Microsoftin päättyvät elinkaaret ja niiden vaikutukset tietoturvaan

    Mikko Pantti
    Kirjoittaja: Mikko Pantti 28.10.2019

    Aihe: Tietoturva, Päivitys, Windows

    Lukuaika n. 3 min

    Useampi Microsoftin tuote on lähiaikoina tulossa tai on jo tullut tiensä päähän. Microsoft tiedotti jo hyvissä ajoin, että kesällä 2019 tiensä päähän tuli SQL Server 2008/2008 R2 ja tammikuussa 2020 samoin käy Windows 7:lle ja Server 2008/2008 R2:lle. Vuodenvaihde lähestyy ja kaikkia kyseisiä tuotteita on edelleen suuressa osassa IT-ympäristöjä aktiivisessa käytössä, eikä päivitystä ole vielä edes mietitty.

    Nyt on siis viimeistään korkea aika nostaa tämän asian prioriteettia jokaisessa IT-ympäristössä ja näin ennaltaehkäistä mahdolliset tarpeettomat tietoturvariskit.

    Mitä tämä sitten käytännössä tarkoittaa tietoturvan kannalta?

    Monesti kuulee lauseen ”Se on toiminut jo vuosia ilman ongelmia, ei meille tällaisia ongelmia tule”. Ihan ymmärrettävä lause, sillä jokaiseen päivitykseen ja ylläpitotyöhön kuluu aina rahaa, eikä IT-ympäristöistä puhuttaessa kyseessä yleensä ole se yrityksen halvin investointi.

    On kuitenkin ymmärrettävä, että elinkaaren päätyttyä Microsoft ei enää tule tarjoamaan tietoturvapäivityksiä, korjauksia tai teknistä tukea tuotteisiin. Mitään havaittuja haavoittuvuuksia ei tulla korjaamaan. Tämän myötä kyseiset tuotteet tulevat kohdennettujen hyökkäysten kohteeksi, joissa hyödynnetään mahdollisia uusia havaittuja tietoturva-aukkoja.

    Tutkimukset ovat osoittaneet, että hyökkäyksiä tapahtuu keskimäärin 30 sekunnin välein ja kaikista hyökkäyksistä jopa 60% on kohdistettu pieniin ja keskisuuriin yrityksiin. Lisää tutkimustuloksia voi lukea vaikka Verizonilta.

    Tutustu tietoturvapakettiin Microsoft-sovelluksia käyttäville yrityksille banner

    Varsinkin uuden EU:n tietosuoja-asetuksen myötä tämä voi aiheuttaa monelle yritykselle tietoturvahyökkäyksen kohdalla harmaita hiuksia, jos elinkaaren päässä olevassa ympäristössä säilytetään GDPR:n alaista tietoa.

    Maailmalta löytyy paljon esimerkkejä yrityksistä, joiden koko toiminta on lakannut sen takia, että ympäristöön on päässyt haittaohjelma, joka on salannut ja tuhonnut kaikki yrityksen tiedostot eikä mitään ole pystytty pelastamaan. Tämä riski korostuu varsinkin elinkaarensa päässä olevalla työasemapuolella, josta haittaohjelmat monesti tunkeutuvat ensin loppukäyttäjän koneelle ja sieltä palvelinympäristöön.

    Mitä sitten tulisi tehdä?

    Kaikki lähtee kartoituksesta, jossa tulisi kysyä ainakin seuraavat kysymykset:

    • Onko ympäristössämme elinkaaren päässä olevia tuotteita?
    • Miten niitä käytetään ja onko niitä mahdollista korvata vaihtoehtoisella ratkaisulla?
    • Selvitä järjestelmätoimittajalta, voidaanko järjestelmä siirtää uudelle palvelimelle ja pitääkö mahdollisesti myös itse järjestelmä päivittää tässä yhteydessä?
    • Millaisella kustannuksella ja aikataululla toimenpiteet saadaan vietyä maaliin?

    Päivittäminen ei aina kuitenkaan ole mahdollista. Kyseessä voi vaikka olla vanha tuotantosovellus, jolla ei ole enää järjestelmätoimittajaa olemassa. Tällöin on tärkeää kartoittaa riskit ja vaihtoehdot sille, että järjestelmiä tai tietoja joudutaan jättämään elinkaaren päässä olevaan suojattomaan laitteeseen. Tällöin täytyy selvittää vähintään nämä asiat:

    • Tarvitseeko laitteen olla verkossa?
    • Jos tarvitaan verkkoyhteydet, miten yhteydet rajoitetaan mahdollisimman hyvin?
    • Voidaanko laite siirtää verkkoon, josta ei pääse julkiseen internetiin?

    Vaikka Microsoft on alussa mainittujen tuotteiden osalta ilmoittanut tuen päättymisestä, yritys tarjoaa myös poikkeusratkaisuna mahdollisuutta ostaa vielä jatkettua tukea kyseisiin tuotteisiin. Hinnallisesti se ei kuitenkaan ole halvin mahdollinen ratkaisu. Palvelimet on myös mahdollista siirtää mm. Azureen, jossa on vielä kolmen vuoden ajan saatavilla tietoturvapäivityksiä ilman maksuja.

    Mistä apua vaihtoehtojen selvittämiseen?

    Paras tapa lähteä liikenteeseen on ottaa yhteys IT-palveluntarjoajaasi, palvelupäällikköön tai konsulttiin. Käykää läpi yhdessä mikä on nykytila ja tavoitetila. Ottakaa mukaan projektiin järjestelmätoimittajat ja mahdolliset muut kolmannet osapuolet. Työpajan kautta saadaan selvät askelmerkit sille mitä kaikkea on tarpeellista selvittää, kenen tehtävä se on ja mitkä ovat vaihtoehdot mahdolliselle päivitysprosessille.

    Kaipaako yrityksesi sisäistämistä? Tutustu.

    Jos yritykselläsi on oma tietohallinto, ei heidän välttämättä kannata lähteä yksin ratkomaan ongelmaa vaan joissakin tilanteissa on parasta ottaa avuksi ulkopuolinen konsultti, joka katsoo ympäristöä ulkopuolisen silmin ja tuo mukaan uusia ideoita.

    Me MPY:llä autamme mielellämme ympäristönne kartoituksessa sekä mahdollisissa päivityksissä. Tutustu palveluihimme, kuten IT-laitteiden hallinta- ja tukipalveluihin, tai kokonaisvaltaisempiin palveluihimme, joita tarjoamme Sisäistyspalveluna.

     

    Mikko Pantti
    Järjestelmäarkkitehti
    MPY Palvelut Oyj

    Jaa kirjoitus eteenpäin: