Tietoturvapalsta

3/2008 Tietoturvaohjeistuksen merkitys

Mon, 15 Feb 2010 07:43:00 GMT

Tietoturvaohjeistuksen merkitys

En halua olla pahanilmanlintu ja tuoda aina huonoja uutisia, mutta tilanne suomalaisissa organisaatioissa on tietoturvan osalta huono. Meitä ei auta sekään, että tilanne tietoturvaohjeistuksien suhteen on muissakin maissa keskimäärin melko huono. Onneksi asioita kehitetään ja tiedostetaan nykyisin paremmin – tilanne on parantumassa.

Milloin viimeksi tarkastelit organisaatiosi tietoturvaan liittyvää dokumentaatiota? Onko sitä tehty ollenkaan vai onko se huonolla tolalla? Tiedätkö mitä tehdä kun kiintolevy hajoaa tai virus iskee? Vieläkin tärkeämpää; tietävätkö organisaatiosi muut työntekijät kuinka ennaltaehkäistään tietorikollisten onnistumista tai kuinka toimitaan, kun kannettava tietokone on varastettu?

Riippuen tulkinnasta, tietoturvaohjeistus sisältää oikeastaan kaiken tietoturvaan liittyvän dokumentaation. Ohjeistus sisältää yleensä ainakin seuraavat komponentit:

Yleinen tietoturvallisuuden kuvaus, strategia, tavoitteet, organisaatio ja suuntaviivat
Riskianalyysi/Uhka-analyysi ja vaikutusanalyysi
Resurssien ja niiden arvon määritys
Jatkuvuussuunnitelma (Business Continuity Plan)
Toipumissuunnitelma (Disaster Recovery Plan)
Henkilöstöön liittyvät suunnitelmat (mm. taustatarkistukset, työsuhteen päättäminen ja niin edelleen)
Fyysisen turvallisuuden suunnitelmat ja dokumentaatio
Tietoturvaan liittyvät lait, määräykset ja etiikka
Loppukäyttäjän ohjeet
Etäkäyttäjän ohjeet
Yleinen tietoturvasäännöstö
Ylläpidon erityisohjeet

Luettelo tuntuu pitkältä ja antaa kuvan tarpeettomasta byrokratiasta. Yllä mainitut dokumentit ovat kuitenkin tarpeellisia ja niiden merkityksen huomaa niitä luodessa.

Tietoturvan kehittämisen osalta on parhaimmaksi havaittu ”ylhäältä alaspäin” -malli. Tämä tarkoittaa sitä, että organisaation johto, oli organisaatio pieni tai suuri, ilmaisee ensin tiedostavansa ja ymmärtävänsä tietoturvan merkityksen. Johto käy asiantuntijan avulla läpi riskianalyysin, päättää suuntaviivat ja useimmiten huomaa, että organisaation toiminta on jollain tavoin vaarassa.

Ylemmän tason suunnitelmien ja muun dokumentaation tultua valmiiksi, siirrytään kehittämään muita ohjeistuksia, kuten jatkuvuus- ja toipumissuunnitelmia. Lopulta, kun kaikki suuntalinjat, strategia ja tavoitteet ovat varmasti selvillä, päästään tekemään konkreettisia säännöstöjä ja ohjeistuksia loppukäyttäjille.

Erityisen tärkeä tarkoitus tietoturvaohjeistuksella on tietoturvakulttuurin kehittäminen. Ohjeistuksen lisäksi suoritetaan myös koulutuksia, mutta koulutuksen ja harjoitusten merkitystä tullaan vielä pohtimaan erikseen myöhemmin.

Tietoturvaohjeistuksen merkitys korostuu etenkin silloin, kun täytyy toipua jonkinlaisesta tietoturvaan liittyvästä tapahtumasta. Kun loppukäyttäjä tietää mitä tehdä silloin, kun kannettava tietokone on varastettu, selvitään tilanteesta mahdollisimman vähin vaurioin.

Ja edelleen, kun ohjeistus on kunnossa ja tietoturvaa on kehitetty, IT-henkilöstö osaa asentaa asianmukaiset salaus- ja muut tietoturvaohjelmistot halutuille työasemille. Näin on jo ennaltaehkäisty siirreltävien medioiden katoamisesta johtuvien tietotovuotojen toteutumista. Kunnollisen ohjeistuksen perusteella IT-tuki luo standardoitua ja turvallista ympäristöä.

Todennäköistä on, että edellämainittuun esimerkkiin liittyvät liikuteltavien medioiden tuomat riskit on huomattu riskianalyysin tekemisen aikana. Ohjeistuksia luodessa huomataan usein aivan uusia riskejä. Toimintatavat ovat vuosien saatossa voineet kehittyä niin, ettei joitakin riskejä ole yksinkertaisesti tiedostettu.

Lisäksi riskianalyysin ja vaikutusanalyysin perusteella voidaan tehdä päätökset ja laskelmat siitä, mitä riskejä ja jäännösriskejä täytyy hyväksyä. Yksinkertaisilla laskukaavoilla päästään laskemaan minkä verran tietoturvaan kannattaa panostaa.

Tietoturvakulttuurin kehittäminen ja sen ylläpitäminen on maalaisjärjelläkin ajatellen tärkeää. Tietoturvakulttuurin kivijalka on nimenomaan tietoturvaohjeistus.

Siinä vaiheessa, kun ohjeistus on saatu alustavasti valmiiksi ja loppukäyttäjä saa itseään koskevan materiaalin luettavakseen, alkaa tietoturvakulttuuri kehittymään. Ennen pitkää annetuista ohjeista ja säännöistä tulee toimintatapa, jota ei tarvitse välttämättä ajatella sen enempää.

Liiketoiminnan kannalta

Yksi jos toinenkin yritys herää tietoturvaohjeistuksien puutteeseen viimeistään siinä vaiheessa, kun suuri potentiaalinen asiakas kyselee myynnin viime metreillä tietoturvavaatimuksien perään.

Useimmat suuret organisaatiot vaativat alihankkijoiltaan ja muilta yhteistyötahoiltaan erilaisia tietoturvaan liittyviä asioita. Tietoturvaohjeistuksien puuttuminen voi johtaa sopimuksen raukeamiseen tai kaupan peruuntumiseen.

Pahin tapaus sattuu niin, että alihankkija on saanut asiakkaaltaan dokumentin tietoturvavaatimuksista ja sopimuksessa sitoutunut sitä noudattamaan. Sitten asiakas suorittaa sopimuksessa mainitun auditoinnin ja käy ilmi, ettei tietoturvavaatimuksia ole täytetty. Usein ensimmäinen perustavaa laatua oleva vaatimus on nimenomaan se, että tietoturvaohjeistus on kunnossa, siitä lähdetään. Vasta sitten kysellään onko työasemiin asennettu palomuureja ja anti-viruksia.

Mitä tietoturvaohjeistuksen luominen vaatii?

Usein luullaan, että tietoturvaohjelman käynnistäminen ja kaiken tarvittavan luominen on erityisen vaativa prosessi. Riippuu tietenkin asenteesta, mutta jos tietoturvaa ostetaan asiantuntijalta, varsinainen asiakkaalta vaadittu työmäärä on organisaation koosta riippuen ehkä muutamia työpäiviä. Sekin aika vielä jakaantuu useammalle eri henkilölle.

Se mitä oikeasti tarvitaan, on asenne. Suomalaiset organisaatiot näkevät usein tietoturvan vain ylimääräisenä kulueränä ja sen kulun takaisin saamista yritetään mitä erilaisimmin keinoin. Surullisen kuuluisia ovat ne tietoturvapäälliköt, joiden toimenkuva on epäselvä ja tavoitteet kirjaamatta.

Lyhyt ohje tietoturvavastaavalle, yrityksen koosta riippumatta, tietoturvallisuuden parantamiseksi kuuluu näin:

Luo tietoturvaohjelma, jolla on johdon vankka tuki
Ota yhteyttä asiantuntijaan, tai hanki sellainen
Teetä riskianalyysi ja kannattavuuslaskelmat, pohdi mitä voit menettää
Luo tietoturvasuunnitelma ja sitoudu siihen
Anna tietoturvalle reilu budjetti, äläkä leikkaa sitä yllättäen
Luo kunnollinen tietoturvaohjeistus ja suunnitelmat ja valvo että ne toteutuvat
Luo säännöllinen päivitysaikataulu, jonka tarkoituksena on huolehtia siitä, että kaikki pysyy ajan tasalla (myös budjettisuunnitelma täytyy päivittää)

Vieläkin lyhyemmin; johdon täytyy ymmärtää tietoturvan merkitys, antaa sille tukensa ja asiaa täytyy ajaa eteenpäin.

Asiaa helpottaa se, että meitä tietoturvasta kiinnostuneita on entistä enemmän.

Terveisin,

Janne Sormunen, CISSP

2/2009 Tietoturvaa pilvessä

Mon, 15 Feb 2010 07:45:00 GMT

Tietoturvaa pilvessä

IT-Pilvi on nyt todellakin korkeissa sfääreissä. Lieneekö kyse erään aikakauden muodin palaamisesta jälleen kukoistukseensa?

Puhutaan pilvestä ja ollaan laittamassa IT-palveluita pilveen. Mitäs tämä nyt sitten oikein tarkoittaa?

Perinteisesti, viime vuosina, on IT-palveluita tuotettu melko paikallisesti omien palvelimien, henkilökohtaisten työasemien ja paikallisten verkkojen avulla.

Pilvi-konsepti tarkoittaa sitä, että IT-palvelut tuotetaan jossain muualla ja niihin päästään käsiksi verkon, yleisesti ottaen Internetin, kautta. Pilvi-kuvaelma tulee siitä, että palvelut tuotetaan ”jossain tuolla pilvessä”. Pilvi on siis palveluntarjoaja jossain Internetissä josta palveluita ostetaan tai ne saadaan muuta vastinetta käyttäen saataville. Palveluistahan pilvessä ei välttämättä tarvitse maksaa, voi nimittäin olla, että vaikka Googlen palveluita saat käyttää ilmaiseksi, joskin muutamia mainoksia samalla katsoen.

Pilven palveluita tuottavat yleensä suuret organisaatiot isojen datakeskusten avulla. Datakeskukset taas ovat tuttavallisesti ottaen konesaleja, joiden syövereistä löytyy massiivista tietokonekapasiteettia jolla palveluita tuotetaan.

Esimerkkinä olkoon vaikka yritys, joka ostaa itselleen levytilaa ja toimisto-ohjelmiston käytettäväksi pilvestä. Tällöin pilven palveluita tuottava organisaatio allokoi jättimäisestä levykapasiteetistaan automaattisesti tilatun levytilan ja avaa organisaatiolle pääsyn verkkosovelluksena käytettävään toimisto-ohjelmistoon. Tässä tapauksessa yrityksen ei tarvitse sen enempää tietää missä ja miten palvelut tuotetaan, vain sen kuinka levytilan saa käyttöön ja mihin osoitteeseen on mentävä jotta toimisto-ohjelma on käytettävissä.

Käytännössä pilvessä olevia palveluita käytetään siis niin, että paikallinen työasema ottaa yhteyttä Internetin ylitse johonkin palveluntarjoajaan ja sieltä käytetään sitä mitä on käytettävissä. Jopa kokonaisia virtuaalisia tietokoneita ja palvelimia saadaan Internetin yli käytettäväksi, ihan vain kätevästi web-tilauslomakkeen ja luottokortin vinguttamisen jälkeen.

Pilvi tuo paljon etuja, mutta pilvi tuo myös erilaisia tietoturvauhkia, -etuja, -ongelmia ja – muutoksia.

Pääasialliset pilven tuomat riskit

Siirtyvän tiedon suojaaminen

Pilven palveluita käytettäessä tietoa siirtyy jatkuvasti paikallisen tietokoneen ja pilven palveluntarjoajan välillä. Tätä tietoa on mahdollista salakatsoa. Tiedon siirtyminen Internetin ylitse tuo muitakin riskejä. Man-in-the-middle-hyökkäys voi tulla mahdolliseksi, samoin sessioiden kaappaaminen, tiedon muuttuminen matkalla ja niin edelleen.

Ratkaisu: Useimmat pilven palveluita tarjoavat organisaatiot tarjoavat käytettäväksi vähintäänkin SSL-salausta (samaa salausta mitä käytetään verkkopankkiliikenteessä). On aina varmistuttava, että pilven ja käyttäjän välinen tiedonsiirto tapahtuu turvatusti.

Pilveen tallennetun tiedon suojaaminen

Suurin osa tärkeästä tiedosta sijaitsee pilveä käytettäessä palveluntarjoajan datakeskuksissa. Tämä siis tarkoittaa että tieto sijaitsee muualla, ei oman tarkan ja valvovan silmän alla. Pilvessä sijaitsevaan tietoon ei ole niin sanotusti ”fyysistä” pääsyä, pilven palveluntarjoajan henkilökuntaa lukuun ottamatta. Vastuu ja niin ollen myös huolenpito ei kuulu asiakkaalle ja asiakas ei voi tehdä oikeastaan mitään jos jotakin menee vikaan. Tämä tuo riskejä. Palveluntarjoajan on tehtävä monenlaisia asioita asiakkaan tiedon suojaamiseksi. Tieto on osastoitava ja eristettävä muusta tiedosta. Tietoturvarikosten uhkan vuoksi tieto on ehkä myös salattava kun sitä tallennetaan pilven tallennusvälineille. Mikä tärkeintä, tieto on ehdottomasti varmistettava. Palveluntarjoajan asiakkaiden tiedon saatavuus on taattava ongelmallisissakin olosuhteissa. Tämä on ehdottomasti huomioitava. Asiakkaiden on huomioitava sopimuksia tehdessään tiedon saatavuuden varmistaminen.

Juridiset asiat

Pilven palveluntarjoaja saattaa sijaita missä tahansa maapallolla. Isoimmat palveluntarjoajat ovat sijoittuneet useampaan eri maahan. Usein asiakas ei edes tiedä missä kaikkialla pilven palvelut tuotetaan.

Lainsäädäntö poikkeaa maasta toiseen, mikä tuo riskejä. Joissakin maissa viranomaisilla, myös tiedusteluviranomaisilla, on oikeus ja kyky tarkistaa palveluntarjoajien palvelimilla sijaitsevia tietoja, sekä tietenkin seurata verkkoliikennettä asiakkaan ja palveluntarjoajan välillä.

Rikosten tapahtuessa voidaan myös törmätä ongelmiin. Asiakkaan omassa sijaintimaassa tapahtuneen rikoksen tutkinta voi vaikeutua, jollei palveluntarjoajan maan lainsäädäntö mahdollista tutkinnan suorittamista niin kuin se voisi tapahtua kotimaassa.

Tosin lain kannalta voi tutkinnan suorittaminen olla pilven huomioon ottaen hankalaa myös täällä Suomessa. Palvelimilla on paljon tietoa joka liittyy muihin asiakkaisiin ja tutkinta poikkeaa siihen tilanteeseen verrattuna, että tarvittava tieto sijaitsisi asiakkaan omalla palvelimella asiakkaan tiloissa. Suurin ongelma tietenkin syntyy tietämättömyydestä, ylläpitäjien juridisen tiedon puutteesta ja välikäsien ja tarvittavien henkilöiden määrän lisääntymisestä. Pilvestä ei voi vain irroittaa yhtä fyysistä osaa jonka voisi viedä viranomaisen laboratorioon tutkittavaksi.

Juridisia ongelmia riittää, mutta vielä eräs mainittava asia ovat asiakkaiden omat sopimukset. Asiakkailla voi olla omia asiakkaita ympäri maailmaa ja heitä velvoittaa erilainen lainsäädäntö ja asiakkaiden sopimuksissa voi olla erilaisia vaatimuksia joiden täyttämisestä pilven palveluita käyttävän asiakkaan pitäisi jollain tavoin varmistua. Tässä tulee riittämään työsarkaa lakimiehille pitkäksi aikaa.

Tiedon saatavuus

Tietoturvan kulmakiviä on saatavuuden varmistaminen. Tieto on varmistettava ja palautus on tehtävä mahdolliseksi, jos siis käy huonosti.

