Yritykset panostavat paljon aikaa, vaivaa ja rahaa järjestelmiensä turvallisuuteen. Turvallisuustietoisimmilla saattaa olla tietoturvaoperaatiokeskus. Ne tietysti käyttävät palomuureja ja virustorjuntatyökaluja. Ne käyttävät luultavasti paljon aikaa verkkojensa valvontaan etsien paljastavia poikkeamia, jotka voisivat viitata tietoturvaloukkaukseen. He käyttävät IDS-, SIEM- ja NGFW-järjestelmiä, joten heillä on käytössään todellinen aakkosten kirjo suojauksia.
Mutta kuinka moni on miettinyt yhtä digitaalisten toimintojensa kulmakivistä: työntekijöiden tietokoneisiin asennettuja käyttöjärjestelmiä? Otettiinko tietoturva edes huomioon, kun työpöydän käyttöjärjestelmää valittiin?
Tämä herättää kysymyksen, johon jokaisen IT-henkilön pitäisi pystyä vastaamaan: Kysyimme asiantuntijoilta, mitä mieltä he ovat näiden kolmen vaihtoehdon turvallisuudesta: Windows, yhä monimutkaisempi alusta, joka on helposti suosituin työpöytäjärjestelmä; macOS X, FreeBSD Unix-pohjainen käyttöjärjestelmä, joka toimii Applen Macintosh-järjestelmissä; ja Linux, jolla tarkoitamme kaikkia erilaisia Linux-jakeluja ja niihin liittyviä Unix-pohjaisia järjestelmiä.
Miten päädyimme tähän
Yksi syy siihen, miksi yritykset eivät ehkä ole arvioineet työntekijöiden käyttöön ottamiensa käyttöjärjestelmien tietoturvaa, on se, että ne ovat tehneet valinnan jo vuosia sitten. Kun mennään tarpeeksi kauas taaksepäin, kaikki käyttöjärjestelmät olivat kohtuullisen turvallisia, koska niihin murtautuminen ja tietojen varastaminen tai haittaohjelmien asentaminen oli lapsenkengissä. Ja kun käyttöjärjestelmä on kerran valittu, sen vaihtamista on vaikea harkita. Harva IT-organisaatio haluaisi aiheuttaa päänvaivaa siirtäessään maailmanlaajuisesti hajautetun työvoiman kokonaan uuteen käyttöjärjestelmään. He saavat tarpeeksi vastustusta, kun he siirtävät käyttäjiä uuteen versioon valitsemastaan käyttöjärjestelmästä.
Olisiko silti viisasta harkita asiaa uudelleen? Ovatko kolme johtavaa työpöytäkäyttöjärjestelmää tarpeeksi erilaisia tietoturvan suhteen, jotta muutos kannattaisi?
Yritysjärjestelmiin kohdistuvat uhat ovat varmasti muuttuneet viime vuosina. Hyökkäyksistä on tullut paljon kehittyneempiä. Yksinäinen teini-ikäinen hakkeri, joka aikoinaan hallitsi yleistä mielikuvitusta, on syrjäytetty hyvin organisoiduilla rikollisverkostoilla ja hämäräperäisillä, valtion rahoittamilla organisaatioilla, joilla on käytössään valtavat tietotekniikkaresurssit.
Kuten monilla teistä, minulla on omakohtaista kokemusta uhkista, joita on olemassa: Minuun on tarttunut haittaohjelmia ja viruksia lukuisilla Windows-tietokoneilla, ja minulla oli jopa makroviruksia, jotka tartuttivat tiedostoja Mac-tietokoneellani. Hiljattain laajalle levinnyt automaattinen hakkerointi kiersi verkkosivustoni tietoturvan ja saastutti sen haittaohjelmilla. Tällaisten haittaohjelmien vaikutukset olivat aina aluksi hienovaraisia, jotain, mitä ei edes huomannut, kunnes haittaohjelma päätyi niin syvälle järjestelmään, että suorituskyky alkoi kärsiä tuntuvasti. Yksi silmiinpistävä asia tartunnoissa oli se, että pahantekijät eivät koskaan kohdistaneet niitä erityisesti minuun; nykyään on yhtä helppoa hyökätä 100 000 tietokoneeseen botnetin avulla kuin kymmeneen.
