Turvasatama
Kimmo Rousku, 7.6.2012, 16:25Case Flame - esimerkki kyberpuolustuksen tärkeydestä
Flamen tekee mielenkiintoiseksi ja poikkeukselliseksi seuraavat asiat, tarkempia yksityiskohtia löytyy CrySysin analyysistä:
- se on saattanut olla liikkeellä huomaamattomana ainakin kaksi, mahdollisesti jopa viisi vuotta
- koko (20 Mt), modulaarisuus (20 modulia) ja monimutkaisuus (useita pakkaus-ja viisi salausalgoritmia, SQLite-tietokanta tietojen tallentamiseen, lua-komentokieli)
Hyvä vierailija!
Arkistomme on vain rekisteröityneiden käytettävissä.
Jos sinulla on jo käyttäjätunnus Tietoviikkoon, kirjaudu sisään.
Turvasatama
Kimmo Rousku, Tietoviikko, 13.5.2013 12:24Riskit ja jatkuvuus hallintaan: miten KyberVimpain HilaV:n hankinta perustellaan
Tietoturvallisuuden kehittäminen näkyy valitettavan usein organisaation johdolle kulueränä, jolle ei löydy liiketoimintamallia. Miksi me hankkisimme uuden Kybervimpaimen, koska meille ei ole koskaan aikaisemminkaan mitään sattunut?
Keskityn nyt ennen kesälomia useamman blogimerkinnän kautta kahteen aiheeseen, riskienhallintaan ja jatkuvuudenhallintaan, jotka muodostavat yhdessä organisaation toiminnan kannalta äärimmäisen tärkeän kokonaisuuden. Riskienhallinnasta laajennan vielä mahdollisuuksien hallintaan, jonka avulla organisaatio saadaan toimimaan tehokkaammin ja tuloksellisemmin. Jos tämä yhdistettynä jatkuvuudenhallintaan, joka takaa organisaation olemassa olon edellytykset, ei herätä johdon päässä kelloja, niin antaa dinosaurusten nukkua ruususen unta.
Tässä ensimmäisessä osassa on yleinen case-esimerkki siitä, mitä riskien- ja jatkuvuudenhallinnalla voidaan saavuttaa. Seuraavissa osissa paneudutaan kokonaisuuteen yksityiskohtaisemmin.
Case: Ongelma – organisaatio kohtaa uudenlaisia kyberuhkia
Suomen kyberturvallisuusstrategian sanastossa kyberuhka on määritelty seuraavasti: ”Kybertoimintaympäristöön (tietojärjestelmä sisältäen fyysiset rakenteet) kohdistuvat uhkat ovat tietoturvauhkia, jotka toteutuessaan vaarantavat tietojärjestelmän oikeanlaisen tai tarkoitetun toiminnan.”
Organisaation tietoturvallisuus ehdottaa johdolle, että se tarvitsee nyt uusimman sukupolven KyberVimpain HilaV -laitteen suojelemaan organisaatiota internetistä tulevia APT-uhkia vastaan. Sama laite valvoo myös internet-verkkoon suuntautuvaa tietoliikennettä ja hälyttää, jos se esimerkiksi havaitsee merkkejä tietovuodosta.
Sen sijaan, että tietoturvallisuus toteaisi, että tuollainen KyberVimpain HilaV pitää ostaa (bitti 1) ja liiketoiminta- tai muu johto vetoaisi siihen, ettei organisaatiolla ole rahaa tai tarvetta (bitti 0), asia ei ole näin yksinkertainen.
Alla olevaa mallia voi käyttää mietittäessä muitakin uhkia eli mustavalkoinen ”kyllä” tai ”ei” pitää pystyä tarkemmin purkamaan laajemman riskienarvioinnin kautta. Tällöin vaihtoehtojen 0-1 välille tulee useita muitakin tasoja, jotka perustuvat rahi- tai mutu-mallin sijaan analysoituun tietoon ja tilannekuvaan.
Tarvitsetteko oikeasti uuden HilaV-vimpaimen?
Arvioidaan tässä vaiheessa perinteisen riskienarviointimallin avulla, millainen riski uudenlaisten APT-kyberuhkien kautta organisaatioon tulee. Työvälineitä ja menetelmiä on useita, mutta tyypillisesti 3-5-portaisella asteikolla arvioidaan todennäköisyyttä sekä mahdollisia vaikutuksia, jos uhka toteutuu. Tästä saadaan riskille luokitus, joka määrittelee mitä sille tulee tehdä – siis perustelut investoinnille.
Sen sijaan että KyberVimpain HilaV -hankinta toteutetaan suoraan perustelematta, koska organisaatiolla sattuu olemaan a) rahaa ja b) se tuntuu hyvältä, tai c) kielletään hankinta turhana, tulee sen tarve arvioida riskilähtöisesti. Julkaisen tämän riski-Excel-työvälineen seuraavassa blogimerkinnässä vapaaseen käyttöön.
Riskienarviointi tässä esimerkissä osoittaa sen, että kriittisen kyberuhan todennäköisyys on olemassa ja se voisi aiheuttaa tälle organisaatiolle kriittistä vahinkoa niin taloudellisesti kuin julkisuusarvonkin kannalta. Lisäksi toteutuessaan se saattaisi aiheuttaa suuren salassa pidettävän tietoaineiston tietovuodon.
Täten arvioinnin perusteella voidaan osoittaa, että riskiluokkaa pitää pienentää ja investointi tulisi toteuttaa sille sopivassa ajankohdassa.
Entä jatkuvuuden hallinta?
Nyt kun tiedetään, että organisaatioon kohdistuu uusien kyberuhkien kautta toteutuessaan merkittävää vahinkoa aiheuttava uhka, eikö siihen olisi syytä varautua? Erityisesti siinä tilanteessa, että organisaatio ei saakaan pienennettyä riskiluokkaa sitä edellyttävälle matalammalle tasolle vaikkapa HilaV-investointiin tarvittavan rahan siirtyessä yllättäen muutaman vuoden päähän?
Tässä astuu kuvaan jatkuvuussuunnittelu. Tällaisen yleisen kyberuhan osalta voidaan todeta, että toteutuessaan uhka todennäköisesti lamaannuttaisi useimmat organisaation ICT:stä riippuvat toiminnot ja prosessit. Mitä enemmän liiketoiminta on ICT:n varassa, sitä tärkeämmässä roolissa hyvin toimiva jatkuvuussuunnittelu on.
Tällöin organisaatiolla tulisi olla yhtenä keskeisenä skenaariona jatkuvuuden hallinnan näkökulmasta kyberuhan toteutuminen. Miten organisaatio toteuttaa sähköiset prosessit ja muut tarvitsemansa toiminnot, mikäli kyberuhan takia ICT:n käyttöä on jouduttu rajoittamaan tai kokonaan lopettamaan ICT:n käyttö?
Kaivetaan esille jatkuvuussuunnitelma.
Ja järjestelmätasolla toipuminen kuntoon!
Entä kun kyberuhka toteutuu ja palvelutaso heikentyy? Sillä aikaa kun muu organisaatio palaa aikaan ”kivi ja keppi” alias lyijykynä ja ruutupaperi, pyyhkii pölyt Remingtoneista ja kaivaa faksit esiin – tai riippuen siitä mitä jatkuvuussuunnitelmissa vaaditaan, ICT-tuotantoporukka kaivaa esiin sen järjestelmäkokonaisuuden toipumissuunnitelman, jossa kerrotaan miten nyt tapahtuneesta kyberhyökkäyksestä toivutaan.
Todennäköisesti organisaatio joutuu palaamaan ajassa taaksepäin eli palauttamaan järjestelmät toipumissuunnitelman mukaisesti hyökkäystä edeltäneeseen tilanteeseen. Lisäksi ennen palveluiden julkaisemista internet-verkkoon selvitetään, miten näin pääsi käymään sekä korjataan eli paikataan hyökkäyksen mahdollistanut haavoittuvuus tai muu tietoturva-aukko.
Paperilla tämä näyttää aivan liian yksinkertaiselta! Tämän takia seuraavissa osissa paneudutaan tähän kokonaisuuteen riskien- ja jatkuvuudenhallinnan näkökulmasta syvällisemmin. Samoin luvassa on pari työvälinettä näiden asioiden edistämiseksi.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 30.3.2013 21:20EU muuttaa taas tietoturvan maailmaa
Edellisessä blogimerkinnässä käsittelin EU:n tietosuoja-asetusta, joka tulee vaikuttamaan meihin usealla eri tasolla. Suomessa hyväksyttiin tammikuussa Suomen kyberturvallisuusstrategia ja sen taustamuistio.
EU seuraa hyvin perässä julkaisemalla EU-alueen kyberturvallisuusstrategian. Tätä tulee tukemaan EU-direktiiviesitys ”Euroopan parlamentin ja neuvoston direktiivi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa”. Mitä nämä toteutuessaan tarkoittaisivat?
Kertaus – kyber =// =tietoturvallisuus
Mitä se kyberturvallisuus on ja miksi se ei ole sama kuin tietoturvallisuus? Sekä EU:n että Suomen strategiassa keskitytään hyvin vahvasti ict-järjestelmien suojaamiseen tietoliikenneverkkojen kautta tulevia kyberriskejä vastaan. Tämä on siinä mielessä oikea lähestymistapa, koska sieltä ne uhat nykyaikana tulevat.
Elinkeinoelämä on tämän myös havainnut ja nyt meneillään olevassa kyber-hypetyksessä on hieman merkkejä ylikierroksilla käymisestä. Vanhasta tutusta palvelusta saadaan paljon seksikkäämpi liimaamalla sana kyber ja kenties vielä pilvi palvelun yhteyteen, joka samalla mahdollistaa palvelun uudelleenhinnoittelun – kalliimmaksi.
Kyberturvallisuuden kehittäminen edellyttää myös ict-järjestelmien ympärillä olevien fyysisten rakenteiden, infrastruktuurin turvaamista. Tosin, kuka suostuu ostamaan "uuden mullistavan kyberlukon" tai 50 senttimetriä korkeamman kyberaidan tilojen suojaamiseksi?
Valtaosalle organisaatioista voikin todella, että rauhoittukaa, kaikki mitä olette tehneet ja edelleen jatkossa teette tietoturvallisuuden, riskienhallinnan, jatkuvuuden hallinnan ja varautumisen takaamiseksi, riittää myös kyberaikakaudella.
Näiden osalta tulee ehkä tehdä tarkennuksia siltä osin, miten näihin tehtävää työtä kohdistetaan kyber-näkökulmasta. Jos organisaatio osallistuu yhteiskunnan kannalta elintärkeiden toimintojen tuottamiseen - siis mahdollistaa Oy Suomi Ab:n toiminnan, kyberturvallisuuden kehittäminen tuo sille uusia velvoitteita ajan myötä.
EU:n kyberturvallisuusstrategia – taustalla tietysti pilvet
Strategian kansilehdellä todetaan ”Avoin, turvallinen ja vakaa verkkoympäristö”, joka myös kuvaa hyvin strategian painoaluetta.
Taustalla piilee huoli tietosuojan ja tietoturvan heikentymisestä, mutta keskeisenä tavoitteena on luonnollisesti raha: ”Luomalla toimivat digitaaliset sisämarkkinat Eurooppa voisi korottaa bruttokansantuotettaan lähes 500 miljardilla eurolla vuodessa eli keskimäärin 1000 eurolla asukasta kohti.”
Viime syksynä EU julkaisi strategian koskien pilvipalveluihin liittyvien riskien pienentämiseksi, jolla toteutuessaan arvioitaisiin olevan 160 miljardin euron nettovaikutus EU:n BKT:hen vuosittain vuosina 2015-2020. Strategian toteuttamisessa Euroopan verkko- ja tietoturvavirasto Enisalla kuten kansallisilla Cert-organisaatioilla tulee olemaan merkittävä rooli.
Tietoturvallisuus kuntoon koko EU-alueella
Pelkkä kyberturvallisuusstrategia ei riitä. Tämän takia nyt valmisteilla olevan verkko- ja tietoturvadirektiivin avulla halutaan saattaa tietoturva-asiat euroopanlaajuisesti kuntoon.
Suomessa tuli voimaan lokakuussa 2010 Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa. Asetus velvoittaa valtionhallinnon organisaatiot ja tietojärjestelmät saavuttamaan tietoturvallisuuden perustason kuluvan vuoden lokakuun alkuun mennessä.
Direktiivin voi hyvin kiteyttää kahteen seuraavaan kohtaan ”vahvistetaan kaikille jäsenvaltioille velvoitteet, jotka koskevat verkko- ja tietojärjestelmiin vaikuttavien turvariskien ja -poikkeamien ennaltaehkäisyä ja käsittelyä ja niihin reagoimista” sekä ”vahvistetaan turvavaatimukset markkinatoimijoille ja julkishallinnoille.”
Jos aikaisemmin kansalliset tietoturvavaatimukset ovat koskeneet ainoastaan valtionhallintoa tai sille toimeksiannosta palveluita tuottavia toimijoita, nyt uudet vaatimukset saattavat tulla laajemmin eri organisaatioissa toteutettaviksi.
Näyttää siltä, että Suomen kyberturvallisuusstrategia, EU:n tuleva tietosuoja-asetus, EU:n kyberturvallisuussstrategia ja verkko- ja tietoturvadirektiivi tulevat kaikki aiheuttamaan merkittäviä muutoksia tapaan tuottaa ict-palveluita. Tietoturva-alalla toimivien ei tarvitse jatkossakaan huolestua siitä, ettei töitä riittäisi …
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 12.3.2013 10:59Saat uusia oikeuksia ja verkkopalvelut saavat lisää töitä - EU-tietosuoja-asetus mullistaa monta asiaa
Mihin uutta asetusta tarvitaan?
Olemassa oleva tietosuojasääntö on vuodelta 1995. Kuka muistaa Window 95:n tai Nokian legendaarisen 2110-puhelimen? Maailma on muuttunut 18 vuodessa ja tavat käsitellä tietoa vieläkin dramaattisemmin. Samalla tavalla tietosuojan merkitys on muuttunut ja vaikka kansallisesti Suomessa tilanne on ollut merkittävästi muuta EU-aluetta paremmalla tasolla, tarve päivitykselle on ollut jo pitkään. Toki taustalla on suurempia tavoitteita eli mahdollistaa EU-alueen taloudellinen kasvu ict:n innovaatioita (pilvi, some, big data jne) hyödyntäen säilyttäen kansalaisten tietosuoja.
Albrechtin raportissa 350 muutosehdotusta
Vuodentakaista ehdotusta on nyt yli vuoden ajan ”kommentoitu” ja nyt keväällä seuraa loppurutistus siltä osin, että se saataisiin hyväksymisprosessiin. Näin merkittävään asetukseen liittyy myös merkittäviä taloudellisia vaikutuksia, joten muutoksia - tiukennuksia kuin lievennyksiä on ehdotettu osana mittavaa lobbaustyötä. Hyvän käsityksen näistä saa Euroopan parlamentin oman Kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan (LIBE) joulukuussa julkaisemasta ns. Albrechtin raportista. Raportista löytyy löytyy 350 muutosehdotusta, joista osa on selkeitä tiukennuksia.
TOP 5 asetuksen vaikutusta
Kokonaisuus on erittäin laaja! Omasta mielestäni seuraavat viisi asiaa ovat edelleen ne keskeiset muutokset, jotka vaikuttavat meihin kaikkiin, osa yksilötasolla ja osa palveluiden tuottajien rooleissa.
1. Tietosuoja oletukseksi - Privacy by default sekä Privacy by design
Tietosuoja pitää ottaa huomioon palvelussa koko elinkaaren ajan, alkaen suunnittelusta päätyen palvelun alasajoon. Samoin palvelussa pitää oletuksena olla päällä käyttäjän kannalta oikeat tietosuoja-asetukset.
Henkilötietolaki (523/1999) on ollut Suomessa voimassa jo toistakymmentä vuotta, joten on korkea aika, että muualla EU-alueella noudatettaisiin vastaavanlaista mallia – tosin meilläkin on tuossa parantamisen varaa.
2. Oikeus saada tiedot hävitetyksi - Right to be forgotten
Albrechtin raportissa tätä ollaan ehdottamassa muotoon "right to erasure and to be forgotten", siis kun tietojasi ei tarvita, ne pitää järjestelmästä hävittää. Jos tätä alkaa miettiä yksityiskohtaisesti teknisellä tasolla, saa helposti pään kipeäksi.
3. Oikeus saada omat tiedot käyttöönsä - Right to data portability
Haluat vaihtaa sähköisestä palvelusta toiseen? Miten saat olemassa olevat sähköiset tietosi palvelusta mukaasi ja siirrettyä uuteen palveluun, on se sitten jokin some-palvelu, verkkopankki tai valokuva-arkisto? Et ainakaan ihan helpolla. Asetuksen myötä tämä pitäisi tulla mahdolliseksi yleisesti käytettävissä olevassa tiedonsiirtomuodossa. Nythän meillä on jo tietojen tarkastusoikeus, joten Suomen osalta tämä ei ole välttämättä niin merkittävä muutos.
4. Ilmoitus tietojen vuotamisesta - Data breach notification
Tällä hetkellä valtaosalla nettipalveluista ei ole lakisääteistä velvoitetta ilmoittaa tietojen vuotamisesta. Nyt ilmoitus tulisi pakolliseksi. Albrechtin raportissa ehdotetaan kasvatettavaksi alkuperäistä 24 tunnin ilmoitusaikaa 72 tuntiin ja tarve ilmoittaa riippuu myös vuodettujen tietojen sisällöstä (kriittiset tiedot), jotta ilmoituksia ei ala tulla käyttäjille vastaavasti liikaa.
5. Käyttäjien profilointiin rajoituksia
Etenkin Albrechtin raportissa vahvistetaan oikeutta, jonka mukaan yritykset eivät saisi käyttää keräämiään tietojaan tai myydä niitä ilman käyttäjän lupaa. Ei edes ilmaisissa palvelussa. Tällä tulisi olemaan merkittävä vaikutus verrattuna nykyiseen käytäntöön, jossa käyttäjätiedot ovat halpaa riistaa.
Valvontaa ja sanktiointia?
Tietosuoja-asetus tulee muuttamaan valvontaviranomaisten roolia ja on todennäköistä, että esimerkiksi tietotilinpäätöksen kaltaisista raporteista tulee pakollisia. Samoin organisaatioihin tarvitaan tietosuojavastaava (data privacy officer), riippuen joko organisaation koosta tai organisaatiossa käsiteltävien henkilötietojen määrästä - lopullinen vaatimus on vielä avoin. Samoin kannattaa tarkkaan seurata, millä tavalla asetuksen 79. artiklassa kuvattuja hallinnollisia seuraamuksia, jotka voivat olla äärimäisessä tapauksessa sakkoja jopa miljoona euroa tai kaksi prosenttia yrityksen globaalista liikevaihdosta tulevat lopullisessa kädenväännössä muuttumaan.
Mitä ja kuka tämän maksaa?
Kannatan ilman muuta tietosuoja-asetuksen päivittämistä, mutta vaarana on se, että mennään ojasta allikkoon. Vaikka osaan tiukalta vaikuttavia ehdotuksia tullee lievennyksiä, tarvittavien muutosten toteuttaminen olemassa oleviin järjestelmiin, tarvittava koulutus ja muu viestintä vievät yleensä kuviteltua enemmän aikaa ja RAHAA. Käytännössä valtaosa kustannuksista lankeaa muodossa tai toisessa palveluiden käyttäjien maksettavaksi.
Euroopan parlamentin tarkoitus olisi äänestää kokonaisuudesta kesän aikana, minkä jälkeen tarvitaan vielä lisää neuvotteluja, jolloin tietosuojauudistus saataisiin hyväksyttyä tämän vuoden loppuun mennessä. Tällöin realistisesti voi kuvitella, että 2 vuoden siirtymäaika lähtee liikkeelle vuoden 2014 alkupuolella.
Kannattaa lukea ja seurata EU:n Tietosuojauudistuksen nykytilanne -sivustoa.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 25.2.2013 1:20Oletko Sinä kohdistetun tietoturvahyökkäyksen uhri?
Helmikuun alussa on perinteisestä vietetty tietoturvapäivää ja -viikkoa. Tänä vuonna malli muuttui siten, että 4-8.2 vietettiin tietoturvaviikon korvaavaa mediataitoviikkoa. Mediataitoviikon pääteemana olivat oikeudet ja velvollisuudet netissä. Vaikka viikko on ensisijaisesti tarkoitettu lasten ja nuorten mediataitojen edistämiseen, kuka huolehtisi aikuisten media- ja tietoturvataitojen kehittämisestä?
Uudet uhat huomioitava
Turvallinen tietotekniikan hyödyntäminen on kaikkien ict:tä piltistä senioriin käytävien keskeinen taito, jonka merkitys tulee vain korostumaan. Taustalla on internet-verkon, älypuhelimien ja muiden päätelaitteiden kautta tulevien uusien uhkien esiinmarssi.
Jos me noudattaisimme kaikkia niitä ohjeita, joita meille tietoturvallisuuden osalta annetaan, valtaosa tietoturvallisuutta vaarantavista ja muista huijauksista jäisi toteuttamatta (”Jos jokin kuulostaa liian hyvältä, se ei todennäköisesti ole sitä”). Ei kuitenkaan välttämättä kaikki.
Perinteisen tietoturvauhkien rinnalle ovat tulleet kohdistetut hyökkäykset ja 0-päivän aukkoja käyttävät haittaohjelmat. Kohdistettujen hyökkäysten haaste on siinä, että vaikka käyttäjä toimii ja noudattaa 100% kuuliaisesti annettuja ohjeita, siitä huolimatta hänen työasemaan saatetaan päästä upottamaan vakoiluohjelma.