Jos tietoa on jostain syystä kadonnut, oli syynä sitten asiakas tai palveluntarjoaja, pilvi tuo ongelmia. Asiakas ei voi noin vain kävellä lähimmän mikrotukihenkilön luo ja pyytää palauttamaan tietoja. Sen sijaan asiakas joutuu noudattamaan palveluntarjoajan asettamaa byrokratiaa tavalla tai toisella. Palveluntarjoajan on sen sijaan asetettava käyttöön jonkinlainen byrokratia, jotta asiat pysyvät hallinnassa. Asiakkaita on todennäköisesti niin hirmuinen määrä, että yksittäinen asiakas joutuu tiedon palautusta odottamaan.

Tiedon varmistaminen toisille medioille ei kuitenkaan vielä pilven tapauksessa riitä. Pilven palveluntarjoajat varmasti sitoutuvat eri tavoin tiettyyn palvelun tasoon sopimuksissaan, mutta yksikään palveluntarjoajista ei ota, eikä voikaan ottaa, vastuuta yhteyksien toimivuudesta.

Nyt tullaankin pilven tietoturvaongelmien kulmakiven äärelle. Internet-yhteydet nimittäin kärsivät ongelmista. Kun toiminnan kannalta kriittiset palvelut on viety pilveen, pienetkin katkokset aiheuttavat ongelmia toimintaan.

Kaikenlaiset ongelmat ovat arkipäivää Internetissä. Vähän väliä yhteydet ovat jostakin poikki tai hidastuneet syystä tai toisesta. Päivittäin jossain tapahtuu palvelunestohyökkäyksiä ja mikään ei takaa ettei pilven palveluntarjoaja joutuisi hyökkäyksen kohteeksi.

Todellisuudessa pilven palveluntarjoajat ovat erittäin suosittuja, haastavia ja kiinnostavia tietoturvahyökkäysten kohteita. Miljoonat asiakkaat voivat kärsiä tällaisen hyökkäyksen johdosta.

Asiakkaiden tulisikin varmistaa yhteyksien toimivuus järjestämällä kahdennettuja yhteyksiä tai vähintäänkin järjestämällä itselleen varayhteys jonka voi ottaa käyttöön ensisijaisen yhteyden katketessa tai toimiessa huonosti.

Onneksi pilven palveluntarjoajat tekevät yleensä parhaansa yhteyksien toimivuuden varmistamiseksi. Ei ole epätyypillistä, että pilven palvelut ovat saavutettavissa useiden eri yhteyksien kautta. Usein datakeskukset tukevat toisiaan. Esimerkiksi Yhdysvalloissa sijaitsevan datakeskuksen ongelmien aikana Euroopan datakeskukset voivat tarjota samoja palveluita ja Yhdysvalloista Eurooppaan varmistettua tietoa asiakkailleen eri puolilla maailmaa.

Pilvi tuo myös tietoturvaetuja

Pilveen siirrytään usein edullisuuden ja ylläpidon ja saatavuuden helppouden vuoksi. Tietoturvan kannalta siirtyminen voi myös olla järkevää.

Pilven palveluntarjoajat ovat suurikokoisia organisaatioita jotka työllistävät huomattavan määrän ammattilaisia. Lyhyesti sanoen pilven palveluntarjoajilla on runsaasti resursseja käytettävissään.

Palveluntarjoajien on pakostikin otettava tietoturva vakavasti. Siihen panostetaan, koska riskit ovat huomattavan suuret. Asiakkaiden ja pilven välillä käsitellään miljardettain transaktioita, liikennemäärät ovat massiivisia ja asiakkaita ympäri maapalloa. Tämä johtaa siihen, että palveluntarjoaja kohtaa päivittäin useita erilaisia tietoturvauhkia.

Koska palveluntarjoajan on huolehdittava tietoturvasta hyvin ja siihen riittää resursseja, voi asiakas huokaista helpotuksesta. Pilven palveluntarjoajalla on keskitetysti kyky nähdä ja havainnoida erilaisia tietoturvauhkia aivan eri tavoin kuin tyypillisen perinteisen IT-organisaation resursseilla.

Todennäköisesti pilvessä on tarjolla huomattava määrä erilaisia tietoturvaa parantavia palveluita, kuten keskitetysti hallittavia tietoturvaohjelmistoja, tiedostonsalausta ja varmennuspalveluita.

Mikäpä onkaan sen järkevämpää, kuin varmuuskopioida paikallisesti sijaitsevat tiedot pilveen. Jos toimisto palaa tai kaikki koneet varastetaan, tilataan uusi tietokone ja otetaan yhteys pilveen.

Eikä siinä tietenkään vielä kaikki. Palveluntarjoajien asiakkaat sijaitsevat jokaisella aikavyöhykkeellä ja palvelua on tarjottava 24/7. Palveluntarjoajilta voi siis saada tukea vaikka töissä menisikin hieman pitempään ja hätä yllättäisi keskiyön jälkeen.

Suomi ja pilvi

Suomella menee tässäkin tapauksessa melko hyvin. Palveluntarjoajat ovat heränneet tuottamaan palveluita pilvimallin mukaisesti ja asiakkaat ostavat palveluita.

Suomalainen laatu ja teknologinen kehitystaso mahdollistavat pilvimallin mukaisen palvelun tarjoamisen useita muita kilpailevia maita paremmin.

Google on jo tuomassa palvelukeskuksensa Suomeen. Tämä on jo melkoinen meriitti Suomelle ja pitäisi toimia esimerkkinä suomalaisille palveluntarjoajille.

Suomessa lainsäädäntökin on kohtuullisen hyvin ajan tasalla. Muukin infrastruktuuri kelpaa varsin hyvin pilvimallin käyttöön, sähköä riittää, yhteydet ovat laadukkaat ja ympäristö ei aiheuta vaaroja palvelukeskuksille. Täällä ei tarvitse turvata palvelukeskuksia maanjäristysten, merenpinnan äkillisen nousun, pyörremyrskyjen tai muiden luonnonkatastrofien varalta. Lisäksi meillä kulttuuri ja mentaliteetti tuovat varmuutta. Rikollisuuskin on aivan eri tasolla ja tilaa palvelukeskusten sijoittamiseen riskittömille alueille riittää.

Loppupäätelmiä

Tietoturva-asiantuntijoille pilvi tuo sekä huolta että helpotusta. Kun pilvimallin palveluita otetaan käyttöön, on hyvä pitää muutamia avainkohtia mielessä:

1.Varmistu tarjoajan luotettavuudesta

2.Lue sopimukset tarkkaan

3.Vaadi että sopimuksissa luvataan järkevä palvelun saatavuus ja taso

4.Ota selvää missä tieto sijaitsee ja sijainnin tuomat potentiaaliset ongelmat

5.Varmista verkkoyhteytesi

6.Ota selvää kuinka käytännön asiat palveluntarjoajan kanssa hoituvat

7.Testaa ennen kuin allekirjoitat

8.Varmistu asioista jotka liittyvät omiin sopimuksiisi ja pilveen

9.Osta vain niitä palveluita joita tarvitset

10. Pyydä apua asiantuntijalta

Pilvimallin ajattelu ei oikeastaan ole edes uusi. Nyt palataan jälleen takaisin siihen, että työpöydällä nököttää se tyhmä päätelaite ja sillä otetaan yhteyttä isoon palvelinkoneeseen joka tarjoaa ruudulle ne palvelut joita halutaan käyttää.

Katsotaanpa, ensin tuli 60- ja 70-luvuilla VAX/VMS sekä UNIX ja tekstipäätteet, sitten tuli NC (Network Computer) ja graafiset päätteet 80- ja 90-luvuilla, sitten Citrix ja graafiset päätteet 90- ja 2000-luvuilla. Ja nyt ollaan tultu pilveen.

Terveisin,

Janne Sormunen, CISSP

Lähteet:

-Infosecurity Professional 6/2009: Underscoring Cloud Security Issues (Troy Giefer, CISSP)

– Wikipedia: http://en.wikipedia.org/wiki/Cloud_computing

– Erilaiset keskustelut ja sivustot Internetissä

2/2008 Web-sivustot kohteena

Mon, 15 Feb 2010 07:42:00 GMT

Web-sivustot kohteina

Juuri ennen aikaisin aamulla alkavaa tärkeätä palaveria asiakkaalla, ystäväni laittoi minulle viestin, että heidän yhdistyksensä sivusto oli joutunut BadWare.org:n ylläpitämälle kieltolistalle. Näin ollen esimerkiksi googlen kautta sivustoille ei enää päässyt ilman varoituksia. Jotakin hämärää oli päässyt tapahtumaan.

