Ads 468x60px

torstai 17. huhtikuuta 2014

Perusoikeudet korostuvat EU-tuomioistuimen tietosuoja-alan tuomiossa

EU-tuomioistuin korosti vahvasti tietosuojan asemaa kaikkia jäsenvaltioita sitovana kansalaisten perusoikeutena 8.4.2014 Digital Rights Ireland -tapaukseen antamassaan tuomiossa, jossa se julisti EU:n teletunnistetietojen säilyttämistä koskevan direktiivin (2006/24/EY) pätemättömäksi. Direktiivissä edellytettiin tietoliikennepalveluntarjoajan säilyttävän kaikki asiakkaidensa viestintään liittyvät tunnistamis- ja paikkatiedot 6-24 kuukauden ajan siinä tarkoituksessa, että tieto olisi viranomaisten hyödynnettävissä vakavaa rikollisuutta torjuttaessa ja selvitettäessä.

Sinänsä tärkeitä tarkoitusperiä edistävällä sääntelyllä oli oikeuden päätöksen mukaan erityisesti se puute, että yksityisyyden suojan, lähemmin henkilötietojen suojan sisältö jäi turvallisuutta tavoittelevien toimenpiteiden seurauksena epäselväksi. Kerättäviä tietoja ja niiden luonnetta ja laajuutta ei nimittäin ollut suhteutettu siihen, mitä niistä yleisen turvallisuuden intresseissä oletettiin löydettävän. Tietojen säilytysvelvollisuus ei kohdistunut esimerkiksi tietyn rikostutkinnan kannalta epäilyksenalaiseen henkilöjoukkoon. Myöskään viranomaisten valtuuksia näiden tietojen käyttämiseksi ei ollut määritelty direktiivissä riittävän tarkasti. Direktiivi mahdollisti siis periaatteessa jatkuvan valvonnan jokaiseen verkkoympäristössä toimivaan henkilöön riippumatta siitä, onko hänen toimintansa antanut aihetta minkäänlaiselle rikosepäilylle.

Toinen keskeinen ongelma on se, että vaikka kerättävät tiedot eivät annakaan pääsyä siihen kuuluvan viestinnän sisältöön, voi jo tunnistamistietojen avulla päätellä yksityisyyden piiriin kuuluvista asioista melko paljon. Tietoja yhdistelemällä ja analysoimalla voidaan saada selville yksityiskohtaisia ja arkaluontoisiakin tietoja melkeinpä kenen tahansa elämästä ja toiminnasta. Direktiivissä ei EU-tuomioistuimen mukaan ollut myöskään varauduttu riittävästi tietojen säilyttämiseen liittyviin ilmiselviin riskeihin. Miten voidaan taata, etteivät tiedot joudu vääriin käsiin tai etteivät tiedon saamiseen oikeutetut viranomaiset käytä tietoa muihinkin tarkoituksiin? Entä minkälainen rikos voidaan katsoa direktiivin tarkoittamassa mielessä riittävän vakavaksi oikeuttaakseen tietojen hyödyntämisen?

EU-tuomioistuin totesi ratkaisussaan, että direktiivi puuttuu liiallisesti EU:n perusoikeuskirjan turvaamiin yksityisyyden suojaan (7 artikla) ja henkilötietojen suojaan (8 artikla). Vaikka tällä hetkellä voimassa olevat keskeisimmät tietosuojasäännökset niin kansallisella kuin unionin tasolla ovat peräisin 1990-luvun lopulta ja siten auttamattomasti teknistä kehitystä jäljessä, EU:n perusoikeuskirja ja sen turvaamat jäsenvaltioita sitovat perusoikeudet tukevat siis epäsuorasti mutta tehokkaasti henkilötietojen suojan toteutumista myös vuoden 2014 verkkoympäristössä. EU-tuomioistuin osoittaa ratkaisullaan, että henkilötietojen suoja on perusoikeutena vakavasti otettava ja itsenäinen oikeus, jonka toteuttaminen edellyttää rekisterinpitäjiltä etukäteistä suunnittelua ja riskien huolellista kartoittamista, jatkossa tuntuvien sanktioiden uhalla.

Kumotun direktiivin edellyttämästä tunnistamistietojen säilyttämisestä on Suomessa kansallisella tasolla säädetty erityisesti sähköisen viestinnän tietosuojalaissa. Direktiivin pätemättömyys ei tarkoita sitä, että sen nojalla säädetyt kansalliset lait kumoutuisivat automaattisesti, vaan säännösten mahdollinen uudelleenarviointi on kansallisen lainsäätäjän tehtävä. Tuomion perusteella on kuitenkin ilmeistä, että voimassa olevaa lainsäädäntöä tulee tulkita siten, että unionin perusoikeuksina turvatut yksityisyyden suoja ja henkilötietojen suoja toteutuvat kaikessa verkkoviestinnässä vastapuolen legitiimejä intressejä sivuuttamatta. Perusoikeuksien rajoittaminen on toki edelleenkin mahdollista yhteiskunnallisesti tärkeistä syistä, mutta rajoitusten tulee olla selvästi ja tarkkarajaisesti määriteltyjä ja niiden tulee olla oikeassa suhteessa suojattaviin perusoikeuksiin.

EU-tasolla ollaan parhaillaan valmistelemassa uutta tietosuoja-asetusta, joka on tarkoitus saattaa voimaan lähiaikoina. Asetuksen myötä tietosuojavaatimukset pyritään harmonisoimaan samalle tasolle koko unionin alueella. Tämä aiheuttaa kaikille henkilötietoja käsitteleville organisaatioille myös entistä tarkemmin määriteltyjä velvollisuuksia. Käytännössä organisaatioiden on jatkossa suunniteltava henkilötietojen kerääminen, käsittely ja säilytys huolellisesti etukäteen ottaen huomioon käsittelyn tarkoitus, jonka on oltava oikein suhteutettu yksityisyyden ja henkilötietojen suojaan. Suomessa on lisäksi parhaillaan vireillä Tietoyhteiskuntakaari-nimellä tunnettu lainsäädäntöhanke, jossa mm. tietosuojaa ja sähköistä viestintää koskevat säännökset kootaan saman säädöksen alle. On odotettavissa, että Digital Rights Ireland -tuomio ja EU:n tietosuoja-asetuksen valmistelu vaikuttavat osaltaan myös kotimaisten säännösten uudistamiseen.

Tunnistamistietojen säilyttämistä koskevan direktiivin kumoaminen ei välttämättä vaikuta suoraan henkilötietoja käsittelevien organisaatioiden toimintaan. EU-tuomioistuimen ratkaisu kertoo kuitenkin vahvistuvasta trendistä, jonka mukaisesti sekä EU:n tasolla että kansallisella tasolla on odotettavissa tiukempaa sääntelyä henkilötietojen suojaamisen alalla. Liiketoimintaympäristöstä johtuvat, kaupalliset sekä juridiset riskit kasvavat jatkossa, ja rekisterinpitäjien on syytä varautua näihin hyvissä ajoin.


Salha Hanna (at kpmg fi)
Mikko Viemerö (at kpmg fi)

keskiviikko 16. huhtikuuta 2014

Tuore hallituksen esitys yksityisistä turvallisuuspalveluista

Valtioneuvosto antoi 3.4.2014 eduskunnalle hallituksen esityksen eduskunnalle laiksi yksityisistä turvallisuuspalveluista sekä eräiksi siihen liittyviksi laeiksi (HE 22/2014 vp, jäljempänä ULYTP). Hallituksen esitys löytyy kokonaisuudessaan esimerkiksi sisäasiainministeriön yksityistä turvallisuusalaa koskevan lainvalmisteluhankkeen II vaiheen kotisivuilta.

Tammikuussa 2013 lausunnoille lähetettyä hallituksen esitysluonnosta on virtaviivaistettu karsimalla poikkeusäännöksiä. Toisaalta hankeen tavoitteena oleva alan lainsäädännön selkeyttäminen vaikuttaisi jäävän edelleen HE:ssa todetuin tavoin pääosin lainsäädäntötekniseksi.

Vartioimisliiketoiminta ja uudistetuin termein järjestyksenvalvontatoiminta ehdotetaan nyt säädeltäväksi koottuna yhteen lakiin (ULYTP). Aikaisemmat järjestyslain 22 §:ssä tarkoitetut järjestyksenvalvontatehtävät säädeltäisiin nyt osana järjestyksenvalvontatoimintaa ULYTP:n 28 §:ssä. Järjestyksenvalvontatoiminta ehdotetaan samalla säädettäväksi vartioimisliiketoiminnan tavoin elinkeinoluvanvaraiseksi kokoontumislaissa tarkoitettuja yleisötilaisuuksia ja yleisiä kokouksia lukuun ottamatta. Elinkeinolupaa ei tarvittaisi myöskään niin sanotussa omajärjestyksenvalvonnassa, eli esimerkiksi silloin, jos järjestyksenvalvojat työskentelevät suoraan työnantajanaan olevan ravintoloitsijan palveluksessa.

Hyväksymistä edellyttävien turvasuojaustehtävien hoitaminen edellyttäisi myös jatkossa turvallisuusalan elinkeinoluvan. Uuden määritelmän mukaan hyväksymistä edellyttävällä turvasuojaustehtävällä tarkoitettaisiin sähköisten ja mekaanisten lukitusjärjestelmien, murtohälytysjärjestelmien ja kulunvalvontajärjestelmien asentamista, korjaamista tai muuttamista. HE:n perustelujen perusteella lainsäätäjän voidaankin arvioida huomioineen hyvin HE luonnoksesta 3.1.2013 annetun, tietoturvallisuuden merkitystä korostaneen kritiikin. Elinkeinoluvan piiriä ehdotetaan sen vuoksi laajennettavaksi alan itsensä toivomusten mukaisesti esimerkiksi lukkoliikkeisiin ja sähköisiä turvallisuusjärjestelmiä asentaviin yrityksiin.

Hallituksen esitys sisältää myös useita toiminnallisesti merkittäviä uudistuksia. Ehkä kiinnostavin löytyy HE:n perustelujen rivien välistä: vartioimistehtävien ja järjestyksenvalvontatoiminnan suorittamistapojen sääntelystä luovuttaisiin. Samalla toimeksiantojen, jotka sisältävät yleisen järjestyksen ja turvallisuuden ylläpitämistä koskevia tehtäviä, rangaistavuudesta ehdotetaan luovuttavan. Käytännössä jo nyt varsin vapaasti yhdisteltyjen suorittamistapojen määrittelystä luopuminen ja yleisen järjestyksen ja turvallisuuden ylläpitämistä koskevien tehtävien rangaistavuuden rikoslakirikoksena poistaminen parantanee kilpailuneutraliteettia ja antanee tilaa myös innovatiiviselle tuotekehitykselle.

Toimintatilan antamisen vastapainona HE:ssa on painotettu johdon ja vastaavien hoitajien vastuukysymyksiä. Mahdolliset uudet tehtävätyypit olisikin ohjeistettava hyvin tekijöilleen. Mahdollisuus yhdistää vartioimistehtäviä ja järjestyksenvalvontatoimintaa avannee myös mahdollisuuksia toiminnan tehostamiseksi, kunhan henkilökunnan lakisääteisistä edellytyksistä, kuten henkilökohtaista hyväksymisistä ja koulutuksesta pidetään asianmukaisesti huolta. Eräänä liiketoimintamahdollisuutena avautuisi HE:ssa nimenomaisesti ehdotettu niin sanottu poliisin putkavalvonta, josta aikaisemmin on tehty kokeiluja maakunnissa. Viranomaisten ”tontille” ei kuitenkaan perustuslakimme säännösten vuoksi voisi edelleenkään mennä. Poliisihallituksella olisi ULYTP:n perusteella mahdollisuus peruuttaa turvallisuusalan elinkeinolupa törkeän huolimattomasti tai tahallaan viranomaisperiaatetta (merkittävää julkista valtaa saa käyttää vain viranomaiset) loukkaavilta toimijoilta, jos nämä eivät huomautuksista huolimatta korjaisi toimintaansa.

Vartijoiden ja järjestyksenvalvojien tosiasiallista toimintaa helpottaisivat erityisesti uudet toimivaltuudet. Niitä olisivat vartijoille ehdotettu pääsyn estämistä koskeva uusi oikeus ja poistamisoikeuden kehittäminen vartijan oman päätöksenteon suuntaan sekä rajoitettu mahdollisuus vapauttaa kiinniotettuja henkilöitä ilman poliisille luovuttamista. Järjestyksenvalvojien nykyinen velvollisuus estää henkilön pääsyn toimialueelleen eräissä tilanteissa muutettaisiin oikeudeksi, joka mahdollistaisi niin sanotun kiertävän ja hälytyksen luontoisen järjestyksenvalvonnan. Samalla parannettaisiin esimerkiksi tarjoilijoiden mahdollisuutta toimia järjestyksenvalvojina päätehtäviensä ohessa niin sanottua omajärjestyksenvalvontaa tehdessä. Vanha sanonta, että valta lisää vastuuta, pitää tässäkin paikkansa. Toimivaltuuksien toteutuessa HE:ssa ehdotetulla tavalla kaikkien osapuolten oikeusturva edellyttää laadukasta koulutusta toimivaltuuksien käyttämisestä.

ULYTP on tarkoitettu astumaan voimaan 1.1.2015. Elinkeinolupien hakemisen ja toiminnan jatkamisilmoitusten osalta HE:ssa ehdotetaan Vartioimisliikkeiden osalta kuuden kuukauden ja järjestyksenvalvontatoiminnan sekä turvasuojaustoiminnan osalta kahden vuoden siirtymäaikaa. Turvallisuusalan elinkeinoluvan tuomasta kilpailuedusta, lain avaamista markkinoista tai laadukkaimman toiminnan tuomasta maineesta nauttivat luonnollisesti eniten ensimmäisenä liikkeellä olevat. Kiireisimmät kilpailuttajat saattavat asettaa luvan myös tarjouskilpailuun osallistumisen ehdoksi heti lainsäädännön voimaantulosta alkaen. Hallituksen esitykseen kannattaakin tutustua huolellisesti arvioiden mitä se oman yrityksen toiminnan kannalta tarkoittaa ja mitä mahdollisuuksia se voisi avata.


Tässä artikkelissa esitellyllä ULYTP:n muutoksella olisi yhdessä turvallisuuselvityslakiin ehdotettujen muutosten kanssa merkitystä myös tietoturvarvallisuuden hallinnassa etenkin palvelujen tuottajien mutta myös käyttäjien näkökulmasta. Jatkamme aiheesta myöhemmin asiaan keskittyvällä artikkelilla!

Vesa Ellonen
Puh. 020 760 3125

torstai 10. huhtikuuta 2014

Heartbeat-haavoittuvuus - mitä sinun pitäisi tietää?



Tietoturvatutkijat julkaisivat 8.4. tiedot vakavasta aukosta OpenSSL-kirjastossa. Haavoittuvuus on erittäin mielenkiintoinen kahdesta syystä. Ensimmäiseksi OpenSSL-kirjastoa käytetään hyvin laajasti, mm. monessa kaupallisessa tuotteessa. Erittäin suosittu se on luonnollisesti avoimen lähdekoodin sovelluksissa. Joidenkin arvoiden mukaan kaksi kolmasosaa SSL/TSL-salatuista palveluista käyttää OpenSSL-kirjastoa. Toiseksi haavoittuvuus mahdollistaa haavoittuvan palvelimen muistin lukemisen. Haavoittuvuus ei siis mahdollista suoraan palvelimelle murtautumista. Tästä syystä sen CVSS-pisteytys ei ole järin korkea: 5.0. Tietoturva-ammattilaisen näkökulmasta bugi on kuitenki merkittävimpiä viime aikoina julkaistuja haavoittuvuuksia.

