Ads 468x60px

keskiviikko 30. marraskuuta 2016

Firefox 0-day tietoturva-aukko

Firefox-selaimesta on löytynyt tiistaina 29. marraskuuta erittäin vakava tietoturva-aukko. Aukon avulla voi ohittaa selaimen tietoturvamekanismit ja mahdollistaa haittakoodin suorituksen Windows-pohjaisissa koneissa. Hyödyntäminen ei myöskään ilmeisesti vaadi käyttäjältä muita toimia, kuin haittaohjelmaa levittävällä sivulla vierailun.

Hyökkäys perustuu ROP-ohjelmointiin ja haavoittuvuus laukaistaan javascriptin avulla. Alkuperäinen julkaisija laittoi jakeluun ilmeisesti myös täydellisen deobfuskoidun haittakoodin, eli laajamittaista hyväksikäyttöä on odotettavissa pian - todennäköisesti ensimmäiset kampanjat ovat jo käynnissä. Firefoxin versiot välillä 41 - 50 (uusin) ovat haavoittuvaisia ja korjausta ei vielä ole saatavilla.

Pätkä hyökkäyskoodia

Mielenkiintoisen haavasta tekee se, että sitä on ilmeisesti käytetty Tor-verkoissa. Saastuttamalla jonkin Tor-sivuston, voi saada selville Tor-käyttäjän oikean IP-osoitteen ja muut tunnistamiseen tarvittavat tiedot. Huomattavaa on myös se, että hyökkäyksessä käytetty shellcode on lähes samanlainen, kuin FBI:n vuonna 2013 hyödyntämä koodi. Tällöin paljastettiin lapsipornon levitykseen käytetty Tor-sivusto.

Saastumisen jälkeen haittaohjelma kerää koneesta mm. IP-osoitteen, MAC-osoitteen sekä Windows-koneen nimen ja lähettää nämä Ranskassa sijaitsevalle palvelimelle (IP: 5.39.27.226). Tätä kautta koneella voidaan erittäin suurella todennäköisyydellä suorittaa myös paljon muita toimenpiteitä.

Tällä hetkellä ainoa keino estää reiän hyväksikäyttö on käyttää muita selaimia, kuten Chromea tai Edgeä. Applen OSX-laitteissa ei vielä ole havaittu haavoittuvuuden hyväksikäyttöä, mutta tämäkin on todennäköisesti vain ajan kysymys.

Päivitys: Javascriptin disablointi suojaa myös haavoittuvuudelta. Tämä kuitenkin on epäkäytännöllistä useimmilla sivustoilla.

Päivitys2: Mozilla on julkaissut päivityksen. Haavoittuvuus on korjattu uusimmassa 50.0.2-versiossa.

Lähteet:

Tor-talk-postituslista:
https://lists.torproject.org/pipermail/tor-talk/2016-November/042639.html

Wordfence:
https://www.wordfence.com/blog/2016/11/emergency-bulletin-firefox-0-day-wild

Ars Technica:
http://arstechnica.com/security/2016/11/firefox-0day-used-against-tor-users-almost-identical-to-one-fbi-used-in-2013/

Mozillan virallinen korjaus:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/

Työkaluja organisaation tietoturvallisuuden kehittämiseen ja kypsyystason arviointiin



Alan eri tutkimusten mukaan (mm. IBM, Ponemon) globaalin kyberrikollisuuden vuosittainen hintalappu liikkuu miljardeissa dollareissa. Keskimääräisen tietomurron hinnaksi on laskettu useampi miljoona dollaria ja määrät ovat kasvussa. Vuonna 2018 aletaan soveltaa EU:n tietosuoja-asetusta (GDPR) ja mahdollisen tietomurron hintalappuun voidaan lisätä 20 miljoonaa euroa tai 4 % globaalista liikevaihdosta, jos todetaan, että tiedon suojaamiseksi ei ole tehty riittäviä toimenpiteitä. Nyt viimeistään kannattaa mitata oman tietoturvallisuuden kypsyystaso, ja tehdä tietoturvallisuudesta osa yrityksen jatkuvista prosesseista. 

National Institute of Standards and Technology (NIST) julkaisi kuluvan vuoden syyskuussa Baldrige Cybersecurity Excellence Builder (BCEB) –luonnosversion. Se on työkalu tietoturvallisuuden kypsyystason määrittämiselle ja vaikuttavan kontrolliviitekehyksen tehokkuuden arviontiin. Työkalu julkaistiin itsenäisenä osana Baldrige–laatuohjelman ja NIST:in yhteistyötä, ja se on eräänlaista jatkumoa NIST:in vuonna 2014 julkaistulle kyberturvallisuuden viitekehykselle. Työkalun käyttö ei edellytä, että yrityksellä olisi käytössä NIST:in viitekehys, vaan se soveltuu kaikille viitekehyksille.

BCEB on tarkoitettu kaiken kokoisille organisaatioille ja se on toimialariippumaton. Lisäksi sen käyttö on ohjeistettu koko prosessin läpi. Sen avulla yritys pystyy määrittämään tietoturvallisuuden kannalta kriittiset prosessit, strategiat ja palvelut. Prosessin jälkeen käyttäjä pystyy priorisoimaan tulevia investointeja tietoturvallisuuden osalta ja osaa arvioida paremmin mahdollisia kehityssuuntia. Työkalusta on saatavilla kolme eri versiota, jotka ovat suunnattu yritys- ja säätiöasiakkaille, terveydenhuoltoon ja koululaitoksille. Työkalun tietoturvallisuuden osa-alueet ovat jaettu seuraaviin prosesseihin:
   Leadership
   Strategy
   Customers
   Measurement, Analysis & Knowledge management
   Workforce
   Operations