Vihollinen on joukossamme!
Käytännössä tämä tapahtuu esimerkiksi siten, että henkilö saa otsikoltaan ja viestin sisällön osalta sellaisen sähköpostiviestin, joka liittyy olennaisesti hänen työtehtäviin. Yleensä nämä ovat englanninkielisiä, jolloin henkilön työhön täytyy liittyä työasioiden hoitaminen englanniksi. Viestin mukana on liite, Office-ohjelmilla tehty tai PDF-tiedosto, jolloin tiedoston avaamisessa käytettävässä sovelluksessa oleva tietoturva-aukko aiheuttaa tietokoneen saastuttamisen haittaohjelmalla. Tietoturva-ukon kautta käyttäjän tietokoneeseen upotetaan vakoilu- tai muu haittaohjelma. Huom – liitteen sijaan käyttäjää saatetaan pyytää napsauttamaan tärkeää linkkiä, esimerkiksi ”edellisen kokouksen pöytäkirja ja tulevan kokouksen materiaalit löytyvät täältä”.
Jos tässä yritetään käyttää tunnistettua haavoittuvuutta tai upottaa tunnettu haittaohjelma, organisaation yhdyskäytävätason haittaohjelmien torjuntakokonaisuuden tulisi tämä estää, viimeistään työaseman paikallisen haittaohjelman torjuntaohjelman. Edellyttäen että se on toiminnassa ja päivittynyt.
Mikäli kyseessä on tuntematon 0-päivähaavoittuvuus, tällöin tärkein lenkki on käyttäjän oma valveutuneisuus. Jos lähes yksinomaan suomenkielisiä sähköpostiviestejä käyttävä henkilö saa yllättäen englanninkielisen viestin ja liitteen, ei liitettä tulisi avata ilman erillistä tarkistusta. Vaikka lähettäjä olisi kuinka tuttu entinen työkaveri, exä, sukulainen tai julkisuuden henkilö ja tiedoston aihe olisi ääääärimmäisen mielenkiintoinen ”Remember our last party?”.
Tätä voisi hieman verrata 2. maailmansodan aikaiseen tilanteeseen, jossa propagandajulisteilla - ”Ole vaiti!” - varoitettiin tuntemattomasta vihollisesta joukossamme. Nyt tämä vihollinen on jälleen joukossamme, mutta nyt se tulee salakavalasti netin kautta naamioituneena työtehtävien hoitamiseen liittyvänä tai muuten mielenkiintoisesti sinuun kohdistettuna, jopa hyvin yksilöitynä viestinä.
Jos kyseessä on 0-päivähaavoittuvuus, www.virscan.org tai muiden vastaavien netissä toimivien haittaohjelmien tarkistuspalvelimien käyttämien on turhaa, koska ne eivät löydä tiedostosta mitään haittaohjelmaa. Huomaa, jos tarkistat ko. palvelussa jonkin tiedoston, tiedoston pitää olla julkinen, palveluun ei saa lähettää organisaation omaan sisäiseen käyttöön tarkoitettuja tai muuten salassa pidettäviä tiedostoja.
Toteuta organisaatiosi oma tietoturvapropagandakampanja!
Valtionhallinnossa on osana mediataitoviikkoa toteutettu erilaisia kampanjoita tietoturvatietoisuuden parantamiseksi ja arjessa huomioitavien, tietoturvallisuutta uhkaavien ilmiöiden pienentämiseksi. Löydät Valtiokonttorissa toimivan Valtion IT-palvelukeskuksen tuottamat PPT- animaatiot ja tietoturvasarjakuvat täältä.
Koskaan ei ole liian myöhäistä järjestää oman organisaation tietoturvatietoisuutta toteuttava kampanja!
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 25.1.2013 12:50Kyberiä mä metsästän?
Jatketaan vielä hieman punaisen lokakuun metsästystä; mitkä ovat keskeiset keinot havaita ja selvittää, onko organisaatio ollut sen kohteena? Sekä lopuksi muutama, vielä valitettavan harvoin käytössä oleva toiminnallisuus tietoturvauhkien pienentämiseen.
Onko teillä lokipolitiikka?
Johdosta tulee käsky selvittää, löytyykö meiltä lokista jälkiä Red Octoberin toiminnasta? Hyvä idea, koska samalla tavalla kuin panttereita metsästettäessä, RO on jättänyt myös jälkiä olemassa olostaan, joita se ei ole pystynyt tuhoamaan. Kannattaa tutustua Kaspersky Labin dokumenttiin ”Red October – indicators of compromise”, josta löytyy niitä ip-osoitteita ja dns-nimiä, tiedostoja tai kansioita joita tulee metsästää.
Jos organisaatiossa olisi vaikkapa vain 20 järjestelmää, kuinka monta lokia syntyy? Red Octoberin tapauksessa kuten muiden vastaavien kyberuhkien osalta pitää keskittyä niihin palveluihin ja lokeihin, jota kautta haitakkeet ovat yrittäneet luikerrella organisaatioon tai viestiä tartuttuaan ulospäin.
Avainasemassa ovat palomuurin, haittaohjelmia torjuvien yhdyskäytävä-, palvelin- ja työasematuotteiden, smtp-postinvälitys, verkon keskeisten aktiivilaitteiden sekä mahdollisten ids/ips-tuotteiden tuottamat lokit. Ei siis mikään yksittäinen loki vaan tästä syntyvä laaja kokonaisuus. Jos tarkistettavana on vaikkapa ”vain” 100 ip-osoitetta, kuinka nopeasti olet käynyt tarvittavat lokit läpi? Ja kuinka pitkältä ajalta käytettävässäsi olevat lokit ovat tietoja keränneet? 2 – 5 – 8 – 10 vuoden ajalta?
Jokaisen lokin osalta tulisi olla peruste sen keräämiseen sekä määritetty sen suojaus ja kesto eli KUKA tietoja saa käsitellä, MILTÄ ajalta lokitietoja PITÄÄ ja SAA kerätä sekä milloin lokitiedot PITÄÄ HÄVITTÄÄ. Suosittelen tutustumaan VAHTI 3/2009 eli Lokiohjeeseen.
SIEM on mahdollisuus
Kuulostaako työläältä? Tämän johdosta eräs nopeasti suosiota kasvattava, tietoturvallisuuden keskitettyä valvontaa tukeva palvelu on keskitettyjen lokien- ja tapahtumienhallintaan liittyvät palvelut ja tuotteet (SIEM, Security Information and Event Management).
SIEM-palvelun idea on koota kaikkien sellaisten kriittisten palveluiden lokit yhteen keskitettyyn tietokantaan, joita tulisi kyetä käsittelemään (tallennus, analysointi, hälytykset, raportointi) keskitetysti. Samalla voidaan huolehtia lokitietojen oikeaoppisesta säilyttämisestä, niiden saatavuudesta ja eheydestä vikasietoisella, rajatun käyttäjäjoukon tarkoitukseen tarkoitetulla palvelulla.
Kuulostaa hyvältä, MUTTA…
SIEM on vain *tekninen keino* tuottaa ja keskittää lokienhallintaa. Mikä on homman business case – miten SIEM myydään johdolle? Älä mene ja osta SIEM-palvelua sikana säkissä vaan ennen kaikkea suunnittele etukäteen sen soveltuvuus ja käyttötarpeet , käyttöönotto ja operointi huolella. Mitä suuremmista lokimassoista on kyse (giga-tera-petatavua / vuosi), sitä enemmän järjestelmään tulee analysoitavaa tietoa vuorokaudessa. Organisaatiotasi ei paljoa hyödytä se, että saatte vuorokaudessa 100 sivua PDF-raporttia ja hälytyksiä asioista, joista ei voi päätellä oikeastaan yhtään mitään. Tarvitaan siis analysointikyky ja sen perusteella valtuudet ryhtyä tarvittaviin toimenpiteisiin esimerkiksi liikenteen rajoittamiseksi. Kuka tekee, milloin ja mitä?
Käytännössä menee useita kuukausia, jopa vuosia ennen kuin SIEM-järjestelmä on otettu organisaatiossa oikeaoppisesti ja tehokkaasti käyttöön siten, että se palvelee toimintaa tarkoituksenmukaisella tavalla, ei itseisarvona (”Meillä on siem”). Tällöin se toimii myös yhtenä keskeisenä tietolähteenä organisaation oman tai ulkopuolisten tahojen edellyttämän tilannekuvan tuottamisessa.
RMS-palvelu tiedon luokittelun avuksi
Pari muuta vinkkiä vastaisuuden varalle. Mikäli organisaatiossa on käytössä paljon Microsoft-tekniikalla toteutettuja palveluita (AD, Exchange, Office, Sharepoint) sekä käytössä oleva lisenssimalli sallii Rights Management Services-käyttöönoton ilman merkittäviä CAL-lisenssimaksuja, suosittelen tutustumaan sen tarjoamiin tiedonsuojausmahdollisuuksiin. RMS:n avulla voit rajoittaa käyttöoikeustyyppisesti salassa pidettävien tietoaineistojen käsittelyä esimerkiksi sähköpostin ja Office-tuotteiden yhteydessä salauksella. Tämä pienentää salassa pidettävän tietoaineiston vuotamiseen liittyvää riskiä ja tuo myös uusia mahdollisuuksia BYODin käyttöön.
Toinen keino on harkita erillisen DLP-palvelun (Data Loss Prevention) palvelun käyttöönottoa, jonka avulla voidaan yhdyskäytävätasolla pyrkiä estämään organisaation määrittämien sääntöjen perusteella sille arvokkaan, yleensä salassa pidettävän tiedon pääsyä salaamattomana internet-verkkoon. Esimerkiksi pysäyttää kaikki asiakirjat, joista löytyy luokitus ”Salainen”, luottokorttinumero tai henkilötunnus ilman salausta.
DNS- ja muut infratasolla tehtävä tarkkailu
Red October ja muut sen sukulaiset tarvitsevat DNS-nimipalveluita sen tarvitsemien komento- ja ohjauspalveluiden ip-osoitteiden selvittämiseen. Tarkkailemalla ja rajoittamalla dns-nimipalvelukyselyitä, muutenkin tutkimalla tarkemmin palomuurin kautta ulospäin yrittävää, estettyä liikennettä (mm. epämääräiset icmp-ping-paketit) voidaan profiloida normaaliolojen verkkoliikenne vs tilanne, jossa jotain epämääräistä alkaa tapahtua.
Jos organisaatio ostaa tämän kaiken palveluna vs tuottaa itse, haasteeksi tulee tällaisen sopiminen ja hinnoittelu; toisin sanoen, onko tällaisen valvonnan toteuttaminen ylipäätään mahdollista ja hintansa arvoista?
Ja edelleen whitelisting
Jotta voimme käydä taistelua uusia, vielä tuntemattomia uhkakuvia vastaan, se tarkoittaa yhä enemmän hallittua sääntöjen määritystä sille, mikä on sallittua (whitelisting) perinteisen kieltämisen (blacklisting) sijaan. Koskee se sitten sovellusten ja skriptien suorittamista (Windows Applocker), www-sivujen käyttöä (erilaiset sisältösuodatuspalvelut) tai sähköpostin (liitetiedostojen) sisällön tarkastusta ja liitetiedostojen tiputtamista pois.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 18.1.2013 11:20Mitkä ovat Red Octoberin opetukset?
Kesäkuu 2010 Stuxnet, syyskuu 2011 Duqu, toukokuu 2012 Flame, tammikuu 2013 Rocra – mitä näistä APT-tekniikalla (Advanced Persistent Threat) kehitetyistä vakoilu- ja haittaohjelmista pitäisi oppia?
Vuosi 2013 alkaa kyberturvallisuuden näkökulmasta lohduttomalla uutisella venäläisen Kaspersky Lab-tietoturvayrityksen julkaistua ensimmäiset tiedot ”Red October” (Rocra) koodinimellä kulkeneesta vakoiluhankkeesta ja sen tarkoituksiin laaditusta haittaohjelma-ekosysteemistä. Käsittelen tässä kirjoituksessa perustasolla tämän laajan, ei kuitenkaan mitenkään innovatiivisen, mutta muuten moniulotteisen kokonaisuuden teknisiä yksityiskohtia.
Suosittelen tutustumaan Kaspersky Labin julkaisemaan teknisen raportin ensimmäiseen osaan ja toiseen analyysiosaan tarkempien yksityiskohtien hahmottamiseksi. Samoin netistä löytyy jo jonkin verran muiden tahojen tuottamia analyysejä, mutta menee vielä kohtalainen aika, ennen kuin kaikki yksityiskohdat alkavat olla selvillä.
KISS-malli käytössä
Teknisesti Rocraa ei voi pitää tajunnan räjäyttävänä sen takia, että siinä olisi jotain todella uutta, avaruusajan teknologiaa. Päinvastoin, vaikka kokonaisuus on erittäin laaja, se kuitenkin pohjautuu suureen määrään jo vanhoja, muissa hyökkäyksissä koeteltuja ja hyväksi havaittuja teknologioita yhdistettynä massiiviseksi kokonaisuudeksi (ekosysteemi). Laajuutta voi kuvata luvuilla >1000 ohjelmamoduulia noin 30 eri tietojenkeräyskategoriaan, yli 60 komento- ja ohjauspalvelinta (C&C-palvelin) useassa eri maassa (pääasiassa Venäjällä ja Saksassa). Perinteisten tietojenkeräys- ja vakoilutoimintojen (näppäinten nauhoitus, näyttökuvien kaappaus, tiedostojen lähettäminen) ohella Rocra sisältää moduulit älypuhelimiessa sijaitsevien tietojen (iPhone, Symbian, Windows Phone), verkkolaitteissa (Cisco) sekä esimerkiksi usb-muisteista löytyneiden, myös sieltä poistettujen tietojen esille kaivamiseksi. Kaspersky arvioi, että mahdollisesti viiden vuoden aikana tietoa on saatu kerättyä jopa satoja teratavuja!
Haittaohjelmaa on upotettu ensisijaisesti Microsoft Office-asiakirjojen (Word, Excel), PDF-tiedostojen sekä joissakin tapauksissa Java-haavoittuvuuksia hyödyntäen, esimerkiksi nettiselauksessa. Tällä hetkellä ei ole tietoa tai näyttöä siitä, että se olisi käyttänyt uusia, toistaiseksi tuntemattomia nollapäivähaavoittuvuuksia. On todennäköistä, että myös muita tapoja löytyy kunhan kokonaisuutta päästään tarkemmin analysoimaan.
Haittaohjelman kohteena ovat olleet sellaiset viranomaisorganisaatiot, tutkimuslaitokset, yritykset, yhteisöt ja näissä työskentelevät henkilöt, joiden kautta on voitu arvioitu saatavan sellaista tietoa, jolla on taloudellista tai muuta tiedustelun näkökulmasta arvoa. Rocraa ei ole suunnattu kotikäyttäjiä vastaan. Kuka tahansa ei ole kelvannut kohteeksi, jokainen saastutettu kohde on saanut oman ainutkertaisen id-numeron, joten tietolähde on voitu yksilöidä hyvin tarkasti. Pääasiallisina kohdemaina ovat olleet Kasperskyn keräämissä, tosin hyvin rajoitettujen tietojen perusteella kerätyissä tiedoissa (250 saastunutta kohdetta noin 2 kk ajalta loppuvuodesta 2012) Sveitsi, Kazakstan, Kreikka ja Valko-Venäjä, mutta havaintoja on tehty ympäri maapalloa, mukaan luettuna Suomi.
Uudelleenherätys zombeille
Eräs mielenkiintoinen ominaisuus Rocrassa koskee sen uudelleenohjausta. Jos jokin sen käyttämä C&C-palvelin tippuu pois päältä esimerkiksi sen paljastuttua, hyökkääjä pystyi uudelleenaktivoimaan kyseisen työaseman lähettämällä koneelle sähköpostiviestin, jonka Word- tai PDF-metatiedoissa välitetään koneella vielä toiminnassa olevalle lisäosaohjelmalle (upotettu addin-tuote) uudet osoitteet uusien komentojen vastaanottamiseksi. Samoin C&C-palvelimet ovat muodostaneet proxy-tyyppisen ratkaisun, jolla on pyritty suojelemaan sitä, minne Rocran keräämät tiedot lopulta päätyvät.
Ketkä ovat Rocran takana?
Varmuutta Rocran alkuperäistä ei toistaiseksi ole. Alustavissa analyyseissä epäillään Venäjällä toimivia rikollisjärjestöjä, mutta myöskään valtiollisten toimijoiden mukanaoloa ei ole voitu poissulkea.
Jos tällaisia breaking news-tyyppisiä kokonaisuuksia on julkaistu tyyliin kerran vuodessa, kannattaa jo varautua siihen, että näistä alkaa tulla lähivuosina kuukausittaisia, mutta toivottavasti ei kuitenkaan viikoittaisia uutisia. Nyt on siis vielä aikaa kehittää torjuntakyvykkyyttä!
Mitä Rocran pitäisi meille opettaa?
1. Perinteiset levityskeinot tuntuvat edelleen tepsivän
Näyttää siltä, että Rocraa on päästy upottamaan kohdeorganisaatioihin hyvin perinteisillä, oikealla tavalla nimetyillä, sisällöllisesti tarkkaan mietityillä ja yksilöidyillä sähköpostiviesteillä ja liitetiedostoilla tai houkuttelemalla kyseinen käyttäjä murretulle www-sivuille Rocran upottamiseksi päätelaitteeseen. Ei siis ihmisen Marsiin lähettämistä edeltävää tekniikkaan vaan enemmänkin lähikaupassa käyntiä mahdollistavaa teknologiaa.
Edellinen tarkoittaa sitä, että organisaatioiden tulisi jatkaa organisaatioon saapuvan sähköpostin / roskapostin & tällaisten kalasteluviestien, www- sekä organisaatiosta ulospäin suuntautuvan liikenteen analysointi, tarkistus- ja torjuntakyvyn kehittämistä niin yhdyskäytävä- kuin päätelaitetasolla. Tarvitaan siis entistä useampaa teknistä tasoa, joiden pitää pystyä skaalautumaan uhkakuvien päivittyessä ja monipuolistuessa.
Vinkki – jos et ole tutustunut ja ottanut vielä käyttöön Microsoftin maksutonta EMET-ohjelmistoa, tutustu, testaa ja ota se käyttöön!
2. Käyttäjät – tiedotus & koulutus
Tekniikka ei koskaan riitä yksistään ja se ei aina toimi; tämän takia vielä tärkeämmässä roolissa on käyttäjien tietoturvatietoisuuden kasvattaminen. Esimerkiksi epäilyttäviä viestejä ei käyttäjä saa lainkaan avata, jos sellainen suodatusten jälkeen pääsee läpi vaan niiden käsittelyyn laaditaan oma toimintamalli. Esimerkiksi joku muu avaa viestin ja liitteet suojatussa ympäristössä tai muuten varmistetaan lähettäjän alkuperä.
Linkitän helmikuun alussa tietoturvaviikolla uusia keinoja pitää yllä henkilöstön mielenkiintoa tietoturva-asioissa!
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 31.12.2012 11:48Näistä tietoturva-asioista puhutaan vuonna 2013
Miltä vuosi 2013 näyttää tietoturvallisuuden osalta? Mitkä ovat uusia uhkakuvia ja miten vanhoja uhkakuvia vastaan suojaudutaan?
1. Haittaohjelmiin lisää älyä
Tietoverkkorikolliset näkevät entistä enemmän vaivaa (aikaa, rahaa, osaamista) kehittyneempien haittaohjelmien tuottamiseen. Hyvä esimerkki tästä on Saksasta löydetty pankkitroijalainen, joka majailee käyttäjän sekä pc-laitteessa että älypuhelimessa. Tällöin varsin varmalta tuntuva puhelimella tapahtuva varmentaminen voidaan myös kaapata.
Perinteisten haitakkeiden rinnalle tulee lisää lunnashaitakkeita (ransomware) sekä valitettavasti myös MADiä. Lunnashaitake kaappaa laitteen tai tiedostojen omistajuuden itselleen sekä vaatii sen vapauttamisesta rahaa. Mobile ADware ei välttämättä ole aina tietoturvariski, mutta tyypillisesti ilmaissovellus saattaa välittää mainoksia käyttäjälle, kerätä käyttäjätietoja eli vaarantaa yksityisyyttä ja ennen kaikkea kuluttaa mobiililaitteen virtaa! Kannattaakin tutustua ja opetella huolella se, miten varmistut päätelaitteessasi siitä, että siellä on toiminnassa vain sellaiset sovellukset, joita tarkoituksenasi on käyttää.
2. Miten mobiilisovelluskauppojen ja -päätelaitteiden tietoturvallisuus kestää?
Mitä enemmän siirrymme päätelaitteissa käyttämään Apple-Google-Microsoft-ekosysteemien varassa toimivia Appseja, sitä kriittisemmäksi näiden jakelemiseen tarkoitettujen sovelluskauppojen luotettavuus muodostuu. iOS ja Windows Phone-alustat ovat toistaiseksi pysyneet varsin hyvin puhtaana (pl FinSpy), mutta Android-puolella haittaohjelmien määrä on kasvanut huolestuttavasti ja suuntauksen uskotaan jatkuvan 2013.
Sovellusten ohella myös yhtä oleellista on mobiilipäätelaitteiden oma tietoturvallisuus, vaarallisimpina loppuvuodesta 2012 esille nousi muutama Samsung Galaxy-laitteita koskeva haavoittuvuus, tuoreimpana Kernel-aukko.