Heartbleediksi nimetty haavoittuvuus vuotaa siis palvelimen muistia. Vika on TLS-protokollan heartbeat-toimminnallisuudessa. Tämän avulla voidaan pitää TLS-yhteyksiä auki, ilman että aikaa vievää kättelyä ja salauksen uudelleen neuvottelua tarvitsee käydä läpi. Käytännössä haavoittuvuuden avulla pystyy lukemaan 64 kilotavua OpenSSL:n käyttämää muistia. Alla on linkitetty video, jossa haavoittuvuus, sen syyt ja vaikutus käydään läpi erittäin selkeässä esityksessä.

Muistin luku rajoittuu luonnollisesti vain OpenSSL-kirjaston varaamaan muistiin - kaikkea palvelimen muistia sillä ei voi lukea. Luetun alueen sijainti ei myöskään ole kontrolloitavissa. Tästä johtuen yksi lukukerta ei vielä välttämättä johda mielenkiintoisen tiedon vuotamiseen. Hyökkäys on kuitenkin erittäin nopea tehdä ja helposti toistettavissa useita kertoja. Käytännössä voidaan olettaa, että lähes kaikki OpenSSL-kirjaston muistista on luettavissa, ennemmin tai myöhemmin. Testeissä tutkijat ovat onnistuneet lukemaan haavoittuvuuden avulla sertifikaattien avaimet, muita salausavaimia ja käyttäjien salasana- ja tunnuspareja. Näistä merkittävin on tietysti sertifikaatin avaimet. Tämän avulla hyökkääjä pystyy avaamaan kaiken palvelimen ko. sertifikaatilla salaaman liikenteen - sekä menneisyyteen että tulevaisuuten. Mikäli hyökkääjä olisi esimerkiksi onnistunut tallentamaan liikennettä jo pitkältä ajalta, olisi se nyt kaikki luettavissa. Käyttäjätunnuksilla pystyy tietenkin kirjautumaan ko. palveluun uhrin oikeuksin.

I looked at some of the data dumps from vulnerable sites, and it was ... bad. I saw emails, passwords, password hints. SSL keys and session cookies. Important servers brimming with visitor IPs. Attack ships on fire off the shoulder of Orion, c-beams glittering in the dark near the Tannhäuser Gate. I should probably patch OpenSSL.

©Randal Munroe / XKCD.com


Haavoittuvuuden vaikutuksen rajoittaminen on hyvin hankalaa. Protokollan määritysten vuoksi heartbeat-viestin voi lähettää ennen varsinaista tunnistautumista (jos käytetään asiakassertifikaatteja). Hyökkäyksestä ei myöskään jää jälkiä lokeihin, joten sen havaitseminen on hankalaa. Jotkut valmistajat ovat tosin jo päivittäneet IDS/IPS-ratkaisunsa, ja riippuen toteutuksesta ne voivat joko estää tai ainakin havaita hyökkäykset.

Haavoittuvuuden korjauksen jälkeen on myös vaihdettava kaikki haavoittuvassa palvelussa käytössä olleet sertifikaatit. OpenSSL v1.0.1g sisältää korjauksen mm. tähän bugiin. Vanhimmat toteutukset eivät ole puolestaan sisältäneet bugia, eli ennen joulukuuta 2011 tehdyt asennukset eivät ole haavoittuvaisia. Sinänsä olisi toivottavaa, että kirjastoa olisi päivitetty tämän jälkeen, mutta mikäli näin ei ole, ei palvelu ole haavoittuvainen.

Hollannin kyberturvallisuusviranomainen NCSC suosittelee myös kaikkien salasanojen vaihtamista, joita on käytetty haavoittuvan palvelun yli. Tämä voi olla käytännössä erittäin merkittävä urakka. Organisaatioiden onkin tehtävä riskiarvio, kannattaako siihen ryhtyä. Myös muita avaimia, salasanoja tai vastaavia on voitu siirtää haavoittuvan palvelun yli, mutta kaikkien näiden selvittäminen ja vaihtaminen voi olla käytännössä mahdotonta.

Yksi ala kuitenkin varmasti tästä riemuitsee. Sertifikaattien myöntäjillä lienee kauppa käynyt viimeisten parin päivän aikana, kun suuri osa asiakkaista uusii sertifikaattejaan. Kaikki eivät tästä laskuta, mutta useimmilla myöntäjillä lienee vähintään pieni maksu sertifikaattien kumoamisesta ja uudelleen myöntämisestä.