Työkalun käyttöprosessi on jaettu vaiheisiin, joista ensimmäinen alkaa vastaamalla jokaista prosessia koskeviin kysymyksiin. Vastaamalla kysymyksiin käyttäjä arvioi yrityksen kybervalmiuksia ja kypsyystasoa. Kysymysten määrä vaihtelee prosesseittain ja osassa niistä kysymykset ovat jaettu osa-alueisiin. Vaiheessa kaksi täytetään yhteenvetomatriisi, jossa vastataan kahteen kysymykseen prosesseittain ja arvioidaan yrityksen toimintaa kategorioittain: 
   Approach, asenne tai lähestymistapa, tyylit ja tavat millä prosesseja pyöritetään
   Deployment, strategian, politiikan ja suunnitelmien jalkauttaminen toimintaan ja kulttuuriin
   Learning, oppiminen, toimintatapojen kehittäminen opitun ja havaintojen (mittaaminen, tutkimus) avulla
   Integration, integraatio, miten asenteet ja toimintatavat kohtaavat organisaation tarpeet

Oman toiminnan kypsyys arvioidaan asteikolla Reaktiivinen, Varhainen, Kypsä ja Roolimalli. Edellä mainittujen lisäksi toiminnoille määritetään tärkeysaste. Tulokset saadaan vaiheessa kolme, johon erilliseen matriisiin määritetään yrityksen kypsyystaso nykytilan, trendien, vertailukohteiden ja toimintaan jalkauttamisen mukaan. 

Prosessin läpikäyminen kirjallisesti kuulostaa vaivalloiselta, monivaiheiselta, ja oikeiden tulosten saaminen voi arveluttaa. Työkalu on kuitenkin helppokäyttöinen ja halutessaan varmuutta oman yrityksen tietoturvallisuuden kypsyystasolle, vaikuttavan kontrolliviitekehyksen toimivuudelle ja resilienssille, on tämän työkalun käyttöönotto vaihtoehto. Vaikka työkalu julkaistiin vasta syyskuussa, se on levinnyt laajasti käyttöön Yhdysvaltojen ja Euroopan lisäksi Suomeenkin. Koska BCEB on vielä toistaiseksi luonnosvaiheessa, sen käyttämisestä kerätään palautetta ja sitä kehitetään käyttökokemusten ja havaintojen mukaan. Palautetta voi jättää NIST:lle joulukuun puoleenväliin asti. 

Jos yrityksellä ei vielä ole vaikuttavaa kontrolliviitekehystä, eikä raskaiden standardien tai kansallisten ohjeistusten implementointi omaan toimintaan tunnu tarpeelliselta, voi harkita toimivia vaihtoehtoja muualtakin. Yksi ketteryytensä ja toimivuutensa kannalta liian pienelle huomiolle jäänyt viitekehyksen malli on nimeltään Australian top 35. Nimensä mukaan Australiasta tuleva viitekehys on viranomaisten kehittämä malli, joka sisältää valmiin listauksen 35:sta kehitettävästä tietoturvastrategiasta tai riskistä, jotka koskettavat niin yrityksiä kuin julkishallintoakin. Viitekehys tarjoaa valmiin mallin jalkauttamista varten, mutta on helposti muokattavissa oman riskiarvioinnin mukaan tai toimii hyvänä benchmarkkauksen kohteena. Viitekehys ei sisällä tarkkoja riskejä tai kontrolleja, vaan riskien pienentämiseen tarkoitettuja strategioita, jotka saattavat sisältää useamman kontrollin tai yksittäisellä kontrollilla hallitaan useampia riskejä. Strategiat ovat listattu tärkeysjärjestyksessä siten, että numero yksi on kriittisin. 

Viitekehys julkaistiin jo vuonna 2010 ja sitä on päivitetty vuosina 2012 ja 2014. Kahdessa vuodessa on ehtinyt tapahtumaan paljon ja trendit ovat muuttuneet, mutta listaus on edelleen hyvin ajankohtainen. Käyttöprosessiin ei tule muutoksia, vaikka viitekehyksen ottaisi käyttöön sellaisenaan tai omalle yritykselle muokattuna. Ensimmäisessä vaiheessa strategiat asetetaan tärkeysjärjestykseen ja toisessa vaiheessa arvioidaan strategian jalkauttamiseen liittyviä tekijöitä: 
   Vaikuttavuus kokonaisturvallisuuteen
   Henkilöstön muutosvastarinta
   Suorat kulut
   Ylläpidolliset kulut

Jalkauttamiseen liittyvien tekijöiden lisäksi arvioidaan strategian teknisiä vaikutuksia hyökkäyksen tai tunkeilijan havainnointiin ja estämiseen. Ensin arvioidaan avustaako strategia havainnoimaan tunkeilijan ja seuraavaksi arvioidaan avustaako strategia estämään tai rajoittamaan tunkeilijan toimia kolmessa eri vaiheessa: Koodin ajovaiheessa, verkkoliikenteen kasvaessa vai tiedon vuotovaiheessa. Kolmannessa vaiheessa aloitetaan kehittämissuuntien arviointi ja jalkauttaminen.
Viitekehyksestä huomaa, että se on pitkäjänteisen työn tulos ja sitä on hiottu tarkkaan. Viitekehys on ketterä ja tarjoaa käyttöönottoon runsaasti ohjeita muun muassa tarkkojen kontrollien kehittämiseen ja jalkauttamiseen. Lisäksi jokaisen strategian olemassaolo on perusteltu tarkasti. Käyttäjälle jää ”vain” käyttöönotto. Vaikka käyttöönotto ja jalkauttaminen ovat aina se raskain prosessi, itse hallintajärjestelmä on suunniteltu helpoksi. Viitekehystä seurataan vuosikellon mukaan ja kehittämisstrategioita arvioidaan olemassa olevien kriteerien mukaan. 

