Ads 468x60px

tiistai 8. huhtikuuta 2014

Kyberturvallisuuden tilanne, uhat ja tie eteenpäin



Eräässä yhteydessä syntyi tällainen kyberturvallisuuteen liittyvä teksti, joka on liian pitkä alkuperäiseen tarkoitukseen, mutta mielestäni niin ajankohtainen, että se ansaitsee tulla julkaistuksi kokonaisuudessaan. 
Kyberturvallisuuden tilanne, uhat ja tie eteenpäin

Suomessa on historiallisesti tuudittauduttu osittain virheelliseen turvallisuuden tunteeseen, jonka yhtenä perusteena on käsitys suomalaisten tietoverkkojen ”puhtaudesta” ja turvallisuudesta. Tietoverkkojen puhtaus tässä yhteydessä tarkoittaa sitä, että julkisissa verkoissa on havaittu vähemmän tunnistettuja haittaohjelmia, kuin muiden maiden verkoissa. Haastattelemamme suomalaisen asiantuntijan mukaan suomalaisten verkkojen puhtaiden korostaminen tekee karhunpalveluksen suomalaiselle kyberturvallisuudelle. Tunnetut ja havaitut haittaohjelmat eivät ole se tärkein ongelma. Niihin toimivat perinteiset suojaukset, kuten virustorjunta.  Ongelma on se, mitä ei havaita. KPMG:n Partner Mika Laaksonen ravistelee suomalaisia yrityksiä heräämään tilanteeseen. Pohjoinen lintukotoajattelu on juurtunut toisinaan varsin tiukasti ajatusmaailmaamme ja siksi pyysimme yhdysvaltalaista Chris Foglea Delta Risk -yhtiöstä valottamaan kansainvälistä kulmaa asiaan ja siihen miten Yhdysvalloissa on reagoitu tilanteeseen.

Suomalaisten yritysten nykytilasta

”Oman näkemykseni mukaan kyberturvallisuuden ja tietoturvallisuuden merkittävin ero on siinä, että tietoturvallisuudella turvataan yleensä yksittäisen organisaation toimintaa ja tietoa, kun kyberturvallisuuteen liittyy yhteiskunnan toimintojen turvaaminen laajemmin. Osittain kyse on siis varautumisesta. Merkittävää on myös se, että kyberturvallisuus vaatii tietoturvallisuuteen verrattuna vielä enemmän julkisen ja yksityisen sektorin välisistä sekä sisäistä yhteistyötä, ”aloittaa Mika Laaksonen jatkaen, ”vuoden 2013 loppupuolella julkistimme oman KPMG:n tekemän tutkimuksen[1], jossa pyrimme selvittämään mitä ennestään tunnistamatonta, selvästi aktiivisiin tietomurtoihin viittaavaa, liikennettä suurien suomalaisten pörssiyritysten verkoissa on.  Käytännön syistä tutkimukseen saatiin ja voitiin ottaa 10 yritystä. Puolessa näissä vähintään yhteen, yleensä useampaan, sisäiseen järjestelmään oli onnistuneesti murtauduttu ja murto oli edelleen aktiivinen.”

Tutkimuksessa voitiin havaita analysoimalla sisäisistä järjestelmistä ulospäin lähtevää liikennettä sellaisessa verkon pisteessä, jossa perinteiset suojaukset, kuten palomuurit ja virustorjunnan ovat jo tehneet voitavansa. Tämän ja muiden tutkimusten tulokset ja esimerkiksi Ulkoministeriön tietovuodon julkisuuteen annetut tiedot vahvistavat 2 asiaa:
1.      Kyky havaita ei-toivottuja verkossa tapahtuvia asioita (tietomurtoja) on aivan riittämätön
2.      Suurin uhka sisäisille järjestelmille tulee työasemien kautta – Yleensä on ensin pystytty murtautumaan yhden tai useamman käyttäjän työasemaan ja etenemään siitä muihin järjestelmiin
Varautumisesta
Kysyttäessä mitä yritysten tulisi tehdä, hymyilee Chris Fogle ja sanoo, ”Yritysten tulisi ennen kaikkea ymmärtää seuraavien kolmen osa-alueen merkitys cyber - puolustautumiselleen. Nämä kolme osa-aluetta ovat tiedon jakaminen, säännöllinen harjoittelu ja harjoitusten kautta saavutettu kyky toimia.

