Tietoturva on tänään kriittisempää kuin koskaan. Kevyenä tietoturvaharjoituksena kehotan teitä tarkastamaan tietokantojenne versiot. Jos teillä on kirjoituksen lopussa olevaa listaa vanhempia versiota käytössä, tietokantojenne riskiprofiili on kohonnut. Riski on aito ja oikea, sillä reikäinen tietokantatuote tarjoaa hakkereille mahdollisuuksia tietomurtoihin. Mitä vanhempi versio on käytössä, sen enemmän mahdollisia hyökkäystapoja hakkereilla on käytössään, sillä aukkoja ei ole tukittu ja toimivat hyökkäystavat ovat heidän tiedossaan. Kun haavoittuvuuksia löytyy, löytyy myös tahoja, jotka lähtevät etsimään helppoja kohteita murrolle. Viimeistään kun korjaukset julkaistaan, haavoittuvuus on kaikkien tiedossa. Jos tietokantaa ei tällöin päivitetä, haavoittuvuus on hyödynnettävissä rikollisten toimijoiden toimesta.
Helpoin tapa ylläpitää hyvää tietoturvaa tietokantakerroksessa on päivittää kantaversiot ajan tasalle. Tietomurtoja vastaan suojaudutaan nykyään teknisten ratkaisujen lisäksi myös mm. kybervakuutuksilla, mutta ne eivät estä luvattomia tunkeutumisia. Seuraavassa nosto erään kybervakuutuksia tarjoavan toimijan ehdoista: "Vakuutuksesta ei korvata vahinkoa, joka aiheutuu vakuutetun käyttämien laitteiden, laitteistojen, ohjelmien, tietoverkkojen tai muun omaisuuden ikääntymisestä, kulumisesta, suorituskyvyn laskusta tai puutteellisesta ylläpidosta."
Jos käytätte vanhaa päivittämätöntä versiota, ei vakuutus korvaa vahinkoja. On myös huomioitava, että tietokantaversion mennessä End of Life (EOL) -tilaan, ei siihen enää saa päivityksiä. Patchaamisen lisäksi niin sanottuja Major-versiopäivityksiä on tehtävä säännöllisesti. Jos säännölliset päivitykset ovat mahdottomia esimerkiksi asiakkaille annettujen palvelulupausten takia, voidaan päivityssykliä kasvattaa tuomalla niin sanottu Virtual Patching -kerros tietokannan päälle.
Virtuaalikorjauspäivitykset mahdollistavat tilanteen, jossa tietokanta on suojattu, vaikka valmistajan julkaisemia tietoturvapäivityksiä ei ole vielä asennettu varsinaiseen tietokantaan. Tällöin tietoturvapäivityksen asentamisen kanssa voidaan odottaa järjestelmän huoltoikkunaan saakka, kuitenkin säilyttäen tietoturvallisen toimintatason. Verkkoliikenteestä voidaan katkaista haavoittuvuuksien hyväksikäyttöyritykset tunnettua CVE-kantaa (Common Vulnerabilities and Exposures) vasten. Tämä antaa lisäaikaa varsinaisille päivityksille.
Muitakin suojautumiskeinoja kuin ajantasainen tietokanta tarvitaan, mutta ainakin päivityksistä ja ylläpidosta on syytä huolehtia säännöllisesti. Tietokannan varmistusketju on syytä katsoa kuntoon tietokantojen tietoturvaa kehittäessä. Ajantasaisella kantavarmistuksella voidaan palautua hankalistakin tilanteista, mutta sen toimivuudesta on syytä olla varma; varmistus ei saa tuhoutua esimerkiksi ransomware-hyökkäyksessä, eli varmistusputkessa pitää olla keinot palautua myös rikollisesta tiedon kryptauksesta. Varmistuksien lisäksi varautumissuunnitteluun voi kuulua tietokannan klusterointi (High Availability, HA) ja niin sanotut Disaster Recovery (DR) -toteutukset toiseen konesaliin tai pilveen, jolloin saadaan toipumista erilaisista vikatilanteista parannettua. Huomiona mainittakoon, että HA- ja DR-toteutukset mahdollistavat päivitysten ajamisen huoltoikkunoiden ulkopuolellakin. Palautumisiin tarvitaan lisäksi laadukas dokumentointi ja harjoittelu. Hyvin suunniteltu on puoliksi tehty.