3. Hyökkäysrajapinnat kasvussa
Edellinen kohta osittain kuvaa myös sitä, että rikollisilla on entistä enemmän vaihtoehtoja toteuttaa hyökkäyksiä päätelaitteiden lukumäärän ja tyyppien kasvaessa. Viestintäviraston uutinen v 2012 alkuvuodesta ”Onko digi-tv-laitteesi bottiverkon orjakone?” kuvaa sitä, miten uhkakuvat tulevat muuttumaan lähivuosina. Internet of Things => Post-PC-era => ubiikkiyhteiskunnan yleistyessä, ip-verkossa toimivien, internet-verkkoon näkyvien laitteiden määrä kasvaa räjähdysmäisesti. Kuitenkaan en jaksa uskoa, että sovelluskehittäjillä on yhtään sen enempää aikaa (ja rahaa) kehittää näihin nykyistä tietoturvallisempia sovelluksia, pelkään päinvastaista.
Organisaatioiden tulee entistä tarkemmin pystyä luokittelemaan ja rajaamaan tiedonkäsittely-ympäristöt siten, että salassa pidettäviä tietoja käsitellään vain sellaisissa ympäristöissä, joiden tietoturvallisuudesta voidaan varmistua.
4. Nettikaupan turvallisuus
Nettikauppa on takuuvarma voittaja ja jatkaa voittokulkua, on taloudellinen tilanne mikä tahansa. Kasvava nettirikollisuus toimii täällä kuitenkin peikkona. Esimerkki; jouluostosten jälkeen sain puhelinsoiton nettikaupan ylläpidosta. Toimin sukulaisilleni välikätenä heidän läppäriostoksissaan ja kun ostin samasta nettikaupasta heille jo toisen läppärin reilun viikon kuluessa, halusivat he verkkokaupasta puhelimitse varmistaa tietoni, vaikka ensimmäisen osalta kaikki oli sujunut ilman ongelmia ja uusi läppäri oli jo käytössä.
Mitä enemmän organisaatiosi tekee nettikauppaa, sitä enemmän joudutaan jatkossa lisätoimenpiteisiin, joilla pyritään varmistamaan kaupankäynnin turvallisuus. Kuluttajan ja kaupan kannalta tietysti hyvä asia, mutta saattaa pelottaa osan käyttäjistä poissa nettikaupoista.
5. Haktivismi yleistyy
Jos ehdin edellisessä vuoden 2012 katsauksessa julistaa, kuinka tietoverkkomurtojen määrä ei jatkanut oletettua kasvua viime vuonna, toivottavasti sama kehitys tapahtuu palvelunestohyökkäysten osalta. Vuoden 2012 loppupuolella Suomessa tehtiin useita palvelunestohyökkäyksiä, jotka kohdistuivat pääasiassa tunnettuihin mediataloihin.
Miten organisaatiosi on suojautunut tällaisia hyökkäyksiä vastaan a) teknisesti (kuormantasaus, oikeanlaiset palomuurit ja palomuurien konfigurointi / säännöstö, liikenteen priorisointi ja suodatus, dns-palvelimien ja ip-osoitteiden sekä reitityksen hallinta) sekä b) hallinnollisesti (tilanteen johtaminen ja hallinta sekä viestintä)? Entäs harjoittelu?
6. Paikkatietoisuus tunkeutuu joka paikkaan
Yhä useampi Apps – ainakin Windows Phone-puolella, joka ei välttämättä edes tarvitse paikkatietoja, vaatii paikkatietojen luovuttamista. ”Sovelluksen Yatzy Free on tiedettävä sijaintisi, jotta se ei toimisi oikein.” Ei voi todellakaan pitää paikkansa, hevosen lannoitetta, yatzy-pelillä ei ole mitään väliä sillä, missä sitä pelaan! Valitettavasti vain Microsoft haluaa kerätä tiedot ”paikannuspalveluiden tarjoamiseen ja parantamiseen.” Tässä tapauksessa pitäisi luottaa Microsoftin ilmoitukseen, että ”Tietoja ei käytetä tunnistamisesi tai yhteydenottoihin”. Suosittelen lukemaan ainakin kerran tietosuojatiedot ja ymmärtämään lukemasi, jotta tiedät mihin kaikkeen paikka- ja muita tietojasi saadaan käyttää. Vastaamalla peruuta => ohjelmaa ei asenneta.
Tuntuu hieman siltä, että paikkatieto on jatkossa avointa riistaa ja se on vain pakko hyväksyä?
7. Pilvipalvelut & big data
Eräs osa-alue, jossa pilvipalvelut tulee nähdä erityisen positiivisena, turvallisuutta edistävänä palveluna ovat esimerkiksi big dataa hyödyntävät palvelut. Massiivinen lokitietojen, muiden poikkeamien käsittely ja analysointi ovat jatkossa entistä kustannustehokkaampaa, kiitos pilvipalveluiden laskenta- ja tallennuskapasiteetin.
Valitettavasti tietoverkkorikolliset hyödyntävät pilven mahdollisuuksia myös entistä tehokkaammin. He voivat käyttää myös palveluiden laskenta- ja muuta kapasiteettia omien tarkoitusperiensä edistämiseen, esimerkiksi salausalgoritmit murtuvat jatkossa entistä lyhyemmässä ajassa. Organisaatioiden tulisikin tarkkaan määritellä, mitkä ovat sen hyväksymät salausmekanismit ja niihin liittyvät avaintenhallintapolitiikat kaikessa toiminnassa.
8. Muuttuva lainsäädäntö
Vuonna 2013 odotellaan EU:n uutta tietosuoja-asetusta ”markkinoille”. Vaikka asetus sisältää paljon hyvää, vaarana on se, että asetus monimutkaisuudellaan, mahdollisesti epämääräisillä ohjeilla ja tulkinnoillaan aiheuttaa ylimääräistä työtä ja merkittäviä kustannuksia. Palaan tähän aiheeseen yksityiskohtaisemmin kun asetus saadaan sorvattua valmiiksi.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 24.12.2012 22:05Tietoturvakatsaus 2012 - 2013 - mitä on odotettavissa?
Mitä tietoturvallisuudessa tapahtui vuonna 2012 ja miten nämä asiat heijastuvat ensi vuoteen? Aloitamme tämän kaksiosaisen blogimerkinnän muistelemalla tämän vuoden ilmiöitä - mitkä olivat vuoden tärkeimpiä tietoturvahavaintoja?
1. Kyber siellä, täällä ja joka paikassa
Vuosi 2012 voidaan todeta lopulliseksi kyber-termin läpimurtovuodeksi. Kyberistä on tullut joka paikan yleistermi, oliko teillä jouluna kyberiä vai kalkkunaa? Ja sillä oli kyberhuntu yllä?
Kyberturvallisuuden ja sen ympärillä liikkuvan pöhinän merkitystä ei voi kiistää, mutta osa hypetyksestä on tietoista, kaupallisista tarkoitusperistä lähtevää. Tällä yritetään saada uutta potkua ja laajennettua olemassa olevaa, perinteisempään tietoturvallisuuteen liittyvään liiketoimintaa. Vanhalle, ”MultiGizmo Originale”-tietoturvapalvelulle saadaan virkistävä, viagramainen vaikutus tekemällä siitä ”Ultimate MultiCyberGizmo Nuevo” –palvelu.
Uudet, kriittistä infrastruktuuria tai yksittäisen organisaation olemassaoloa ja liiketoimintaa uhkaavat, pääasiassa netistä lähtöisin olevat uhat ovat kasvussa. Niitä vastaan voidaan suojautua osittain kuten tähän saakka, kyberin takia ei pidä heittää vanhoja oppeja romukoppaan vaan ketterästi kehittää niitä ajan hermolla. Keskeisessä roolissa suojautumisessa ovat edelleen perinteiset arvot; käyttäjien (johto ja henkilöstö) tietoturvatietoisuuden lisääminen, eri toimijoiden ja verkostojen välisen yhteistyön kasvattaminen sekä monikerroksisen, teknisen tietoturvallisuuden kehittäminen ja ajan tasalla pitäminen uusien uhkien varalta. Tämä kaikki edellyttää sitä, että organisaatio on tunnistanut oman ja tuottamiensa palveluiden kriittisyyden itselleen, asiakkailleen ja sidosryhmille sekä koko yhteiskunnalle.
2. Valtiollinen tiedustelu
Toukokuussa löydetty Flame-haittaohjelma ja siitä auki purkautunut vyyhti on osoittanut hyvin konkreettisesti sen, kuinka edistynyttä, pitkäjänteistä ja megabudjeteilla toteutettua valtiollinen tiedustelu on. Stuxnet-Duqu-Flame-Gauss ja muut näiden osa vielä tuntemattomista sukulaisista aiheuttivat sen, että nyt jokainen valtio on joutunut tuottamaan ja linjaamaan oman kansallisen kyberstrategian ja toimenpideohjelman sekä kehittämään omaa kyvykkyyttään edellisten perusteella.
Miksi muuten näiden haittaohjelmien osalta ei ole käynnistetty rikostutkintaa siitä, ketkä tahot ovat näistä vastuussa – valtioita taitaa olla hankala saada kyber-rikoksista vastuuseen? Suomella on tässä ketteränä high tech-maana oivallinen tilaisuus luoda kyberistä hiipuvien metsä- ja tietoliikenneteollisuuksien tilalle uutta vientimarkkina-aluetta. Voisiko peliteollisuutta ja kyberiä yhdistää?
3. Mitä isot edellä...
...sitä tietoverkkorikolliset valitettavasi perässä. Yksityishenkilönä en ole niin huolestunut siitä, jos valtiot kehittävät omaa kyberasevarastoaan siinä missä perinteistäkin. Enemmän pelottaa se, miten tietoverkkorikolliset voivat hyödyntää näistä saatuja oppeja sekä valmiita toteutuksia omien seuraavan sukupolven haittaohjelmien kehittelyssä.
Jos ydinaseen rakentaminen tuntuu edelleen varsin hankalalta, ainakin merkittävästi aikaa ja taloudellisia resursseja, osaamista vaativalta hankkeelta, sitä samaa ei voi sanoa kyberaseiden osalta. Päinvastoin kuin ydinaseissa, kyberaseiden raakamateriaalia eli osaavia koodareita, helposti muokattavissa olevia haittaohjelmia ja hyödynnettäviä exploit-kittejä, valmiita tee-se-itse-kyberhyökkäys-palveluita on netin alamaailma täynnä.
4. Varmenteet huolestuttavat
Jos katsot Viestintäviraston vuoden 2012 Tietoturva nyt! -otsikoita, listalta löytyy useita tiedotteita, joissa ongelmien aiheuttajana toimivat varmenteet tai niihin liittyvät ongelmat ja väärinkäytökset. Jos aikaisemmin varmenteisiin voitiin luottaa ja pitää niitä tietoturvallisuuden kulmakivenä, valitettavasti tämä usko on muutaman viimeisen vuoden aikana rapistunut tyystin.
5. Java ja muut lisäohjelmat – hallittua kaaostako?
Java-ympäristö (JRE, ei pidä sekoittaa java-skripteihin) on noussut tänäkin vuonna esillä haavoittuvuuksien osalta. Onko Java otettu organisaatiossasi käyttöön kuinka hallitusti ja onko sen käyttöä suunniteltu arkkitehtuurilähtöisesti? Kuinka moni organisaatio tietää, mitä kaikkia Java-versioita heillä työasemissa ja palvelimissa pyörii – tai pitäisi pyöriä ja miten niiden uusien versioiden testaus- ja päivitysprosessi toimii osana laajempaa muutoshallintaa? Javan ohella sama problematiikka koskee monia muita selaimien lisäosia ja esimerkiksi pdf-lukijoita - ja myös itse www-selaimia.
6. Tietomurtojen määrä ei räjähtänyt käsiin
Jos jotain positiivista vuodesta voidaan todeta, vuoden 2011 syksyllä synkältä näyttänyt tietomurtoilmiö koskien Suomessa julkisuuteen päätyneitä henkilötietojen, käyttäjätunnuksien ja salasanojen vuotamista ei jatkunut v 2012 samalla lailla. Vuoden 2012 eräs tietomurto-oppi tuli LinkedIn-palvelun tietomurrosta. Se osoitti, että käyttäjien salasanat pitää ehdottomasti palvelussa salata, mutta yhtä tärkeätä on selvittää, millä algoritmilla eli kuinka vahvasti salaus toteutetaan. Miten teidän organisaatiossa tästä asiasta on huolehdittu ja asiaa selvitetty?
7-8. Pilvi & byod/byoa
Jos kyber on vuoden termi, pilvi & byod ja tietojen synkronointi ovat osa vuoden laajempaa muuta keskeistä, edelleen jatkuvaa muutosta. Näistä voidaan tehdään merkittävä ongelma ja uhka, mikäli näiden käytössä ei tiedosteta niitä riskejä, joita tällainen tietojenkäsittelyn laajamittainen ulkoistaminen voi aiheuttaa.
Jos organisaatio toteuttaa näiden palveluiden käyttöönoton suunnitelmallisesti ja harkiten, riskit tiedostaen ja niitä pienentäen, sopimuksia noudattaen, näillä palveluilla voidaan tehostaa toimintaa ja saavuttaa kustannussäästöjä. Osa suunnitelmallisuutta on organisaation pilvipalvelu-, byod-, Apps-toimintamallien politiikat, joissa myös selvitetään edellytykset ottaa näitä käyttöön.
Kaikkia (salassa)pidettäviä tietoja ei voi laki-, muista sopimussyistä tai tiedon saatavuuden takaamiseksi sijoittaa mihin tahansa pilveen tai sallia käsiteltäväksi käyttäjän vapaa-ajan päätelaitteella. Kuinka monella on esimerkiksi voimassa turvallisuussopimuksia, joka käytännössä kieltävät sopimukseen liittyvien tietojen käsittelyn henkilökohtaisilla vapaa-ajan laitteilla ja sopimus saattaa asettaa muita varsin tiukkoja rajoituksia tietojenkäsittelyyn ja palveluiden tuottamiseen - sanktioilla höystäen?
Seuraavassa osassa odotettavissa olevia vuoden 2013 tietoturvatrendejä.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 14.12.2012 15:42Joulu vaarassa! Tietoturva vuoti tietoja pukille?
Rakas joulupukki! Kuten viime vuonna sovimme, osana uutta palvelusopimustamme raportoin Sinulle tietoja organisaatiomme henkilöstöstä ja toiminnastamme, jotta vastavuoroisesti voit nostaa oman lahjalistatikettini sla-tasoa pukkiERPisi kärkisijoille.
Käyttäjät tuovat omia laitteitaan töihin!
Olen toimittanut sinulle erillisen listan niistä henkilöistä, joiden epäilen vahvasti tuoneen oman älypuhelimen, tabletin tai jopa oman läppärinsä töihin ja käyttäneen sitä joko omien vapaa-ajan harrastusten tai mikä vielä pahempaa, omien työtehtävien hoitamiseen työaikana. He ovat liittäneet näitä laitteita myös meidän langattomaan wlan-verkkoon sekä lukeneet laitteilla työsähköposteja sekä käsitelleet niillä työtehtäviin liittyviä asiakirjoja. Mietithän tätä heidän tikettiään ratkoessasi?
Johto tuntuu sitoutuneen tietoturvallisuuteen
Muistat varmaan hyvin, kun vuosi sitten valitin ja vinguin, kuinka meidän ylin, kuuluisa toimiva johtomme ei ymmärrä tietoturvasta mitään eikä ole millään lailla sitoutunut sitä edistämään. Nyt tilanne on parantunut oleellisesti heitä ruoskittuani!
Kun katselin valvontakameranauhoituksia meidän johtoryhmän viime kokouksesta, heillä tuntui olevan hyvin hauskaa lukiessaan toimittamaani tietoturvallisuuden tilannekatsausta (meillä asiantuntijoita ei päästetä joryyn). Kaikki olivat iloisia, hymyissä suin ja naureskelivat, valitettavasti mikrofoni ei jostain syystä toiminut, joten en kuullut ääniä.
Mielestäni erityinen ylpeyden aihe oli se, kun CFO teki tästä äärimmäisyyteen tiivistämästäni yhden A4-sivun raportista paperilennokin ja nimesi sen etunimeni mukaan, en nähnyt nimen loppuosaa, mutta se alkoi F-kirjaimella ja sitten he heittivät sen täältä 18 kerroksen norsunluutornistamme maailmalle. VAU! Sitoutunutta, hyvin toimivaa johtoa ei kannata vaihtaa ainakaan huonoon letkuun.
GreenIT jyrää
Kuten viime joulun lahjassasi minulle hieman vinkkasit (veivattava älypuhelimen varalaturi varustettuna aurinkopaneelilla), teimme sisäisen tarkastuksen kanssa hyökkäyksen palvelinkomeroomme. Löysimme siivoojan ämpäreiden ohella sieltä lukuisia virtasyöppöjä, identtisiä laitteita siten, että molemmissa laitteissa oli virta suotta päällä. EIPÄ OLE ENÄÄ! Virrankulutus on nyt pienentynyt ja lämpötila laskenut oleellisesti eikä kaapin ovea tarvitse pitää enää raollaan.
Voi olla, että saan ensi vuoden alussa aikaiseksi sen, että sähköpostijärjestelmä lasketaan alas ja laitteet sammutetaan klo 19.01 – 06.59 väliseksi ajaksi. Koska kukaan ei silloin kuitenkaan tee työtä, niin miksi kuluttaisimme sähköä? Samalla reissulla muuten sisäisen tarkastaja tuli myös kaapista ulos, voisit muistaa häntä tästä jollakin pikkuisella (?) yllärillä.
Ja sitten noi pilvipalvelut
Sain tuosta palvelinkomeromme vihreydestä varmaan jonkin hiivasienen tai muun pureman, sillä moni alkoi suosittella minulle ”paas poika palvelut saas iaasiin” -mallia. Ei muuta kuin Kuukkeli kehiin ja heti löytyi loistava palvelu, johon nyt yliheitto tapahtuu joulun aikana. Et pukki usko, kuinka nopeasti saatiin sopimukset tehtyä ja palvelutasot sovittua! CTO:lla ei edes ehtinyt nokka tuhahtaa kun oli rastit ”Hyväksymme kaiken ja annamme teille tuhkatkin pesästä” -kohdassa.
Olen tässä samalla exportoimassa tuotannonohjausjärjestelmämme tietokantaa ja postipalvelimen sisältöä tuonne usb-tikulle, jonka sain sinulta viime jouluna. Ja kirjattu kirje odottaa tuossa pukin kuoren vieressä lähettämistä uudelle toimittajalle. Aluksi ihmettelin, miksi tuo pitää maksaa ensimmäisen vuoden osalta käteisellä, eli dollareilla, samassa kirjekuoressa datojen kanssa, ja miksi tuo osoite on Poste Restante Huitsin Nevadassa? Niin, miksi muuten levyn lähettämisen jälkeen minun pitää poistaa kaikki tiedot meidän palvelimiltamme?
En ihmettele enää. Sain heiltä varmistusviestin, jonka käännöspalvelulla käänsin swahilista suomeksi. Meinasin olla tyhmä - tieto ei saa olla tietenkään samaan aikaan kahdessa paikassa tietoturva- ja replikointinongelmien takia. Meillä ei muutenkaan bisnes ole toiminnassa joulun aikana niin tuo ratkaisu osui ja yliheitto upposi meihin kuin nappi otsaan ja kohta ollaan pilvessä.
Vink, vink - loistava verkkopalvelu
Löysin muuten äsken hyvän verkostoitumispalvelun, ShitPages ja olenkin käyttänyt sitä aktiivisesti oman verkostoitumiseni ja osaamiseni levittämiseen. Tuo levisi meillä kuin tauti pikkujoulujen jälkeen, laitoin kutsun pukillekin, mutta lienee pukkimuorin virittämät nettisuodatukset, antibiootit ja muut vastalääkkeet olleet käytössä, kun ei ole pukkia palvelussa näkynyt?
Onneksi kokoustavat ovat parantuneet
Olen nyt alkanut tiiviisti seurata ja mittaroida, kuinka paljon ihmiset käyttävät omaa läppäriään tai tablettiaan kokouksissa. PALJON! Täytyy vain ihmetellä ja antaa kiitosta, kuinka intensiivisesti he kirjaavat omia kommentteja ja muistiinpanoja ylös, etenkin aipäd-käyttäjät tuntuvat olevan tosi tehokkaita kirjoittajia laitteen hiplailusta päätellen. Välillä hieman ihmettelen, että miksi yhden tai kahden lauseen kommentin ylöskirjaamiseen osalla menee viisi minuuttia – varmaankin kirjoittavat siitä itselleen tarkempaa taustoitusta?
Etätyöskentely rulettaa meidän firmassa
On tuo etätyö loistava juttu. Itse en ole innostunut siitä, mutta moni meillä tekee jo yli puolet työajastaan kotoaan keikkaa. Välillä täällä töissä on aika yksinäinen olo, kun jostain syystä kaikki ovat sanoneet mulle, että tuo kehittämäni savumerkkeihin pohjautuva vahva tunnistautuminen ei aina toimi. Sen takia en saa heitä pikaviesteillä kiinni, en näe heidän tilatietojaan ja ihmeellisesti sähköpostivastauksetkin tulevat usein vasta monen päivän päästä. Tärkeintä on kuitenkin se, että tietoturvaa ei syytetä uusien toimintamallien ja käytäntöjen edistämisen ja juurruttamisen rajoittamisesta.