Palaverin loputtua istuin autoon ja soitin ystävälleni. Samalla otin kannettavallani Internet-yhteyden ja surffasin sivustolle suoraan Firefox-selaimella. Toden totta, google desktop varoitteli sivustosta, mutta tietoturvaohjelmistoni ei antanut ainuttakaan hälytystä sivustoa koskien. Näin ollen rauhoittelin ystävääni.

Lähdin ajelemaan kohti toimistoa ja viiden minuutin kuluttua puhelin soi uudestaan. Sivuston lähdekoodista oli löytynyt outoja IFRAME-tageja. Tiesin, ettei niitä pitäisi olla siellä, koska auditoin sivuston silloin, kun sitä oltiin uudistamassa. Kirosin ja tunnustin, että en ollut vilkaissut lähdekoodia aiemmin vieraillessani sivustolla.

Koska aikaisemmin saamani tunnukset sivuston auditointia varten FTP:n kautta olivat kotonani, käänsin auton ja ajoin kotiin. En siis ylläpidä sivustoa, mutta tunnukseni kautta sivustoa pystyi myös ylläpitämään.

Jokaikiseltä sivulta löytyi tuo kummallinen IFRAME-tagi. Tagi näytti äkkisilmäyksellä olevan täynnä roskaa. Otin kuitenkin kopion tagista ja kopioin sen googlen etsintäriville. Yllättäen roskamerkit muuttuivatkin selväkielisiksi ja tajusin, että merkit olivat HTML-koodeja, joilla voidaan koodata lähes koko ASCII-merkistö.

IFRAME viittasi siis sivustolle, jonka osoite oli nmidahena.com. En tiennyt mitä sieltä jaettiin, mutta saatoin arvata, että tarjolla oli haittaohjelmia, joita Firefox ei ladannut, mutta Internet Explorer latasi.

Pikainen lisätutkimus paljasti, että oli olemassa SQL-haavoittuvuus, johon oli sitten päästy käsiksi sivuston kuvagalleriajärjestelmän haavoittuvuuden kautta.

SQL:n tarjosi palveluntarjoaja, joten ainoa vaihtoehto tulisi olemaan kuvagalleriajärjestelmän päivittäminen. Kuvagalleriajärjestelmän tehneen organisaation sivuilla olikin tarjolla päivitys, jolla vastaava hyökkäys estettäisiin.

Koska oli työpäivä ja aika vähissä, tein yksinkertaisesti niin, että hain ilmaisen ohjelmiston, jolla HTML-, PHP ja muista tekstitiedostoista sai poistettua määritettyjä tekstinpätkiä. Ohjelma toimi vieläpä niin, että se kävi automaattisesti ja nopeasti läpi useita tuhansia tiedostoja. Otin varmuuskopion kaikista tiedostoista ennen kuin laitoin ohjelman poistamaan kaikista tiedostoista tuon IFRAME-tagin.

Tilanne ei kuitenkaan korjaantunut sillä aivan kokonaan, sillä sivustolta löytyi edelleen muutamia tiedostoja, jotka sisälsivät IFRAME-tageja, osa niistä näytti poikkeavan toisistaan, siksi niitä siis edelleen löytyi. Näitä tageja ei siis pitänyt olla missään tiedostossa. Jälleen ohjelman muutaman kerran ajamalla sain vihdoin poistettua kaikki IFRAME-tagit. Huokaisin helpotuksesta ja totesin sivuston puhtaaksi.

Tarkistin sivuston pikaisesti sinne surffaamalla ja katsomalla lähdekoodia eri sivuilta, näytti puhtaalta. Soitin ystävälleni ja ilmoitin sivuston korjatuksi. Hommaan oli kulunut hieman yli tunti.

Tietenkään tilanne ei päättynyt tähän, vaan matkalla takaisin toimistolle, tuttavani ilmoitti, että kaikki png-kuvat olivat muuttuneet 6 tavun kokoisiksi. Varsinainen kauheus valkeni minulle toimistolla, jossa totesin, että lähes kaikki sivuston kuvat olivat muuttuneet 6 tavun kokoiseksi, mukaanlukien gif- ja jpg-kuvat.

Jostakin syystä etsi- ja korvaa-ohjelmisto, jota olin käyttänyt, oli muuttanut kuvatiedostot tuon kokoisiksi. Typeryyksissäni ja kiireissäni olin käsitellyt kaikkia tiedostoja. En ollut huomannut tapahtunutta, koska katsoin vain muutamaa sivua, joiden tärkeimmät kuvat olivat ehjiä tai tulivat välimuistista.

Onneksi tiesin, että kotikoneella oli varmuuskopio sivustosta, joten kuvat saisin siis takaisin.

Niinpä töiden jälkeen aloin tutkimaan tilannetta. Kyllä, varmuuskopiolla oli kaikki kuvat ehjinä, mutta koska otin varmuuskopion tuolla hakemallani etsi-ja-korvaa-ohjelmalla juuri ennen muokkauksia, kaikki varmuuskopioidut tiedostot sijaitsivat nyt yhdessä ja samassa kansiossa, ilman mitään rakennetta.

Ei auttanut itku eikä hammasten kiristys, kävin läpi joka ikisen kansion sivustolta ja kopioin ehjät kuvat nimen perusteella oikeisiin kansioihin. Tämä kesti useita tunteja. Asian olisi voinut hoitaa ehkä duplikaattien etsintään tarkoitetulla ohjelmalla ja skriptillä, mutta totesin, että kuluttaisin kuitenkin muutaman tunnin skriptin tekemiseen ja ohjelmien etsintään.

Ensin päivitin kuitenkin kuvagalleriajärjestelmän, jota en ollut ehtinyt tekemään aiemmin päivällä. Sitten kävin töihin ja vihdoin kello 23 illalla saatoin siirtää varmasti puhtaan ja toimivan sivuston palvelimelle.

Seuraavaksi otin puhelimen käteen ja tiedustelin, että tehdäänkö asiasta rikosilmoitus. Samalla kerroin, että googlesta löytyy noin puoli miljoonaa tulosta hakemalla IFRAME-tagin sisältämällä tiedolla. Ystäväni päätti, ettei rikosilmoitusta tehdä.

Ymmärrän kyllä, että rikosilmoituksen tekeminen tässä tapauksessa olisi melko hyödytöntä ja veisi aikaa. Mutta Suomessa jätetään tekemättä tietoturvaan liittyviä rikosilmoituksia aivan liikaa.

Useimmiten rikosilmoitus jätetään tekemättä sen kuvitellun vaivalloisuuden vuoksi ja usein ei edes tiedetä, että asiasta voisi tehdä rikosilmoituksen. Rikosilmoituksen ansiosta viranomaiset voivat tutkia asiaa ja jos hyvin käy, tiedossa voi olla korvauksia menetetystä ajasta ja erilaisista haitoista mitä hyökkäys tai muu rikos on aiheuttanut.

Suurin osa tietoturvarikoksista tapahtuu automaattisesti Internetin kautta epäselvästä alkulähteestä mahdollisesti usean murretun koneen kautta kiertäen. Siksi voi olla hankalaa selvittää mistä hyökkäys sai alkunsa ja tiedossa on resursseja runsaasti kuluttava tutkinta. Silti rikosilmoitus kannattaa tehdä, jos toteat, että olet joutunut tietoturvarikoksen uhriksi. Uhrin ei tarvitse huolehtia tutkinnasta. Todennäköisesti, korjausten lisäksi, uhri menettää ”yleisimpien” tietoturvarikosten tapauksessa, puolesta päivästä yhteen työpäivään verran aikaa. Tämä vain siinä tapauksessa, että viranomaiset pyytävät uhria etsimään lisätietoja aiheeseen liittyen. Itse rikosilmoituksen tekee tunnissa.

Kuinka siis toimit, jos epäilet joutuneesi tietoturvarikoksen uhriksi? Ota yhteyttä paikalliseen poliisiviranomaiseen, yhteystiedot löydät www.poliisi.fi -osoitteesta. Rikosilmoituksen voi myös täyttää edellämainitulla sivustolla. Voit ottaa yhteyttä myös viestintävirastoon. Viestintävirasto neuvoo kansalaisia ja organisaatioita tietoturvaan liittyvissä asioissa. Surffaa siis osoitteeseen www.viestintavirasto.fi (tai www.ficora.fi).