Työkalut tietoturvallisuuden kehittämiseen ja kypsyystason arviointiin ovat olemassa ja niitä on muitakin kuin edellä mainitut. Yrityksen harkintaan jää työkalujen valinta ja käyttö. Näiden työkalujen käyttö on globaalisti todettu toimiviksi tavoiksi hallita ja edistää yrityksen tietoturvallisuutta. Tietomurron kulut voivat yksinään nousta miljooniin dollareihin ja GDPR:n myötä kulut voivat edelleen nousta. GDPR:ää aletaan soveltaa toukokuussa 2018 ja viimeistään siitä lähtien yrityksellä tulee olla dokumentoidusti näyttöjä tietoturvallisuuden ja tietosuojan systemaattisesta edistämisestä. Fokusta ei tule kuitenkaan asettaa pelkkään tietosuojaan, sillä se ei edistä tietoturvaa ja ilman prosessinomaista tietoturvan hallintaa ei voi olla tietosuojaa. Tietoturvallisuuden kehittäminen sen sijaan edistää tietosuojaa ja tiedon oikeita hallintatapoja. Rakennetaan ensin pohja ja runko, sitten vasta katto.

Samu Ahvenjärvi

maanantai 7. marraskuuta 2016

Kiristääkö tietoturvavyö?

Ihmiset kokevat usein organisaatioiden käyttämien tietoturvasuojauksien haittaavan työn tekemistä, koska eivät tiedä niiden perusteluja ja koska organisaatiot ovat valinneet käyttäjien työtä estäviä suojauksia: Miksi sähköpostin linkkejä ei voi klikata ilman pelkoa haittaohjelmista? Miksi asiakirjojen makrotoiminnot voivat olla vaarallisia? Miksi erilaisia mielenkiintoisia ohjelmia ei saisi asentaa työasemille vapaasti? Miksi en voisi käyttää löytämääni tai lahjaksi saamaani USB muistitikkua? Miksi en voi valita helppoa salasanaa? Miksi ylipäätänsä pitää vaihtaa salasanaa säännöllisesti? Miksi liitetiedosto ei avaudu suoraan muokattavaksi? Miksi näytölleni tulee koko ajan varoituksia vaaroista? Miksi tietoturvakäytännöt ovat usein rajoittavia? Emmekö voisi ratkaista tietoturvauhkien taustalla olevia oikeita ongelmia häiritsemättä käyttöä ja käyttäjiä?

Eräs suurimmista yrityksiä ja organisaatioita uhkaavista kyberriskeistä on kiristysohjelmien tarttuminen ja leviäminen organisaation työasemiin epidemian tavoin. Maailmalla on tapauksia, joissa verkkokiristäjät ovat iskeneet yhteiskunnan kriittisiin toimintoihin kuten sairaaloihin. Suomessakin on hyökätty terveydenhuollon järjestelmien tietoja vastaan. Kiristysohjelmien julkistamistahti on vain kiihtymään päin, koska rikolliset ovat onnistuneet kiristämään rahaa niillä käyttäjiltä ja organisaatioilta. Mitä voi tapahtua potilaalle, kun kiristysohjelma tarttuu sairaalassa röntgenlaitetta tai leikkausrobottia ohjaavaan tietokoneeseen? Mitä voit tehdä, kun tietosi tai laitteesi on kidnapattu, etkä voi käyttää niitä?

Kun kiristysohjelma tarttuu koneeseen, kaikki tietosisältöä sisältävät tiedostot kidnapataan salakirjoittamalla ne käyttäjän ulottumattomiin. On syytä huomata, että kaikki asiakirjat, joihin kiristysohjelma pääsee käyttäjän oikeuksilla kiinni, kidnapataan. Kiristysohjelma salaa työasemasta löytyvien tiedostojen lisäksi tyypillisesti myös käyttäjälle näkyvien verkkolevyjen hakemistot kuten kotihakemiston tai organisaation yksikön yhteisen verkkolevyn ja jopa pilvipalveluiden tiedostokirjastot, jos on käytössä pilvipalvelun kirjaston replikointi osaksi työaseman levyjärjestelmää. Kyllä olen niin mieleni pahoittanut, kun tiedon suojaamista varten kehitettyä teknologiaakin, salakirjoittamista, käytetään rikolliseen ansaintaan välittämättä seurauksista.

Kun kiristysohjelma on kaapannut salaamalla kaiken käyttäjän tiedon, se esittää lunnasvaatimuksen työaseman tai mobiililaitteen näytöllä: ”Jos haluat tietosi takaisin, maksa 1000€”. Jos maksaa lunnassumman, saa kiristäjiltä salauksenpurkuavaimen, jolla saa tietonsa takaisin – yleensä, mutta ei aina. Aina ei auta vaikka maksaisikin, koska kiristäjien lähettämä salauksenpurkukoodi ei välttämättä toimi, koska kiristysohjelmissakin on esiintynyt ohjelmointivirheitä.

On hyvä valmistautua lopputulokseen, että kaikki tiedot häviävät täysin työasemalta, verkkolevyiltä ja pilvipalveluiden tiedostokirjastoista. Ainoa varma ratkaisu on ottaa säännöllisiä varmuuskopioita paikkaan, johon normaalisti ei ole auki yhteyttä työasemalta. Onhan käytössäsi helppo tapa ottaa säännöllisesti varmuuskopioita tiedostoistasi paikkaan, johon työasemasi ei ole koko ajan yhteydessä? Onko sinun organisaatiosi tietohallinto tuottanut helpon ja luotettavan tavan sekä ottaa säännöllisesti että palauttaa tarpeen vaatiessa varmuuskopioita? Paremmissa pilvipalveluissa on käytössä asiakirjojen versiointi, jolloin voidaan palauttaa aikaisemmat versiot asiakirjoista takaisin työaseman putsaamisen jälkeen. Organisaatioiden tietohallinnon pitäisi, ellei jo ole, olla miettimässä mitä lisäsuojauksia työasemiin tarvitaan kiristysohjelmia vastaan.