-Antti Alestalo

Lisätietoja:

Heartbleed.com
Kyberturvallisuuskeskuksen tiedote Heartbleed-haavoittuvuudesta.
Heartbleed-testaustyökalu - HUOM! Mieti, onko tämän tiedon jakaminen välttämättä viisasta. Emme tiedä, kuka on tämän sivun pystyttänyt. Tekijä voi myös helposti kerätä täältä haavoittuvia kohteita. Testi sinänsä vaikuttaa toimivalta.
Python-työkalu testaamiseen - Tällä testasimme mm. KPMG:n omia palvelimia
Tech Crunchin video haavoittuvuudesta
Ars Technican artikkeli aiheesta
XKCD:n näkemys aiheeseen
XKCD:n selitys bugin toiminnasta - nerokkaan yksinkertaista, loppujen lopuksi!

tiistai 8. huhtikuuta 2014

Kyberturvallisuuden tilanne, uhat ja tie eteenpäin



Eräässä yhteydessä syntyi tällainen kyberturvallisuuteen liittyvä teksti, joka on liian pitkä alkuperäiseen tarkoitukseen, mutta mielestäni niin ajankohtainen, että se ansaitsee tulla julkaistuksi kokonaisuudessaan. 
Kyberturvallisuuden tilanne, uhat ja tie eteenpäin

Suomessa on historiallisesti tuudittauduttu osittain virheelliseen turvallisuuden tunteeseen, jonka yhtenä perusteena on käsitys suomalaisten tietoverkkojen ”puhtaudesta” ja turvallisuudesta. Tietoverkkojen puhtaus tässä yhteydessä tarkoittaa sitä, että julkisissa verkoissa on havaittu vähemmän tunnistettuja haittaohjelmia, kuin muiden maiden verkoissa. Haastattelemamme suomalaisen asiantuntijan mukaan suomalaisten verkkojen puhtaiden korostaminen tekee karhunpalveluksen suomalaiselle kyberturvallisuudelle. Tunnetut ja havaitut haittaohjelmat eivät ole se tärkein ongelma. Niihin toimivat perinteiset suojaukset, kuten virustorjunta.  Ongelma on se, mitä ei havaita. KPMG:n Partner Mika Laaksonen ravistelee suomalaisia yrityksiä heräämään tilanteeseen. Pohjoinen lintukotoajattelu on juurtunut toisinaan varsin tiukasti ajatusmaailmaamme ja siksi pyysimme yhdysvaltalaista Chris Foglea Delta Risk -yhtiöstä valottamaan kansainvälistä kulmaa asiaan ja siihen miten Yhdysvalloissa on reagoitu tilanteeseen.

Suomalaisten yritysten nykytilasta

”Oman näkemykseni mukaan kyberturvallisuuden ja tietoturvallisuuden merkittävin ero on siinä, että tietoturvallisuudella turvataan yleensä yksittäisen organisaation toimintaa ja tietoa, kun kyberturvallisuuteen liittyy yhteiskunnan toimintojen turvaaminen laajemmin. Osittain kyse on siis varautumisesta. Merkittävää on myös se, että kyberturvallisuus vaatii tietoturvallisuuteen verrattuna vielä enemmän julkisen ja yksityisen sektorin välisistä sekä sisäistä yhteistyötä, ”aloittaa Mika Laaksonen jatkaen, ”vuoden 2013 loppupuolella julkistimme oman KPMG:n tekemän tutkimuksen[1], jossa pyrimme selvittämään mitä ennestään tunnistamatonta, selvästi aktiivisiin tietomurtoihin viittaavaa, liikennettä suurien suomalaisten pörssiyritysten verkoissa on.  Käytännön syistä tutkimukseen saatiin ja voitiin ottaa 10 yritystä. Puolessa näissä vähintään yhteen, yleensä useampaan, sisäiseen järjestelmään oli onnistuneesti murtauduttu ja murto oli edelleen aktiivinen.”

Tutkimuksessa voitiin havaita analysoimalla sisäisistä järjestelmistä ulospäin lähtevää liikennettä sellaisessa verkon pisteessä, jossa perinteiset suojaukset, kuten palomuurit ja virustorjunnan ovat jo tehneet voitavansa. Tämän ja muiden tutkimusten tulokset ja esimerkiksi Ulkoministeriön tietovuodon julkisuuteen annetut tiedot vahvistavat 2 asiaa:
1.      Kyky havaita ei-toivottuja verkossa tapahtuvia asioita (tietomurtoja) on aivan riittämätön
2.      Suurin uhka sisäisille järjestelmille tulee työasemien kautta – Yleensä on ensin pystytty murtautumaan yhden tai useamman käyttäjän työasemaan ja etenemään siitä muihin järjestelmiin
Varautumisesta
Kysyttäessä mitä yritysten tulisi tehdä, hymyilee Chris Fogle ja sanoo, ”Yritysten tulisi ennen kaikkea ymmärtää seuraavien kolmen osa-alueen merkitys cyber - puolustautumiselleen. Nämä kolme osa-aluetta ovat tiedon jakaminen, säännöllinen harjoittelu ja harjoitusten kautta saavutettu kyky toimia.