Tietoturvarikosta epäillessäsi pyri parhaasi mukaan säilyttämään todisteet. Tässä asiassa neuvoja antaa viestintävirasto. Perussääntönä tärkein lienee, että tietoturvarikoksen todettuasi älä sammuta kohdekonetta, poista se verkosta kaapeli irroittamalla ja pyri olemaan muuttamatta kohdekoneen tai –koneiden tietoja millään tavoin. Muistathan että koneen uudelleenkäynnistäminen voi tuhota runsaasti erilaisia todisteita, kuten väliaikaistiedostoja.

Vaikka olisitkin ehtinyt käynnistämään uhriksi joutuneen koneen uudestaan tai jopa tuhoamaan sen sisältämiä tietoja/tiedostoja, ei rikosilmoituksen tekemistä kannata unohtaa. Tässä tapauksessa yritä kirjoittaa ylös kaikki tekemäsi toimenpiteet jatkoa varten. Näitä tietoja voidaan tarvita myöhemmin.

Rikosilmoitus kannattaa tehdä. Tekemällä rikosilmoituksen tietoturvarikoksesta autat muitakin kuin itseäsi. Todennäköisesti uhreja on muitakin ja mitä enemmän uhreja ilmoittautuu viranomaisille, sitä enemmän resursseja asian tutkimiseen saadaan. Näin ollen, todennäköisyys rikoksen selviämiseksi kohoaa.

Edellä kerrottujen tapahtumien ansiosta ystäväni on minulle ison palveluksen velkaa. Pihatyöt odottavat sopivasti tekijäänsä ja ystävääni ajatellen kävin ostamassa peräti kaksi uutta lapiota. Lisäksi tunnen hiljaista tyytyväisyyttä, kun muistelen, että ennen edellä mainitun yhdistyksen sivuston uudistuksia, olin suositellut pysymistä pelkästään yksinkertaisessa HTML-koodissa ilman monimutkaisia kuvagallerioita ja niin edelleen. Jos neuvoani olisi noudatettu, olisi sivusto nyt ollut turvassa. Star Trek Enterprisen konepäällikkö sanoi viisaita sanoja: ”The more they overtech the plumbing, the easier it is to stop up the drain.” Niinpä niin, mitä monimutkaisemmat järjestelmät, sitä helpommin ne saa rikki.

Ikävä kyllä ystäväni ei halunnut minun paljastavan yhdistyksen nimeä tai web-osoitetta tällä palstalla. Pidän siis tiedon luottamuksellisena.

2 / 2010 Tietoturvaohjelman jalkauttaminen

Mon, 10 May 2010 07:56:00 GMT

Tietoturvaohjelman jalkauttaminen

Tietoturvaohjelma on luotu ja tietoturvapolitiikat, -ohjeet, -säännöt, sekä muut tietoturvaan liittyvät asiat on kirjoitettu. Mitä seuraavaksi pitäisi tehdä?

Lähtötilanteessa avainsana on koulutus. Tietoturvapolitiikan on määritettävä, ehdottomasti, että jokainen organisaatiosi jäsen saa tietoturvaan liittyvää koulutusta säännöllisesti. Tietoturvapäällikön tai muun vastuussa olevan tahon on siis vedettävä kiltisti lenkkitossut jalkaan ja kierrettävä kouluttamassa koko henkilöstö.

Lähtötason selvittäminen

Tietoturvan mittaaminen eri keinoin on hyvin tärkeätä. Tämä auttaa hyötyjen ja haittojen selvittämisessä ja antaa selvempää tietoturvaohjelman kuvaa vaikutuksista liiketoimintaan. Ennen kuin aloitat, on syytä toteuttaa joitain toimenpiteitä tietoturvan lähtötason selvittämiseksi.

Eräs hyvä keino on toteuttaa tietoturvan tasoa selvittävä kysely koko henkilöstölle. Jos hyvin käy, kyselyn avulla saat selville myös erilaisia riskejä ja muuta hyödyllistä tietoa. Kyselyn voit toteuttaa uudestaan vaikkapa vuoden päästä tietoturvaohjelman jalkauttamisesta. Tällöin saat selville ohjelman vaikutuksia.

Kouluttaminen

Kouluttaminen ei ole ollenkaan niin vaikeata kuin yleisesti ajatellaan. Jos esiintyminen tuntuu vaikealta, voit aina palkata ulkopuolisen kouluttajan.

Ulkopuolinen kouluttaja voi luonnollisesti kouluttaa vain niitä asioita, joiden luottamuksellisuus antaa myöden. Useimmiten organisaatiosi tietoturvapolitiikka, ohjeet ja säännöt eivät kuitenkaan ole huippusalaista tietoa. On silti muistettava allekirjoituttaa salassapitosopimus ulkopuolisen kouluttajan kanssa. Parasta olisi kuitenkin itse toimia kouluttajana, sillä tunnet asian parhaiten.

Aloita luomalla peruskoulutus. Selvitä sitten erityisryhmät, joiden on saatava enemmän tai eriytyvää koulutusta. Erityisryhmiä ovat todennäköisesti ainakin ylläpito, puhelinvaihde ja asiakaspalvelu. Erityisesti on huomioitava tietoturvaorganisaatio itsessään, se on koulutettava hyvin ja perusteellisesti ennen muita.

Tärkein neuvo on pitäytyä yksinkertaisuudessa ja tehdä koulutuksesta riittävän lyhyt. Hyvä organisaatiosi perusasioiden kouluttaminen ei kestä kolmea tuntia pidempään. Tärkeintä on antaa hyvät eväät henkilöstölle. Toisin sanoen, kerro tärkeimmät asiat ja iskosta henkilöstön mieleen mistä lisätietoja löytää ja miten viestintä toimii. Muista myös esitellä politiikkasi kepit ja porkkanat. Parasta olisi kertoa tietoturvarikkomusten seuraamuksista ensin ja viimeiseksi motivointiin ja palkkioihin liittyvistä asioista.

Koulutuksen yhteydessä on hyvä järjestää myös muuta epävirallista ja sosiaalista toimintaa. Kaikkien on tunnettava tietoturvapäällikkö ja saatava hyvä käsitys tietoturvaorganisaatiosta. Tässä yhteydessä hyvä tietoturva-asiantuntija kuuntelee mitä ihmisillä on sanottavaa ja kerää tietoja joita ei virallisemmissa tilanteissa voi saada. Joskus kullanarvoinen tietoturvariski paljastuu vasta parin tuopillisen jälkeen.

Haasteellisin koulutettava ryhmäsi ei suinkaan ole se tavallinen loppukäyttäjä, eikä edes firman teknisesti osaavin henkilö. Vaikein oppilaasi on useimmiten johtaja. Heti alkuun huomaat kuinka vaikea johtajia ylipäätään on saada koulutukseen. Aikataulut eivät millään satu kohdilleen, johtajilla kun on aina niin kiirettä. Ja usein on niin, ettei tiettyjä henkilöitä yksinkertaisesti huvita tai kiinnosta osallistua koulutukseen. Tässä tarvitset sitä ylimmän johdon tukea, sekä hieman keppiä ja porkkanaa.

Jos mikään muu ei auta, on kierrettävä kouluttamassa johtajia yksitellen. Tällöin koulutuksen kesto on lyhyempi, mutta aikaa kuluu kouluttajalta silti enemmän. Toisinaan voi kuitenkin olla parempikin kouluttaa johtajistoa erikseen.

Raha

Tietoturvapolitiikkanne tulee määrittää se, että tietoturvaan panostetaan myös taloudellisesti.

Alkuvaiheen suurimmat ongelmat liittyvät todennäköisesti rahan ja resurssien käyttöön. Tietoturvapäällikön onkin saatava riittävät valtuudet taloudellisten ja henkilöstöresurssien käyttämiseen. Tämä varmistetaan sillä, että tietoturvaohjelmalla on ylimmän johdon vankka tuki.

Ensimmäiset kulut syntyvät kouluttamisesta. Sen jälkeen kuluja tulee monestakin eri lähteestä ja eräs osa jalkauttamista on mittareiden luominen. Tietoturvaohjelman on pyrittävä mittaamaan tehokkuutensa ja vaikutuksensa. Lisäksi on mitattava, niin hyvin kuin mahdollista, kuinka paljon tietoturvaan panostetaan taloudellisesti.