Saatiin toimittajat vinkilläsi kuriin
Oli myös mahtava juttu viime jouluna kun annoit sen vinkin, kuinka noi meidän pari tuhmaa toimittajaa saadaan kuriin ja nuhteeseen. Toimitusjohtajamme katsoi minua aluksi kuin hullu poroa, kun ehdotin tuota avoimen sekin mallia. Siinä kyllä pantiin kattila pannua soimaan. Ei ole sen jälkeen tarvinnut kysyä, onko tietoturvapäivitykset, kaikenlaiset varautumisharjoittelut ja muutospyynnöt tullut tehtyä. On tip ja top ja kaikki maailman vaatimukset PCI-DSS-ISO27001-ISO20000-MOL42-WTF-OMG läpäisty monesta kohtaa.
Toivottavasti näiden pukkileaksien jälkeen saan tuon kohta postiin laittamani kirjeen lahjalistan nostettua hieman korkeammalle siellä pukin big data bi-sex-järjestelmässä. Et pukki kyllä usko, kuinka iloiseksi tulen, jos sieltä paketista se 3D-bio-printer-tulostin tulee – lupaan laittaa kuvia noista uusista elimistä, joita olen tuossa jo suunnitellut sillä tulostavani. Hyvää Joulua!
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 7.12.2012 11:43Miten tietoturvakoulutusta pitäisi parantaa?
Tarvitaan jatkuvaa tiedotusta ja uusia linjauksia
Miten teidän organisaatiossa tiedotetaan ajankohtaisista tietoturva-asioista, esimerkiksi Skillpages-palveluun liittyvistä ongelmista? Saako Dropboxiin ja Skydriveen tunkea mitä tahansa työpaikalla käsiteltäviä tiedostoja? Entä onko organisaatiossasi laadittu linjausta ja ohjeistusta omien laitteiden käytöstä (BYOD) vai voiko jokainen säätää asioita omalla tavallaan? Tietoturvaorganisaatiossa pitää pystyä reagoimaan näihin uusiin haasteisiin ja kyetä laatimaan niistä linjaus, joka tiedotetaan ja koulutetaan henkilöstölle.
Olemme erilaisia oppijoita
Vanha sanonta ”Meitä on moneen junaan” pitää paikkansa hyvin myös ihmisten oppimisen osalta. Myers-Briggsin tyyppi-indikaattorin mukaan ihmisen persoonallisuus voidaan jakaa neljän ulottuvuuden avulla, josta saadaan kaikkiaan 16 erilaista persoonallisuustyyppiä. Miten tämä liittyy tietoturvallisuuteen tai koulutukseen? Eri ihmistyypit oppivat ja haluavat kuulla asioista esitettynä eri tavalla. ISTJ-persoonallisuus (analyyttinen tosiasioiden ja yksityiskohtien johtaja) haluaa kuulla ja oppia asioita eri tavalla kuin ENFP-persoonallisuus (lämpimästi innokas muutoksen suunnittelija). Netissä löytyy lukuisia testejä, suomenkielisiä on valitettavan vähän mutta varsin suosittu englanninkielinen ilmainen MBTI-testi löytyy täältä. Suosittelen kokeilemaan ja kun vastaat kysymyksiin rehellisesti, opit itsestäsi varmasti jotain uutta.
Monikanavaviestintää tarvitaan!
Edellä oleva selvittää myös sen, miksi joidenkin henkilöiden kanssa yhteistyö on helpompaa kuin toisten. Tunnistamalla toisen henkilön persoonallisuustyyppi pystyt myös paremmin vaikuttamaan häneen mukaan luettuna asioiden opettaminen.
Kysyin lokakuussa #ICT-tietoturvallisuus LinkedIn-ryhmässä, millä tavalla tietoturvakoulutusta organisaatioissa toteutetaan. Vastaukset eivät yllättäneet: valtaosalla, eli 65 prosentilla, koulutus tapahtuu perinteisen kirjallisen ohjeistuksen / itseopiskelun ja/tai luokkakoulutuksen muodossa. Edellistä täydennetään mahdollisesti erilaisilla tietokoneavusteisilla välineillä kuten verkkokoulutuksilla.
Jos eri ihmistyypit ottavat vastaan tietoa eri tavoilla, miksi me yritämme kertoa usein hankaliksi, myös ns. pakkopulliksi koetuista tietoturva-asioista vain perinteisillä keinoilla, jotka pohjautuvat luolamiesaikakauteen? Keskeisiä syitä ovat tietysti aika, raha ja osaaminen. Laaja-alaisen, monikanavaisen, nykyaikaisilla välineillä toteutetun opetuskokonaisuuden tuottaminen ei ole helppoa eikä halpaa.
Mitkä olisivat 10 tärkeintä koulutettavaa asiaa?
Osana alkuvuoden tietoturvaviikon kampanjaa, valtionhallinnossa laadittiin tietoturvasarjakuvia ja julisteita kertomaan keskeisistä tietoturvallisuuteen liittyvistä uhkakuvista, joiksi valittiin seuraavat 10 asiaa:
1. Älä hölmöile!
2. Huomioi ympäristösi. Kaikkialla ei voi keskustella työasioista tai käyttää tietokonetta.
3. Huolehdi, että tietojärjestelmien, palvelimien ja työasemien päivitys tapahtuu suunnitellusti ja säännöllisesti tietomurtojen ja –vuotojen estämiseksi. Siirrä järjestelmä tarvittaessa turvallisempaan ympäristöön.
4. Käytä eri salasanaa eri palveluissa. Älä käytä samoja käyttäjätunnuksia ja salasanoja työ- ja vapaa-ajan palveluissa. Käytä vain #L@@dukka1t@ Salasan0ja!
5. Jätä epäilyttäviltä näyttävät internetsivut ja –linkit avaamatta.
6. Sähköpostitse ei saa lähettää mitä tahansa tietoa, noudata organisaatiosi ohjeita salassa pidettävän tiedon lähettämisessä. Jos sähköpostiviestisi on tärkeä ja kiireellinen, varmista sen perillemeno esimerkiksi puhelinsoitolla tai sms/pikaviestillä.
7. Käsittele tietoaineistoa sen luokituksen mukaisesti tietoaineiston elinkaaren kaikissa vaiheissa.
8. Jos mainitset työnantajasi sosiaalisen median palvelun henkilöprofiilissa, esiinnyt tällöin organisaatiosi (epävirallisena) edustajana. Muista käyttäytyä sen mukaisesti.
9. Jos epäilet tietoturvallisuuteen liittyvää ongelmaa, ota yhteys organisaatiosi tietoturvavastaavaan tai esimieheesi.
10. Osallistu tietoturvakoulutuksiin ja kertaa säännöllisesti organisaatiosi tietoturvaohjeistus.
Tulemme päivittämään tätä listaa ja kehittämään uudenlaisia keinoja näiden 10 kohdan esittämiseen havainnollisemmalla, mielenkiintoisemmalla tavalla. Toivoisinkin nyt lukijoiden apua. Ovatko edelliset 10 kohtaa edelleen ajankohtaisia? Millaisia olisivat mielestäsi ne keinot, joilla näistä asioista voisi tiedottaa ja kouluttaa käyttäjiä mielenkiinnon säilyttäen ja oppimisen perillemenon varmistaen, kenties sopivasti huumoria sisältäen?
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 27.11.2012 13:31Windows 8 ja pilvipalvelut
Jos edeltävät kasin tietoturvaominaisuudet ovat pääosin seiskasta perittyjä ja jalostettuja ominaisuuksia, pilvipalvelut ovat kasin merkittävimpiä mahdollisuuksia ja samalla organisaatiokäytössä haasteita. Miksi?
Kohu ja keskustelu Windows 8:n ympärillä liittyy alkuvaiheessa mullistuneeseen käyttöliittymään Metroon eli ”nykyaikaiseen käyttöliittymään” (modern UI). Kun tästä on päästy yli ja pahin pöly on laskeutunut, seuraavat haasteet tulevat kasin nettiin vahvasti liittyvien pilvipalveluintegraatioiden johdosta.
Skydrive pilvitallennuspalveluna
Jokainen Microsoft Live-tilin käyttäjä saa käyttöönsä ilmaisen 7 Gt pilvitallennustilan eli Skydrive-nimisen palvelun. Asentamalla tämän lisäohjelman, saat sen käyttöösi myös muihin kaikkiin keskeisiin älypuhelimiin, tabletteihin ja työpöytä-Windowsiin osaksi resurssienhallintaa. Jos olet aikaisemmin käyttänyt Dropboxia tai vastaavia pilvitallennuspalveluita, huomaat yhdenmukaisuuden.
Mitä useammalla eri päätelaitteella työskentelet, sitä enemmän Skydrivesta on hyötyä. Voit aloittaa työpaikalla tiedoston työstämisen pöytäkoneella tai läppärillä, tallennettuasi sen Skydriveen voit jatkaa tiedoston työstämistä kotimatkalla tabletilla ja lähettää sen sitten kotona oikoluvun jälkeen vaikkapa älypuhelimellasi eteenpäin. Siis ainakin teoriassa…
Pilvi ei sovellu kaikelle tiedolle!
Kuten aikaisemmissa kirjoituksissani olen tuonut esille, pilvi on loistava mahdollisuus ja eräs tietoteknologian käyttöä eniten tehostava toiminnallisuus, mutta väärinkäytettynä myös merkittävä uhka. Itse käytän Skydrivea kotikäytössä varmuuskopiointiin, suosittelen tiedoston sijoittamista kotona sekä vähintään kahdelle fyysiselle levylle eli esimerkiksi läppäri ja USB-levy ja tärkeimpien tiedostojen osalta näiden varmistamista pilveen. Jos olet huolissasi niiden salassapidosta, tee tiedostoista ensin esimerkiksi ZIPattu paketti , jonka varustat salasanalla ennen pilveen tallentamista.
Näin kotona, mutta organisaatiokäytössä tähän ei saa rynnätä ilman ohjeistusta, oikeastaan voisi todeta tarvittavan pilvipalveluiden käyttöpolitiikkaa! Mikäli käyttäjä haluaa tallentaa pilvipalveluun – esimerkiksi Skydrive, julkista tietoa, siinä ei pitäisi olla mitään ongelmaa. Tällöin pitää varmistua siitä, että sama tieto on saatavilla organisaatiossa muutakin kautta esimerkiksi henkilön poissa ollessa. Tai miten toimitaan henkilön lähtiessä organisaatiosta?
Pilven käyttö tulee haasteellisemmaksi siinä vaiheessa kun tietoaineisto on salassa pidettävää ja siihen liittyy organisaation kannalta lainsäädännön tai muiden sopimusvelvoitteiden kautta tietoturvallisuuteen tai salassapitoon liittyviä velvoitteita. Jatkossa tarvitaan siis edelleen organisaation omat tiedostopalvelimet ja työryhmäohjelmistot, jonne toiminnan kannalta kriittiset tai salassa pidettävät tiedot tallennetaan keskitetyn käyttöoikeuksien ja pääsynhallinnan piiriin.
Jatkossa nämä tulevat yhä useammin sijoituttumaan myös salassa pidettävien ja saatavuudeltaan kriittisten palveluiden osalta pilvipalveluihin, kunhan niistä saadaan lisää kokemusta, parannetaan offline-käyttömahdollisuuksia sekä toimittajat kehittävät parempia asiakkaan hallittavissa olevia salausmenetelmiä pilvessä olevia tietoja varten.
Mitä kauemmaksi organisaatiosta tietoaineistot päätyvät palveluiden tuottamisen näkökulmasta, sitä pienempi organisaation mahdollisuus on määrittää ja asettaa niiden suojaksi turvamekanismeja sekä vaikuttaa palveluiden tuottamiseen vaatimusmääritysten, sopimusten tai auditointien avulla.
Sopimus pitää lukea ja ymmärtää!
Koska pääsääntöisesti jokaisen aidon pilvipalvelun kanssa tehdään sen käytöstä yksipuolinen sopimus, suosittelen että organisaatiossa joku asiantuntija kerran lukee ja ymmärtää sen, mihin organisaatio sitoutuu alkaessaan käyttää ja tallentaa tietoja palveluun. Tämä koskee myös esimerkiksi Windows 8:n osalta käyttöön otettavia Microsoftin tuottamia palveluita. Esimerkiksi jos palveluun päätyy salassa pidettävää tietoa, saadaanko se sieltä varmasti poistettua? Miten tulee toimia, jos käyttäjä menettää oman Live-tilin hallinnan eli tili kaapataan?
Luottamuksellisuuden säilyttämisen ohella muistutan tietojen saatavuudesta. Emme ole vielä kokeneet merkittävää internet-black out-katkosta, mutta kyllä sellainen vielä jossain vaiheessa eteen tulee. Tämän takia tulee huolehtia siitä, että internet-yhteyksien ollessa poissa, organisaatiolla on toiminnan kannalta tarvittava tieto saatavilla tai ainakin kattavat suunnitelmat sen varalta, että mitäs nyt tehdään?
Turvasatama
Kimmo Rousku, Tietoviikko, 12.11.2012 22:05Tiesitkö nämä Windows 8:n tietoturvaominaisuudet? [2/2]
Windows 8 – tietoturvatoimininnallisuudet 2/2
Tässä toisessa osassa jatketaan kasin tuomien tietoturvatoiminnallisuuksien
läpikäyntiä.
5) DAC – dynaamiset käyttöoikeudet – vain Win 2012-palvelin
http://technet.microsoft.com/en-us/library/jj134043
Dynaamisten käyttöoikeuksien (DAC) avulla voidaan hienosäätää käyttöoikeuksia entistä joustavammin pohjautuen tiedon luottamuksellisuuteen, käyttäjän rooliin, päätelaitteeseen ja käytettävään verkkoyhteyteen liittyen. Esimerkiksi käyttäjä saa käyttöoikeuksia etäkäytön kautta rajatummin tiedostoihinsa kuin fyysisen verkon tai turvatun ja vahvalla tunnistuksella varustetun etäyhteyden kautta. Tai organisaatio voi määrittää, että määritetyt tiedostot ovat aina salassa pidettäviä ja tarkoitettu vain tietylle käyttäjäryhmälle, jolloin jos tiedostot sijaitsisivat missä tahansa Win 2012-tiedostopalvelimella, käyttäjä ei saa niihin oikeutta ellei hän kuulu kyseiseen ryhmään. Tällä hetkellä jos tiedosto kopioidaan vahingossa väärään paikkaan, kaikki henkilöt joilla on oikeus kyseiseen paikkaan, saavat tiedoston käyttöönsä. DAC parantaa siten tiedon luottamuksellisuuden suojausta.
6) Defender – haittaohjelmatorjunta kotikäyttöön
Useat kotikäyttäjät latasivat koneeseen Microsoftin ilmaisen Security Essentials-tuotteen. Nyt tämä koneisto on integroitu osaksi kasin Defenderia, joten kotikäytössä ei ole välttämätöntä ladata ja asentaa erillistä torjuntaohjelmistoa. Tosin testit ovat osoittaneet, että Defender ei pärjää kaupallisten tuotteiden vastaavia versioita vastaan uusimpien haittaohjelmien tunnistamisessa (http://techlogon.com/2012/10/16/how-does-windows-8-defender-compare-to-other-antivirus-products/), joten kannattaa suhteuttaa tässä riski ja erillisen ohjelmiston hankintakustannus.
Ilmaisen Defenderin ongelma on keskitetyn hallinnan puute, jonka takia organisaatiokäytössä tarvitaan keskitetyllä hallinnalla varustettu kokonaisuus. Yrityskäytössä kannattaa selvittää, onko osana käytössä olevia Microsoft lisenssimalleja käyttöönotettavissa heidän Endpoint Protection tuoteperheen tuotteet - ilman lisälisenssikustannuksia eli maksutta.
7) Etäyhteydet – Direct Access
http://technet.microsoft.com/en-us/library/hh831433.aspx
Edeltävistä versioista tuttua Direct Access-etäkäyttöä on kehitetty esimerkiksi käyttäjätunnistamisen osalta. Eräs keino tunnistaa käyttäjä on käyttää virtuaalista älykorttia, jona toimii käyttäjän tietokoneessa sijaitseva TPM-turvapiiri. Edeltävissä palvelinversioissa vaadittua raskaan PKI-ympäristön rakennetta on saatu kevennyttyä, jolloin käyttöönotto ei ole yhtä haastavaa kuin aikaisemmin.
8) NTFS – levyjärjestelmän viankorjausta parannettu
http://blogs.msdn.com/b/b8/archive/2012/05/09/redesigning-chkdsk-and-the-new-ntfs-health-model.aspx
Osana tiedon eheyden parempaa takaamista, NTFS-tiedostojärjestelmään on tehty kaivattuja parannuksia. Mikäli laitteesi levyllä havaitaan virhe tiedostojärjestelmätasolla, kasi kertoo siitä ja yrittää virheenkorjausta online-tilassa. Aikaisemmin törmäsit tähän ongelmaan vasta siinä vaiheessa kun tietokonetta käynnistettiin ja eteen tuli pelottava sininen chkdsk-tarkistusikkuna, joka palvelimenpuolella saattoi kestää pahimmillaan tuntikausia. Nyt saat virheistä ennakkotietoa ja jos korjaus vaatii tietokoneen uudelleenkäynnistyksen, saat siitä myös ennakkovaroituksen.
9) SmartScreen maineenhallinta
http://technet.microsoft.com/library/jj618329.aspx
Edeltävistä IE-versioista tuttu SmartScreen-toiminto, joka tutkii netistä ladattujen tiedostojen mainetta eli tunnettavuutta ja luotettavuutta, on nyt integroitu IE:n sijaan koko käyttöjärjestelmätasolla toimivaksi. Mikäli suoritettavalle tiedostolle ei löydy Microsoftin maineenhallintatietokannasta merkintää tai se tiedetään vaaralliseksi tiedostoksi, sen suorittamista ei suositella.
IE-selaimessa toimii vastaavalla tavalla SmartScreen suodatin, joka tutkii www-sivujen mainetta ja varottaa käyttäjää, jos hän aikoo vierailla sivustolla, josta hänelle voi olla vaaraa eli esimerkiksi sivustolta on löydetty haittaohjelma. Näiden toimintaa voidaan myös ryhmäkäytäntöjen avulla hallita.
10) Turvallinen käynnistys ja UEFI
http://technet.microsoft.com/en-us/library/hh824987.aspx
http://msdn.microsoft.com/en-us/library/windows/hardware/br259097.aspx
Normaalisti tietokoneen käynnistymistoimenpiteet suorittaa BIOS-muistissa sijaitseva ohjelma, joka lopuksi antaa suoritusvuoron boot loader-toiminnolle, jonka tehtävänä on vastata tietokoneen käynnistämisestä. Haittaohjelma voi kaapata itsensä tähän käynnistämisvaiheeseen ja ottaa tietokoneen hallintaan. Kasin turvallinen käynnistys (Secure boot) pohjautuu tunnettuihin, luotettuihin käynnistysohjelmiin ja siten haittaohjelma ei pysty kaappaamaan konetta. Tämä vaatii uuden sukupolven UEFI-yhteensopivan (Universal Extensible Firmware Interface ) bios-muistin, mutta ei kuitenkaan edellytä TPM-turvapiiriä. Esimerkiksi Win RT-tableteissa tämä tarkoittaa sitä, että siihen ei voida asentaa mitään muuta käyttöjärjestelmää.
Entäs Windows 8 ja pilvipalvelut? Käsitellään niitä seuraavaksi omassa osiossa.
Turvasatama
Kimmo Rousku, Tietoviikko, 6.11.2012 22:05Tiesitkö nämä Windows 8:n tietoturvaominaisuudet? [1/2]
Windows 8 – tietoturvatoiminnallisuudet 1/2
Tietoturvallisuuden osalta Windows kasissa on paljon vanhaa, tuttua ja turvallista, mutta myös useita toiminnallisuuksia on parannettu sekä tuotu mukaan myös muutama uusi asia. Tässä blogissa olevat ominaisuudet koskevat pääsääntöisesti kaikkia versiota, mukaan lukien Win RT-tabletit.
1) Perheturva käyttöön kotona!
Vaikka ominaisuus ei koske organisaatiokäyttöä, se palvelee myös organisaatioita turvaamalla henkilöstön kotikoneita. Perheturvan avulla voit määrittää peruskäyttäjälle, esimerkiksi lapsille tai av(i)opuolisollesi profiiliin lukuisia rajoituksia tietokoneen käyttöön liittyen. Voit määrittää, milloin tietokonetta saa käyttää ja kuinka kauan, esimerkiksi viikkotasolla 20 tuntia jakautuen päivittäin määritettyihin aikajaksoihin.
Samoin voit määrittää, mitä sovelluksia saa käyttää ja millaisilla nettisivuilla voidaan vierailla, millaisia pelejä voi pelata sekä miten eri viestintäpalveluita käytetään. Jos tämä ei tunnu vielä riittävältä valvonnalta, kaikista edellisistä tuotetaan yksityiskohtaista raportointia ylläpitäjän sähköpostiin / Live-tilille, josta henkilön käyttöä voidaan seurata.
Muun muassa tämän johdosta tämän käyttäminen henkilöstön tietokoneiden valvontaan on laitonta eikä onneksi edes toimi toimialuekäytössä. Jos aiot käyttää tätä kotona, suosittelen kertomaan sen käyttöönotosta.
2) Aslr ja dep
Kuulostavat hyvin teknisiltä, ja nämä parantavat ensisijaisesti sovelluskehityksen tietoturvallisuutta. Kasissa on parannettu jo edeltävissä Windowseissa käyttöönotettuja keinoja estää muistissa olevien sovellusten haavoittuvuuksien hyödyntäminen muun muassa koodin satunnaisella hajauttamisella (aslr, address space layout randomization) sekä muistinkäytön valvonnalla (data execution prevention, dep). Nämä ovat automaattisesti käytössä, joten ei tarvitse tehdä mitään.
