Pk-yrityksen kyberturvallisuus ja penetraatiotestaus

Abstract

Insinöörityön tavoitteena oli kehittää kahdelle keskisuurelle yritykselle parannusehdotuksia kyberturvallisuuteen liittyen ja suorittaa yritysten käytössä oleviin järjestelmiin Internetin välityksellä tehtävä penetraatiotestaus.

Yritysten tietoturvallisuudesta tehtiin tilannekatsaus parannusehdotusten löytämiseksi. Penetraatiotestaus suoritettiin erilaisilla porttiskannauksilla, jotka kertovat avoimien porttien lisäksi tietoa myös skannauksen kohteen käytössä olevista järjestelmistä. Kyberturvallisuuteen ja sen uhkiin sekä puolustuskeinoihin liittyvää ajankohtaista tietoa tutkittiin eri lähteistä. Yleishyödylliset tiedot koottiin insinöörityössä monipuoliseksi ja selkeäksi kokonaisuudeksi, joka hyödyttää myös muita yrityksiä ja jota kuka tahansa kyberturvallisuudesta kiinnostunut voi lukea. Työn tuloksena yrityksille koottiin tietoturvaraportit, joissa esiteltiin parannusehdotukset ja penetraatiotestauksen tulokset. Tietoturvaraportteja ei yritysten kanssa tehtyjen salassapitosopimusten vuoksi voida liittää julkiseen insinöörityöhön.

Kyberturvallisuus on nyt ja myös tulevaisuudessa yritysten liiketoiminnan elinehto, sillä kyberrikollisuudessa liikkuu erittäin paljon rahaa. Kyberturvallisuuteen liittyvien uhkien jatkuva kehittyminen luo yrityksille haastetta liiketoiminnan turvaamisen ja ylläpidon suhteen. Näiden asioiden vuoksi insinöörityö on ajankohtainen ja antaa hyödyllistä tietoa yrityksille.

The goal of this final year project was to create suggestions for improvement regarding cyber security for two medium sized companies and to perform penetration testing on their systems over the Internet.

In order to offer suggestions, the current state of information security of the companies was reviewed. Penetration testing was performed by various kinds of port scanning which discover not only open ports but also information about the systems used by the target. Various sources were used to find up-to-date information about cyber security and its threats and defense techniques. This thesis contains beneficial information also for other companies besides the client companies and can be read by anyone interested in cyber security. As a result of the work, reports which contain suggestions for improvement and penetration testing results were produced for the client companies. Due to the non-disclosure agreements made with the companies the information security reports cannot be attached to this thesis.

Cyber security is essential to businesses today as well as in the future because a large amount of capital is involved in cyber-crime. Continuously evolving cyber threats pose challenges to companies in securing and maintaining their business. These facts make this thesis contemporary and helpful to companies.