Tätä lukiessa tullee helposti mieleen ajatus, että tietoturvan ja helppokäyttöisyyden välillä on aina tehtävä kompromissi. Saatamme ajatella, että hyvin suojatussa palvelussa tai tietojärjestelmässä on rajoitettu toiminnallisuuksia tietoturvan nimessä, ja että joustavammassa ja helppokäyttöisemmässä palvelussa tai tietojärjestelmässä on pakko olla heikko tietoturva. Tämä ei pidä paikkaansa. Jos haetaan alun perin tietoturvan ja helppokäyttöisyyden välistä kompromissia, saavutamme sen, mutta silloin palvelut ja tietojärjestelmät eivät ole kumpaakaan – ne eivät ole tietoturvallisia eivätkä helppokäyttöisiä. Meidän pitäisi tavoitella samanaikaisesti sekä helppokäyttöisyyttä että tietoturvallisuutta. Se on mahdollista.

Esimerkkejä häiritsevistä kompromisseista ja vaivattomista ratkaisuista

Työasemiemme näytölle pomppaa sähköisiä palveluita käyttäessämme mitä erilaisimpia varoitusikkunoita vaaroista. Jos varoituksessa lukee ”Tiedosto on peräisin ei-luotetusta lähteestä, oletko varma, että haluat avata tiedoston?”, niin käyttäjä ajattelee ”Taas tuo häiritsevä viesti, josta pitää päästä mahdollisimman nopeasti eroon.. Klikkaa äkkiä nappulaa..”. Valitettavan usein varoituksia annetaan käyttäjille varmuuden vuoksi ja liian usein, jolloin käyttäjät turtuvat niihin eivätkä jaksa enää lukea niitä, jolloin varoituksien teho laskee. Varoituksia tulisi antaa vain tilanteissa, joissa oikeasti on vaara haittaohjelman tarttumiselle, jotta käyttäjät eivät turtuisi varoituksiin. Vaatii tietojärjestelmien kehittäjiltä ja ylläpitäjiltä ymmärrystä ja aikaa säätää varoitukset ilmestymään vain tosi tarpeessa.

Olemme vuosien varrella oppineet, että linkkien takaa löytyy usein mielenkiintoista tietoa. Tiedonhausta, googlaamisesta, kuolaamisesta on tullut arkipäivää. Viimeaikaisin rikollisten uusi tapa levittää kiristysohjelmia on murtautua tunnettuihin uutissivustoihin, joissa vierailee paljon ihmisiä säännöllisesti, levittää kiristysohjelmaa jokaiselle sivustolla käyvälle. Nykyään tietoturva-ihmiset pohtivat päänsä puhki, miten saisimme opetettua ihmisille, että hakukoneiden ensimmäisiä linkkejä ja sähköpostiviestien epäilyttäviä linkkejä ei saisikaan klikata, koska niiden takana voi lymytä haittaohjelmia ja arkaluontoisten henkilötietojen kalasteluyrityksiä. Kuinka voisimme onnistua tässä, kun ihmisiä on vuosia opetettu siihen, että linkit ovat klikkaamista varten?

Nykyään hyviin tapoihin kuuluu liitetiedostojen sijaan viljellä sähköpostiin linkkejä sisäisille nettisivuille, yhteistyöalustoille tai pilvitoimiston työtiloihin, jotka parhaimmillaan tehostavat yhteistyötä ja asiakirjanhallintaa vähentämällä manuaalista työtä asiakirjamuutosten yhdistelemisessä. Myös sähläys siitä, missä ja kenellä olikaan se viimeinen versio asiakirjasta, poistuisi, jos näin toimittaisiin laajemmin. Kuinka voisimme vähentää haittaohjelmien tarttumista liitetiedostojen kautta, varsinkin Officen makrojen ja PDF tiedostojen skriptien kautta? Asiakirjojen makrojen automaattinen suorittaminen tulisi laittaa käyttäjän hyväksynnän varaiseksi. Yhteistyöalustat ja pilvitoimistot mahdollistavat linkkien jakamisen liitetiedostojen sijaan. Organisaation tietohallinnon tulisi mahdollistaa yhteistyötilojen käytön organisaation ulkopuolisten kanssa, jolloin myös ulkopuolisten kanssa voidaan asiakirjoja jakaa työtilassa sähköpostin liitetiedostojen sijaan.

Organisaation työasemat ovat yleensä tarkoitettu työn tekemistä varten, mutta yllätys yllätys käyttäjät eivät yleensä voikaan muuttaa työasemiensa asetuksia eivätkä asentaa työasemalle uusia ohjelmia, jotta hän voisi tehdä paremmin työnsä, koska työasemaan voisi tarttua haittaohjelmia. Tehokkain yleinen tapa suojautua kaikkia haittaohjelmia vastaan on ollut se, että normaalissa päivittäisessä työskentelyssä ei käytetä tunnuksilla, joilla voisi muokata koneen asetuksia tai asentaa uusia ohjelmia. Kenenkään ei pitäisi käyttää päivittäiseen normaaliin työskentelyynsä työasemaa ylläpito-oikeuksilla. Valitettavasti kiristysohjelmat on tehty fiksummin eivätkä ne yritä laajentaa käyttöoikeuksiaan, muuttaa käyttöjärjestelmän asetusrekistereitä tai kirjoittaa levylle ennen kuin aloittavat asiakirjojen kidnappauksen. Kiristysohjelmat toimivat aivan normaaleille käyttäjän oikeuksilla etsien kaikkia asiakirjoja, joihin käyttäjällä on muutosoikeus. Työasemien ylläpito-oikeuksien kieltäminen käyttäjiltä ei toimi kiristysohjelmia vastaan. Ainoa varma suojautumiskeino on varmistaa ajantasaiset varmuuskopiot, joilta voi palauttaa kaikki asiakirjat tarpeen vaatiessa.