Näiden ohella Win RT-sovellukset ajetaan sandbox- eli hiekkalaatikkoteknologialla toteutettuna siten, että yhden mahdollisen haavoittuvaisen sovelluksen kautta ei päästä kiinni muihin sovelluksiin tai järjestelmiin. Jos jossakin kauppapaikan (Store) kautta ladattavassa Metro-sovelluksessa havaitaan ongelmia, Microsoft pystyy nopeasti reagoimaan tähän ja estämään sovelluksen käytön.
Teoriassa tämä kaikki näyttää hyvältä, mutta periaatteessa kaikki hiekkalaatikot ja myös suljetun arkkitehtuurin ympäristöt ovat murrettavissa, kun niihin kohdistetaan riittävästi osaamista, aikaa ja rahaa.
- New Internet Explorer 10 memory protection features not just for Internet Explorer
- What is Data Execution Prevention
3) AppLocker – hyödynnä myös Metro-sovelluksissa
Eräs aivan liian vähän organisaatioissa käytössä oleva toiminnallisuus on AppLocker, joka esiteltiin aikanaan jo Vistassa. Mikä ihmeen AppLocker? Se on toiminto, jolla organisaatio voi kontrolloida yksityiskohtaisesti, mitä sovelluksia käyttäjien tiekoneilla voidaan suorittaa (niin sanottu white listing -tekniikka). Samoin sen avulla voidaan määrittää myös asennuspakettien (.msi ja .msp) ja skriptien (.cmd,.js, .bat, .vbs, .ps1 jne) suorittamista. AppLocker on mielestäni Windowsin tehokkaimpia ominaisuuksia suojautua esimerkiksi apt-/kyberuhkakuvia vastaan oikein toteutettuna.
Eräs syy AppLocker-käytön vähäisyyteen liittyy siihen, että se tulee myös kasissa vain Enterprise-versiossa. Toinen pelko liittyy sen hankalaksi kuviteltuun käyttöönottoon. AppLockerin saa testikäyttöön pilottiryhmälle muutamassa minuutissa ilman että se rajoittaa ja vaarantaa lainkaan käyttäjien työskentelyä! Se voidaan nimittäin aluksi laittaa perussääntöjen laatimisen jälkeen Audit-tilaan. Tällöin se lokittaa tapahtumienvalvontaan tietokoneella suoritetut sovellukset ja kertoo ne sovellukset, joita normaalisti AppLockerin ollessa aktivoituna ei olisi sallittu.
Huomaa, että AppLocker tukee nyt myös Metro-sovelluksia, joten tämä on eräs keino, jolla organisaatio voi tehokkaasti hallita käyttäjien Metro-sovellusten käyttöä. Tämä ei toimi Windows RT-tableteissa, koska niissä ei ole toimialue- ja sitä kautta AppLockerinkin edellyttämää ryhmäkäytäntötukea.
4) BitLocker – useita parannuksia
Tietoturvallisuuden osalta kasin kenties keskeisimmät parannukset koskevat BitLocker-salausta. Aikaisemmin vain Win 8 Enterprise-versioissa käytetty BitLocker-salaus on nyt saatavilla myös Pro-versioon mahdollistaen kenen tahansa yritys- tai edistyneen kotikäyttäjän ottaa sen käyttöön kiintolevyille tai usb-muisteille.
Käynnistys- ja käyttöjärjestelmäosioiden salaaminen onnistuu nyt myös pelkällä pin-koodilla, kasi ei vaadi esimerkiksi TPM-turvapiirin käyttöä. Samoin salausavain voidaan tallentaa käyttäjän pilvipalvelussa sijaitsevalle Skydrive-asemalle tai organisaatiossa hyödyntää Active Directory-hakemistoa sen tallentamiseen. Salausavaimen palautusta tarvitaan, jos käyttäjä unohtaa pin-koodin tai salasanan.
BitLockerin salausta on nopeutettu ja kehitetty siten, että se voi salata vain sen levyalueen tai usb-muistin alueen, jolla dataa sijaitsee. Tämän johdosta BitLocker voidaan ottaa nopeasti käyttöön osana työaseman jakelua. BitLocker on saanut myös uusia group policy-asetuksia keskitetyn hallinnan tehostamiseksi näiden uusien ominaisuuksien osalta.
Muistutan myös siitä, että valtaosa organisaatioista edelleen hyödyntää aivan liian vähän ryhmäkäytäntöjen tuomia mahdollisuuksia käyttäjien ja työasemien hallinnassa, eikä pelkästään tietoturvallisuuden osalta.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 27.10.2012 14:50Tällainen on Windows 8
Microsoft Windows 8 on nyt julkistettu, mitä uutta se tarjoaa kokonaisuutena (iso kuva) ja erikseen tietoturvallisuuden osalta?
Käyn tässä neliosaisessa sarjassa läpi tarkemmin kasin vaikutuksia tietoturvallisuuteen. Ensimmäisessä osassa kerron kasin vaikutuksista yleisemmällä tasolla ja seuraavissa osissa yksityiskohtaisemmin ja osittain teknisellä tasolla – byod/cyod-mahdollisuuksia unohtamatta. Viimeisessä jaksossa kerron omia käyttökokemuksia ja vinkkejä kasin käytöstä tablettina – tietoturvallisuus huomioiden.
Kasi on seiskan persoonallisuusjakautunut pikkuveli
Windows 8 on siis seiskan pikkuveli, ja myös pahamaineisen Vistan jälkeläinen. Parhaiten tämän huomaa siitä, että kasin käyttöjärjestelmän ytimen numero on 6.2, seiskassa se on 6.1 ja Vistassa 6.0x (winver-komento). Tietoturvallisuuden näkökulmasta tämä tarkoittaa sitä, että kasi sisältää kaikki ne edeltävien versioiden positiiviset tietoturvallisuuteen liittyvät parannukset, jotka Microsoft on laatinut osana 10 vuoden takaista Bill Gatesin käynnistämää Trustworthy computing sekä sitä seurannutta Microsoft Security Development Lifecycle –toimintamallia.
Tietoturvallisuuden osalta tämä tarkoittaa sitä, että perinteisessä kasin työpöytäkäytössä juurikaan mikään ei ole muuttunut; kaikki keskeiset edellisten versioiden tietoturvaominaisuudet ovat käytettävissä ja niitä on osittain parannettu. Ominaisuuksien osalta keskeisin parannus on se, että BitLocker salaus on nyt mukana jo Windows 8 Pro-versiossa, johon Microsoft tarjoaa tammikuun loppuun saakka edullista 29,99 € päivitystarjousta. Palaan työpöytäkäytön tietoturvaominaisuuksiin tarkemmin seuraavissa osassa.
Entä Metro eli tablettikäyttö?
Jos Windows 8 olisi ollut vain työpöytäpäivitys, se olisi otettu vastaan vain yhtenä uutena pikku päivityksenä, eikä se olisi herättänyt merkittäviä tunteita. Nyt kun Microsoft päätti yhdistää samaan käyttöjärjestelmään sekä perinteisen työpöytä-Windowsin että uuden tablettikäytön mahdollistavan Windows RT -version, tuntuu kuin helvetti olisi jäätynyt. :)
Suosittelen jokaista kokeilemaan ja miettimään, oliko Start- eli Käynnistä-painikkeen poistaminen asia, jonka kommentointiin on käytetty sellainen energia, että sillä oltaisiin lähetetty miehitetty lento Marsiin ja takaisin? Etenkin kun pääset kokeilemaan kosketusnäytöllä varustettua laitetta, mieti kuinka paljon perinteinen Start käyttöä hidastaisi ja hankaloituttaisi. Myönnän, käyttäjäkokemus eli pomppiminen Metro- ja työpöytäsovellusten välillä voi aiheuttaa huimausta.
Sen sijaan en jaksa ymmärtää Microsoftia, miksi he eivät voi sallia kotikäyttöön tai yrityksiin mukautuksen, jolla näitä käyttötapoja voisi priorisoida? Nyt Microsoft yrittää väkisin pakottaa Metron oletusliittymäksi, vaikka käytössä on hiiri ja näppäimistö. Suosittelen tutustumaan ja hankkimaan näitä uusia kosketuseleillä varustettuja näppiksiä ja hiiriä, jolla voi hyvin korvata kosketusnäyttölaitteen puuttumisen.
Tietoturvallisuus ja Metro-sovellukset
Entäs Metro ja tietoturva? Niin, kutsun tätä kosketusnäyttöliittymää edelleen Metroksi ja Metro-sovelluksiksi, koska se on lyhyt ja ytimekäs nimi. Microsoftin termit ”Modern UI” ja ”Windows Store Apps” eivät vain toimi.
Tietoturvallisuuden näkökulmasta kasi tuo nyt uudenlaisia haasteita ratkaistavaksi. Miten organisaatio hallitsee Win 8-tietokonetta, joka on joko a) perinteinen Intel-yhteensopiva pc tai kannettava tai b) pelkkä arm-yhteensopiva tabletti eli Windows RT-laite ? Niin kauan kun puhutaan tutusta ja turvallisesta työpöytäkäytöstä ja x86/x64-yhteensopivista laitteista, kaikki vanhat opit tietoturvallisuuden, etä- ja järjestelmänhallinnan osalta ovat käytettävissä.
Ongelmaksi muodostuukin Win RT -tabletit, koska niitä ei voida liittää toimialueella ja siten niitä ei voida hallinnoida esimerkiksi ryhmäkäytännöillä tai nykyisillä järjestelmänhallintavälineillä.
Käytettäessä Eas (Exchange Activesync)-protokollaa käyttäviä palveluita, mahdollistaa se tiettyjen tietoturvallisuuteen liittyvien asetusten ja määritysten vakioimisen. Microsoftin pilvipalveluna myytävän Intune-hallintaohjelmiston päivitetty versio tulee sisältämään mobiililaitteiden, myös Apple iOS ja Android-laitteiden hallintaan uusia mahdollisuuksia. Nämä ominaisuudet ollaan myös integroimassa tulevaan Sccm 2012 SP1-päivitykseen, jonka jälkeen Win 8 RT-tablettien hallinta astuu toivottavasti merkittävän askeleen turvallisempaan suuntaan.
Lopuksi ohessa iltalukemiseksi kaksi tiivistelmää, miten Intel x86/64-suorittimille tarkoitetut Windows 8, Pro ja Enterprise-versiot eroavat arm-suorittimille tarkoitetusta Win RT-versiosta sekä omasta mielestäni TOP 20 uutta ominaisuutta Windows 8:ssa.
Jatkuu seuraavassa blogimerkinnässä…
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 22.10.2012 11:46TUTTI v 2012 - TietotUrvallisuuden iTsearvioinTivälIne 3. osa
Kahdessa edellisessä osassa julkaisin 12 osa-aluetta & kysymystä, joiden avulla organisaatio voi arvioida oman tietoturvallisuuden nykytilaa. Olen päivittänyt nyt nämä 12 kohtaa ja tehnyt näiden ympärille TUTTI itsearviointivälineen ensimmäisen version!
Aloita pika-arvioinnilla
Excel-pohjainen työväline (siis xlsx-taulukko) koostuu ensimmäisen ohje-välilehden (RTFM!) jälkeen kuudesta muusta välilehdestä, joista kaksi ensimmäistä ovat tärkeimmät eli pika- ja laaja-arviointi-välilehdet. Pika-arviointi koostuu nimensä mukaisesti 11 keskeisestä osa-alueesta ja niiden arvioinnista, aikaa tähän voi varata 5-10 minuuttia riippuen siitä, mikä arvioijan osaamistaso ja kokemus on.
Voit valita vaihtoehdot Kyllä (1,0 pistettä) – Melkein (0,75) – Osittain (0,50) – Hieman (0,25) ja Ei ole (0 pt). Mitä paremmin kyseinen osa-alue on toteutettu ja toiminnassa, sitä lähempänä se on Kyllä-valintaa. Vastaavasti mitä huonommassa jamassa kyseinen osa-alue on, sitä lähemmäksi tulee valita Ei ole.
Jos arvioijia on useampia, jokainen voi syöttää omat valintansa omiin sarakkeisiinsa. Jotta arviointi laskee tiedot oikein, syötä taulukkoon arvioijien lukumäärä eli kuinka monesta sarakkeesta arviointeja pitää laskea eli 1 - 10. Työväline mahdollistaa enintään 10 hengen arvioinnin.
Arviointien perusteella työväline laskee matemaattista tietoa, joka muutetaan sanalliseksi arvosteluksi jokaiseen kohtaan erikseen sekä arvioinnin alkuun yleisarvosanaksi sekä arvioijakohtaisesti kaikkien syötettyjen tietojen perusteella.
Laaja-arviointi vie enemmän aikaa
Kun haluat yksityiskohtaisemmin arvioida organisaation tietoturvallisuuden tilaa, valitse Laaja-arviointi-välilehti. Löydät samat 11 päätason osa-aluetta kuin pika-arvioinnissa, mutta nyt niiden yhteydestä löytyy aikaisemmin julkaisemiani täydentäviä kysymyksiä, jotka tulee arvioida samalla 5-portaisella mallilla kuin pika-arvioinnissa. Pika-arviointiin syöttämäsi valinnat kopioituvat tänne valmiiksi.
Arviointi toimii muuten kuten pika-arviointi, mutta aikaa arviointiin kuluu jo merkittävästi enemmän, suosittelen varaamaan 20-40 minuuttia. Arvioinnin jälkeen voit paikallistaa ne osa-alueet, jotka kaipaavat eniten kehittämistä.
Raportointia ja kaavioita
Neljä viimeistä välilehteä sisältää raportointi-yhteenvedon sekä pika-, laajan ja arvioitsijakohtaisen arvioinnin kaaviot. Kun olet saanut tehtyä kertaluonteisesti tämän kokonaisuuden, tallenna se huolella talteen. Tulen päivittämään työvälineestä sellaisen version lähikuukausien aikana, että voit sen avulla verrata vanhempien arviointien tietoja ja saada uuden raportin ja kaavioita, joiden avulla voit seurata kehityksen suuntaa.
Löydät jatkossa aina tuoreimmat versiot tästä Excel-työvälineestä sekä PPT-äänestyslapuista osoitteesta http://ict-tuki.fi/tutti. Toivon jatkossa palautetta ja parannusideoita uusia versioita varten. Toivon että tästä kokonaisuudesta on sinulle hyötyä!
Tuotan joululahjaksi lukijoille samalla mallilla hieman normaalista poikkeavan työkalun ja mallin riskien nopeaan arviointiin ja havainnollistamiseen - jos sinulle on ideoita tai toiveita tästä niin laitatko postia?
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 9.10.2012 11:28TUTTI - TietotUrvallisuuden iTsearvioinTivälIne 2. osa
Edellisessä blogissa käytiin läpi viisi ensimmäistä tietoturvallisuuden itsearvioinnin eli TUTTI-arvioinnin kysymystä. Kiitos kaikesta palautteesta!
Tässä toisessa osassa on loput seitsemän kysymystä. Toivon saavani palautetta myös näistä lopuista kysymyksistä. Käytyäni palautteen läpi julkaisen seuraavassa osassa tätä kokonaisuutta tukevan Excel-pohjaisen arviointivälineen, jolla koko arviointikysely on helppo toteuttaa ja jolla voidaan myös seurata organisaation tietoturvallisuuden kehittymistä.
Työvälineellä voidaan arvioida näitä kysymyksiä koko organisaation tai yksittäisen palvelun näkökulmasta.
6) Tekninen tietoturvallisuus tiedon näkökulmasta tiedon elinkaaren eri vaiheissa
Onko organisaatio ottanut käyttöön toiminnan luonteen huomioivat, teknisen tietoturvallisuuden sisältävät päätelaite-, palvelin-, yhdyskäytävä- ja tietoliikenneratkaisut? Pohjautuvatko ratkaisut organisaation liiketoiminnassa käsiteltävien tietoaineistojen luottamuksellisuudesta, eheydestä ja saatavuudesta sekä liike- ja ydintoiminnan tarpeista johdettuihin vaatimuksiin?
Ovatko palomuurit, haittaohjelmien torjunta, palvelunesto- ja muiden vihamielisten hyökkäysten torjuminen, tietojen salaaminen eri vaiheissa, palveluiden vikasietoisuuden toteuttaminen SLA:n täyttävillä ratkaisuilla, lokitietojen hallinta ja valvonta toteutettu tarkoituksenmukaisesti?
Onko ict-laitteille laadittu niiden hankinnassa (vaatimusmäärittely), käyttöönotossa (kovennukset) ja hävittämisessä (tyhjentäminen) käytettävä prosessi, jossa huomioidaan tietoturvavaatimukset? Tukevatko käyttäjä- ja pääsynhallintaratkaisut organisaation toimintaa? Saadaanko näistä osa-alueista tuotettua tarvittavia hälytyksiä, mittareita ja raportteja?
7) Tietoturva-auditoinnit
Tehdäänkö organisaatiossa teknisiä ja hallinnollisia tietoturvatestauksia (auditointeja) tärkeille tietojärjestelmille säännöllisesti? Miten organisaatio muuten huolehtii siitä, että organisaation tietojärjestelmissä ei ole tunnettuja tietoturvaheikkouksia?
Suoritetaanko kriittisimpien järjestelmien osalta syvällisempiä sovellustason murtotestauksia? Onko auditointien perusteella löydettyjen havaintojen osalta sovittu menettelytapa (kuten: Mitkä havainnot pitää korjata? Kuka valvoo korjausten etenemistä? Millä aikataululla korjaukset tulee suorittaa? Mitä pitää auditoida uudelleen?)
8) Prosessit
Rakentuuko organisaationne tietoturvallisuuden hallinta ad hoc -tyyppisen toiminnan sijaan yhteisesti sovittuihin, kuvattuihin ja käytössä oleviin prosesseihin/toimintamalleihin, joita myös yhteisesti noudatetaan? Ovatko nämä asiat jälkikäteen todennettavissa esimerkiksi asiakirjoista ja pöytäkirjoista? Kehitättekö toimintaanne näiden toimintamallien arvioinneilla, mittareilla ja kyselyillä?
Onko organisaatiossa käytössä tietoturvallisuuden vuosikello tai vastaava malli, jonka avulla huolehditaan tietoturvallisuuden säännöllisestä katselmoinnista ja kehittämisestä? Toteuttaako organisaatio ict-toiminnoissaan esimerkiksi itil:in mukaisia parhaita käytäntöjä tai onko se laatinut oman laatukäsikirjan, jonka avulla se kehittää ja ylläpitää laadukasta toimintaa?
9) Arviointi ja mittaaminen
Mittaatteko kaikilla keskeisillä osa-alueilla organisaationne toimintaa ja suorituskykyä yhteisesti sovittujen mittareiden avulla ja sisältävätkö nämä mittarit myös tietoturvallisuuden? Seuraako organisaatio asiakkaiden / toimittajiensa kanssa säännöllisissä yhteistyötapaamisissa tietoturvallisuuden tilannekuvaa sisältäen sovitut tietoturvallisuuteen liittyvät mittarit?
Ryhdytäänkö tarvittaviin toimenpiteisiin mittareiden mennessä oranssille tai punaiselle? Kyselläänkö asiakastyytyväisyyttä säännöllisesti ja onko reklamaatioiden varalta olemassa toimintamalli, jonka mukaan myös toimitaan?
10) Hankinnat, vaatimusmäärittely ja sopimukset
Onko organisaatiossa määritetty hankintatoimen prosessi? Onko tietoturvallisuus huomioitu kilpailutuksen tai hankkeen eri vaiheissa? Onko organisaatiolla määritelty kilpailutuksiin liittyvä tietoturvallisuuden pakolliset perusvaatimukset sisältävät kokonaisuus, jonka käyttöä arvioidaan jokaisessa kilpailutuksessa erikseen?
Onko organisaatiolla riittävästi osaamista tai osataanko sitä tarvittaessa ostaa ulkopuolisilta tahoilta hankittavan kohteen niin sanottujen substanssitietoturvavaatimusten määrittelemiseksi? Onko organisaatiolla oma auditoitu sopimusmallikokoelma tai käyttääkö organisaatio vakiomallipohjia sekä sisällyttääkö ja hyödyntääkö se keskeisiä yleisiä sopimusehtoja?
Onko organisaatiolla käytettävissään toimittaja- ja sopimustenhallinnassa toimivat prosessit ja tarvittavat tietojärjestelmät ? Miten sopimusvelvoitteiden täyttämistä valvotaan myös tietoturvallisuuden osalta? Onko organisaatiolla keskeisten yhteistyötahojen kanssa turvallisuussopimukset? Vaaditaanko henkilöstöltä vaitiolositoumuksia? Tehdäänkö omista tai toimittajien henkilöstöstä turvallisuusselvityksiä, mikäli lain perusteet selvityksen teettämiseksi täyttyvät?
11) Häiriötilanteet ja poikkeamat
Onko organisaatiossa toimintamalli tietoturvapoikkeamien ja väärinkäytösten sekä muiden häiriötilanteiden varalta ? Onko toimintamalleja harjoiteltu keskeisten tahojen kanssa?
Tilanteeseen liittyvät myös häiriötiedon vastaanottaminen, korjaustyön käynnistäminen ja koordinointi, tiedottaminen sisäisesti & ulkoisesti sekä tilanteen jälkihoito eli tiedottaminen asianomaisille sen jälkeen kun häiriö on korjattu, sekä prosessin kehittäminen (”lessons learned”). Katso myös kohta 3.
12) Organisaation turvallisuus
Onko turvallisuus huomioitu laajemmin organisaation toiminnassa? Tällöin turvallisuus ulottuu tässä painotetun tietoturvallisuuden ohella myös muihin (yritys)turvallisuuden osa-alueisiin.
