Ads 468x60px

keskiviikko 22. lokakuuta 2014

Kyberturvallisuuden tulevaisuudennäkymiä


Viime vuosina kyberturvallisuus on puhuttanut paljon turvallisuusalan asiantuntijoita, ja pikkuhiljaa termi on levinnyt myös yleiseen käyttöön. Tietoverkkojen ja -tekniikan rooli on noussut yhä tärkeämmäksi organisaatioiden toiminnan kannalta, ja kyberturvallisuuteen liittyvät kysymykset koskettavatkin kaikenkokoisia yrityksiä kaikilla toimialoilla.

Mutta miltä kyberturvallisuuden tulevaisuus näyttää? Asiaa pohti joukko KPMG UK:n asiantuntijoita, ja esiin nousi useita asioita sekä yksityishenkilöihin että digitaaliseen infrastruktuuriin liittyen.

Yksityishenkilöistä löytyy paljon erilaista tietoa internetistä, ja verkkokäyttäytymisen virhearvioinneilla voi olla vakavia seurauksia yksilön itsensä kannalta. Ongelmaksi voi muodostua se, etteivät henkilöt edes tiedä milloin tätä tietoa käytetään heitä vastaan. Esiin nouseekin kysymys: kenen vastuulla on suojella yksilöä verkossa?

Yksityisyydensuoja verkossa jakaa mielipiteitä. Yksityisyydensuojan voidaan nähdä olevan yksilön itsensä vastuulla jopa siinä määrin, että kyberidentiteetin salaamisen nähdään kuuluvan osana tulevaisuuden peruselämäntaitoihin. Toisaalta voidaan ajatella, että vastuu siitä, että yksilöitä koskevaa dataa käytetään vastuullisesti, kuuluu organisaatioille. Yksityisyydensuojaan liittyvää sääntelyä kehitetäänkin jatkuvasti.

Entä voidaanko internetin yksityisyysstandardin avulla luoda määritelty toimintatapa, johon organisaatiot sitoutuvat? Standardin avulla kuluttajat voisivat asioida vain sellaisten yritysten kanssa, jotka ovat sitoutuneita suojaamaan asiakkaidensa tiedot jakaen asiakkaidensa eettiset näkemykset henkilötietojen käyttöä koskien. Ei enää pitkiä lakitekstejä siitä, miten henkilötietojani voidaan käyttää, tai epäilyksiä siitä, myydäänkö tietoni kolmannelle osapuolelle.  

Toisaalta se, että organisaatioilla on asiakasdataa, mahdollistaa kohdennetun mainonnan ja vähentää todennäköisyyttä joutua ei-kiinnostavan mainonnan kohteeksi. Lisäksi sitoutuminen tällaiseen standardiin voidaan nähdä myös riskinä, sillä mikään data ei ole koskaan täysin turvassa. Suomen osalta olemme käytännön työssä huomanneet, että järjestelmistä löytyy usein tietoturvahaavoittuvuuksia. Tämä korostaa kerroksellisen suojaamisen tärkeyttä. Esimerkiksi tietokannat sisältävät tyypillisesti organisaatioiden arvokkaimman datan, mutta niissä on usein haavoittuvuuksia, joita hyväksikäyttämällä sisäverkkoon päässyt hyökkääjä voi päästä käsiksi esimerkiksi asiakasdataan.
 
Virtuaalitaloudessa ostetaan virtuaalisia hyödykkeitä, jotka voidaan mahdollisesti maksaa virtuaalirahalla kuten Bitcoineilla. Virtuaalitalous luo kiistatta paljon mahdollisuuksia, mutta se voidaan myös nähdä ennalta-arvaamattomana digitaalisena Villinä läntenä. Esimerkiksi Bitcoinien avulla on mahdollista ostaa hyödykkeitä anonyymisti, mutta tällä on myös haittapuolensa. On mahdollista, että anonymiteetin seurauksena Bitcoinit leimautuvat rahaksi, jota käytetään rikolliseen toimintaan. 

Myös kybersodankäynnin voidaan nähdä yleistyvän. Kybersodalla voidaan aiheuttaa laajoja häiriöitä ja suuria taloudellisia menetyksiä, ja hallitukset ympäri maailman ovat tietoisia kasvavasta kyberturvallisuuden merkityksestä. 

Käänteentekevien uusien teknologioiden, kuten teollisen internetin, lyödessä läpi yhä kasvavissa määrin, ihmiset odottavat paljon tehokkaampia ja parempia julkisia palveluita kuin he tällä hetkellä saavat. Hallituksilla olisi paljon mahdollisuuksia kerätä tietoja, joita voitaisiin käyttää tuottamaan tehokkaampia julkisia palveluita. Yksi ehdotettu mahdollisuus saavuttaa tämä on suostutella yksilöt vapaaehtoisesti luopumaan yksityisyydestään saadakseen vastineeksi parempia palveluja. Epäilemättä hallitusten on oltava entistä ketterämpiä tiedon keräämiseen, varastoinnin ja käsittelyn suhteen. Tiedottamisella ja luottamuksen rakentamisella on tässä tärkeä rooli. 

Digitaaliseen infrastruktuuriin liittyy useita riskejä nyt ja tulevaisuudessa. Tietoverkkoihin voi kohdistua esimerkiksi tietomurtoja ja palvelunestohyökkäyksiä. Miten yksittäinen organisaatio voi pyrkiä suojautumaan kyberuhkilta? Avainroolissa on varautuminen esimerkiksi jatkuvuussuunnitelman avulla, järjestelmien pitäminen ajan tasalla, monitorointi poikkeavan toiminnan havaitsemiseksi ja henkilöstön koulutus.

keskiviikko 15. lokakuuta 2014

Uusi POODLE-haavoittuvuus SSL:ssä - aika hankkiutua eroon vanhoista salausmekanismeista.

Google on tänään julkaissut uuden haavoittuvuuden SSLv3-protokollassa. Haavoittuvuuden avulla hyökkääjä pystyy selvittämään salattujen viestien sisältöä - joskin toteutus vaatii man-in-the-middle -hyökkäyksen tekemistä uhria vastaan. Olennaista kuitenkin on, että hyökkäys hyödyntää sivukanavana normaalia HTTP-yhteyttä johonkin toiseen palvelimeen. Lisäksi on kuunneltava uhrin liikennettä varsinaiseen kohdepalvelimeen ja pystyttävä muokkaamaan tätä liikennettä.

Ongelmat eri TLS/SSL-versioissa ovat olleet suhteellisen yleisiä. Viime vuosina on julkaistu useita hyökkäysiä, kuten BEAST, CRIME ja Lucky-13. Useat hyökkäykset johtuvat SSL:n tavasta käyttää lohkosalaimia ketjussa (cipher block chaining). Tästä on kyse myös POODLE (Padding Oracle on Downgraded Legacy Encryption) haavoittuvuudessa. Yleisesti Padding Oracle -tyyppiset haavoittuvuudet mahdollistavat arvauksien tekemisen salatun tekstin sisällöstä. Arvaus toimii ainoastaan SSLv3:ssa, sillä siinä salaamattomaan tekstiin lisätään satunnaisia tavuja, jotta lohkosalaimen vaatima koko täyttyy. TLSv1.0:ssa tämä on korjattu ja täytteenä käytetään täytteen kokoa - esimerkiksi 3 tavun täytteellä käytetään siis tavua 0x03 täytteenä. Erinomainen teknisiin yksityiskohtiin menevä selitys löytyy täältä.

Hyökkäyksen toteutus vaatii, että hyökkääjällä on kyky tehdä man-in-the-middle -hyökkäys uhrin verkossa. Tässä hyödynnetään jotakin salaamatonta web-sivustoa, jonka liikenteeseen hyökkääjä injektoi näkymättömän iframe-komponentin. Tämä komponentti sisältää javascriptiä, joka latautuu uhrin koneelle. Tämä komponentti tekee jatkuvia pyyntöjä sivustolle, jonka liikenne halutaan avata. Selain lähettää automaattisesti injektoidun komponentin pyynnöissä myös evästeet. Hyökkäyksessä pyritään avaamaan juuri evästeet, sillä sessiotunnisteen avulla hyökkääjä voi lopulta kirjautua uhrina kohdepalveluun.

Näitä injektoituja pyyntöjä muokataan hyökkäyksessä siten, että hyökkääjällä on 1:255 mahdollisuus arvata yksi tavu tietystä kohdasta salattua viestiä. Hyökkääjän on siis tiedettävä, missä kohdin pyyntöä on haettu sessioavain. Arvauksia voi toki tehdä riittävän paljon, jotta myös tämän saa selville.

Entä jos selain ja palvelin tukevat myös TLS:ää? Siinä tapauksessa yhteys ei muodostu SSL-protokollalla. Hyökkäjä voi kuitenkin katkaista yhteyden kättelyvaiheessa. Tämä johtaa lopulta riittävän monen epäonnistumisen jälkeen ns. connection downgrade -tilaan, jossa siirrytään käyttämään SSL-protokollaa. Tämän jälkeen hyökkäys on mahdollinen.

Mielestäni tämä haavoittuvuus ei ole vakavuudessaan lähelläkään yhtä vakava, kuin esimerkiksi Heartbleed-haavoittuvuus. Esiehtoja hyökkäyksen toteuttamiselle on selkeästi enemmän ja tekninen toteutus on hieman haastavampi. Mikäli hyökkääjällä on kyky man-in-the-middle -hyökkäykseen, on kyseessä jo suuremman luokan ongelma kuin SSLv3:n käyttö.

Korjaus

Ainut varma keino korjata tämä ongelma on lopettaa SSLv3:n tukeminen kokonaan - sekä selaimissa että palvelimissa. SSLv3 julkaistiin vuonna 1996 ja aika on tehnyt tehtävänsä: SSL:n ja TLS:n eri versioista on löytynyt lukuisia eri haavoittuvuuksia, joista useat johtuvat suunnitteluvirheistä.

Viestintävirasto suosittelee korjaamaan ongelman käyttämällä TLS_FALLBACK_SCSV-ominaisuutta - valitettavasti tätä ominaisuutta ei ole vielä toteutettu laajasti TLS/SSL-kirjastoihin. Toistaiseksi se on IETF-draft vaiheessa. Se ei myöskään korjaa SSLv3:n vikaa, vaan estää TLS-yhteyksien pakottamisen SSLv3-yhteyksiksi hyökkääjän toimesta. Tämän ominaisuuden toteutusta saadaan myös varmaan odottaa jonkin aikaa.

Siirtyminen pelkän TLSv1.2:n käyttöön ei olisi huono idea - Wikipedian mukaan kuitenkin vain n. 45% web-palvelimista tukee TLS:n versioita 1.0:n jälkeen. SSLv3 ja TLS1.0 ovat molemmat tuettuina n. 99% palvelimista. Selaimissa tilanne lienee sinänsä parempi - IE6 ei enää ole käytössä suuressa määrin 

-AnttiA

Viitteet:
Hyvä Englanninkielinen selitys haavoittuvuudesta: https://www.dfranke.us/posts/2014-10-14-how-poodle-happened.html
Ehdotettu korjaus (TLS_FALLBACK_SCSV): https://tools.ietf.org/html/draft-bmoeller-tls-downgrade-scsv-02
Googlen haavoittuvuusjulkaisu: https://www.openssl.org/~bodo/ssl-poodle.pdf

keskiviikko 8. lokakuuta 2014

Uudistettu turvallisuusselvityslaki hyväksyttiin Eduskunnassa



Ilman suurempaa meteliä Eduskunta hyväksyi kesäkuussa pitkään valmistellun uuden turvallisuusselvityksistä annetun lain. Koko lakipaketti hyväksyttiin lopulta lähes hallituksen esityksen sisältöisenä. Oikeusministeriö on julkaisut lakimuutoksesta tiedotteen http://oikeusministerio.fi/fi/index/ajankohtaista/tiedotteet/2014/09/uusiturvallisuusselvityslakivoimaanensivuodenalusta.html, jonka mukaan laki astuu voimaan 1.1.2015. Uusi laki on kokonaisuudessaan luettavissa Finlexistä: http://www.finlex.fi/fi/laki/smur/2014/20140726.

Lakimuutosten eräänä perusteena on valtion pyrkimys tiivistää erityisesti tietoturvallisuuteen liittyviä turvallisuusjärjestelyjään. Tavoite konkretisoituu muun muassa yritysturvallisuusselvityksen käyttöalan laajentamisena kotimaassa. Myös henkilöturvallisuusselvitysten hakeminen edellyttää jatkossa sitoutumista turvallisuusjärjestelyjen ylläpitämiseen riittävällä tasolla. Mittapuuna molemmissa käytetään KATAKRI:a (kansallinen turvallisuusauditointikriteeristö). 