Mittareiden avulla päästään laskemaan tietoturvaohjelman kustannushyötyjä. Kustannushyödyn laskemista varten voidaan käyttää seuraavanlaista esimerkkiä ja sen johdannaisia:

Suojaamaton työasema saastuu esimerkissämme 90 %:n todennäköisyydellä kerran vuodessa. Esimerkkimme ei ole realistinen, koska työasema saastuisi oikeasti useammin kuin kerran vuodessa ja luultavasti suuremmalla todennäköisyydellä.

Oletetaan, että organisaatiollamme on 100 työasemaa. Yhden työaseman korjaaminen saastumisen jälkeen vie oletettavasti puoli työtuntia, mikä sekin on optimistinen arvio. Jos yhden työtunnin hinnaksi lasketaan 50 euroa, saadaan yhden saastumisen arvoksi (Single Loss Exptectancy = SLE) 25 euroa.

Seuraavaksi lasketaan vuosittain odotettavissa olevat menetykset (Annual Loss Expectancy= ALE). Tiedämme jo vuosittaisen tämän tapauksen poikkeamien frekvenssin (Annual Rate of Occurrence = ARO), joka on siis 90 % tai kertoimena 0,9.

ALE on laskettavissa helposti, kerrotaan ARO ja SLE keskenään. SLE 25 EUR X ARO 0,9 = 22,5 EUR. Koska työasemia on esimerkissämme sata, saadaan kaikkien työasemien osalta ALE-arvoksi 100 X 22,5 EUR = 2250 EUR.

Laskelman perusteella yksittäisen työasemien saastumisen estämiseen kannattaisi vuosittain panostaa siis maksimissaan 2250 euroa, sillä jos panostetaan sitä enemmän, panostetaan jo enemmän kuin odotettavissa olevat menetykset ovat.

Jos työaseman suojaaminen vuodeksi maksaisi esimerkiksi 15 EUR / työasema, voidaan säästö tai suojaamisen kannattavuus laskea vähentämällä ALE:sta 15 EUR / työasema X 100. Toisin sanoen ALE - 1500EUR = 750 EUR. Laskelman mukaan säästäisimme 750 euroa.

Esimerkkilaskelma on todellakin ylipositiivinen. Oikeasti työasemat saastuvat ilman suojausta paljon useammin ja työaikaa menee hukkaan enemmän kuin puoli tuntia työasemaa kohden. Luultavasti puhuisimme yli kymmenkertaisesta ALE-summasta.

Jalkauttamisen alkuvaiheessa on palkkioihin ja muuhun motivointiin varattava riittävästi resursseja. Hyviä keinoja on monia ja esimerkillisestä toiminnasta on palkittava, sillä se motivoi kaikkia. Hyvä idea on muistuttaa koko henkilöstöä tietoturvan tärkeydestä vaikkapa T-paidan tai mukin muodossa. Tällaisessa voisi olla painettuna vaikkapa muutamia tärkeimpiä organisaatiosi tietoturvateesejä.

Kun tietoturvakoulutus on saatu ensimmäisen kerran päätökseen, voi tietoturvaorganisaatio ja muu asiaan liittyvä henkilöstö tukeutua siihen politiikkaan, jonka ylin johto on asettanut ja jonka perusteella tietoturvaan liittyvät investoinnit tehdään.

Kun tietoturvaohjelma saadaan osaksi organisaatiosi jokapäiväistä toimintaa, tilanne helpottuu ja asiat lähtevät luistamaan omalla painollaan.

Tietoturvaohjelman ylläpitäminen

Tietoturvaohjelman jalkauttaminen ei pääty oikeastaan koskaan. Säännöllisiä koulutuksia on järjestettävä ja ihmisiä on jatkuvasti muistutettava tietoturvallisuudesta. Tietoturvapolitiikkaa ja sen sääntöjä ja ohjeita on päivitettävä.

Hyvä tapa on kouluttaa henkilöstöä vähintään kerran vuodessa. Tietoturvaorganisaation on kokoonnuttava ja pidettävä yhteyttä ympäri vuoden. Tietoturvaorganisaation täytyy itsessään kokoontua vähintään pari kertaa vuodessa.

Motivaation ja kulttuurin ylläpitäminen on haastavaa. Tietoturvapäällikön on seurattava tilannetta ja kuulosteltava organisaation tietoturvakulttuuria läpi vuoden.

Kun tietoturvaohjelma pyörii omalla painollaan, voi tietoturvaorganisaatio huokaista helpotuksesta. Lepäämään ei kuitenkaan saa jäädä, lomia lukuun ottamatta.

Tärkeintä on että päivität tietoturvadokumentaatiota, luot uutisia ja katsauksia ja ylläpidät tilannekuvaa. Intra:n sivusto on mainio työkalu henkilöstön tietämyksen ja mielenkiinnon ylläpitoon.

Muista myös yllättää. Välillä kannattaa julkaista erityisen esimerkillisen toiminnan kuvauksia ja henkilöiden nimiä. Palkitseminen auttaa, mutta ei ole itsetarkoitus. Tiedota tietoturvasta niin, että mielenkiinto tietoturva-asioita kohtaan lisääntyy.

Ohjeita

Lyhykäisyydessään tietoturvaohjelman jalkauttaminen etenee pääpiirteittäin seuraavasti:

Mittareiden kehitystyö ja lähtötason mittaaminen (niin kuin mahdollista)
Tietoturvan tasoa selvittävä henkilöstökysely
Tietoturvan lähtötason selvitys
Tietoturvaorganisaation kouluttaminen
Erityisryhmien kouluttaminen
Johdon kouluttaminen
Loppukäyttäjien kouluttaminen
Yleinen tiedottaminen
Rutiininomaisen viestinnän aloittaminen ja ylläpito
Esimerkillisen toiminnan palkitseminen
Tietoturvarikkomusten seuraamukset
Tietoturvatason seuraaminen
Tietoturvaorganisaation säännölliset tapaamiset ja muu yhteydenpito
Tietoturvan tasoa selvittävä kysely henkilöstölle
Tietoturvaohjelman, politiikan ja muiden tietoturva-asioiden päivittäminen

Janne Sormunen

CISSP

1/2010 Organisaatiomuutosten tietoturvahaasteet

Mon, 15 Feb 2010 07:46:00 GMT

Organisaatiomuutosten tietoturvahaasteet

Lähes kaikissa organisaatioissa, yrityksistä yhdistyksiin, tapahtuu organisaatiomuutoksia. Organisaatiomuutoksia tapahtuu monin eri tavoin. Pienemmät muutokset eivät juurikaan aiheuta tietoturvahuolia, mutta isommat muutokset ravistelevat tietoturvallisuutta perustuksia myöten.

Koska tästä aiheesta on kirjoiteltu melkoisen vähän, päätin aloittaa tutkimukseni avaamalla keskustelun tietoturvan ammattilaisten kansainvälisellä foorumilla. Foorumin keskustelijat ovat kaikki sertifioituja osaajia joilla on vuosien kokemus. Avauksessa toivoin jonkinlaista tarkistuslistaa.

Loppujen lopuksi en ollut edes yllättynyt siitä, ettei tuollaista listaa saatu aikaiseksi ollenkaan. Poikkeuksetta kaikki keskustelijat olivat sitä mieltä, että jos organisaation tietoturva on oikeasti hyvässä kunnossa, organisaatiomuutos ei tuo suurempia ongelmia.

Niin se on, jos tietoturvaohjelma on aikanaan laitettu alulle, implementoitu ja toteutettu kaikin puolin, ovat muutoksen tuomat haasteet kohtuullisen hyvin hallittavissa. Palataanpa tähän vielä.

Mutta mitä ovat ne haasteet?

Siitä lähdetään, että suurin tietoturvariski istuu aina siinä näppäimistön ja tuolin välissä. On ikävä sanoa näin, mutta eivät ne tietokoneetkaan itse itseään käytä (vielä).

Muutos tuo aina seuraamuksia. Jokaisessa vähänkin isommassa organisaatiossa esiintyy taatusti muutosvastarintaa, tyytymättömyyttä ja tietenkin huolimattomuutta. Organisaatiomuutos tuo yleensä muutoksia henkilöstössä. Henkilöstön rakenne muuttuu, työntekijöitä poistuu ja työntekijöitä siirtyy.