Miksi työasemien suojauksia haittaohjelmia vastaan ei voisi tehdä ilman rajoituksia? Vastausta tähän kysymykseen tulee etsiä kuumeisesti ja ottaa käyttöön heti kun sopiva sellainen löytyy organisaatiolle. Uudemmissa käyttöjärjestelmäversioissa ja selaimissa on mahdollista avata liitetiedostot ns. eristetyssä hiekkalaatikossa, jolloin liitetiedoston mahdollisesti sisältämä haittaohjelma ei voi tarttua koko työasemaan ja sen levyihin. Eräs mahdollinen ratkaisu on myöntää normaalin käyttäjätunnuksen lisäksi ylläpitäjätunnus erikseen niille organisaation työntekijöille, jotka tarvitsevat sellaista. Joissakin käyttöjärjestelmissä on mahdollista myöntää tarkemmin erilaisia laajempia oikeuksia työaseman hallintaan. Lisäksi löytyy maksua vastaan myös uusia haittaohjelmien torjuntaohjelmistoja, jotka havaitsevat kiristysohjelmien tartunnat, jolloin tietoturvavalvontafunktiolla on lyhyt muutaman minuutin aikaikkuna estää asiakirjojen kidnappaaminen.

Unohdamme usein salasanat, joita meidät pakotetaan valitsemaan tietojärjestelmiin, joita käytämme harvoin, tai jos meidät pakotetaan valitsemaan liian vaikea salasana. Tämän välttämiseksi talletamme salasanan selaimeen, paperilapulle lompakkoon tai kännykkään tai parhaimmassa tapauksessa salasanojen kassakaappi-ohjelmaan. Voimme myös joutua pyytämään uuden salasanan, joka kerta kun käytämme harvoin käytettävää tietojärjestelmää tai palvelua. Tällöin tietojärjestelmien suojauksilla ei enää välttämättä ole väliä, vaan tietoturva pelkistyy selaimen, kännykän tai sähköpostin turvallisuudeksi, jos käyttäjällä ei ole erillistä salasanojen kassakaappiohjelmaa käytettävissään.

Koska vihdoinkin pääsisimme salasanoista eroon? On olemassa paljon uusia erilaisia helpompia tapoja ja teknologioita tunnistaa käyttäjät kuin salasanat. Miksi niiden käyttöönottaminen on vielä harvinaista? Käyttäjän tunnistaminen voidaan nykyään tehdä hyvin näkymättömäksi ja automaattiseksi niissä laitteissa, jotka ovat käyttäjän henkilökohtaisia työvälineitä. Näiden teknologioiden käyttöönottaminen vaati aikaa ja investointeja sekä tietojärjestelmien liittämistä keskitettyyn käyttövaltuushallintaan sekä uusien teknologioiden käyttämistä tietojärjestelmissä. Niitä on voitava ottaa käyttöön, koska riippuen organisaation koosta henkilöstöltä kuluu joka päivä aikaa salasanojen kirjoittamiseen kymmeniä ellei satoja päiviä. Vuodessa suurehkon organisaation henkilöstöltä voi kulua salasanojen kirjoittamiseen jopa kymmeniä tuhansia työpäiviä.

Uhrien syyllistäminen tulee lopettaa

Tietoturvauhkien uhrien – käyttäjien - syyllistäminen pitää lopettaa. Tietoturva ei ole ihmisten opettamista tekemään sitä mitä tietoturva tai IT palvelutuotanto haluaa. Hyvät suojaukset toimivat riippumatta siitä mitä ihmiset tekevät. Suojauksien tulee täyttää koko organisaation ja palveluiden käyttäjien turvaamistavoitteet ilman, että käyttäjien pitää tietää loputon määrä erilaisia tietoturvasääntöjä. Palveluiden omistajien ja käyttäjien tulee vaatia samaan aikaan sekä helppokäyttöisiä että turvallisia tietojärjestelmiä. Tietoturvan ja organisaation sisäisten palveluiden tuottajien tulee minimoida käyttäjien häiritseminen tietoturvarajoituksilla, jotka eivät oikeasti ratkaise taustalla olevaa ongelmaa – tietoturvauhkaa – ja opetella miten suojaukset tehdään taustalle huomaamattomiksi rajoittamatta käyttäjiä. Tässä kohtaa on kuitenkin todettava, että valitettavasti teknologia eikä sen tietoturvatoiminnot aina ole läheskään vielä helppokäyttöisiä. Sen ei kuitenkaan pitäisi estää palvelutuotantoa näkemästä aikaa ja vaivaa pohtiessa miten saavutamme sekä helppokäyttöisyyden että tietoturvan samaan aikaan.

Olemme velkaa asiakkaillemme ja henkilöstöllemme, että organisaatio on turvallinen ja joustava työskentely-ympäristö, jossa voi tehdä rauhassa ja pelotta työnsä sekä asiakkaat saada palvelua häiriöttä.

Mitä minä voin tehdä?

Mitä sinä voit tehdä? Huolehtia, että tiedoistasi on riittävän tuoreet varmuuskopiot kaiken varalta paikassa, johon työasemasi ei ole koko ajan verkkoyhteydessä. Päivitä työasemasi ja mobiililaitteesi käyttöjärjestelmä ja ohjelmat aina kun päivityksiä julkistetaan. Älä ole helppo uhri. Mieti kahdesti ennen kuin klikkaat varoitusikkunan pois, sähköpostin linkkiä tai liitettä, ja varsinkin, kun annat luvan suorittaa asiakirjan makron tai mediatiedoston skriptin tai asentaa selaimen ehdottaman ohjelman koneellesi.

Mitä organisaation johtajat voivat tehdä? Pohtia etukäteen, mitä pitää tehdä kun kiristysohjelma estää organisaation tai palvelun toiminnan. Maksaako organisaatio kiristysohjelman lunnaat vai ei? Onko minun organisaationi asiakirjoista aina ajan tasalla olevat varmuuskopiot? Olenko panostanut oman henkilöstöni kyberturva-osaamiseen ja kohdistanut resursseja kyberturvaan riittävästi?