Chrisin mukaan useimmat cyber -asiantuntijat ovat samaa mieltä siitä että hyvä puolustus tarvitsee ihmisiä, osaamista ja teknologiaa. Kaikki kolme elementtiä ovat tärkeitä, mutta valitettavan usein yritykset luottavat liikaa pelkkään teknologiaan. Cyber -uhat löytävät aina tiensä ohittaakseen sen. Chris toteaa, ””En tarkoita tällä että teknologia on huonoa tai sitä ei tarvita. Päinvastoin, nykyinen turvallisuusteknologia on valovuosien päässä siitä mitä se oli joitain vuosia sitten. Moni hyökkäys saadaan toteutettua käyttämällä ”ei teknistä” tapaa ohittaa teknologinen puolustus vaikkapa hyödyntäen käyttäjien hyväuskoisuutta.”

Chris lisää, ”Ongelman aiheuttaa se miten käytämme teknologiaa puolustautumisessa, sillä perinteisesti ajattelevat turvallisuusammattilaiset näkevät teknologian roolina toimia hälytyksenä tunkeutumisesta. Sen sijaan teknologia pitäisi nähdä työkaluna jota taitava turvallisuusammattilainen käyttää nopeuttaakseen tilanneanalyysiään ja vastettaan tai vähentääkseen tehokkaasti tilanteessa läpikäytävän tiedon määrää. Tehokkaan cyber -puolustuksen todellinen vahvuus lepää turvallisuushenkilöstön taidon ja heidän toimintansa ketteryyden varassa.”

Sudenkuopista

Mika toteaa, ”Verkkojen eriyttämisen osalta asioiden monesti oletetaan olevan kunnossa ja verkkokuvien perusteella yleensä myös näyttää siltä, että verkkoja ja järjestelmiä on asianmukaisesti erotettu toisistaan. Käytännössä esimerkiksi erilaisissa tietoturvatestauksissa havaitaan monesti, että eri verkkosegmenttien välillä ei ole mitään tai on hyvin puutteellinen liikenteen suodatus tai verkosta toiseen on olemassa muitakin reittejä. Yhtenä esimerkkinä voin mainita vaikka kunnan tietoverkko, jossa hallinnon ja koulupuolen verkot oli erotettu toisistaan, mutta molempiin verkkoihin kytketty monitoimitulostin toimi siltana verkosta toiseen.”

Kaikkien työasemien suojaaminen on isossa ympäristössä hyvin hankalaa jo tunnettujenkin heikkouksien osalta.  Hyvä ja suhteellisen tuore esimerkki on Java, jonka päivittäminen tai poistaminen on ollut lähes mahdotonta. Tämän lisäksi on sitten vielä ne julkaisemattomat niin sanotut 0-päivä hyökkäykset. Aivan vastaavalla tavalla muitakaan IT-järjestelmiä, esimerkiksi verkkokauppoja, taloushallinnon järjestelmiä, toiminnan ohjausjärjestelmiä tai henkilörekisterejä ei saada rakennettu aukottoman turvalliseksi. Tällöin erittäin tärkeäksi muodostuu ensinnäkin verkkojen ja järjestelmien eriyttäminen ja toiseksi kyky havaita tietomurrot.

Havaitsemiskyvyn osalta on paljon, mitä yrityksissä voidaan tehdä nykyistä paremmin jo olemassa olevin resurssein. Tämän lisäksi kyllä yleensä tarvitaan myös investointeja ja riittävät resurssit tapausten seurantaan ja analysointiin. Pelkällä havainnointikyvyllä ja erilaisilla raporteilla ei vielä pääse pitkälle.  Raporttien ja hälytysten perusteella tulee pystyä tekemään tutkintaa ja reagoida ei-toivottuihin asioihin. Merkittävässä roolissa tukinnassa ovat erilaiset lokit ja konfiguraatiotietokannat.  Hyvä oletus melkein kaikkien organisaatioiden osalta on se, että nämä eivät ole riittävällä tasolla, jolloin epäiltyjen tapausten tutkinta on käytännössä mahdotonta. Epäselväksi jää, mitä oikeasti on tapahtunut ja mitä tietoja organisaatiosta on mahdollisesti lähtenyt ja mihin.

Tiedon jakaminen aseena uhkia vastaan

Chris kertoo, ”Uhkiin ja teknologiaan liittyvän tiedon jakaminen - joskus kilpailijoiden kesken – vaikuttaisi helpolta asialta toteuttaa, mutta tällä hetkellä vain pieni murto-osa yrityksistä tekee sitä. Näistäkin suurin osa on niitä, joilla on jo hyvin kehittynyt yrityksen turvallisuuden taso. Avain tiedon jakamisen merkityksen ymmärtämiseen piilee hyökkääjien yleisten toimintatapojen ymmärtämisessä.”

Kun yritys joutuu hyökkäyksen kohteeksi sillä olevan tiedon vuoksi – toisinkuin tilanteessa jossa se on sattumanvaraisen hyökkäyksen tai palvelunestohyökkäyksen kohteena – hyökkääjät yleensä etsivät helpointa tietä sisälle tietojärjestelmään. Kun he ovat päässeet yrityksen suojamuurien sisälle, he etsivät tietoa joka heitä kiinnostaa. Tieto voi olla luottamuksellista tietoa, aineetonta omaisuutta jolla on taloudellista arvoa tai se voi olla tietoa jolla he pääsevät yrityksen asiakkaan tai yhteistyökumppanin tietoverkkoon ja siten käsiksi siellä olevaan tietoon.”