Henkilöstön vuoksi johto joutuukin koville. Tasapainoilu muutoksen keskellä ei ole helppoa. Jos kaikki menee henkilöstöasioissa riittävän pahasti pieleen, voidaan menettää sekä aivokapasiteettia että tietoa väärinkäytösten johdosta.

Huolimattomuuden torjunta tuo paljon haasteita. Hyvä esimerkki tästä on niin sanottu ”Authorization Creep”-ilmiö, joka tarkoittaa sitä, että vanhan position vaatimat käyttöoikeudet siirtyvät seuraavaan istumapaikkaan mukana ja uudet oikeudet vain tullaan lisätyksi entisten päälle. Näette varmaankin mihin se taas johtaa. On siis äärimmäisen tärkeää kyetä seuraamaan oikeuksien tilannetta.

Haasteita tuo kuitenkin eniten se, että organisaatiomuutos heijastuu muutosmassana lähes kaikkialle, etenkin sinne IT-hallintoon ja tietoturvaosastolle. Suuri määrä muutoksia lyhyessä ajassa vaatii suunnittelua ja hyvää tietoturvakuria. On turha riskeerata asioita vain sen takia, että joku haluaa jotakin tehdyksi nyt ja heti. Suuremman hyvän puolesta joku joutuu aina kärsimään.

Eräs mielenkiintoisimmista haasteista onkin se tapaus, kun kaksi isompaa organisaatiota yhdistyy ja kummallakin on toimiva tietoturvaohjelma. Vastuu ja valtuudet voikin tässä tapauksessa koitua varsinaiseksi riitakentäksi, tällöinhän tietoturvaorganisaatiokin muuttuu ja todennäköisesti kutistuu.

Mikä avuksi?

Tästä aiheesta voisi kirjoitella hyvinkin kirjan. Itse asiassa tilasinkin jo ”How to cheat at Managing Information Security”-kirjan (kirjoittaja on Mark Osborne), jonka toivon jälleen kerran laventavan tietouttani tällä saralla. Kirjaa on kovasti suositeltu.

Tärkeimmäksi avuksi on se, että olette etukäteen laittaneet organisaationne tietoturvan kuntoon. Tästä olenkin jo kirjoitellut, mutta kun tietoturvaohjelma on kokonaisuudessaan kunnossa, on muutos helpompi. Todennäköisesti valmiit toimintamallit, jos ne vain muistetaan, ehditään ja etenkin johdon puolesta halutaan oikeasti toteuttaa, ovat käyttökelpoisia.

Aihetta jonkin verran pohdittuani, sain aikaiseksi seuraavanlaisen listan, lähinnä avuksi tietoturvapäälliköille:

1.Suunnittele etukäteen

2.Tiedosta koko hankkeen ”ilmakuva”

3.Toimi projektipäälliköiden kanssa läheisessä yhteistyössä

4.Taistele resursseista

5.Tee parhaasi vakuuttaaksesi organisaation johto tietoturvavaatimuksista

6.Laki, määräykset ja suositukset ovat työkaluja joita vastaan on paha taistella, käytä niitä siis hyväksesi

7.Hankkiudu organisaatiomuutoksen johtoryhmän parhaaksi kaveriksi, varmista että he ymmärtävät tietoturvavaatimusten tärkeyden muutosvauhdin kustannuksella

8.Aseta tietyt laatustandardit joiden on toteuduttava muutoksessa

9.Käytä tilannetta hyväksesi, ja paranna tietoturvaa muutoksen avulla

Ja muutamia käytännön neuvoja:

1.Huomioi Authorization Creep ja tee matriisi oikeuksista (käyttökelpoinen myöhemminkin)

2.Hanki konkreettinen tietoturvaa tukeva lausunto ja valtakirja johdolta

3.Muista viestintä

4.Luo matriisi koko muutoksesta, tämä auttaa seurannassa

5.Vertaa verkko- ja järjestelmäkarttoja lähtötilanteen, suunnitellun ja toteutuneen kesken

6.Tarkista kaikki jälkikäteen

7.Ota rauhallisesti

Paras neuvo kaikkien muutosten osalta on siis aina se, että tietoturvan perustusten täytyy olla kunnossa. Suosittelen erittäin vahvasti, että kaikissa organisaatioissa pienistä suurimpiin, luodaan tietoturvaohjelma, toimintamallit, suunnitelmat, tietoturvabudjetti, politiikka, dokumentit ja muut vaaditut asiat.

Tietoturva on, ikävä kyllä, aina nuoralla kävelyä. Täytyy tasapainoilla käytettävyyden ja parhaimman mahdollisen turvallisuuden välillä. Liiketoiminnan kannalta tietoturvatoimien järkevyys on huomioitava. Eräs neuvo onkin se, että kehitetään mittareita. Kun tietoturvan mittarit ovat kunnossa, voidaan muutostenkin keskellä vertailla ja pohtia mikä on järkevää ja kannattavaa.

Terveisin,

Janne Sormunen, CISSP

1/2009 Poikkeamia

Mon, 15 Feb 2010 07:44:00 GMT

Poikkeamia

Tietoturvatapahtumia, tai pikemminkin tietoturvapoikkeamia, on monenlaista laatua. Onko teidän organisaatiollanne kyky hoitaa ja etenkin tunnistaa tietoturvapoikkeamia?

Tietoturvatapahtumista yleisimpiä ovat haittaohjelmahälytykset, kadonneet tietokoneet tai muu tietovälineistö ja hajonneet tietokoneiden osat. Vakavampia, mutta harvinaisempia, ovat varsinaiset tietoturvaan kohdistuneet hyökkäykset. Vakavia tapauksia ovat myös aina, kun jokin laite rikkoontuu, katoaa tai tietoa muutoin menetetään.

Tietoturva ei ole pelkästään virustorjuntaa ja palomuureja. Se on sananmukaisesti tiedon turvallisuuden varmistamista, ylläpitämistä ja myös tietoturvapoikkeamista toipumista.

Tärkeintä on varmistaa, että organisaatiolla on kyky tunnistaa tietoturvatapahtumia. Poikkeaman tunnistaminen ei ole aina helppoa ja käsitykset vaihtelevat henkilöstä toiseen. Tähän auttaa jälleen kerran kunnollinen ohjeistus ja koulutus.

Henkilöstöä täytyy kouluttaa tavalla tai toisella tunnistamaan tietoturvapoikkeamia. Tärkein opetus lienee kuitenkin se, että jos käyttäjä ei ole varma pitäisikö jostakin tapahtumasta tai asiasta raportoida, siitä kannattaa tällöin todellakin raportoida.

Raportointi eteenpäin tietoturvavastaavalle on monin tavoin hyödyllistä. Näin kertyy peruslinja ja tietoturvavastaava saa käsityksen siitä millaisia tapahtumia normaaliolosuhteissa on odotettavissa. Näin erityisen poikkeavat tapahtumat voidaan käsitellä vakavammin. Esimerkkinä olkoon esimerkiksi äkillisesti lisääntyneet virushälytykset, rikkoontunut tietokanta tai palvelimen hajonnut kiintolevy. Pahinta laatua edustava esimerkki on, jos tietoturvavastaava saa äkillisesti normaalia enemmän ilmoituksia tietokannan tietojen virheellisyydestä.

Tietoturvapoikkeamien tunnistamisen osalta on helppo muistaa kolme kirjainta: CIA. Tämä lyhenne kiteyttää koko tietoturvan käteväksi paketiksi: Confidentiality (Luotettavuus), Integrity (Eheys) ja Availability (Saatavuus). Jos mikä tahansa näistä on oletettavasti vaarantunut, kyseessä on poikkeama.

Jo ennen kuin mitään vakavaa tapahtuu, on syytä varautua. Edellisissä kirjoituksissani olen kirjoittanut ennakkovalmisteluista, tietoturvaohjeistuksista ja muista tietoturvan kannalta oleellisista asioista.

Tietoturvatapahtumia käsittelemään on syytä perustaa organisaatioon oma valmiusryhmä. Ryhmän tulee koostua useimmissa tapauksissa niistä ihmisistä, jotka ovat olleet mukana tekemässä organisaation tietoturvaohjeistuksia, -suunnitelmia ja linjanvetoja. Mukana pitäisi olla ainakin tietotekniikan vastuuhenkilöitä sekä johdon edustajia. Tämän ryhmän tehtävänä on tehdä taktiset, kiireelliset päätökset vakaviin tietoturvapoikkeamiin liittyen.