Chrisin mukaan useimmat cyber -asiantuntijat ovat samaa mieltä siitä että hyvä puolustus tarvitsee ihmisiä, osaamista ja teknologiaa. Kaikki kolme elementtiä ovat tärkeitä, mutta valitettavan usein yritykset luottavat liikaa pelkkään teknologiaan. Cyber -uhat löytävät aina tiensä ohittaakseen sen. Chris toteaa, ””En tarkoita tällä että teknologia on huonoa tai sitä ei tarvita. Päinvastoin, nykyinen turvallisuusteknologia on valovuosien päässä siitä mitä se oli joitain vuosia sitten. Moni hyökkäys saadaan toteutettua käyttämällä ”ei teknistä” tapaa ohittaa teknologinen puolustus vaikkapa hyödyntäen käyttäjien hyväuskoisuutta.”

Chris lisää, ”Ongelman aiheuttaa se miten käytämme teknologiaa puolustautumisessa, sillä perinteisesti ajattelevat turvallisuusammattilaiset näkevät teknologian roolina toimia hälytyksenä tunkeutumisesta. Sen sijaan teknologia pitäisi nähdä työkaluna jota taitava turvallisuusammattilainen käyttää nopeuttaakseen tilanneanalyysiään ja vastettaan tai vähentääkseen tehokkaasti tilanteessa läpikäytävän tiedon määrää. Tehokkaan cyber -puolustuksen todellinen vahvuus lepää turvallisuushenkilöstön taidon ja heidän toimintansa ketteryyden varassa.”

Sudenkuopista

Mika toteaa, ”Verkkojen eriyttämisen osalta asioiden monesti oletetaan olevan kunnossa ja verkkokuvien perusteella yleensä myös näyttää siltä, että verkkoja ja järjestelmiä on asianmukaisesti erotettu toisistaan. Käytännössä esimerkiksi erilaisissa tietoturvatestauksissa havaitaan monesti, että eri verkkosegmenttien välillä ei ole mitään tai on hyvin puutteellinen liikenteen suodatus tai verkosta toiseen on olemassa muitakin reittejä. Yhtenä esimerkkinä voin mainita vaikka kunnan tietoverkko, jossa hallinnon ja koulupuolen verkot oli erotettu toisistaan, mutta molempiin verkkoihin kytketty monitoimitulostin toimi siltana verkosta toiseen.”

Kaikkien työasemien suojaaminen on isossa ympäristössä hyvin hankalaa jo tunnettujenkin heikkouksien osalta.  Hyvä ja suhteellisen tuore esimerkki on Java, jonka päivittäminen tai poistaminen on ollut lähes mahdotonta. Tämän lisäksi on sitten vielä ne julkaisemattomat niin sanotut 0-päivä hyökkäykset. Aivan vastaavalla tavalla muitakaan IT-järjestelmiä, esimerkiksi verkkokauppoja, taloushallinnon järjestelmiä, toiminnan ohjausjärjestelmiä tai henkilörekisterejä ei saada rakennettu aukottoman turvalliseksi. Tällöin erittäin tärkeäksi muodostuu ensinnäkin verkkojen ja järjestelmien eriyttäminen ja toiseksi kyky havaita tietomurrot.

