä hyökkäyslaitteita, mutta pidättäydytään tässä kirjoituksessa vain USB-tikuissa.


Jokaisessa organisaatiossa voidaan kuitenkin laatia selkeät käytännöt ja periaatteet tikkujen käytölle ja rajoittaa ympäristöjä, joissa näitä saa käyttää. Tikuille voidaan myös ottaa käytännöksi käytönjälkeinen puhdistus edistyneemmillä menetelmillä (sanitointi), joka estää tiedostojen palauttamisen. Tikkua tulisi säilyttää turvallisesti ja varmistaa vain luvallisten työntekijöiden pääsy tikkuihin.


Osana periaatteita tulisi olla myös yhteisesti sovittu toimintamalli tilanteisiin, joissa organisaation tiloista (tai mistä hyvänsä muualtakin) löydetään tuntemattomia USB-tikkuja. Tuntemattomia tikkuja ei tulisi koskaan kiinnittää normaaleihin työasemiin, vaan ne tulisi viedä joko analysoitavaksi asiantuntevalle taholle tai tuhota ne fyysisesti.
Periaatteiden laatimisen jälkeen käytännön toimintaohjeet tulisi luonnollisesti jalkauttaa koko organisaatiolle ja mielellään kehittää ja ylläpitää henkilöstön turvallisuustietoisuutta säännöllisillä (tieto)turvallisuuskoulutuksilla.

 

Entä korvaavat tiedonsiirtomenetelmät USB-tikkujen korvaamiseksi?

Mikäli organisaatiossa todetaan USB-tikkujen aiheuttavan liian korkean riskin yrityksen turvallisuudelle, tai niiden käytölle ei ole enää olemassa todellisia perusteita, voidaan tikkujen käyttö kieltää ja käyttää erilaista menetelmää tiedostojen nopeaan siirtoon.


Käytännössä kaikilla organisaatioilla on jo yrityksen normaalissa käytössä olevat pilvipalvelut, jotka ovat jo sellaisenaan korvanneet lähes kokonaan tarpeen USB-tikkujen käytölle tiedonsiirrossa. Esimerkkeinä pilvipalveluista varmasti yleisimmin käytetyt Microsoftin 365 -tuoteperhe ja Googlen vastaavat palvelut.


Mikäli verkkoyhteydet ovat ylipäätään käytettävissä, voidaan tiedostojen siirtoon käyttää myös ulkopuolisia palveluja, jotka ovat erittäin helppoja ja nopeita tapoja siirtää pienehköjä tiedostoja ilmaiseksi. Usein tällaiset palvelut soveltuvat myös suurempien tiedostojen siirtämiseen maksullisena versiona. Esimerkkinä monista saatavilla vaihtoehdoista voidaan mainita vaikkapa WeTransfer -palvelu.


Organisaation paikallisena ratkaisuna voidaan tiedostojen siirtoon käyttää edelleen myös esimerkiksi omaa NAS-palvelinta, jolloin sen käyttöä voidaan kontrolloida itsenäisesti ja yritys voi esimerkiksi määritellä, että tietynlaiset tiedostot siirretään työasemien välillä vain organisaation sisäverkkoa hyödyntäen (vs. pilvipalvelut, jossa tieto liikkuu aina oman sisäverkon ulkopuolella).

Soveltuvat tiedon siirtämiseen käytettävät menetelmät tulisi kuitenkin aina määritellä käsiteltävän tiedon luottamuksellisuuden sekä vaaditun/halutun suojaustason mukaisesti.

 

 

Haluaisitko keskustella lisää kyberuhista ja niiltä suojautumisesta?

Varaa maksuton konsultaatio sinulle sopivalle ajankohdalle.

Tee varaus

 

Mikäli haluat lukea lisää liittyen aiheeseen, suosittelemme sinulle kahta asiantuntija-artikkelia:

1. Kyberturva ja kyberturvan pikatesti

2. Salasanan hallinta

Topics: turvallisuusasiantuntija, turvallisuuskonsultointi, Riskiarviointi, Tietoturvallisuus, kyberturvallisuus