Hyökkääjät haluavat yleensä käyttää mahdollisimman vähän vaivaa ja siksi käyttävät yhtä hyväksi havaittua keinoa niin pitkään kuin mahdollista. Vasta kun he huomaavat että heidän pääsynsä verkkoon on estetty tai että heidän läsnäolonsa on huomattu, he muuttavat toimintatapaansa tai menevät muualle.

Toisinaan hyökkääjät pyrkivät samanaikaisesti useampaan yritykseen ja he saattavat käyttää eri keinoja riippuen siitä millaista vastarintaa he kohtaavat – mutta kaikissa tilanteissa he käyttävät rajattua määrää vaihtoehtoja käytössään olevien keinojen valikoimasta. Joten jos hyökkääjällä on käytettävissään tusina erilaista hyökkäystapaa, on puolustajan pyrittävä tilanteeseen jossa hänen on tehtävä mahdollisimman monta hyökkääjän keinoa tehottomiksi.

Kysyttäessä miten yritys tiedonvaihdosta hyötyy Chris vastaa, ”Jos yritys vaihtaa tietoa hyökkäyksistä muiden kanssa - kuten hyökkääjien domain -tunnisteita tai IP osoitteita tai hyökkääjien hyödyntämiä heikkouksia – he lisäävät merkittävästi muiden mahdollisuuksia tunnistaa ja torjua näiden hyökkääjien tulevat aikeet. Kun kohteeksi valikoitunut yritys nostaa hyökkääjän työmäärää ja panosta havaitsemattomien hyökkäyksien toteuttamiseksi voi käydä niin että hyökkääjä menee muualle helpompien kohteiden kimppuun.”

Siinä missä Suomessa vielä pohditaan toimintamalleja tiedonvaihtoon, on Yhdysvalloissa jo jonkin aikaa toimittu asian tiimoilta. Alalle on syntynyt tiedonvaihtofoorumeita jotka ovat osoittautuneet tehokkaiksi hyökkääjien tunnistettujen aikeiden torjumisessa. Yhdysvalloissa on toiminut hyvin  Information Sharing and Analysis Centers (ISACs) –toiminta. Structured Threat Information eXpression (STIX™) hanke taas pyrkii standardisoimaan miten tietoa uhista vaihdetaan mahdollisimman tehokkaalla tavalla. Vielä pidemmälle kehittynyttä toimintaa on luotettujen ja tunnistettujen toimijoiden yhteisöt, joita on luotu esimerkiksi Red Sky® Alliancen kautta. Niissä tiedon vaihdon lisäksi analysoidaan vaihdettua tietoa yhteisön keskuudessa.

Koulutus

Chrisin mukaan vastaaminen yhä kehittyneempään ja nopeammin muuttuvaan uhkaan vaatii turvallisuustietoista henkilökuntaa ja turvallisuusammattilaisia. Näiden tahojen pitäminen ammattimaisella tasolla on merkittävä mutta kannattava sijoitus miltei mille tahansa yritykselle.

Perinteinen koulutus tarkoittaa yleensä henkilökunnan lähettämistä tietylle hintavalle kurssille tai seminaariin. Ongelma tässä lähestymistavassa on se että hankittu tieto ei skaalaudu tehokkaasti organisaatiossa ja luokkahuoneessa opitut taidot heikentyvät jos niitä ei pääse säännöllisesti harjoittelemaan käytännössä. Ja cyber -uhkien suhteen ongelmaksi muodostuu se että niiden nopea kehitys tekee opitut taidot vielä nopeammin vanhanaikaiseksi.

Vastatakseen tähän heikkouteen jotkut yritykset ovat suunnitelleet koulutusohjelmia joihin sisältyy automaattisesti säännöllisiä kertauksia asioiden virkistämiseksi ja uusimpiin uhkiin vastaamisen oppimiseksi. Koulutusta on myös pyritty suuntaamaan yrityksessä olevien ihmisten roolien mukaan, jotta he saisivat omalta kannaltaan olennaista koulutusta.

Ne tärkeät harjoitukset

Harjoituksien suhteen aktivoituneet yritykset ovat ymmärtäneet käytännön harjoitteiden tärkeyden niissä rajoissa kun niiden toteuttaminen on mahdollista. Näin opittuja taitoja voidaan käyttää ja niitä voidaan vahvistaa ja samalla toimijat saavat myös itseluottamusta. Sen puute on suurin näkymättömistä haasteista kun yritys pyrkii tehokkaasti torjumaan cyber -uhkaa.

Harjoitukset voivat vaihdella neuvotteluhuoneharjoituksista käytännön tietoverkkoharjoitteisiin. Kun harjoitus suunnitellaan huolella, siitä voi saada indikaattoreita henkilökunnan vahvuuksista ja osaamisen kehitysalueista sekä suunnitelmien ja reagointitoimien tasosta. Johto voi saada luottamusta suunnitelmiinsa ja päätöksentekokykyynsä ja turvallisuusammattilaiset taas saavat luottamusta siihen että he kykenevät toimimaan oikein ja tehokkaasti todellisessa tilanteessa.

Miksi harjoitella?