Onko käyttöjärjestelmällä todella väliä?
Käyttäjien käyttöön ottamalla käyttöjärjestelmällä on merkitystä tietoturva-asenteesi kannalta, mutta se ei ole varma turva. Tietomurto tapahtuu nykyään todennäköisemmin siksi, että hyökkääjä tutkii käyttäjiäsi, ei järjestelmiäsi. Äskettäiseen DEFCON-konferenssiin osallistuneiden hakkerien keskuudessa tehty kyselytutkimus paljasti, että ”84 prosenttia käyttää sosiaalista suunnittelua osana hyökkäysstrategiaansa”. Turvallisen käyttöjärjestelmän käyttöönotto on tärkeä lähtökohta, mutta ilman käyttäjien koulutusta, vahvoja palomuureja ja jatkuvaa valppautta jopa kaikkein turvallisimpiinkin verkkoihin voidaan tunkeutua. Ja tietenkin on aina olemassa riski käyttäjän lataamista ohjelmistoista, laajennuksista, apuohjelmista, liitännäisohjelmista ja muista ohjelmistoista, jotka näyttävät hyvänlaatuisilta, mutta joista tulee väylä haittaohjelmien ilmestymiselle järjestelmään.
Valitsitpa minkä alustan tahansa, yksi parhaista tavoista pitää järjestelmäsi turvallisena on varmistaa, että otat ohjelmistopäivitykset käyttöön ajoissa. Kun korjaustiedosto on kerran luonnossa, hakkerit voivat loppujen lopuksi kääntää sen taaksepäin ja löytää uuden käyttökohteen, jota he voivat käyttää seuraavassa hyökkäysaallossaan.
Älä unohda myöskään perusasioita. Älä käytä pääkäyttäjää, äläkä anna vierasoikeuksia edes verkon vanhemmille palvelimille. Opeta käyttäjiäsi valitsemaan todella hyviä salasanoja ja aseista heidät 1Passwordin kaltaisilla työkaluilla, jotka helpottavat heitä käyttämään eri salasanoja jokaisella käyttämällään tilillä ja verkkosivustolla.
Koska lopputulos on se, että jokainen järjestelmiäsi koskeva päätöksesi vaikuttaa tietoturvaan, jopa se, millä käyttöjärjestelmällä käyttäjät tekevät työnsä.
Windows, suosittu valinta
Jos olet tietoturvapäällikkö, on erittäin todennäköistä, että tämän artikkelin herättämät kysymykset voisi muotoilla uudelleen näin: Olisimmeko turvallisempia, jos siirtyisimme pois Microsoft Windowsista? On vähättelyä sanoa, että Windows hallitsee yritysmarkkinoita. NetMarketShare arvioi, että huikeat 88 prosenttia kaikista internetissä olevista tietokoneista käyttää jotakin Windows-versiota.
Jos järjestelmäsi kuuluvat tähän 88 prosenttiin, olet luultavasti tietoinen siitä, että Microsoft on jatkanut Windows-järjestelmän turvallisuuden parantamista. Sen parannuksiin on kuulunut muun muassa käyttöjärjestelmän koodipohjan uudelleen- ja uudelleenkirjoittaminen, oman virustorjuntaohjelmistojärjestelmän lisääminen, palomuurien parantaminen ja hiekkalaatikkoarkkitehtuurin käyttöönotto, jossa ohjelmat eivät pääse käsiksi käyttöjärjestelmän tai muiden sovellusten muistitilaan.
Mutta Windowsin suosio on ongelma sinänsä. Käyttöjärjestelmän turvallisuus voi riippua pitkälti sen asennuskannan koosta. Haittaohjelmien tekijöille Windows tarjoaa valtavan pelikentän. Keskittymällä siihen he saavat parhaan mahdollisen hyödyn ponnisteluilleen.