Mikä sitten on se vakava tietoturvapoikkeama? Vakavaksi tietoturvatapahtuma muodostuu siinä vaiheessa, kun sen seuraamukset koskevat tai voivat koskea useampaa kuin yhtä ihmistä. Luonnollisesti jokainen organisaatio muodostaa oman määritelmänsä rajakynnyksistä.

Mitä tehdä kun oikeasti paniikki iskee ja jotakin vakavaa on tapahtunut?

Tärkein neuvo on: Älä hätäile.

Tämä lista auttaa:

1.Rajoita vahinkojen syntyminen

2.Arvioi tilanne ja kirjoita tapahtuman kuvaus (tee tätä varten oma lomake valmiiksi)

3.Kokoa valmiusryhmä ja käy läpi tapahtuma

4.Luokaa suunnitelma jatkotoimenpiteistä (tämän pohjaksi sinulla pitäisi olla toipumissuunnitelma)

5.Muista viestintä (myöskin etukäteen ohjeistettavissa ja mietittävissä)

6.Ota yhteys viranomaisiin, jos kyse on rikoksesta, säilytä kaikki todisteet tai toimi viranomaisten ohjeiden mukaan

7.Älä unohda vakuutusta

8.Pelasta se mitä pelastettavissa on

9.Tarkista tietojen eheys ja käyttökelpoisuus

10. Selvitä tietoturvapoikkeaman syy ja sen aiheuttamat vahingot

11. Dokumentoi tapahtuman yksityiskohdat

12. Selvitä ja toteuta toimenpiteet joilla vastaavat tapahtumat estetään tulevaisuudessa

13. Palaa normaalitilaan

Muistilistaan on lainattu osia ”Näin hallitset tietoturvapoikkeamat ammattimaisesti” artikkelista, joka julkaistiin Turvallisuus-lehden numerossa 5/2008 (kirjoittaja: Urpo Kaila, CISSP).

Tärkeintä on kuitenkin ennakkovalmistelu. Jo pelkästään ohjeiden ja dokumentaation luominen on harjoitusta todellisille tilanteille.

Tietoturvaan liittyviä toimintaohjeita löydät seuraavilta sivustoilta:

CERT-Suomi: http://www.cert.fi

NIST-800: http://csrc.nist.gov/publications/nistpubs/

ISF: http://www.securityforum.org

SANS: http://www.sans.org

Terveisin,

Janne Sormunen, CISSP

1/2008 Vakavaa jossittelua

Mon, 15 Feb 2010 07:32:00 GMT

Vakavaa jossittelua

Onko tietoturva jossittelua? Siinäpä kysymys joka varmasti nostaa keskimääräisen tietoturva-asiantuntijan adrenaliinitasoa runsain mitoin. Kysymys itsessään ja sen provokatiivinen asettaminen näennäisesti halventaa tietoturvaa ja etenkin tietoturva-alan itsetuntoa.

Tosin, kaikki me tiedämme että tietoturva nimenomaan on jossittelua.

Tästäkö johtuu se, että erityisesti suomalaiset tuntuvat suhtautuvan tietoturva-asioihin sinisilmäisesti ja keskimääräiselle IT-alan tietoturvaorientoituneelle henkilölle hymähdellen?

Joskus vaikuttaa siltä, että keskimääräinen suomalaisyrityksen työntekijä kuvittelee että yrityksen IT-asiantuntija haluaa vain hakemalla hakea ”jännitystä” muutoin niin kovin hohdottomaan työhönsä. Hymyily yrityksesi IT-asiantuntijan paasatessa salasanan säilyttämisestä muualla kuin keltaisella lapulla ikkunalaudalla, on selkeä merkki siitä että jokin on oikeasti vialla.

Mistä se johtuu, että uutisissa kerrotut tietoturvaan liittyvät tapaukset tuntuvat keskimääräisen kansalaisen mielestä niin kaukaisilta? Entä miksi kuvitellaan ettei ketään kiinnosta ”mun sähköpostini” tai ”meidän firman tiedostot”?

Kun paloviranomainen varoittelee kynttilöistä tai poliisi varoittelee ylinopeuksista, asiat otetaan pääsääntöisesti vakavasti.

Ääni kellossa muuttuu kun edellämainittu keskimääräinen kansalainen pääsee seuraamaan ”livenä” jonkin tietoturva-alan julkisuuden henkilön esitystä tai peräti keskustelemaan hänen kanssaan. Johtuneeko tämä sitten siitä, että silloin puhutaan aivan oikean tietoturva-alan ammattilaisen kanssa ja se oma tuttu mikrotukihenkilö aivan kuin unohtuu?

Vasta sitten, kun sähköpostit ovat kadonneet, tiedostot hukassa, liiketoiminta vaakalaudalla tai mikä vielä pahempaa; tililtä tai luottokortilta on kadonnut konkreettista rahaa, voi tietoturvaa hehkuttanut IT-henkilö saada lisää auktoriteettia. Tosin, voi myös käydä niin, että kyseinen tietokoneasiantuntija saa syyt niskoilleen.

Tärkein tietoturva-asia on asenne. Asenteisiin vaikuttamiseen tarvitaan auktoriteettia. Tämän auktoriteetin on useimpien yritysten ”nörtti” kadottanut jo aikaa sitten, se ei ehkä ole hänen oma vikansa, vaan yleisten asenteiden. Asenteet ”nörttejä” kohtaan ovat usein alentuvia, alaa ei pidetä millään muotoa säkenöivän hurmaavana, pikemminkin harmaannuttavana. Ehkä vielä kuvitellaan, että IT-duunari yrittää rakentaa tai pönkittää omaa auktoriteettiaan huomauttelemalla tietoturva-asioista.

Edellämainituista syistä johtuen on niin vaikeata vakuuttaa tavallista kansalaista tai työntekijää tietoturvan merkityksestä. Tai pikemminkin siitä, ettei tietoturvaohjelmisto yksinään riitä, tarvitaan myös aivoja.

Nykyään lähes jokainen on hankkinut koneeseensa jonkinlaisen virustorjunnan ja palomuurin. Suuri kiitos tästä kuuluu vuoden 2003 Lovsan-haittaohjelmalle, joka tulla tepasteli koneille täysin ilman käyttäjän aktiviteetteja ja läväytti ruutuun surullisenkuuluisan ”Shutdown in 60 seconds”-viestin. Viimeistään tuolloin niin koti- kuin yrityskäyttäjäkin ymmärsi jotakin tietoturvan tärkeydestä. Kiitosta kuuluu myös medialle, joka onnistuneesti on rummuttanut tietoturvaohjelmistojen tärkeyttä. Eikä Microsoft-niminen yrityskään aivan kiitoksitta selviä, sillä nykyään sen käyttöjärjestelmät alkavat varoittelemaan jos tietoturvaohjelmisto koneelta puuttuu.

Mutta, kuten aina, tietoturvan heikoin linkki sijaitsee näppäimistön ja tuolin välissä. Jostakin syystä asenteet eivät varsinaisesti ole korjaantuneet. Tuudittaudutaan siihen, että koneelle asennettu F-Secure, Symantec, Panda tai jokin muu ohjelmisto huolehtii kaikesta. Ja niitten asetuksethan ovat sen IT-henkilön vastuulla.

Useimmat normaalikäyttäjät eivät koskaan lue kokonaan mitä ruudulle ilmestyneessä turvaohjelmiston ilmoitus- tai varoitusikkunassa lukee. Useimmat painavat automaattisesti ”OK” tai ”Salli”. Ei vaadi kovinkaan paljon maalaismielikuvitusta, että ymmärtää mihin tuollainen voi johtaa.

Mutta ne asetuksethan ovat sen ”meidän nörtin” vastuulla. Jos tämä asiantuntija haluaa varmistaa, etteivät käyttäjät tule kovin pahasti mokanneeksi turvaohjelmistojen kanssa, kuten asettamalla tietoturvaohjelmiston sovellusvalvonnan automaattisesti estämään tuntemattomia sovelluksia, estämään ”tarpeettomilla” sivuilla vierailut (vaikka ns. lapsilukkoa käyttämällä) ja pakottaa käyttämään vahvoja salasanoja, ollaan pian tilanteessa jossa IT-henkilö saa valituksia niin että puolet palkasta kuluu pian närästyslääkkeisiin.