Mitä organisaation palveluiden tietojärjestelmien omistajat voivat tehdä? Huolehtia, että palvelun tietojärjestelmiä kehittäessä käytetään käyttäjille helppoja tunnistamis- ja valtuutusmenetelmiä sekä keskitettyä käyttövaltuushallintaa. Lisäksi, että tietojärjestelmiin ei jää kehitysvaiheessa tietoturva-aukkoja eikä tietojärjestelmien vanhentunut teknologia estä ajantasaisia tietoturvapäivityksiä palvelimissa ja työasemissa. Tämä on helpommin sanottu kuin tehty, koska vaatii keskittymistä, asian tunnollista hoitamista, osaamista ja investointeja.

Mitä tietohallinto voi tehdä? Huolehtia siitä, että asiakirjoista otetaan riittävän usein ajan tasaiset ja toimivat varmuuskopiot sekä mahdollistetaan käyttäjille niiden helppo palauttaminen. Valitkaa infrastruktuuriin ja tietojärjestelmiin samaan aikaan sekä tehokkaat että käyttäjille vaivattomat suojausmekanismit. Halvin tehokkain suojaus on järjestelmien sopiva koventaminen kiristysohjelmia vastaan. Tämäkin on helpommin sanottu kuin tehty, koska vaatii keskittymistä, asian tunnollista hoitamista, osaamista ja investointeja. Edellisen lisäksi auttaa tietoturvapäivityksien pitäminen jatkuvasti ajan tasalla. Saattaa olla myös mahdollista konfiguroida nykyinen haittaohjelmien torjuntaohjelmisto tai hankkia uusi haittaohjelmien torjuntaohjelmisto torjumaan erityisesti kiristysohjelmia.

Mitä tietoturvavastaavat voivat tehdä? Panostaa oman osaamisen kehittämiseen kyberturvassa. Tukea kaikessa mitä yllä on mainittu valaisten realistisesti, liioittelematta, relevantteja riskejä toiminnan ja palveluiden omistajille ja mahdollisuuksia kustannustehokkaisiin ja häiriöttömiin suojauksiin. Valmistautua etukäteen miten auttaa kiristysohjelman häiriötilanneskenaariossa.

Lähteet

1. Blog 3.10.2016, Security Design: Stop Trying to Fix the User, Bruce Schneier.
https://www.schneier.com/blog/archives/2016/10/security_design.html
2. Turvallisuus ja riskienhallinta lehti, Lokakuu 2016, artikkeli: Verkon kiristysohjelmat jo hengenvaarallisia.

perjantai 4. marraskuuta 2016

Älykkäistä esineistä älykkäisiin ihmisiin


Tietotekniikan tutkimus- ja konsultointiyrityksen Gartnerin mukaan vuoden 2016 loppuun mennessä 6,4 miljardia tuotetta on kytketty internetiin. Vuonna 2016 olemme entistä vähemmän kytköksissä aikaan ja paikkaan, ja pystymme laajentamaan omaa tuntemustamme ja ymmärrystämme tästä maailmasta. Mikään mittari tai ennuste ei viittaa siihen että tämä suunta tai vauhti olisi pienenemään päin vuonna 2017 ja sen jälkeen.

Sitä, millä tavalla omistamamme tavarat ovat yhteydessä internetiin ja kuinka niiden toimintaa pystytään ohjaamaan, kehitetään jatkuvasti loppukäyttäjän arkea helpottavaan suuntaan. Tällaisten laitteiden käyttö vaatii tietoturvallisuuden näkökulmasta tarkempaa kehitystyötä. Ilman näyttöä tai näppäimistöä olevien laitteiden oikeanlaisesta toiminnasta on pystyttävä vakuuttumaan. IAM (Identity and Access Management) eli identiteetin- ja pääsynhallinta tarkoittaa elektronisten henkilöllisyyksien hallintaa kootusti. IAM voidaan perinteisesti ajatella liittyvän ainoastaan henkilöiden identiteetteihin ja näihin liittyviin käyttöoikeuksiin, mutta esineiden internet pakottaa käsitteen laajentamista. Asioiden tai esineiden internet eli Internet of Things tarvitsee tuekseen IDoT:n eli asioiden identiteetin (Identity of Things). Tavaroiden identiteetti mahdollistaa esineiden valtuuttamisen ja autentikoinnin käyttäjän toimesta. Esineiden internet voi parhaimmillaan helpottaa käyttäjien elämää etäkäytön myötä, mutta tuotteiden yhdistäminen internetiin avaaminen tuo mukanaan myös uudenlaisia riskejä. Uusi digitaalinen rajapinta täytyy nähdä myös uutena potentiaalisena hyökkäysrajapintana.

Neljännen teollisen vallankumouksen voidaan katsoa alkaneen 2010-luvulla. Siinä missä höyrykone toimi kehityksen vauhdittajana 1800-luvulla, on internet pystynyt toimimaan liiketoiminnan digitaalisen kehityksen moottorina. Yrityselämän digitalisoitumisen taustalla on ajatus asiakaskokemuksen kehittämisestä teknologialähtöisesti. Uudenlaiset teknologiat ja innovaatiot avaavat uudenlaisia mahdollisuuksia liiketoiminnalle. Liiketoiminnan kannalta olennaisten tietojen ja palveluiden siirtyessä verkkoon mahdollistuu liiketoiminnan harjoittaminen missä ja milloin tahansa. Vaikka digitalisoituminen vähentää joidenkin fyysisten ja manuaalisten työvaiheiden määrää, tuo sähköiset palvelut ja IoT (Internet of Things) mukanaan uudenlaisia näkökulmia sekä työhön että riskeihin.