Kuten Axiom Cyber Solutionsin toimitusjohtaja Troy Wilkinson selittää, ”Windows jää aina viimeiseksi tietoturvassa monista syistä, pääasiassa kuluttajien omaksumisasteen vuoksi. Koska markkinoilla on suuri määrä Windows-pohjaisia henkilökohtaisia tietokoneita, hakkerit ovat historiallisesti kohdistaneet hyökkäyksensä eniten näihin järjestelmiin.”
On varmasti totta, että Melissasta WannaCryyn ja sen jälkeen suuri osa maailman haittaohjelmista on kohdistunut Windows-järjestelmiin.
macOS X ja tietoturva tuntemattomuuden kautta
Jos suosituin käyttöjärjestelmä on aina suurin hyökkäyskohde, voiko vähemmän suositun vaihtoehdon käyttäminen taata turvallisuuden? Tämä ajatus on uusi versio vanhasta – ja täysin diskreditoidusta – käsitteestä ”tietoturva hämäryyden kautta”, jonka mukaan paras tapa puolustautua hyökkäyksiä vastaan oli pitää ohjelmiston sisäinen toiminta patentoituna ja siten salassa.
Wilkinson toteaa suoraan, että macOS X ”on turvallisempi kuin Windows”, mutta hän kiirehtii lisäämään, että ”macOS:ää pidettiin aiemmin täysin turvallisena käyttöjärjestelmänä, jossa tietoturva-aukkojen mahdollisuus oli vähäinen, mutta viime vuosina olemme nähneet hakkerien kehittelevän lisähyökkäyksiä macOS:ää vastaan.”
Toisin sanoen hyökkääjät haaraantuvat eivätkä jätä Mac-universumia huomiotta.”
Turvallisuustutkija Lee Muson Comparitechista sanoo, että ”macOS on todennäköisesti paras valinta”, kun on kyse turvallisemman käyttöjärjestelmän valinnasta, mutta hän varoittaa, että se ei ole läpäisemätön, kuten joskus luultiin. Sen etuna on se, että ”se hyötyy edelleen hämäryyden kautta saavutettavasta turvallisuudesta verrattuna Microsoftin tarjoaman paljon suuremman kohteen tarjoamiin mahdollisuuksiin”.”
Joe Moore Wolf Solutionsilta antaa Applelle hieman enemmän luottoa, sanomalla, että ”hyllystä pois, macOS X:llä on hyvä maine tietoturvan suhteen, osittain siksi, että se ei ole niin laajalti kohteena kuin Windows ja osittain siksi, että Apple tekee melko hyvää työtä pysyessään tietoturvaongelmien kärjessä.”
Ja voittaja on …
Tiesit tämän luultavasti alusta asti: Asiantuntijoiden keskuudessa vallitsee selkeä yksimielisyys siitä, että Linux on turvallisin käyttöjärjestelmä. Mutta vaikka se on suosituin käyttöjärjestelmä palvelimille, yritykset, jotka ottavat sen käyttöön työpöydällä, ovat harvassa.
Ja jos päätät, että Linux on paras vaihtoehto, sinun pitäisi vielä päättää, minkä Linux-järjestelmän jakelun valitsisit, ja asiat mutkistuvat hieman. Käyttäjät haluavat käyttöliittymän, joka tuntuu tutulta, ja sinä haluat turvallisimman käyttöjärjestelmän.
Kuten Moore selittää, ”Linuxilla on potentiaalia olla turvallisin, mutta se edellyttää, että käyttäjä on jonkinlainen tehokäyttäjä”. Se ei siis sovi kaikille.
Linux-distroihin, joiden ensisijaisena ominaisuutena on tietoturva, kuuluu muun muassa Parrot Linux, Debian-pohjainen distro, joka Mooren mukaan tarjoaa lukuisia tietoturvaan liittyviä työkaluja heti laatikosta.