Monella toimialalla vaatimuksena on datan kryptaus ja tästä saadaankin hyötyjä tiedon turvaamiseen. Tietojen salaaminen (kryptaaminen) tekee niistä lukukelvottoman sekä hakkereille että sisäisille toimijoille, joilla ei ole salausavainta. Kryptaamisen voikin nähdä eräänlaisena viimeisenä puolustuslinjana tunkeutujaa vastaan. Tietokantojen kryptaukseen (Transparent Data Encryption eli TDE) kannattaa hyödyntää valmistajien tuottamia ratkaisuja silloin kun niitä on saatavilla. TDE suorittaa kryptauksen tiedostotasolla ja ratkaisee ns. data-at-rest-tason suojauksen sekä levyllä että tietokannan varmistusten osalta.
Yllä mainittujen keinojen lisäksi tietokantojen 360:n asteen tietoturvaan kuuluu paljon muutakin, kuten datan käytön seuranta, konfigurointien säännöllinen auditointi, salasanojen ja käyttöoikeuksien hallinta, vahvat todennusmenetelmät ja datan anonymisointi ja pseudonymisointi. Näistä kerromme mieluusti lisää, mutta ensiksi pyydän palaamaan kirjoituksen toiseen lauseeseen ja tarkistamaan alla olevan listan mukaisesti mikä teidän tämän hetken tilanne on tietokantaversioiden osalta:
Oracle - Tuorein tuettu: 19.17 Suositus on 19, jonka Long-Term Support (LTS) loppuu 04/27.
Vanhemmat kuin 19c ovat jo End-of-Life (EOL), pois lukien 12.1.0.2 ja 11.2.0.4, joiden EOL on 12/23 erikseen hankitulla Custom Market Driven Support -sopimuksella.
Jos et ole erikseen tilannut Custom Market Driven Support -sopimusta, teillä ei sitä ole.
SQL Server - Tuorein tuettu: 2019 CU18
Suositus on 2019, jonka LTS on 01/2025 Mainstream Supportin osalta ja 01/2030 erikseen hankittavan Extended Supportin osalta.
Vanhemmat versiot kuin 2019 ovat jo EOL mainstream supportin osalta ja vanhemmat kuin 2014 ovat EOL erikseen hankittavan Extended Supportin osalta.
Jos et ole erikseen tilannut Extended Support sopimusta, teillä ei sitä ole.
PostgreSQL - Tuorein tuettu (stable): 15.0
Tuetut versiot: 10.22, 11.17, 12.12, 13.8, 14.5 ja 15.0
Suositus minimissään 11.17 jonka EOL on 11/2023, mutta suorituskyvyn takia suositellaan 14 tai tuoreempi
! 10-version tuki loppuu 11/22
DB2 - Tuorein tuettu: 11.5.7.1
Suositus on 11.5.7.1, jonka Base-tuen EOL on 09/2025 ja ilmoitettu Extended Support min. 3 vuotta Base EOL päälle.
1 Base -tuki on jo loppunut 04/22, mutta erikseen hankittavan Extended Supportin EOL on 04/2025.
Vanhemmat versiot ovat EOL, pois lukien 10.5, jonka Extended Support EOL on 04/2023
Jos et ole erikseen tilannut Extended Support -sopimusta, teillä ei sitä ole.
Suositus on 5.0 jonka LTS loppuu 04/2026 tai tuoreempi
2 EOL 04/2023
(Lista on luotu 3.11.2022 hyödyntäen valmistajien julkista dokumentaatiota.)
Muistutuksena vielä; jos ette ole ym. versioissa, teidän kannattaa selvittää, miksi olette tuettomassa tilanteessa ja miten löytynyt ongelma ratkaistaan. Käymme mieluusti kanssanne tilanteenne läpi ja autamme laatimaan vaiheistetun suunnitelman, jolla saadaan tietokantanne ajan tasalle ja tietoturva osaksi päivittäistä tekemistä.
Ota yhteyttä, niin katsotaan kanssanne tietokantojen tietoturva kuntoon.