Neljännen teollisen vallankumouksen myötä voimme vakuuttua siitä, että uudenlaiset innovaatiot ja liiketoiminnan kehitys luovat aivan uudenlaisia töitä ja mahdollisuuksia. KPMG Internationalin teettämän Global CEO Outlook – kyselytutkimuksen mukaan jopa 72 % haastatteluista yritysjohtajista kokee seuraavien kolmen vuoden olevan heidän toimialoillaan kriittisempiä kuin edelliset 50 vuotta ovat olleet. Suurimpina uhkakuvina tutkimuksessa nousi esille yritysten tietoturvaan liittyvät riskit sekä uudenlaisen osaamisen katvealueen.  Olennaiseksi osaksi liiketoimintaa on kehittymässä tiedon käsittelyyn ja hallintaan liittyvä näkökulma. Kriittisen tiedon säilyttämiseen ja käsittelyyn liittyvät uhat nousevat esille yhä useammin yritysten arjessa. Käyttöoikeuksien tulee olla kunnossa, jotta voidaan varmistua siitä, että sensitiivisen datan käsittely on mahdollistettu vain tietyille henkilöille ja että heidän käyttöoikeutensa tiedon käsittelyyn liittyen ovat kunnossa. Kriittisen datan vaihtuessa fyysisestä digitaaliseen muotoon, helpottuu tiedon jakaminen usealle henkilölle samanaikaisesti. 1970-luvulta tutuksi tulleen periaatteen ”Principle of least privilege” (Vähimmän oikeuden periaate) tulee ottaa huomioon myös sähköisessä muodossa olevien tietojen käsittelyssä. Jokainen työntekijä tarvitsee työnsä suorittamisen kannalta pienimmän mahdollisen käyttöoikeusmäärän. Vastakohtainen lähtökohta olisi jakaa jokaiselle käyttäjälle samat käyttö- ja pääsyoikeudet. Käyttöoikeuksien ja käyttäjien identiteetinhallinnan lisäksi tietoihin pääsyä täytyy pystyä hallinnoimaan. Pääsynhallinnalla voidaan varmistua siitä, että oikea käyttäjä pystytään valtuuttamaan ja väärinkäytökset estämään.

KPMG:n tutkimuksen “Global profiles of the fraudster” (05/2016) mukaan neljännes yritysten kohtaamista väärinkäytöksistä nojaa teknologioihin. Tutkimuksen kohteena olivat vuonna 2010–2015 KPMG:n rikosteknisten asiantuntijoiden tiedossa olleiden 750 väärinkäytöksen yksityiskohdat ympäri maailman. Tutkimuksen mukaan 86 % väärinkäytöksistä oli kohdeyritysten sisäisiä. Tästä määrästä noin viidennes oli kohdeyritysten entisiä työntekijöitä. Tutkituista väärinkäytöksistä 61 % raportoitiin olevan mahdollisia heikkojen sisäisten kontrollien vuoksi. Väärinkäytöksen tekijöistä 44 % oli asemansa puolesta yrityksessä sellaisessa asemassa, jossa heillä oli mahdollisuus kiertää olemassa olevat kontrollit.

Käyttäjien tunnistamiseen ja valtuutukseen keskittyneet työkalut mahdollistavat työntekijöiden rooliperustaisen käyttöoikeuksien hallinnan, joka automatisoi henkilöstöhallinnon tai joissakin tapauksissa yritysten sisäisten tai ulkoistettujen IT-palveluiden prosesseja. Samalla yritysten sisäisten kontrollien tasoa käyttöoikeuksien valvonnan osalta pystytään nostamaan. Tämä osaltaan voinee vähentää sisäisten väärinkäytösten määrää.

Rooliperusteisesta käyttöoikeushallinnasta voidaan ottaa esimerkiksi yritysten eri osastot. Yritysten alaisuudessa toimivien työntekijöiden toimenkuvat saattavat vaihdella suurestikin toisistaan. Tällöin myös työnantajien on olennaista huomata minkälaista tietoa eri työntekijät tehtäviensä valossa tarvitsevat, ja minkälainen tieto tulee pysyä vain muutaman henkilön nähtävillä. Nykyisellään tällaisten oikeuksien myöntäminen voidaan hoitaa kootusti IAM – työkalulla. Käyttöoikeuksien myöntäminen työtehtävien ja vastuualueiden mukaan pienentää väärinkäytösten riskiä tietoturvan näkökulmasta.

Neljäs teollinen vallankumous ja esineiden internet muokkaavat vauhdilla työelämän totuttuja rutiineita ja manuaalisia prosesseja. Vaikka digitaalisuuden kautta pystytään optimoimaan ja tehostamaan joitakin työn vaiheita, on muistettava että digitaalisuus ja kehitys aukaisevat aina uusia ovia ja uusia mahdollisuuksia. Esineiden internet pystyy manuaalisten prosessien korvaamisen myötä antamaan tilaa uusille innovaatioille. Digitaalisuuden aikakaudella yritysten on pystyttävä panostamaan resursseja kehitystyölle ja uusille teollisuutta ja markkinoita muokkaaville keksinnöille, jotta työelämän viimeisimmästä vallankumouksesta voidaan saada kaikki irti.


Hannamari Sivonen
Advisor, IAM Consulting

tiistai 1. marraskuuta 2016

Oikeustilaa selventävä EU-ennakkoratkaisu koskien dynaamisten IP-osoitteiden henkilötietoluonnetta


IP-osoitteiden kuulumista henkilötietoihin on pohdittu jo pitkään. Asiaan liittyvät kysymykset ovatkin digitalisaation aikakaudella ja esineiden internetin (Internet of things, IoT) arkipäiväistyessä varsin ajankohtaisia, sillä tekniikan kehityksen seurauksena yhä useampi laite on kytkettynä verkkoon, mutta samalla yhä harvemmalla on oma kiinteä IP-osoite. Lisäksi edistyneemmät algoritmit mahdollistavat käyttäjien tunnistamisen koko ajan entistä hajanaisempien tietojen perusteella, mukaan lukien sellaistenkin jotka on jo aikaisemmin kertaalleen pseudonymisoitu tai jopa anonymisoitu.
 