Tärkeä erottava tekijä on tietysti se, että Linux on avointa lähdekoodia. Se, että koodarit voivat lukea ja kommentoida toistensa töitä, saattaa tuntua tietoturvapainajaiselta, mutta itse asiassa se osoittautuu tärkeäksi syyksi siihen, miksi Linux on niin turvallinen, sanoo Igor Bidenko, Simplex Solutionsin CISO. ”Linux on turvallisin käyttöjärjestelmä, koska sen lähdekoodi on avoin. Kuka tahansa voi tarkistaa sen ja varmistaa, ettei siinä ole bugeja tai takaovia.”
Wilkinson tarkentaa, että ”Linux- ja Unix-pohjaisissa käyttöjärjestelmissä on vähemmän tietoturvamaailman tuntemia hyväksikäytettäviä tietoturva-aukkoja. Teknologiayhteisö tarkastaa Linux-koodin, mikä on omiaan edistämään tietoturvaa:
Tämä on hienovarainen ja ehkä vastenmielinen selitys, mutta kun kymmenet – tai joskus sadat – ihmiset lukevat läpi käyttöjärjestelmän jokaisen koodirivin, koodi on itse asiassa kestävämpää ja virheiden livahtamisen mahdollisuus pienenee. Tällä oli paljon tekemistä sen kanssa, miksi PC World sanoi suoraan, että Linux on turvallisempi. Kuten Katherine Noyes selittää: ”Microsoft saattaa mainostaa suurta palkattujen kehittäjien tiimiään, mutta on epätodennäköistä, että tämä tiimi voi verrata Linux-käyttäjäkehittäjien maailmanlaajuista joukkoa eri puolilla maailmaa. Tietoturva voi hyötyä vain kaikkien näiden ylimääräisten silmäpallojen kautta.”
Toinen PC Worldin mainitsema tekijä on Linuxin parempi käyttäjäoikeusmalli: Noyesin artikkelin mukaan Windows-käyttäjille ”annetaan yleensä oletusarvoisesti järjestelmänvalvojan oikeudet, mikä tarkoittaa, että heillä on pääsy lähes kaikkeen järjestelmässä”. Linux sen sijaan rajoittaa ”pääkäyttäjää” huomattavasti.”
Noyes totesi myös, että Linux-ympäristöissä mahdollinen monimuotoisuus on parempi suoja hyökkäyksiä vastaan kuin tyypillinen Windows-monokulttuuri: Linuxista on yksinkertaisesti saatavilla paljon erilaisia jakeluja. Ja osa niistä on eriytetty tavoilla, jotka liittyvät erityisesti tietoturvaongelmiin. Comparitechin tietoturvatutkija Lee Muson antaa tämän ehdotuksen Linux-jakelusta: ”Qubes OS on niin hyvä lähtökohta Linuxille kuin tällä hetkellä voi löytää, ja Edward Snowdenin hyväksyntä varjostaa huomattavasti sen omia äärimmäisen vaatimattomia väitteitä.” Muut tietoturva-asiantuntijat viittaavat erikoistuneisiin turvallisiin Linux-jakeluihin, kuten Tails Linuxiin, joka on suunniteltu toimimaan turvallisesti ja anonyymisti suoraan USB-muistitikulta tai muulta vastaavalta ulkoiselta laitteelta.
Turvallisuuden vauhdin rakentaminen
Inertia on voimakas voima. Vaikka vallitsee selvä yksimielisyys siitä, että Linux on turvallisin valinta työpöydälle, ei Windows- ja Mac-koneita ole rynnätty hylkäämään sen hyväksi. Siitä huolimatta pieni mutta merkittävä Linuxin yleistyminen johtaisi todennäköisesti turvallisempaan tietotekniikkaan kaikille, sillä markkinaosuuden menetys on yksi varma tapa saada Microsoftin ja Applen huomio. Toisin sanoen, jos tarpeeksi moni käyttäjä siirtyy työpöydällä Linuxiin, Windows- ja Mac-tietokoneista tulee hyvin todennäköisesti turvallisempia alustoja.