Ads 468x60px

tiistai 5. marraskuuta 2013

RSA Conference Europe, Amsterdam - 29.-31.2013



Jokavuotinen RSA -tietoturvakonferenssi järjestettiin tänä vuonna ensimmäistä kertaa Amsterdamissa. Tapahtuma on Euroopan mittapuulla melko suuri ja kerää osanottajia ympäri maapallon. Hyvien verkostoitumismahdollisuuksien lisäksi seminaari tarjoaa yleensä lukuisia presentaatiota monilta eri tietoturvan osa-alueilta, ja monipuolisuus onkin konferenssin yksi vetonauloista. Kun paikalle saadaan vielä kuuluisia ja mielenkiintoisia puhujia, pitäisi paletin olla kutakuinkin kasassa. Seuraavassa hieman näkemyksiä ja kokemuksia KPMG:n edustajien kynästä.

Kuten yllä mainittiin, presentaatiot oli jaettu useaan erilaiseen kategoriaan, joista jokaiselle varmasti löytyi omansa. Kategorioita olivat Key Notes -puheenvuorojen lisäksi mm. Application & Data Security; Governance, Risk & Compliance; Hackers & Threats; Human Element; Mobile Security; Security Architechture ja Security Trends. Hyvin kattavaa siis niin teknisessä kuin hallinnollisessa tietoturvamielessä. Kaikista esityksistä oli myös tehty hyvin myyvät kuvaukset, joka kuitenkin johti paikoin pieniin pettymyksiin - mediaseksikkäiden mainostekstien ja hyvien esittäjien taakse saattoi joissain tapauksissa kätkeytyä vähemmän kattavaa sisältöä tai vanhan toistoa. Esimerkiksi Big Data oli edelleen iso puheenaihe, mutta juurikaan mitään uutta tämän suhteen ei saatu kuulla. Käytännössä Big Datan, kuin muunkin kehityksen myötä, tulevaisuuden tietomurrot tulevat keskittymään nykyisestä häiritsemisestä enemmän tiedon ja toiminnan tuhoamisen suuntaan. Teknisimmissä presentaatioissa jäi selvästi kaipaamaan vanhan informaation ja esittelykalvojen lisämausteeksi enemmän tuoreita tapausesimerkkejä maailmalta. Mitkä kontrollit ovat toimineet erityisen hyvin, ja mitkä huonommin?

Key Notes -puheenvuorot sisälsivät paikoin mielenkiintoisia aiheita. Mm. BT Securityn johtaja Mark Hughes kertoi millainen projekti oli turvata Lontoon olympialaisia varten toimiva, turvallinen ja vikasietoinen verkko kaikkine funktioineen. Kuten arvata saattaa, infrastruktuuri oli jatkuvan pommituksen alaisena. Projekti kuitenkin onnistui ja tästä saattoi huomioida esimerkiksi sen, kuinka tärkeää jatkuva tilannetietoisuus ja verkon analysointi on. Aihe sopii viitteellisesti myös tuoreisiin Ulkoministeriöön liittyviin tapahtumiin, joissa havainnointikyvyn merkittävyys korostui.

Symantecin varapääjohtaja taas syväluotasi nykyistä tietoturvateknologiaa ja totesi useista eri järjestelmistä ja erillisistä komponenteista koostuvan tietoturva-arsenaalin olevan vaikeasti hallittavissa. Lisäksi hänen mukaansa on ongelmallista, että eri komponentit eivät osaa aidosti keskustella keskenään ja käyttää toistensa tietoja hyväksi esimerkiksi tietoturvauhkien havaitsemiseksi. Myös joitakin SIEM-ratkaisuja kritisoitiin mm. siksi, että ne eivät kykene analysoimaan tietoa riittävän pitkältä ajalta havaitaakseen hyvin harkitut ja hitaasti edistyvät hyökkäykset, vaan lähinnä säilövät lokitietoa loputtomaan arkistoon ja tarkastelevat vain pientä aikaikkunaa kerrallaan.

Monien (useimmiten laitevalmistajien) esityksistä paistoi myös läpi se, että uuden sukupolven tietoturvaratkaisut ovat monelta osin vielä kehityspolulla, eikä pelkästään vain teknologioiden osalta, vaan ennen kaikkea niihin liittyvien toimintamallien ja toteutustapojen osalta. Teknologioissa ei ole sinällään vikaa - uusia innovatiivisia havainnointitapoja myös kehitetään jatkuvasti, ja niillä pystytään kyllä vastaamaan APT-tyyppisiinkin uhkiin (kuten aiemmin mainittu UM-tapaus). Käyttöönotto ja ylläpito eroaa kuitenkin merkittävästi perinteisistä virustorjuntaratkaisuista ja vaatii uutta ajattelumallia ja enemmän älykkyyttä myös tekijöiltään.

Yksi parhaimpia ohjenuoria tietoturvan kehitystyötä organisaatoissa ohjaamaan tarjosi Akamai Technologies:in Joshua Corman keynotes -puheenvuorossaan, joka havainnollisti organisaation puolustusstrategian prioriteetteja seuraavalla mallilla:



Käytännössä tämä on hyvin toimiva marssijärjestys moneen tietoturvaan liittyvään suunnitteluperiaatteeseen. Sen ajatusmallissa ylempien alueiden hyöty jää usein olemattomaksi tai kustannustehottomaksi, mikäli alemmat kohdat ovat huonosti toteutettuja. Näin ollen tekemistä pitäisi pyrkiä painottamaan perustuksien (helposti puolustettava infrastruktuuri) pohjalta kohti täsmätyökaluja ja edistyneempiä puolustusstrategioita. Tähän pyramidiin olisi kuitenkin vielä hyvä lisätä erittäin oleellinen laatikko alimmaiseksi - eli riskiarviointi, jonka pitäisi määrittää ensisijaisesti tietoturvaan liittyvää tekemistä.

Koska ihmisten toiminta korostuu nykyään ratkaisevasti tietoturvallisuuteen liittyvissä huolissa, piti myös "Human Element" -kategorian luentoa testata. Tähän kelpasi vetävän kuuloinen esitys "My Personality - Your Security Problem!", joka luotasi henkilöstön käyttäytymistä Carl Jungin persoonallisuustyyppeihin. Valitettavasti sisältö oli hyvin yksinkertainen - suurin osa ihmisistä taitaa tietää, että ihmisiä voi jakaa sekä introvertteihin että ekstrovertteihin, ja että toiset ihmiset ovat rationaalisia kun taas toiset toimivat enemmän tunnepohjalta. Näin ollen toiset myös pitävät esimerkiksi kirjallisista politiikoista enemmän kuin toiset. Aiheesta olisi voinut saada huomattavasti enemmän irti, sillä ainakin oman havainnon mukaan useissa organisaatioissa ongelmana on, että politiikat ja ohjeet jäävät enemmän pöytälaatikkomateriaaliksi ja henkilöstö ei täysin adaptoi niitä omakseen.

Ja lopulta, koska Amsterdamissa oltiin, niin pitihän sitä tutustua myös paikallisiin nähtävyyksiin. Suuri kiitos myös kaikille muille suomalaisille konferenssivieraille, joiden kanssa tuli käytyä monia hyviä keskusteluja. Kippis!



-Olli ja Toni

Ei kommentteja:

Lähetä kommentti