Kiinteistö- ja toimitilaturvallisuudesta, henkilöstöturvallisuudesta, paloturvallisuudesta jne. on saatavilla vastaavantasoiset politiikat. Toimintamallit, dokumentaatio ja toiminta on koulutettu ja otettu käyttöön samoin kuin tietoturvallisuuden osalta.
Mitä tästä mielestäsi puuttui tai miten muuttaisit näitä kohtia? Nyt kannattaa vaikuttaa, koska lopullisen Excel-työvälineen kysymykset päivitetään teidän kommenttienne perusteella. Se esitellään tarkemmin seuraavassa eli viimeisessä osassa!
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 3.10.2012 11:58TUTTI - TietotUrvallisuuden iTsearvioinTivälIne
Huomaa, että TUTTI ei ole mikään virallinen arviointi eikä se korvaa mitään jo olemassa olevaa hallintamallia! Sen tarkoitus on avata keskustelu siitä, mikä organisaation tietoturvan nykytila on eli ”tarttisko tehrä jotakin, vaikka priimaa pukkaiskin”.
Miten arviointi suoritetaan?
Vastatkaa ryhmänä (johtoryhmä tai palvelun omistaja(t) + tarvittavat asiantuntijat) seuraaviin kysymyksiin rehellisesti. Jos kaikki ovat samaa mieltä siitä, että toimintanne vastaa täysin kyseistä kriteeriä eli vastaatte yksimielisesti KYLLÄ, saatte kyseisestä kohdasta 1 pisteen. Jos olette miltei yksimielisiä, saatte 0,75 pistettä.
Mikäli olette sitä mieltä, että ”asia on jo työn alla, mutta emme voi väittää sen toimivan tai toteutuvan kokonaisuudessaan”, voitte antaa 0,25 – 0,75 pistettä sen mukaan, missä vaiheessa asian kehittely on. Mikäli kyseinen kohta on tunnistettu ja jotain toimenpiteitä on suunniteltu, mutta työn toteutus ei ole vielä käynnissä, saatte 0,25 – 0,50 pistettä sen mukaan, miten hyvät ja realistiset suunnitelmat teillä on mallilla ”Hyvin suunniteltu on kokonaan aloittamatta”. Jos homma ei ole hallussa lainkaan, pisteitä tulee antaa 0.
Arvioinnin apuna voitte käyttää tässä ppt-tiedostossa olevia 1 – 0,75 – 0,5 – 0,25 ja 0 pisteen äänestyslappuja.
Kysymykset 1-5:
1) Tietoturvakulttuuri & koulutus
Kannustaako tietoturvakulttuurinne ylläpitämään hyvää tietoturvallisuutta ja raportoimaan tietoturvallisuuteen liittyvistä puutteista? Onko organisaatioonne muodostunut oikeanlainen tietoturva-asenne sekä hyvä tietoturvakulttuuri? Järjestetäänkö henkilöstölle säännöllistä tietoturvakoulutusta ja annetaanko tietoturvatiedotusta?
Toimiiko johto hyvänä esimerkkinä, onko johto sitoutunut tietoturvallisuuteen, ymmärtänyt sen merkityksen ja on kiinnostunut siitä? Tarvitseeko tietoturvallisuutta myydä henkilöstölle? Kyseenalaistetaanko tietoturvan merkitystä tai siihen liittyvää tiedottamista tai koulututusta? Toimitaanko yhteisesti sovittujen pelisääntöjen mukaisesti niitä noudattaen?
2) Organisointi ja vastuut – tietoturvallisuuden hallintajärjestelmä
Ovatko keskeiset hallinnollisen ja teknisen tietoturvallisuuden politiikat, linjaukset ja ohjeet tuotettu, vastuut määritetty, koulutettu ja muuten sisällytetty organisaation toimintaan?
Ovatko tietoturvapolitiikka, riskienhallintapolitiikka … tietoaineistojen käsittelyohje … internetin ja sähköpostin käyttöpolitiikka … jne … sekä näihin liittyvät asiakirjat, prosessit ja toiminta arkipäivää? Oletteko saaneet luotua tietoturvallisuuden hallintajärjestelmän, jonka mukaisesti organisaationne tietoturvatyötä hallitaan, johdetaan ja valvotaan? Kehitetäänkö hallintajärjestelmää esimerkiksi PDCA-mallin mukaisesti (Plan - suunnittele, Do - toteuta, Check – tarkista ja Act – kehitä)?
Oletteko ottaneet käyttöön jonkin kansallisen tai kansainvälisen tietoturvallisuutta tai muuten laatua ohjaavan viitekehyksen ja olette etenemässä/saavuttaneet sen edellyttämän, toiminnaltanne vaaditun (tietoturvallisuuden) tason sekä pystytte ylläpitämään saavutettua tasoa?
- Cobit, ISO 20000 ITIL, ISO 22301 jatkuvuuden hallinta, 2700x tietoturvallisuus*, 31000 riskienhallinta, valtiovarainministeriön tietoturvallisuustasot / ICT-varautuminen, KATAKRI-auditointikriteeristö jne
3) Suojattavien kohteiden tunnistaminen
Ovatko organisaation toiminnan kannalta arvokkaat kohteet, tärkeät prosessit ja niihin liittyvät tietojärjestelmät tunnistettu, kuvattu ja dokumentoitu toiminnan kannalta järkevällä tavalla? Ovatko edellisten väliset riippuvuudet tunnistettu ja kuvattu? Toimivatko prosessit? Kohdistetaanko niihin riskienarviointia? Onko organisaatiossa prosessien toiminnan takaamiseksi tarvittavat toimintamallit ja sopimukset niiden toimintaan osallistuvan verkoston ja yhteistyötahojen kanssa? Onko sopimuksissa huomioitu prosessien ja tietojärjestelmien tärkeys palvelutasosopimusten (SLA-tasot), jatkuvuuden hallinnan (toipuminen häiriötilanteista) ja tiedon turvaamisen osalta?
Onko organisaation prosesseista ja tietojärjestelmistä laadittu kriittisyysjärjestys ja tehty liiketoiminnan vaikutusanalyysit? Onko niiden perusteella laadittu toimittajia sitovat SLA-sopimukset, joita valvotaan, mittaroidaan ja joihin liittyvät poikkeamat käsitellään ja tarvittaessa sanktioidaan? Onko organisaatiolla olemassa valmiussuunnitelma, prosessien jatkuvuussuunnitelmat sekä tietojärjestelmäkohtaiset toipumissuunnitelmat, jotka katselmoidaan säännöllisesti toiminnasta vastaavan organisaation henkilöstön, asiakkaiden ja toimittajien kanssa? Entä tietosuojaselosteet?
4) Riskien arviointi
Arvioidaanko organisaatiossanne tarkoituksenmukaisesti riskejä organisaation eri tasoilla ja onko riskeistä olemassa ajantasaista rekisteriä? Onko arviointi säännöllistä ja onko käsittelyyn valittujen riskien hallintatoimet vastuutettu, aikataulutettu ja seurataanko näiden etenemistä?
Käsitteleekö ja arvioiko johto säännöllisesti toimintaansa liittyviä riskejä? Tiedotetaanko johdolle sellaisista alemman tason riskeistä, jotka edellyttävät johdon toimenpiteitä? Tehdäänkö riskienarviointia uuden prosessin tai ICT-järjestelmän suunnitteluvaiheissa ja huomioidaanko arvioinnin tulokset hankkeen elinkaaren eri vaiheissa? Jatketaanko arviointia siirrettäessä prosessi/palvelu tuotantoon?
5) Tietojen luokittelu ja luokittelun mukainen käsittely
Onko organisaationne henkilöstö koulutettu käyttämään menetelmää ja ohjeistusta suojattavien tietoaineistojen tunnistamiseksi, luokittelemiseksi ja käsittelemiseksi niiden sisältämien tietojen salassapidon (luottamuksellisuus), eheyden ja saatavuuden mukaisesti? Tukevatko käyttämänne tietojärjestelmät tätä mallia? Oletteko valtionhallinnon organisaationa ottaneet käyttöön tietoturvallisuusasetuksen (681/2010) mukaisen tietoaineistojen luokittelun?
Mitä tästä mielestäsi puuttui tai miten muuttaisit näitä kysymyksiä?
Seuraavassa osassa julkaisen kysymykset 6-12. Kolmannessa osassa julkaisen
arviointia tukevan Excelin, jossa on myös tarkennuksia näiden kysymysten
tueksi.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 21.9.2012 9:45Miten kotona voi suojautua kyberhyökkäyksiltä?
Vaikka kyberturvallisuus ja kaikki siihen liittyvä toiminta mielletään julkishallinnon ja yritysten toimialueelle kuuluvaksi velvoitteeksi, kansalaiset ja kotitaloudet ovat kokonaisuuden kannalta merkittävässä roolissa. Mitkä ovat viisi keskeisintä kotikäytössä huomioitavaa asiaa, joista pitää kyberturvallisuutta ajateltaessa huolehtia?
Yksilön kannalta uhka voi kohdistua henkilön taloudelliseen puoleen eli esimerkiksi pankkiasiointiin (pankkitroijalaiset), luottokorttitietoihin, identiteettivarkauksiin, sosiaalisen median sekä perinteisiin muiden nettipalveluiden käyttöön liittyviin uhkiin. Vaikka et itse koe omaa rooliasi tai kotikoneellasi olevia tietoja minkään arvoisena, sinua saatetaan käyttää välillisesti rikolliseen toimintaan tai hyödyntää yritykseesi kohdistuvassa tiedustelussa. Samoin henkilöä vastaan voidaan somen kautta kohdistaa ilkivaltaista kirjoittelua, pahimmillaan törkeää häirintää.
1. Ethän toimi muulina tai bottiverkon osana?
Jotta tietoverkkorikolliset voivat toimia, kotikäyttäjät ja heidän tietokoneensa toimivat raaka-aineena heidän toiminnalleen. Sama koskee huonosti ylläpidettyjä organisaatioiden palvelimia ja työasemia. Yksityishenkilö saattaa tietämättään (?) toimia rahanpesijänä tai varastetun tavaran edelleenvälittäjänä. Tässä pätee hyvin vanha tuttu toteamus, jos jokin tarjous on liian hyvää ollakseen totta, herätyskellojen tulisi kilistä. Miksi joku tarjoaa sinulle 30 euroa jokaisesta edelleen toimitettavasta paketista tai rahan välittämisestä ulkomailta tietyn prosentin, jos se muuten olisi laillista? Miksi minua käytetään tässä eikä jotain yritystä?
Suomea mainostetaan maailman puhtaimmista tietoverkoista ja työasemista näistä löydettyjen vähäisten haittaohjelmatartuntojen lukumäärän mukaan ja sellaisena maamme tulisikin säilyttää. Tämä edellyttää tietoliikenneoperaattoreidemme korkealuokkaisen, ennaltaehkäisevän työn jatkamista. Samoin kotikäyttäjien ja työnantajien henkilöstölleen antama tietoturvakoulutus ja tiedottaminen pitää vähintään säilyttää nykyisellään. Yhteiskunnan sähköistymisen myötä tietoturvallisuutta koskevaa tiedotusta ja koulutusta tulisi lisätä. Tietoturvallisuudessa tarvitaan teknologiaa, mutta tärkeämpää on oikea asenne ja yrityksissä myös kulttuuri.
2. Tekninen tietoturvallisuus kuntoon
Miten vältät bottiverkon pelinappulana toimimisen tai ainakin pienennät riskiä? Aivan kuten työpaikalla, kotikäytössä täytyy huolehtia samoista itsestäänselvyyksistä joista työantajasi huolehtii käyttöösi tarjoaman laitteiston osalta. Tiivistetysti:
- haittaohjelmien torjuntaohjelma – on aina ajastaan jäljessä etenkin uusia, tuntemattomia ja 0-päivähaavoittuvuuksia vastaan, mutta vielä turvattomampaa on olla ilmankaan!
- haittaohjelmien torjuntaohjelmiston yhteydessä tulee tai esimerkiksi Windows XP SP 2 – Vista – 7 – 8 tuovat mukanaan käyttöjärjestelmään sisäänrakennetun palomuurin
- käyttöjärjestelmien automaattisesti päivittyvät tietoturva- sekä muut päivitykset
Edellä olevat ovat ns. peruskauraa, mutta suuremman uhan ja vaivan aiheuttavat seuraavat kohdat:
- muiden apuohjelmien tai sovellusten päivittäminen, hyvänä esimerkkinä muut kuin vakioselaimet, selaimissa toimivat laajennukset, multimedialaajennukset (Adobe Flash, Silverlight), Javan ajonaikainen ympäristö (JRE) sekä pdf-lukijat
Nyt kun uusin Internet Explorerin 0-päivähaavoittuvuus aiheutti taas haasteita, kotikäytössä – myös työpaikalla on syytä pitää pääselaimen ohella varaselain, jota voidaan käyttää silloin kun pääselaimessa on jokin kriittinen uhka. Esimerkiksi Suomessa tietoturvallisimpana pidetystä Chromesta ei ole vielä tullut suosituinta selainta, vaan Firefox pitää ykkössijaa, vaikka muualla Euroopassa ja maailmalla Chrome on jo suosituin.
3. Verkkopalvelut ja salasana – ikuinen ongelma?
Viimeisen vuoden aikana meitä on erityisesti valistettu käyttämään palveluissa eri salasanoja, jolloin yhden palvelun salasanan paljastuminen ei vaaranna muiden palveluiden käyttöä. Mitä enemmän käytät esimerkiksi keskeisiä Facebook-, Google- tai Microsoft Live-tunnusta kirjautumiseen sinun tietojen kannalta tärkeisiin ja jopa luottamuksellisia tietoja sisältäviin palveluihin, sitä huolellisemmin näiden sinun kannalta kriittisten palveluiden salasanapolitiikka kannattaa miettiä.
Tarkista ja huolehdi siitä, että olet käynyt läpi salasanojen palauttamiseen liittyvän prosessin niin että voit hätätilanteessa todella nopeasti vaihtaa salasanan tai lukita tilin käytön muilta kuin sallimiltasi työasemilta, jos alat epäillä identiteetti- tai muuta tietovarkautta. Jos saat sähköpostiisi ilmoituksista yrityksistä kirjautua tilillesi muilta koneilta kuin joilla työskentelet, joku saattaa kokeilla murtautua tilillesi.
4. Some-käyttäytyminen
Mitä näkyvämmässä / vastuullisemmassa tehtävässä työn tai vapaa-ajan harrasteiden osalta toimit, sitä enemmän kannattaa miettiä some-palveluihin liittyvien tietojen antamista ja kirjoittelua. Klassinen esimerkki on psykiatri, joka ei varmaankaan halua että asiakkaista alkaa tulla Fb-kavereita ja sitten voidaankin siellä ratkoa julkisesti ongelmia tai chättäillä?
Sama koskee erilaisten some-palveluissa olevien lisäohjelmien, palveluiden tai älypuhelimissa ja tableteissa olevien Appsien käyttöä. Kannattaa joku kerta katsoa ennen Ok / Salli napsautusta, mitä kaikkia tietoja sallit Fb-sovelluksen / Appsin keräävän profiilistasi? Hieman sama juttu kuin kun katsot elintarvikepakkauksesta millaisia E-alkuisia lisäaineita aiot kurkusta alas suoltaa…
5. Muu käyttäytyminen
Yleensä asioita ei opi kuin kantapään kautta. Itselleni mieleen on jäänyt kaksi henkilökohtaista esimerkkiä. Kirjauduin ulkomaisen hotellin yhteiskäyttökoneella vapaa-ajan Gmail-tunnukselle ja sen jälkeen alkoi pitkäaikainen roskapostitulva, koska osoite joutui koneen kautta aktiivisen spammerin listoille. Valitettavasti tuohon aikaan roskapostisuodatus ei toiminut yhtä hyvin kuin nyt. Toinen esimerkki on kotimaisesta yhteiskäyttökoneesta, jossa usb-tikulleni oli tullut jotain outoa, jonka kotikoneeni torjuntajärjestelmät onneksi havaitsivat.
Ja koska hyvin todennäköisesti jostakin koneellasi käytössä olevasta ohjelmasta löytyy tälläkin hetkellä sellaisia nollapäivähaavoittuvuuksia, jotka ovat - onneksi *hyvin harvan* tahon tiedossa, kannattaa jokainen epämääräinen sähköpostiviestissä oleva linkki ja liitetiedosto kierrättää yhden ylimääräisen ajatuksen kautta ennen kuin niitä napsautat avataksesi sellaisen. Totta kai itsekin napsautan riittävän mielenkiintoista uutisotsikkoa tai linkkiä, mutta suoraan sähköpostista en mielelläni käynnistä yhtään mitään vaan pyrin toimimaan siellä read only.
Kai tätä osiota voisi kansantajuistaa ja verrata seksielämään siinä mielessä, että mitä enemmän eri paikoissa suojaamattomana häsää, sitä huolellisempi tulee olla suojautumisessa ja testata tietokoneen toiminta erikseen säännöllisesti vaikkapa jollakin tunnetulla nettipalvelulla, tätä kirjoittaessani ajoin vaihteeksi F-Secure online scannerilla. Reikiä oli nolla!
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 17.9.2012 16:02Miten organisaatiossa voidaan suojautua kyberhyökkäyksiltä?
Mitkä ovat ne uhat, joita tavalliseen organisaatioon kohdistuvat? Entä jos organisaatiosi on osa julkishallintoa tai tuottaa muuten yhteiskunnan toimivuuden kannalta kriittisiä palveluita? Entä jos olette huoltovarmuuden kannalta kriittisiä toimijoita? Ohessa viisi tarkistettavaa ja muistettavaa kohtaa.
1. Tunnista ja tiedosta organisaatiosi rooli
Kuten kaikessa muussakin toiminnassa, organisaation tulee tunnistaa oma roolinsa palvelun tuottajana, isomman kokonaisuuden alihankkijana tai tilaajana ja sitä kautta sille tulevat velvollisuudet. Tietoturvallisuuden osalta voidaan katsoa pelkkää käsiteltävien tietoaineistojen tärkeyttä, mutta laajemmassa mittakaavassa pitää ottaa huomioon koko organisaation tuottamaa palvelukokonaisuutta, jossa tietoaineistoilla voi olla hyvinkin pieni merkitys verrattuna organisaation varsinaiseen tuotantoon.
Esimerkiksi sähköyhtiölle tai sen alihankkijalle organisaation päivittäisessä toiminnassa tarvittavat tiedot muodostavat keskeisen suojattavan kohteen, mutta vielä tärkeämpi asia on huolehtia fyysisestä, sähköverkon tuottamiseen tarvittavasta infrastruktuurista.
2. Huolehdi tietoturvallisuudesta
Jos organisaatioiden tietohallinnon haasteena ovat nopeasti kehittyvät teknologiat, kuten uusien päätelaitteiden kirjo, bring-your-own-device -ajattelu sekä kuluttajistumisen ja somen tuomat haasteet, sama koskee tietoturvallisuuden kehittämistä. Jos riskienhallinta, auditoinnit, bia-analyysit ja organisaation toimintaa koskevat vaatimusten mukaisuuden täyttäminen, vuosikellot ja tietoturvallisuuden hallintajärjestelmän avulla toteutettu toiminta on saatu toimintaan (kuinka monella se muuten on toiminnassa?) ollaan vasta perinteisten näkemysten mukaisessa mallissa niin sanotusti "vihreällä".
Entä kyberuhasta (kuten tietoverkkorikolliset, haktivistit, valtiollinen tiedustelu) kumpuavat haasteet ja entistä nopeampi uudistumisen sykli myös tietoturvallisuuden puolella? Jos ajatellaan internet-verkon kautta tulevia kyberuhiksi luokiteltavia haasteita, edellyttää niiden torjuminen siirtymistä proaktiiviseen seurantaan: tietoliikenne ja kaikkien verkkolaitteiden tilanteen reaaliaikainen seuranta ja torjunta nousevat kriittiseen asemaan.
Sama koskee käytössä olevia palvelin- ja päätelaitteita. On tietysti hyvä, jos edes jälkikäteen lokeista voidaan todeta, että yrityksellä on ollut merkittävä tietovuoto jo vaikkapa vuoden ajan, mutta nyt pitäisi saada päälle se vaihde, jossa tietovuoto havaitaan per heti ja se pystytään myös torjumaan.
3. Huolehdi kokonaisturvallisuudesta
Kun käydään läpi laajemmin kriittisen infrastruktuurin turvaamista (Cip, Critical Infrastructure Protection), kannattaa tutustua Valtioneuvoston päätökseen huoltovarmuuden tavoitteista (http://www.finlex.fi/fi/laki/alkup/2008/20080539). Lain luvussa 2 on käsitelty yhteiskunnan kriittisen infrastruktuurin turvaamista ja tätä kautta saa hyvän käsityksen siitä, kuinka laaja-alaisesta osa-alueesta on kyse.
Ict:n osalta hyvää lisätietoa tarjoaa LVM:n julkaisu 50/2009 ”Yhteiskunnan elintärkeiden toimintojen turvaamisen kannalta välttämättömien tieto- ja viestintäjärjestelmien käytettävyyden kehittäminen” (http://www.lvm.fi/web/fi/julkaisu/-/view/1032108). Kyber ei ole pelkkä tietoturvallisuus tai perinteinen Ict vaan merkittävästi laaja-alaisempi kokonaisuus, jolloin tarvitaan kaikkien turvallisuudesta vastaavien tahojen yhteistyötä.
4. Varaudu: ennakoi ja harjoittele
Jos tietoverkkorikolliset muodostavat entistä tiiviimmän, omissa verkoissa ja ympäristöissä toimivan alamaailman (ekosysteemin), myös sitä vastaan toimivien organisaatioiden olisi syytä toimia samalla tavalla.