Harjoitukset tarjoavat myös helpon tien muuttaa kulttuuria dokumentoidun valmiuden hyväksymisestä osoitetun kyvyn hyväksymiseen. Julkisuuteen tulleiden tietomurtojen myötä organisaatiot ovat alkaneet ymmärtää että ohjeidenmukaisuus ei ole sama kuin turvallinen. Ja sen että keskittyminen ohjeidenmukaisuuteen on eräänlainen ”käytännönelämässä juuri ja juuri riittävä” taso, joka pettää lähes aina todellisen tilanteen sattuessa. Kuten koulutuksien, on myös harjoitusten pidettävä sisällään viimeisten uhkamallien mukaisia skenaarioita ja tapahtumia jotka koskettavat harjoitukseen osallistuvien työarkea ja siihen liittyviä uhkia.

Chris sanoo oman haastattelunsa lopuksi, ”Kehittämällä uusia strategioita sekä luomalla JA ylläpitämällä tehokkaita puolustuskeinoja yhtiöt tulevat hyötymään sijoituksistaan ihmisiin ja toimintatapoihin.”

Tiedonvaihdon merkitys

Yhteiskunnan on eri toimialojen sisällä olisi hyödyllistä pystyä hyväksikäyttämään muiden tekemää tutkintaa ja oppia muiden tekemistä analyyseistä. Samat ongelmat ja hyökkäykset koskettavat yleensä samaan aikaan useita organisaatioita tai koko yhteiskuntaa. On resurssien tuhlausta, että jokainen analysoi samaa asiaa tietynlaisessa ”umpiossa”. Viestintäviraston CERT-FI tai Kyberturvakeskuskin pystyy tutkimaan vain sitä, mikä heillä on tiedossa ja mitä tapahtuu organisaatioiden verkkojen ulkopuolella. Miten tämä yhteistyö sitten saadaan toteutumaan, lähtökohtaisestihan asioiden kertominen ja kilpailijoiden auttaminen ei oikein ole organisaatioiden intresseissä. Kysymys on kuitenkin mielestäni yksi Suomen kyberturvallisuusstrategian toteuttamisen keskeisimmistä kysymyksistä. Valitettavasti sen ratkaisuun minullakaan ei ole mitään helppoa ratkaisua eikä sitä myöskään kyseisen strategian toimenpidesuunnitelmassa mielestäni riittävästi huomioida.

Mika Laaksonen toteaa oman haastattelunsa päätteeksi, ”Oman organisaationsa osalta jokainen lukija voi omalta osaltaan kysyä itseltään kysymyksen: Tiedänkö minä mitä verkossani ja järjestelmissäni tapahtuu ja huomaisinko jos niissä tapahtuisi ei-toivottua.”



Koulutettavat tahot

Yleensä yrityksissä cyber -uhkien tiimoilta koulutettavat tahot voidaan jakaa kolmeen ryhmään.

1       Ensimmäisenä ryhmä on käyttäjät – heitä yrityksessä on eniten. Opettamalla heille turvalliset toimintatavat lisätään yrityksen sisäistä herkkyyttä tunnistaa uhkia ja nopeutetaan turvallisuusammattilaisten hälyttämistä avuksi. Käyttäjien koulutuksen tulisi keskittyä esimerkiksi uhkien luonteen ymmärtämiseen ja siihen miten yrityksien tietoverkkoon tunkeudutaan käyttäen työntekijöitä hyväksi, miten tunnistaa phishing -yrityksiä ja muita hyökkäyksiä joissa käytetään social engineeringiä. Tällä hetkellä yli 29% hyökkäyksistä käytetään jotain social engineeringin muotoa ja vuonna 2012 phishing tuotti Yhdysvalloissa noin 1 miljardin dollarin vahingot pienille ja keskisuurille yrityksille. Käyttämällä työntekijöitä tunnistamaan näitä ”ei teknisiä” hyökkäyksiä voivat yritykset parantaa mahdollisuuksiaan sulkea yhden suurimmista aukoista puolustuksessaan.
2       Seuraavan ryhmän muodostaa ylempi johto. He tekevät eri-tasoisia päätöksiä organisaatioissa. Heidän koulutuksessaan pitäisi keskittyä myös uhan luonteeseen, mutta heidän pitäisi selvästi ymmärtää millaisia seurauksia hyökkäyksillä voi olla yrityksen keskeisille toiminnoille ja sille miten he voivat toteuttaa kannattavaa liiketoimintaa cyber -uhat huomioiden ja niistä huolimatta. Koulutuksessa tulisi myös käsitellä suunnitelmia siitä miten tunkeutumistilanteita hoidetaan ja miten yrityksen reagoi cyber hyökkäyksen sattuessa.
3       Kolmantena ryhmänä ovat turvallisuusammattilaiset, jotka vastaavat tietoverkon monitoroinnista ja turvallisuudesta. Heidän koulutuksena tulee keskittyä yksityiskohtaisempiin asioihin. Näitä voivat olla lokitiedostojen analysointi, hyökkäysten tunnusmerkkien tunnistaminen, oman järjestelmän heikkouksien tunnistaminen teknisten arviointien avulla ja hyökkäyksiin liittyvien tietoverkkotapahtumien tutkinta. Tärkeintä tälle ryhmälle on että koulutusta tapahtuu säännöllisin väliajoin ja koulutus sisältää viimeisintä tietoa uhista.