Lain uutuutta, yritysturvallisuusselvitystä, luonnehditaan Oikeusministeriön tiedotteessa lyhyesti seuraavasti: ”Yritysturvallisuusselvitysten avulla voidaan selvittää yrityksen vastuuhenkilöiden taustoja sekä yrityksen tietoturvallisuuden tasoa ja sitoumusten hoitokykyä. Yritysturvallisuusselvitys voidaan laatia yrityksestä, joka toimii viranomaisen sopimuskumppanina ja saa luokiteltuja salassa pidettäviä tietoja”. Eli tarkentaen yritysturvallisuusselvitys voitaisiin laatia lain perusteella (esimerkiksi puolustusvoimien hankinnat), tai viranomaisten mahdollisille sopimuskumppaneille (voi jatkossa olla jo kilpailutukseen osallistumisen edellytys) tilanteissa, jossa yritys saisi haltuunsa viranomaisten luokiteltuja, salassa pidettäviä asiakirjoja. Yritysturvallisuustodistuksen esittämiseen kilpailutuksessa kannattaisi varautua myös niiden yrityksien, joidenka työntekijät voivat saada pysyväisluonteisen oikeuden päästä viranomaisen yleisöltä suljettuun toimitilaan tai alueelle ja hoitaa siellä itsenäisesti esimerkiksi rakennus-, asennus-, huolto- tai vartiointitehtäviä tai muita niihin rinnastettavia tehtäviä. Kyseisissä tehtävissä yritysturvallisuustodistus vaadittaisiin kuitenkin vain, jos toimitilasta tai alueesta saatavien tietojen oikeudettomalla käytöllä tai niissä tapahtuvalla lainvastaisella teolla voisi vaarantaa yleistä turvallisuutta, valtion turvallisuutta tai muuta merkittävää yleistä etua. Todistus läpäistystä yritysturvallisuusselvityksestä saattaa edelleen olla myös kansainväliseen kilpailutukseen tai toiseen valtioon etabloitumisen edellytyksenä.

Viranomaisten resurssit tehdä aika ja osaamista vaativia yritysturvallissuuselvityksiä ovat rajalliset. Sen vuoksi yritysten mahdollisuus selvityttää toisien yritysten turvallisuusjärjestelyjä kyseisessä menettelyssä säädettiin optioksi; asiasta voidaan antaa myöhemmin tarvittaessa valtioneuvoston asetus. KPMG hyväksyttynä tietoturvallisuuden arviointilaitoksena voi kuitenkin tehdä selvityksen myös yritysten keskinäiseen sopimukseen perustuen tai viranomaisen pyynnöstä.

Parhaaksi keinoksi kehittää yrityksen yritysturvallisuutta, reagoida lakimuutokseen ja hankkia mahdollisesti ratkaisevaa kilpailuetua suhteessa kilpailijoihin on hankkia auditointi tai neuvontaa KPMG:ltä, koska

  1. KPMG tarjoaa selkokielisesti ratkaisut, joilla turvallisuustasoa voidaan korottaa yritykselle järkevällä tavalla muun muassa KATAKRI:n edellyttämälle tasolle
  2. Lakisääteisten vaatimusten lisäksi samalla voidaan saavuttaa ja todeta erilaisten kansainvälisten kriteeristöjen (esim. ISAE-varmennuslausunnot, ISO 27001 sertifikaatti) toteutuminen, joilla voi olla merkitystä yritysten välisissä sopimusneuvotteluissa ja palveluiden myynnissä
  3. Vasta kilpailutuskäytäntö tulee osoittamaan laajuuden, jossa turvallisuusselvityksiä valtion sopimuskumppaneilta ja näiden alihankkijoilta vaaditaan; jos yrityksen turvallisuusjärjestelyt eivät ole KATAKRI:n osoittamalla tasolla, voi kilpailutukseen osallistuminen jäädä haaveeksi tai yrityksen turvallisuusjärjestelyjen parantamiselle tulla suunnittelematon kiire
  4. Viranomaisten (SUPO, Pääesikunta, Viestintävirasto) yritysturvallisuusselvitysmenettelyyn on rajoitettu pääsy
  5. Viranomaisten tekemiä yritysturvallissuuselvityksiä ei ole heti saatavissa yritysten väliseen toimintaan lainkaan


KPMG on saanut ensimmäisenä yrityksenä hyväksymisen tietoturvallisuuden arviointilaitokseksi ( https://www.viestintavirasto.fi/viestintavirasto/ajankohtaista/2014/kyberturvallisuuskeskushyvaksyisuomenensimmaisentietoturvallisuudenarviointilaitoksen.html). KPMG:n suorittaman auditoinnin perusteella Viestintävirasto voi osaltaan hyväksyä yritysturvallisuustodistuksen annettavaksi. Juuri yksityisten tietoturvallisuuden arviointilaitosten tekemä auditointityö on uudistuvan turvallisuusselvityslain taustalla oleva ratkaisu, jolla viranomaisten ja yritysten rajalliset turvallisuusjärjestelyihin liittyvät resurssit voitaisiin tarkoituksenmukaisimmin hyödyntää. Teknisen osaamisen ja tarkastuspalvelujen lisäksi tarjoamme myös yrityksen turvallisuusasioissa (sopimukset, ohjeet, hakemukset viranomaisille) kattavat oikeudelliset palvelut.