Kaikessa toiminnassa korostetaan yhteistyön, ennakoinnin ja harjoittelun merkitystä. Riippumatta siitä, millainen kyberuhka organisaatiota vastaan kohdistuu, ei sitä koskaan voi ennakoida ja harjoitella riittävän hyvin. Kaikkia uhkakuvia ei ole tarkoituksenmukaista yrittääkään mallintaa, mutta jos organisaatio on kehittänyt valmiuden toimia geneerisesti erilaisissa häiriötilanteissa vakioidulla, hyvien käytäntöjen osoittamalla tavalla, kykenee se tämän toimintamallin avulla selviytymään myös uudenlaisista uhkakuvista.
Mitä laaja-alaisemmasta ja kriittisemmästä kokonaisuudesta on kyse, sitä tärkeämmäksi tulee yhteisten harjoitusten pitäminen. Miten palokunta voisi toimia, jos se ei koskaan harjoittelisi? Antaa palaa…
5. Tiedota ja kouluta henkilöstöäsi
Kuten edellisessä kohdassa, en ole eläessäni kuullut koskaan valitusta henkilöstöltä siitä, että heille olisi tähän aihepiiriin liittyvistä asioista tiedotettu liikaa tai järjestetty liian paljon laadukasta koulutusta.
Osana koulutusta tulisi juuri selkeyttää ja purkaa konkreettisemmin auki sitä, mitä kaikkea oman organisaation kannalta liittyy kyber-alkuisiin toimintamalleihin. Kyberturvallisuus ei ole ohimenevä hype-ilmiö, vaan se on jatkossa pysyvä, toiminnassa huomioitava kokonaisuus.
Haasteena on se, miten organisaatio toimii nyt ja miten sen tulisi toimia vakavassa häiriötilanteessa. Samoin olennaista on se, miten ihmiset, koko organisaatio ja teknologia saadaan toimimaan yhdessä tai erikseen ilman että kaikki osa-alueet ovat saatavilla normaaliin tapaan. Koulutuksen ja harjoituksen välillä on eräänlainen takaisinkytkentä ja näitä tulisikin kehittää yhdessä.
Mistä lisätietoa?
Edellä mainittujen asiakirjojen ohella hyvä esimerkki on Yhdysvaltalaisen FCC:n (Federal Communications Commission) eli lähinnä paikallista liikenne- ja viestintäministeriötä tai viestintävirastoa vastaavan organisaation yrityksille tuottama ohjeistus (http://www.fcc.gov/cyberplanner) siitä, miten suojautua kyberuhkia vastaan. 45-sivuinen englanninkielinen ohje ei tarjoa mitään mullistavaa, mutta on hyvä esimerkki siitä, miten Yhdysvalloissa tiedotetaan yrityksille kyber- ja tietoturvallisuuden tärkeydestä.
Carnegie Mellonin Cylab julkaisi toukokuussa tutkimuksen ”How Boards & Senior Executives Are Managing Cyber Risks” (http://www.rsa.com/innovation/docs/CMU-GOVERNANCE-RPT-2012-FINAL.pdf) joka osoittaa, että johdon tietoisuuden kasvattamisessa on vielä tehtävää. Vaikka tutkimus koskee Forbes Global 2000-yrityksiä, tutkimuksen suositukset ja havainnot ovat hyödynnettävissä muuallakin.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 6.9.2012 14:50Kyberturvallisuus - mitä se oikeastaan on?
Eräitä tietoturvallisuutta sivuavista, viimeisen parin vuoden aikana vahvasti esille nousseista termeistä ovat kaikki kyber-alkuiset sanat, esimerkiksi kyberturvallisuus, -ympäristö, -varustelu, -puolustus, -hyökkäys ja -sota. Miten nämä kaikki liittyvät tietoturvallisuuteen vai liittyvätkö? Miten nämä pitäisi huomioida organisaatiossanne? Entä onko näillä mitään tekemistä kansalaisten tai kotitalouksien osalta? Käsittelen tätä kokonaisuutta seuraavissa blogeissa näistä lähtökohdista.
Mitä kyber ei ole?
Kyberturvallisuus on erinomaisen hankala termi määritellä selkeästi ja yksiselitteisesti. Aloitetaan sillä, mitä kyber ei ole.
Useammissa keskusteluissa kyberturvallisuus ja –uhat liitetään internet-verkon ja perinteisen ict-toimintojen yhteyteen. Jos näin olisi, tällöin kyber-termiä ei tarvittaisi vaan käytettäisiin internet- tai muita tietotekniikkaan liittyviä termejä. Internet ja ict-teknologiat ovat vain yksi pieni osa-alue, jota kyberympäristössä hyödynnetään.
Otetaan esimerkiksi lentoasema ja lentomatka. Jotta sinä pääset lentomatkalle, kukaan ei kuvittele että meille riittää pelkästään se, että lennonjohtajat ovat töissä sekä lentohenkilöstö odottaa kiltisti koneessa ja portilla tekemässä tehtävänsä. Jotta sinä pääset lennolle, alkaa se siitä että sinulla on aamulla kotona sähköt toiminnassa, kulkuväline jolla menet lentoasemalle saa polttoaineensa, tiet ovat ajokuntoisia ja lentokentällä ihmisillä on ruokaa, lämpöä (tai ilmastointi), kukaan ei lakkoile ja että tietojärjestelmät siellä toimivat. Käytännössä sitä, että yhteiskuntamme toimii kuten normaalisti.
Kyberturvallisuus vs tietoturvallisuus
Perinteinen tapa lähestyä kyberiä on siis tuoda mukaan yhteiskunnallinen näkökulma, jolla pyritään huolehtimaan yhteiskunnan rattaiden pyörimisestä eli elintärkeiden, kriittisten toimintojen turvaamisesta kaikissa olosuhteissa.
Tietoturvallisuus keskittyy sananmukaisesti *TIEDON* eli datan turvaamiseen L-E-S-näkökulmasta (Luottamuksellisuus – Eheys – Saatavuus). Kyberturvallisuus sen sijaan on huomattavasti laajempi kokonaisuus, jonka yhtenä pienenä osa-alueena voidaan pitää tiedon turvaamista ja organisaation jatkuvuuden takaamista erilaisissa häiriötilanteissa.
Sähkönjakelun, pankkien maksuliikenteen pitää toimia sekä veden virrata putkistoissa kuten myös yhteiskunnan johtamisen – muussa tapauksessa yhteiskuntamme on ongelmissa. Kyber ei koske vain julkishallintoa, vaan valtaosa yhteiskuntamme kriittisistä palveluista tuotetaan yritysten toimesta.
Tietoturvallisuus on keskittynyt nykyaikana sähköiseen tietoaineistojen käsittelyyn, perinteistä paperi- ja muussa muodossa olevaa tietoa ja käsittelyä ei saa unohtaa. Vastaavasti kyberturvallisuudessa mennään suojaamaan laajemmin kaikkea infrastruktuuria, jota suojattavan kohteen tuotannon ylläpitäminen edellyttää. Käytännön tasolla tästä päästään fyysisiin toimitiloihin sekä niiden edellyttämiin muihin kuin ict-teknologian edellyttämiin infrastruktuuritoimintoihin.
Teollisuusautomaatio, sulautetut tietotekniikkaa ja muuten ohjelmoitavaa logiikkaa sisältävät kohteet ovat nousseet kyberuhan osalta merkittäviksi kohteiksi. Jos aikaisemmin verkot, työasemat ja palvelimet olivat keskeisiä suojattavia kohteita, kyberympäristössä mukaan tulevat esimerkiksi kaikki muut infrastruktuurin toimintakyvyn edellyttämät palvelut.
Kyber osana maanpuolustusta
Kyber-asioista ei voi keskustella kauaa ilman että esille nostetaan kyberpuolustus, -hyökkäys tai -sodankäynti. Eräs keskeinen syy termin yleistymiseen ovat viime vuosina julkisuuteen päätyneet uutiset ja tapahtumat, joissa on käytetty tietoteknologiaa osana kohteeseen suoritettua kyberhyökkäystä. Tunnetuimpana esimerkkinä tästä voidaan pitää Stuxnet- ja muita saman tuoteperheen vakoilu- ja haittaohjelmia, joiden tehtävänä on ollut vaikuttaa useiden Lähi-idässä toimivien organisaatioiden tai valtioiden toimintaan heikentäen niiden toimintakykyä.
New York Timesin paljastettua kesäkuussa näiden haittaohjelmien tekijäksi Yhdysvaltain valtionhallinnon, uutinen on aiheuttanut sen jälkeen merkittävän keskustelun siitä, onko tämä samalla käynnistänyt kyberasevarustelussa kokonaan uuden vaiheen. Nyt jokainen valtio joutuu miettimään omaa strategiaa ja politiikkaa sekä puolustuksen että hyökkäysten näkökulmasta, Suomi mukaan luettuna. Viime vuonna hallitusohjelmassa on todettu, että toimintavarmat tietoverkot ovat edellytys yhteiskunnan toiminnallisuudelle, Suomeen tulee laatia kyberstrategia ja maamme tulisi olla yksi johtavia maita kyberturvallisuuden kehittämisessä.
Jos huoltovarmuuskriittisten organisaatioiden tulee huolehtia ict-toimintojen ohella tietoturvallisuuden ja muun kriittisen infrastruktuurin suojelemisesta, luo kyber tarpeita puolustuksellisen toiminnan ohella offensiivisen toiminnan kehittämiseen. Aivan suotta globaalisti puolustusvoimissa tietoverkkopuolustusta ei ole nostettu iänikuisen maalla, merellä, ilmassa ja avaruudessa tapahtuvan toiminnan rinnalle. Jotta puolustus voi toimia, täytyy sen käytössä olla tarvittava tieto, hyvänä esimerkkinä reaaliaikaisen tilannekuvan saaminen.
Sen sijaan tavisorganisaatioilla ei tulisi olla mitään tarvetta - Suomessa lainsäädännön johdosta edes oikeutta - kehittää kyberhyökkäyksiin liittyviä toiminnallisuuksia. Tämä on varmasti osa-alue, johon tullaan kansallisen kyberstrategian toimeenpanoon liittyvän toimenpideohjelman myötä ottamaan kantaa ja tekemään tarvittavia lakimuutoksia.
Seuraavassa osassa mietitään, mitä kyberturvallisuuden kehittäminen organisaatiossa tarkoittaa käytännössä.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 30.8.2012 9:40Miten toimia kriittisen java-aukon kanssa?
Viime päivinä on kohistu Oraclen Java-suorituksen aikaisen ohjelmistoympäristön (Runtime Environment - JRE) version 7 (1.7) nollapäivähaavoittuvuudesta. Aukko koskee kaikkia keskeisiä Javaa tukevia pc-käyttöjärjestelmäalustoja kuten esimerkiksi Windows, Linux ja OS X. Mitä tämä käytännössä tarkoittaa ja miten organisaatioiden tulisi tähän reagoida?
Vaarallisin mahdollinen aukko
Verrattuna perinteisiin, toimittajan tietoon ennakolta saatettuihin haavoittuvuuksiin, nollapäivähaavoittuvuus on toimittajan ja käyttäjien kannalta huomattavasti suurempi ongelma. Toimittaja joutuu lyhyessä ajassa selvittämään ongelman synnyn, luomaan ratkaisun ja testaamaan sen sekä laittamaan jakeluun – kaikki kovan kiireen ja julkisen paineen alaisena.
Tästä aukosta on nettiin levinnyt ohjeet aukon hyväksikäyttämiseksi sellaisenaan (kooditaso) tai käyttäen tunnettuja hyökkäystyökaluja, esimerkiksi Metasploit ja BlackHole.
Java-haavoittuvuus mahdollistaa sen, että käyttäjän siirtyessä sellaiselle www-sivulle, joka on väärinkäyttäjän hallinnassa, pystyy väärinkäyttäjä ottamaan sivuille tulleen käyttäjän tietokoneen omaan hallintaansa upottaen koneeseen esimerkiksi omia vakoilu- tai muita haittaohjelmia ja sitä kautta voi vaarantaa merkittävässä määrin organisaation toimintaa. Haavoittuvuus sallii Java-ympäristön tietoturva-asetusten muuttamisen, joka mahdollistaa haittaohjelman lukea, kirjoittaa tai suorittaa koodia saastuneessa tietokoneessa => asentaa siihen väärinkäyttäjän omia sovelluksia, ilman että käyttäjä huomaa mitään erikoista.
1. Tarkista, oletko vaarassa?
Ensimmäiseksi tulee selvittää, mikä eli mitkä versiot organisaation koneissa on Javasta? Se saadaan selville ohjauspaneelin kohdasta Java | About. Jos versio on 7 (1.7x), haavoittuvuus koskee tietokonetta. Jos versio on kuusi (1.6x), tämä nollapäivähaavoittuvuus ei koske konetta. Sen sijaan esimerkiksi 6-sarjan versioissa on muita tunnettuja kriittisiä aukkoja, jotka eivät ole aivan yhtä vakavia kuin tämä 0-päivähaavoittuvuus. Tällöin tämän osalta organisaation ei tarvitse tehdä mitään, mutta suositeltavaa on päivittää kaikista 6- tai vanhemmista versioista tulevaan päivitettyyn 7-sarjan versioon – Javaa tarvitsevat sovellukset huolella testaten.
Jos Java-asetusta ei löydy ohjauspaneelista, voidaan kokeilla tästä linkistä, löytääkö Java-testi tietokoneelta sitä. Valitse “Skip installation of the current version and test the currently installed version of Java “.
2. Ethän sekoita Javaa ja javaskriptiä?
Java on erillisen asennuksen vaatima ohjelmansuoritusympäristö, jota harvat www-palvelut tarvitsevat. Sen sijaan useimmat www-sivustot käyttävät javaskriptiä osana html-sivua, joka ei vaadi erillistä Java-suoritusympäristöä vaan selaimet tukevat sitä suoraan. Näitä ei pidä sotkea millään tavalla keskenään! Javan poistaminen, sen käytön estäminen tai rajoittaminen selaimella eivät vaikuta javaskriptin suorittamiseen, jolloin javaskriptiä edellyttävät www-palvelut toimivat edelleen normaalisti.
3. Suojaudu eli pienennä riskiä kunnes päivitys tulee saataville
Sen sijaan että paniikkireaktiossa poistat koko Javan tietokoneeltasi, voit estää sen käytön käyttämäsi www-selaimen asetuksista. Todennäköisin uhka syntyy sitä kautta, että käyttäjä eli sinut ohjataan tai houkutellaan, tai vahingossa päädyt sellaiselle www-sivulle, jossa sijaitseva Java-koodi hyödyntää käyttämässäsi tietokoneessa olevaa nollapäivähaavoittuvuutta. Tämän takia suosittelen tällaisten 0-päiväuhkien ollessa voimassa olemaan erityisen varovainen sen suhteen, mitä linkkejä sähköpostissa ja satunnaisilla, epämääräisillä nettisivuilla naputtelee.
Ohjeita eri selaimien osalta Java-käytön estämiseen löytyy CERT-FI:n suomenkielisestä Facebook-ryhmästä tai tältä englanninkieliseltä KrebsonSecurity-sivuilta.
Jos organisaatiossa on PAKKO käyttää Javaa esimerkiksi kriittisten sovellusten vaatimuksesta selaimella, toinen tapa on käyttää IE-selaimessa olevia turvavyöhykkeitä (Zones) Java-tuen rajoittamiseen. Tämä tapahtuu sallimalla Javan käyttö vain intranet- ja luotettujen sivustojen (trusted sites) listalle määritetyissä www-osoitteissa sekä estää Javan käyttö kaikissa muissa osoitteissa estämällä Javan käyttö Internet-vyöhykkeessä. Tämä edellyttää sitä, että organisaatio määrittelee tarvittavat sivustot vyöhykkeisiin ja tiedot jaellaan sen jälkeen esimerkiksi Windows-ympäristössä ryhmäkäytäntöjen avulla työasemien IE-selaimiin. Suosittelen tutustumaan tähän toimintamalliin joka tapauksessa, koska vastaavanlaisia ongelmia tulee olemaan myös jatkossa, jolloin vyöhykkeiden avulla voidaan kuitenkin sallia organisaation liiketoiminnan kannalta kriittisten sovellusten toiminta IE-selaimella.
Viimeinen vinkki varsinkin kotikäyttöön on kahden selaimen malli, joista vain toisessa on Java sallittu ja sitä käytetään niihin tunnettuihin Javaa edellyttäviin sivustoihin, joiden tietoturvallisuuteen voidaan luottaa. Kaikki muu selaus toteutetaan ilman Java-tukea toimivalla selaimella. Esimerkiksi viimeisen vuoden aikana Googlen Chrome-selaimen markkinaosuus on kasvanut merkittävästi, noussen vuodessa kolmossijalta nyt ykköstilalle suosituimmaksi www-selaimeksi.
4. Valmistaudu päivitetyn version asentamiseen!
Oraclen seuraava Java-päivitys on luvattu vasta 16.10.2012, mutta olisi luonnollista, että he pyrkivät kiirehtimään tämän aukon saaman huomion ja kriittisyyden takia päivitystä. Organisaatiossa tulisi käytössä olla cmdb- tai muu keskitetty järjestelmänhallintaohjelmisto, josta organisaatio voi nyt katsoa käytössä olevat Java-versiot ja tehdä päätökset tämän hetkisen tilanteen edellyttämistä toimenpiteistä. Kun Oracle aikanaan julkaisee korjatun version, organisaatiokäytössä tämä voidaan jaella käyttäen käytössä olevaa järjestelmänhallintatuotetta tai Java-ohjelmiston omaa päivitysominaisuutta käyttäen, jos se on otettu käyttöön.
Tässä yhteydessä täytyy muistuttaa ennen päivityksen jakelua tarvittavasta testauksesta, jos organisaatiossa on käytössä Java-ympäristöä edellyttäviä sovelluksia. Mitä liiketoimintakriittisestä sovelluksesta on kyse, sitä tärkeämmässä roolissa on testaaminen ennen laajamittaista päivityksen jakelua.
5. Huolehdithan samalla myös muiden laajennusten tietoturvallisuudesta?
Java on vain yksi tällä hetkellä ajankohtainen toimenpiteitä ja aikanaan päivitystä edellyttävä sovellus. Käyttöjärjestelmätason ja muiden tarvittavien apuohjelmien ja laajennusten päivitysten huolehtiminen tuntuu itsestään selvältä. Voit pistokokeena katsoa, mikä on työasemassasi käytössä oleva Adobe Flash-ohjelmistoversio ja miettiä, tulisiko sekin päivittää kuten myös käyttämäsi pdf-tiedostojen käsittelyyn tarkoitettu sovellus tuoreempaan versioon?
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 14.8.2012 11:31Huomasitko nämä tietoturvauutiset?
Palautetta kimmo@ict-tuki.fi
Älypuhelimet – Android haitakkeet nousussa
Itse olen jo vuosia odottanut pelolla, missä vaiheessa jostain matkapuhelinekosysteemistä löytyy rikollisjärjestön menevä merkittävä aukko. Toistaiseksi pelkoni on ollut aiheeton, mutta puhelimien käyttäjiä yritetään aktiivisesti huijata erilaisilla tekstiviesti- ja numerokikkailuilla, joilla uhri yritetään saada soittamaan tai lähettämään tekstiviesti sellaiseen numeroon, josta hänelle tuleekin yllättäviä lisäkustannuksia.
Suurin huolenaihe on käytännössä Android-ympäristö, josta esimerkiksi F-Securen uuden Mobile Threat Report Q2 2012 katsauksen mukaan on löydetty vuoden 2012 aikana yli 5 000 haittaohjelmasovellusta, missä on 64 prosentin kasvu edelliseen neljännekseen.
Tässä on keskeinen ero verrattuna Applen ja Microsoftin ylläpitämiin suljettuihin sovelluskauppoihin ja heidän tarkastamiin ja hyväksymiin sovelluksiin. Tällä tavalla valvottujen sovellukauppojen kautta haittaohjelmien levittäminen on työläämpää, mutta ei mahdotonta.
Microsoftin tietoturvapäivitykset
Microsoft on julkaissut heinäkuun loppuun mennessä tänä vuonna 51 uutta tietoturvapäivitystä, joista 19 kpl on luokiteltu kriittiseksi. Siis sellaiseksi, joka on yksinkertaisesti pakko ajaa, jotta kyseisen haavoittuvuuden sisältävän järjestelmän tietojen luottamuksellisuus, eheys ja saatavuus voidaan taata.
Vertailun vuoksi samaan aikaan vuonna 2011 tilanne oli 56 päivitystä, joista 25 kpl kriittisiä sekä vuonna 2010 oli julkaistu 45 päivitystä, joista 22 kriittistä. Käytännössä mitään merkittäviä eroja edellisiin vuosiin ei ole havaittavissa.
Valitettavasti tämä on vain pieni osa sitä tehtävää ja vastuuta, joka järjestelmien omistajilla on. Microsoftin käyttöjärjestelmä- ja muiden sovelluspäivitysten ohella omistajien täytyy huolehtia siitä, että tietohallinto ja/tai palvelun toimittaja on huolehtinut myös muiden toimittajien sovelluspäivityksistä.
Esimerkiksi Cert-fi on julkaissut tänä vuonna tähän mennessä tiedotteen jo 127 merkittävästä haavoittuvuudesta. Tämä on murto-osa koko maailmasta löydetyistä haavoittuvuuksista, joihin voit tutustua esimerkiksi Yhdysvaltalaisen NVD-palvelun haun avulla.