Vuosikymmenen alussa Euroopan unionin tuomioistuin (”EUTI”) katsoi tuomiossaan Scarlet Extended (C-70/10), että internetin käyttäjien IP-osoitteet, joiden avulla nämä käyttäjät on mahdollista tunnistaa täsmällisesti, ovat henkilötietoja. Linjaus koski kuitenkin ainoastaan tilannetta, jossa käyttäjä on mahdollista tunnistaa IP-osoitteen perusteella täsmällisesti (eli lähinnä ns. staattiset IP-osoitteet), ja jossa internetin käyttäjien IP-osoitteiden keräämisen ja tunnistamisen suorittivat internet-yhteyden tarjoajat. Koska muun muassa EU:n henkilötietodirektiivissä (95/46/EY) ja tulevassa EU:n yleisessä tietosuoja-asetuksessa henkilötietojen määritelmään suoran tunnistamisen lisäksi sisältyy epäsuora henkilön tunnistaminen, edellä mainitun EUTI:n tuomion perusteella arvioituna kysymys IP-osoitteiden henkilötietoluonteesta jäi käytännössä hyvinkin avoimeksi. 

IP-osoitteita koskeviin kysymyksiin saatiin hiljattain lisäselvennystä, kun EUTI antoi dynaamisten IP-osoitteiden henkilötietoluonnetta käsittelevän ennakkoratkaisun Patrick Breyer v Bundesrepublik Deutschland (C582/14). Ratkaisussa EUTI toteaa, että dynaaminen IP-osoite on henkilötietodirektiivin mukainen henkilötieto, jos sen tallentaneen ja verkkosivun yleisölle tarjonneen palveluntarjoajan käytettävissä on kohtuuliset oikeudelliset keinot henkilön tunnistamiseksi sellaisten lisätietojen avulla, jotka ovat tämän henkilön internet-yhteyden tarjoajan käytettävissä.

Ratkaisu on merkittävä ensinnäkin siksi, että se koskee dynaamisia IP-osoitteita eli tilapäisiä osoitteita, jotka annetaan kunkin internet-yhteyden yhteydessä ja jotka vaihtuvat myöhempien internet-yhteyksien yhteydessä. Ymmärrettävästi EUTI on ratkaisussaan todennut olevan kiistatonta, ettei dynaaminen IP-osoite itsessään ole tunnistettua luonnollista henkilöä koskeva tieto, koska siitä ei käy suoraan ilmi, kenelle luonnolliselle henkilölle tietokone, jolta internet-sivustolla on käyty, kuuluu. Tällainen osoite ei myöskään paljasta suoraan muiden mahdollisten käyttäjien henkilöllisyyttä. Unionin lainsäädäntö ei kuitenkaan edellytä henkilötiedon määritelmältä sitä, että tietyn tiedon perusteella yksin olisi mahdollista tunnistaa yksittäinen rekisteröity henkilö. Dynaamisesta IP-osoitteesta tuleekin henkilötieto, kun se yhdistettynä muihin tietoihin mahdollistaa luonnollisen henkilön tunnistamisen epäsuorasti.

Toisekseen ennakkoratkaisu on merkittävä siksi, että sen mukaan epäsuoralta tunnistamiselta ei edellytetä, että IP-osoitteen tallentajalla itsellään tulisi olla käytettävissään lisätietoja käyttäjien epäsuoraksi tunnistamiseksi. Henkilötietodirektiivin perusteluissa ei nimittäin ole edellytetty, että kaikkien tietojen, joiden perusteella rekisteröity voidaan tunnistaa, tulisi olla yhden ainoan tahon hallussa. Kyseisen ennakkoratkaisun tapauksessa tällaiset tiedot olivat kyseisen sivuston käyttäjän internet-yhteyden tarjoajan hallussa. Tämän mukaisesti epäsuoran tunnistamisen tilanteissa merkitykselliseksi nouseekin se seikka, onko rekisterinpitäjän tai muun tahon käytettävissä kohtuullisesti toteutettavissa olevia keinoja verkkosivun käyttäjän, eli luonnollisen henkilön, tunnistamiseksi.

Useimmiten palveluntarjoajalla lienee käytännössä jonkinlainen mahdollisuus yhdistää dynaaminen IP-osoite ja muut hallussaan olevat tiedot, kuten vierailun kellonaika ja pituus, muiden tahojen hallussa oleviin lisätietoihin rekisteröidyn tunnistamiseksi. Ennakkoratkaisun perusteluissa mainitaan tällaisina kohtuullisina toteuttamiskelpoisina keinoina muun muassa keinot, joiden avulla verkkomediapalvelujen tarjoaja voi esimerkiksi kyberhyökkäystilanteessa vaatia toimivaltaista viranomaista ryhtymään tarvittaviin toimiin lisätietojen hankkimiseksi internet-yhteyden tarjoajalta rikosoikeudellisen menettelyn käynnistämistä varten. Tällöin verkkomediapalvelujen tarjoajalla voidaan katsoa olevan käytettävissään kohtuullisesti toteutettavissa olevia keinoja, muiden tahojen avulla, tunnistaa tallennetun IP-osoitteen perusteella käyttäjän henkilöllisyys.

Edellä kuvatulla tavalla dynaaminen IP-osoite on tietyin edellytyksin EU:n henkilötietolainsäädännön mukainen henkilötieto. Nämä edellytykset voivat annetun ennakkoratkaisun mukaan täyttyä, vaikka IP-osoitteen tallentavalla taholla itsellään ei olisikaan ilman lisätoimia käytettävissä niitä lisätietoja, joilla tunnistus voidaan tehdä, ja vaikka kyseisen tahon tavoitteena ei edes olisi tunnistaa henkilöä. IP-osoitetta ei kuitenkaan katsottaisi henkilötiedoksi, jos rekisteröidyn tunnistaminen olisi laissa kielletty, tai jos se ei olisi käytännössä toteutettavissa esimerkiksi siitä syystä, että se veisi suhteettomasti aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä.

Kyseinen EUTI:n ennakkoratkaisu on luettavissa täällä.

Emma Swahne