Lisätietoja antavat:

Juridiikka:                                                                                                 Auditoinnit:

Vesa Ellonen                                                                                           Mika Laaksonen

maanantai 6. lokakuuta 2014

Suomeen on 6.10.2014 saatu ensimmäinen virallinen tietoturvallisuuden arviointilaitos



Viestintäviraston Kyberturvallisuuskeskus on 6.10.2014 antanut KPMG IT Sertifiointi Oy:lle määräaikaisen hyväksynnän toimia tietoturvallisuuden arviointilaitoksista annetun lain mukaisena arviointilaitoksena.

KPMG IT Sertifiointi toiminta täyttää riippumattomuutta sekä henkilökunnan osaamista koskevat pätevyysvaatimukset. Lisäksi yritys täyttää asiakastietojen käsittelyyn liittyvät tietoturvallisuusvaatimukset ja sillä on toimintaansa varten asianmukainen ohjeistus. Tilojen, tarkastusmenetelmien, sisäisten prosessien ja työvälinen saaminen vaatimusten edellyttämälle tasolle ja vaatimusten toteutumien osoittaminen kaikille prosessiin liittyville valvoville viranomisille oli erittäin suuri työ, vaati merkittäviä investointeja ja vei meiltä kaiken kaikkiaan noin 4 vuotta.

Arviointilaitos statuksen hakeminen ja saaminen edellytti meiltä muun muassa:
  1. Yritysrakenteeseen liittyviä muutoksia
  2. Riskienhallinnan ja riippumattomuuden varmistamisen käytäntöjen soveltamista arviointilaitostyöhön
  3. ISO 17021 ja ISO 27006 standardien vaatimusten toteuttamista ja toteuttamisen osoittamisen FINAS:lle
  4. KATAKRIn korotetun ja tarvittaessa korkean tason toteuttamisen tilojen, prosessien ja IT-järjestelmien osalta. Tämä vaati muun muassa erillisen tilojen rakentamisen
  5. Henkilöstön turvaselvitysten teettämisen
  6. KATAKRI, tietoturvatasot, ISO 27001 ja soveltuvien Vahti-ohjeiden auditointimenetelmien ja työvälineiden kehittämisen ja hyväksyttämisen valvovilla viranomaisilla. Erityisesti teknisen todentamisen osalta tämä oli erittäin merkittävä työ, vaikka olemme tehneet tietoturvallisuuden teknistä testaamista vuosikausia
  7. Edellä mainittujen menetelmien toimivuuden, laadukkuuden sekä viranomaisten asettamien vaatimusten täyttymisen osoittamisen näyttöauditoinnein
  8. Sekä monia muita pienempiä toimenpiteitä
Hyväksynnän perusteella KPMG IT Sertifiointi voi tehdä virallisia kansalliseen turvallisuusauditoinnin KATAKRI-kriteeristöön ja valtionhallinnon tietoturvaohjeen VAHTI-kriteeristöön perustuvia tietoturvallisuusarviointeja. Yrityksen pätevyysalue kattaa toistaiseksi suojaustason IV mukaiset arvioinnit. Hyväksyntä on voimassa 1.2.2015 asti, johon mennessä tavoitteenamme on täydentää pätevyysaluetta kattamaan ISO 27001-standardin mukaiset sertifioinnit sekä VAHTI-toimitilaturvallisuusarvioinnit.

Valtionhallinnon viranomaiset voivat 1.6.2015 alkaen käyttää tietojärjestelmiensä tietoturvallisuuden arvioinnissa ainoastaan Viestintäviraston tai sen hyväksymän arviointilaitoksen palveluja.

Hyväksytyllä tietoturvallisuuden arviointilaitoksella tarkoitetaan toimijaa, joka on Viestintäviraston hyväksymä ja toimii viranomaisvalvonnassa. Hyväksytty laitos voi toimeksiannosta suorittaa esimerkiksi viranomaisten tietojärjestelmien arviointeja sekä viranomaisen salassa pidettävää tietoa käsittelevien yritysten tietoturvallisuustason arviointeja.

Lisätietoja: KPMG IT Sertifiointi Oy:n toimitusjohtaja Mika Laaksonen