OpenX – esimerkki uudesta uhasta
Mikäli organisaatiosi käyttää OpenX-alustaa mainosten välittämiseen, jatkossa tulee huolehtia entistä aktiivisemmin ympäristön ajantasaisesta päivittämisestä. Keväällä löydetyn haavoittuvuuden avulla oli mahdollista käyttää haavoittunutta palvelua esimerkiksi haittaohjelmien levittämiseen kävijöiden työasemiin. Lisätietoa Cert-fin ohjeesta sekä Kpmg:n blogista.
Flame ja valtiollinen tiedustelu
Toukokuussa paljastanut Flame-haittaohjelma aiheutti domino-ilmiön. Sen taustalta paljastui New York Timesin uutisoimana Yhdysvaltain hallituksen Olympic Games-nimellä kulkeva hanke, jonka yhteydessä Stuxnet, Duqu, Flame ja nyt viime viikolla löydetty Gauss-haittaohjelmat on kehitetty. Näiden sukupuusta ja taustoista on tehty hauska juliste.
Vaikka näiden ohjelmien saastuttamien laitteiden määrä on pieni ja alueellisesti rajoittunut, näiden muu globaali merkitys on huomattavasti suurempi. Yksittäinen tavisorganisaatio tai -yksityiskäyttäjä ei ole tällaisen vakoilutuotteen kohde.
Silti tämä antaa samalla esimerkin ja luo viitekehyksen sille, että valtiollisella tasolla kaikki mahdolliset keinot ovat sallittuja. On selvää, että ympäri maapallon kyberturvallisuus-termin alle koottavat palvelut sekä puolustukseen että hyökkäykseen liittyvät saavat tästä nyt uutta puhtia. Valitettavasti eräs hyötyjä ovat myös kansainväliset rikollisjärjestöt, jotka voivat ottaa näistä mallia omia seuraavan sukupolven tuotteita suunnitellessaan. Palaan tähän kokonaisuuteen tarkemmin seuraavissa blogeissa.
Kotimaiset tietomurrot kiinnostavat tietosuojavaltuutetun toimistoa
Suomessa on viimeisen vajaan vuoden aikana paljastunut enemmän tietomurtoja tai muita toteutuneita tietoturvauhkia kuin edeltävinä vuosina. Tietosuojavaltuutettu on lähestynyt nyt noin 70 organisaatiota pyynnöllä selvittää, miten kyseiset organisaatiot ovat toimintaansa kehittäneet tilanteen paljastuttua.
Jatkossa tämä sama saadaan automatisoitua, kunhan EU:n henkilötietosääntöjen uusi tietosuoja-asetus vielä muhittuaan saadaan vietyä päätökseen. Asetus tuo tietomurron kohteeksi joutuneille organisaatioille muun muassa ilmoitusvelvollisuuden, joka valitettavasti vielä meiltäkin puuttuu. Täältä löytyy perusteellinen artikkelisarja tietosuoja-asetusehdotuksen vaikutuksista.
Ottakaa tietotilinpäätös koekäyttöön!
Samassa yhteydessä täytyy vinkata toisesta hyvästä toimintamallista, tietotilinpäätöksestä. TSV:n sivustoa lainaten ”Tietotilinpäätös on raportti, joka syntyy organisaation sisäisen tarkastelun tuloksena ja antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Tietotilinpäätös kuvaa myös henkilötietolain mukaisen hyvän tietojenkäsittelytavan noudattamista.” Ohje tietotilinpäätöksen laatimiseen löytyy heidän sivuiltaan.
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ovat hänen henkilökohtaisia mielipiteitään.
| |
Tilaa Tivin uutiskirjeKirje ilmestyy arkisin, ja se on helppo perua
|
Turvasatama
Kimmo Rousku, Tietoviikko, 19.6.2012 13:42Salasanoilla ei olekaan merkitystä?
Pakko myöntää, käytin mediaphishingiä saadakseni teidät houkuteltua lukemaan tämän jutun salasanoista, TOTTA HELVETISSÄ SALASANOILLA ON MERKITYSTÄ! Tämä on normaalia lyhyempi blogaus, jotta kaikki jaksavat lukea tämän loppuun saakka.
Viimeisen parin viikon aikana tietoturva-aiheiset – negatiiviset – uutiset ovat vallanneet mediaa. Flame-haittaohjelmakohu sekä tiedot Stuxnet/Duqu-matojen taustalla Yhdysvaltojen valtionhallinnon roolista tulevat olemaan tietoturva-alan keskusteluissa mukana pitkään. Pian näiden jälkeen viime viikon lopulla vuoti kolmesta merkittävästä palvelusta salasanatiivisteitä nettiin, joista LinkedIn tunnetuimpana.
Huolestuttava havainto tässä on se, että palveluiden ylläpitäjät olivat tallentaneet salasanoja toki salattuina tiivisteinä (hash), mutta niitä ei ollut ns. ”suolattu”, jolloin salasanojen murtaminen käytössä olevilla keinoilla on nopeata. Mikäli palvelu suolaa tallennettavat salasanatiivisteet, niiden murtaminen ei onnistu suoraan käyttäen valmiiksi laskettuja tiivisteitä vaan ne joudutaan matemaattisesti laskemaan jokainen erikseen. Suolaaminen aiheuttaa lisätyötä palvelun tuottajalle, mutta tyhmyyttä on olla oppimatta tällaisesta esimerkistä.
Ensimmäinen tärkeä asia: tarkista eli kysy, miten se meidän nettipalvelun käyttäjätietokannan salasanojen tallentaminen on toteutettu? Ei kannata luottaa vastaukseen ”joo, salasanat on salattu”, vaan pyytää selvitystä yksityiskohtaisemmalla tasolla huolehtien siitä, että niiden mahdollinen vuotaminen sellaisenaan rikolliselle ei aiheuta yllä kuvattua ongelmaa.
Eikö olisi jo aika oppia?
… että eri palveluissa ei saa käyttää samoja salasanoja? Vaikka esimerkiksi LinkedInin tapauksessa ei ole julkaistu käyttäjien sähköpostiosoitteita ja niitä vastaavia salasanatiivisteitä, ne ovat todennäköisesti murtautujien tiedossa. Kuten kaikki muutkin varoittavat, kun kuulet mediasta että käyttämäsi palvelun salasanoja on vuotanut nettiin, älä aikaile salasanan vaihtamisessa ja optimistisesti kuvittele, että sinun salasanaasi ja tunnustasi ei väärinkäytetä. Jos kaiken lisäksi olet käyttänyt muissa palveluissa samaa salasanaa kuin nyt murretussa, vaihda samalla salasanat kaikkiin muihin palveluihin. Mistä muuten edes tiedät, missä kaikissa palveluissa olet samaa salasanaa käyttänyt?
Miksei samoja salasanoja?
En jaksa uskoa, että kukaan ei ole kuullut miljoonaan kertaan varoitusta siitä, että älä käytä samoja salasanoja eri nettipalveluissa. Toinen tärkeä asia: älä käytä samoja salasanoja sinulle kriittisissä nettipalveluissa. Todennäköisyys, että joku taho lähtee kokeilemaan juuri sinun salasanoja ja sähköpostiosoitetta tai muuta selville saatua tunnistetta muissa palveluissa on pieni, etenkin jos kuulut ”matti ja maija mäkinen” –kategoriaan eli sinua ei voi helposti yksilöidä. Sen sijaan rikollisjärjestöjen omat robotit hoitavat tuon työn automaattisesti tuottaen heille uutta materiaalia heidän oman tietoverkkorikostehtaan tuotantoon. He saavat käyttöönsä tällä tavalla uusia tilejä tai työasemia, joita etähallitaan bot-verkkojen osana. Ethän halua olla tällä tavalla edesauttamassa rikollisjärjestöjen toimintaa?
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 7.6.2012 16:25Case Flame - esimerkki kyberpuolustuksen tärkeydestä
Flamen tekee mielenkiintoiseksi ja poikkeukselliseksi seuraavat asiat, tarkempia yksityiskohtia löytyy CrySysin analyysistä:
- se on saattanut olla liikkeellä huomaamattomana ainakin kaksi, mahdollisesti jopa viisi vuotta
- koko (20 Mt), modulaarisuus (20 modulia) ja monimutkaisuus (useita pakkaus-ja viisi salausalgoritmia, SQLite-tietokanta tietojen tallentamiseen, lua-komentokieli)
- leviämiseen käytetään tunnettuja haavoittuvuuksia (mm. MS10-061) , usb-tikut ja ennen kaikkea leviäminen lähiverkon kautta, kun se pääsee järjestelmänvalvojan oikeuksilla olevaan kohteeseen, osa leviämiskeinoista on ilmeisesti edelleen selvittämättä
- tiettävästi sitä on löydetty kaikki tietoturvapäivitykset sisältävästä Windows 7-ympäristöstä, joten todennäköisyys 0-päivähaavoittuvuuksien hyödyntämiseen on olemassa - syy tähän on myös selvinnyt
- alkuviikosta selvisi, että Flame on levinnyt hyödyntäen Microsoftin Windows updatessa ja wsus-päivityspalvelimessa olevaa toiminnallisuutta, joka mahdollistaa "man in the middle" -tyyppisen hyökkäyksen ja tiputtaa kohdekoneeseen wusetupv.exe-tiedoston, joka on allekirjoitettu varmenteella, joka johtaa Microsoftin root-tasoon saakka. Tosin tiedoston on allekirjoittanut Flamen takana olevat tahot hyödyntäen Microsoftin suurasiakkaille tarkoitettua Terminal Server -aktivointilisenssiä.
- Microsoft on julkaissut tapaukseen liittyvän päivityksen, jonka pitäisi olla nyt testien jälkeen jo joka paikassa jakelussa.
- Flame kerää kaikkea mahdollista tietoa ympäristöstään: tiedostoja, näppäinpainalluksia. Se ottaa näyttökuvakaappauksia kun mielenkiintoinen ohjelma käynnistetään, nauhoittaa mikrofonin kautta ääntä, nauhoittaa Skype-istuntoja, hyödyntää ja kerää tietoja langattomista verkoista, bluetooth-yhteyksistä sekä lähiverkoista ja käyttää myös niitä apuna itsensä levittämiseen
- käyttää useita, muutettavissa olevia c&c-palvelimia (command and control). Esimerkiksi nauhoitetut äänet sekä kaapatut näyttökuvat ja Skype-istunnot lähetetään niihin ssl-salattuna. Yli 80 domain-osoitetta on tunnistettu
- tutkii erityisen tarkasti kohteessa käytössä olevat virustorjuntatuotteet pysyäkseen huomaamattomana
- voidaan poistaa etänä siten, että käytöstä ei jää jälkiä. Flamen paljastuttua c&c-palvelimet ovat pyrkineet poistamaan sitä osasta vähemmän tärkeitä saastutettuja kohdekoneita. Ohjelmassa olevan bugin takia koneeseen jää kuitenkin Flamen komponentteja
- Flame on kohdistettu, eli sitä on löydetty toistaiseksi ennen kaikkea tietyiltä Lähi-idän alueilta, eli Iranista, Israelista, Länsirannalta, Syyriasta, Libanonista ja Saudi-Arabiasta sekä Pohjois-Afrikan maista (Egypti, Sudan). Yksittäisiä havaintoja on nyt tehty myös muualla.
Flame ei ole siis Stuxnetin kaltainen täsmäase, vaan monipuolinen kokoelma tiedustelutoiminnassa käytettäviä toiminnallisuuksia, eräänlainen kyberajan Sveitsin armeijan linkkuveitsi.
On selvää, että tällaista ohjelmistoa ei laadita ilman merkittävää taloudellista tukea ja teknistä osaamista. Stuxnet- ja Duqu-matojen tekijät ovat olleet samoja tahoja, mutta Flamen osalta suoraa yhteyttä niihin ei ole vielä löydetty. Tietyt merkit leviämistavassa antavat ymmärtää, että nämä kaikki saattavat olla saman tahon tilaamia, joiden tuottamisesta on vastannut kaksi erillistä ryhmää, jotka ovat olleet osittain toisiinsa yhteyksissä.
Pitäisikö tästä huolestua?
Ei, mikäli organisaatiollasi ei ole toimintaa niissä maissa, joista Flame on löydetty. Sen sijaan tämä on hyvä esimerkki siitä, että perinteiset haittaohjelmien torjuntaan tarkoitetut ohjelmistot eivät kykene löytämään näitä tällaisia apt-menetelmällä (Advanced Persistent Threat) kehitettäviä hyökkäysmalleja. Stuxnet, Duqu ja Flame ovat jopa vuosia kyenneet piilottelemaan paljastumatta. Jos Stuxnet ei vielä herättänyt kaikkia tahoja ymmärtämään kyberpuolustuksen tärkeyttä, Flamen jälkeen viimeistenkin herätyskellot pitäisi soida.
Sellaiset suojattavat kohteet, jotka ovat organisaation tai yhteiskunnan kannalta niin kriittisiä, että niiden luottamuksellisuuden, eheyden tai saatavuuden osalta ei saa tapahtua poikkeamia, Flame ja vastaavat ohjelmat nostavat suojautumisen rimaa jälleen asteen verran korkeammalle. Monikerroksellisen torjunnan merkitystä ei voi ylikorostaa. Olen mainostanut paljon esimerkiksi sovellusten white listing-tekniikan etuja, muun muassa Windows 7:n AppLockerin osalta. Nyt on tosin pakko todeta, että edes se ei olisi auttanut, koska Flame on levinnyt käyttäen Microsoftin varmenteilla allekirjoitettua tiedostoa!
Stuxnetin juuret alkavat paljastua?
Samassa yhteydessä on esille nostettu Stuxnet- ja Duqu-matojen taustalta uusia tietoja, joiden perusteella niiden alkuperä näyttäisi olevan Yhdysvaltojen valtionhallinnossa. Reutersin uutisen ja alkuperäisen New York Timesin artikkelin mukaan Stuxnetin tehtävänä oli hidastaa Iranin ydinaseohjelmaa. Sen avulla siis ostettiin aikaa. Suosittelen tutustumaan ja seuraamaan myös F-Securen aihetta käsitteleviä Weblog-viestejä, joista saa hieman käsitystä tilanteen laajuudesta ja vakavuudesta.
Nyt on astuttu kokonaan uuteen aikakauteen, josta ei ole enää paluuta vanhaan. Kybersotavarustelun aikakausi on virallisesti käynnistetty!
Näin vakavien mietelmien jälkeen pakollinen loppukevennys, Flamehan on vain uudenlainen automatisoitu Facebook-client, joka tosin ei julkaise kaikkia saamiaan henkilökohtaisia tietoja suoraan julkisuuteen vaan ainoastaan tietojen tilaajalle :-).
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ovat hänen henkilökohtaisia mielipiteitään.
Turvasatama
Kimmo Rousku, Tietoviikko, 28.5.2012 14:16Ict-ammattilainen - sertifioidu!
Oletko niitä henkilöitä, jotka hamuavat kaikki mahdolliset markkinoilla omaan osaamiseen liittyvät sertifioinnit vai evvk? Pääsääntöisesti itse näen sertifiointiin liittyvät asiat positiivisesti, mutta asia ei ole välttämättä niin yksiselitteinen.
Kansainväliset vs toimittajasertifioinnit
Markkinoilta löytyy serttejä jokaiseen lähtöön. Arvostetuimpia ovat globaalit, toimittajariippumattomat sertifioinnit esimerkiksi tietoturvallisuuteen, projektinhallintaan tai ITILiin liittyen. Tietoturvallisuuden puolella mm. ISACAn CISM ja ISC2:n CISSP-sertifioinnit tarjoavat hyvän kombinaation hallinnollista ja teknistä tietoturvallisuutta. IPMAn neliportainen pätevyystaso mahdollistaa sertifioinnin projektiosaamisen ja johtamisen puolella projektiosaajasta (D-taso) aina projektitoiminnan johtajaan saakka (A-taso). ITILin osalta löytyy laaja tarjonta perusteista (foundation) syvällisempään ITIL Expert-tasoon saakka.
Edellisten ohella keskeiset toimittajat ovat tuotteistaneet laajoja sertifiointokokonaisuuksia omien tuotteiden ja teknologiakokonaisuuksien ympärille, tunnetuimpina Microsoftin ja Ciscon sertifioinnit. Toimittajien omat sertifioinnit nostavat heidän tuotteiden ja teknologioiden tunnettavuutta sekä laajantavat tarjolla olevaa asiantuntijaverkostoa ja –palveluita mahdollistaen globaalisti kattavat, yhdenmukaisemman osaamisen mukaiset asiantuntijapalvelut.
Miksi sertifiointi kannattaa?
Itse näen sertifioinnin siitä näkökulmasta, että se osoittaa henkilön oppimishalukkuuden ja aktiivisuuden seurata omaa osaamisaluettaan sekä riittävän kyvykkyyden oman aihealueen uusien tietojen omaksumiseen, pääosin englanninkielisestä materiaalista. Eräs tuttuni totesi, että "sertifiointi osoittaa vain hyvää perslihasten hallintaa ja lehmän hermoja" – siis viitseliäisyyttä istua joko kursseilla tai työpaikalla, kotona pänttäämässä tarvittavaa materiaalikokonaisuutta. Itse olen hieman eri mieltä, itse arvostan esimerkiksi rekrytointitilanteessa hakijan suorittamia serttejä. Ja jos sertifioinnin suorittaa, kannattaa huolehtia sen säilyttämisestä. Tarkista huolella, mitä sertifioinnin ylläpito edellyttää ja keskustele tästä esimiehesi kanssa varmistaen, että sinulla on mahdollista ylläpitää sertifiointia, esimerkiksi tarvittavien ylläpitokoulutusten tai muihin tilaisuuksiin osallistumisen muodossa.
Muistilista
- Mieti, millainen tilanteesi on ja tarjoaako sertifiointi keinon kehittää ammatillista osaamista ja uraasi.
- Tiedätkö, millaista osaamista organisaatiossasi tarvitaan ja sinulta edellytetään?
- Keskustele ja sovi esimiehesi kanssa käytännön järjestelyistä ja varaa riittävä määrä aikaa asioiden opiskeluun
- Hyödynnä netin tarjoamia ilmaispalveluita niin tiivistemuotoisten oppimateriaalien kuin harjoitustenttien ja tenttivastausten muodossa
- Varmista, että hallitset tarvittava englanninkieliset erikoistermit, joihin saatat tenteissä törmätä
- Epäselvissä tenttikysymyksissä tiputa todennäköisimmät väärät vastaukset ulos poissulkemistekniikalla; yleensä jäljelle jää kaksi todennäköisintä
- Älä vastaa kysymyksiin sillä periaatteella, miltä sinusta tuntuu tai omasta mielestäsi oikean vastauksen tulisi olla vaan mieti vastausta kokonaisuuden ja oppiesi perusteella
- Ja aina tarvitaan tentissä ripaus onnea!
Palkkatutkimuksissa on havaittu sertifioitujen henkilöiden palkkatason olevan korkeampi kuin sertifioimattomien. Rekrytointitilanteessa kahden muuten tasaisen hakijan välillä sertifioinnit saattavat tuoda paikan. Samoin jos henkilöltä puuttuu yleisemmin IT-alan tutkintokoulutus, sertifiointien avulla henkilö voi osoittaa asiantuntemuksensa omalla alueellaan. Voiko sertifiointeja olla liikaa? Periaatteessa ei, ellei niiden ylläpitoon ja uusimiseen ala kulua liikaa henkilön aikaa ja yrityksen rahaa.
Mitä etua sertifioinneista on työnantajalle?
Eri tutkimuksissa on pyritty osoittamaan, että sertifioidun henkilöstön tuottamat palvelut ovat laadullisesti ja myös kustannustehokkuuden kannalta paremmin toteutettuja kuin sertifioimattomien. Itse uskon tämän johtuvan siitä, että sertifioinnin yhteydessä joutuu yleensä tutustumaan myös sellaisiin toimintamalleihin ja asioihin, joita normaalisti ei joudu opettelemaan. Sertifiointi lisää myös yleensä asiantuntijoiden välistä verkottumista, tietojen ja parhaiden käytäntöjen vaihtamista.
Jos henkilöstö on sitoutunut opiskelemaan ja sertifioimaan omaa osaamista, siihen tulisi antaa mahdollisuus. Sertifiointi toki lisää henkilön kilpailukykyä ja markkina-arvoa, mutta jos tilanne muuten työpaikalla on toimiva, ei sertifiointihalukkuus tarkoita sitä, että henkilö haluaa lähteä organisaatiosta!
Itseäni eniten ärsyttää etenkin kansainvälisten sertifiointien osalta se, että ne saattavat sisältää sellaisia asioita, joita esimerkiksi Suomessa ei sellaisenaan toteuteta tai esimerkiksi kysytään paikalliseen lainsäädäntöön liittyviä asioita. Riippumatta sertifioinnista, osa asioista saattaa olla sellaisia, että niitä opiskeltaessa saattaa herätä kysymys, milloin ihmeessä tästäkin tiedosta on hyötyä? No, sama koskee kaikkea muutakin opiskelua, sertifiointi ei poikkea tässä muusta opiskelusta.
Rahastuksen makua?
Sertifiointi on kannattavaa liiketoimintaa siihen osallistuville. Sertfioinneista vastaavat organisaatiot velottavat vuosi- tai muita lisenssimaksuja, jotta henkilö voi ylläpitää sertifiointeja. Sertifiointikoulutukset, siihen liittyvät materiaalit, sertifiointikokeisiin liittyvät harjoituspalvelut ja materiaalit ja sertifiointikokeet muodostavat globaalisti miljardibisneksen. Kieltämättä ilmassa on hieman rahastuksen makua, mutta sertfiointikoulutusten hinnat eivät kuitenkaan merkittävästi poikkea muusta ict-koulutuksesta.
Palautetta kimmo@ict-tuki.fi
Kimmo Rousku on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ovat hänen henkilökohtaisia mielipiteitään.