Havaitsemiskyvyn osalta on paljon, mitä yrityksissä voidaan tehdä nykyistä paremmin jo olemassa olevin resurssein. Tämän lisäksi kyllä yleensä tarvitaan myös investointeja ja riittävät resurssit tapausten seurantaan ja analysointiin. Pelkällä havainnointikyvyllä ja erilaisilla raporteilla ei vielä pääse pitkälle.  Raporttien ja hälytysten perusteella tulee pystyä tekemään tutkintaa ja reagoida ei-toivottuihin asioihin. Merkittävässä roolissa tukinnassa ovat erilaiset lokit ja konfiguraatiotietokannat.  Hyvä oletus melkein kaikkien organisaatioiden osalta on se, että nämä eivät ole riittävällä tasolla, jolloin epäiltyjen tapausten tutkinta on käytännössä mahdotonta. Epäselväksi jää, mitä oikeasti on tapahtunut ja mitä tietoja organisaatiosta on mahdollisesti lähtenyt ja mihin.

Tiedon jakaminen aseena uhkia vastaan

Chris kertoo, ”Uhkiin ja teknologiaan liittyvän tiedon jakaminen - joskus kilpailijoiden kesken – vaikuttaisi helpolta asialta toteuttaa, mutta tällä hetkellä vain pieni murto-osa yrityksistä tekee sitä. Näistäkin suurin osa on niitä, joilla on jo hyvin kehittynyt yrityksen turvallisuuden taso. Avain tiedon jakamisen merkityksen ymmärtämiseen piilee hyökkääjien yleisten toimintatapojen ymmärtämisessä.”

Kun yritys joutuu hyökkäyksen kohteeksi sillä olevan tiedon vuoksi – toisinkuin tilanteessa jossa se on sattumanvaraisen hyökkäyksen tai palvelunestohyökkäyksen kohteena – hyökkääjät yleensä etsivät helpointa tietä sisälle tietojärjestelmään. Kun he ovat päässeet yrityksen suojamuurien sisälle, he etsivät tietoa joka heitä kiinnostaa. Tieto voi olla luottamuksellista tietoa, aineetonta omaisuutta jolla on taloudellista arvoa tai se voi olla tietoa jolla he pääsevät yrityksen asiakkaan tai yhteistyökumppanin tietoverkkoon ja siten käsiksi siellä olevaan tietoon.”

Hyökkääjät haluavat yleensä käyttää mahdollisimman vähän vaivaa ja siksi käyttävät yhtä hyväksi havaittua keinoa niin pitkään kuin mahdollista. Vasta kun he huomaavat että heidän pääsynsä verkkoon on estetty tai että heidän läsnäolonsa on huomattu, he muuttavat toimintatapaansa tai menevät muualle.

Toisinaan hyökkääjät pyrkivät samanaikaisesti useampaan yritykseen ja he saattavat käyttää eri keinoja riippuen siitä millaista vastarintaa he kohtaavat – mutta kaikissa tilanteissa he käyttävät rajattua määrää vaihtoehtoja käytössään olevien keinojen valikoimasta. Joten jos hyökkääjällä on käytettävissään tusina erilaista hyökkäystapaa, on puolustajan pyrittävä tilanteeseen jossa hänen on tehtävä mahdollisimman monta hyökkääjän keinoa tehottomiksi.

Kysyttäessä miten yritys tiedonvaihdosta hyötyy Chris vastaa, ”Jos yritys vaihtaa tietoa hyökkäyksistä muiden kanssa - kuten hyökkääjien domain -tunnisteita tai IP osoitteita tai hyökkääjien hyödyntämiä heikkouksia – he lisäävät merkittävästi muiden mahdollisuuksia tunnistaa ja torjua näiden hyökkääjien tulevat aikeet. Kun kohteeksi valikoitunut yritys nostaa hyökkääjän työmäärää ja panosta havaitsemattomien hyökkäyksien toteuttamiseksi voi käydä niin että hyökkääjä menee muualle helpompien kohteiden kimppuun.”

Siinä missä Suomessa vielä pohditaan toimintamalleja tiedonvaihtoon, on Yhdysvalloissa jo jonkin aikaa toimittu asian tiimoilta. Alalle on syntynyt tiedonvaihtofoorumeita jotka ovat osoittautuneet tehokkaiksi hyökkääjien tunnistettujen aikeiden torjumisessa. Yhdysvalloissa on toiminut hyvin  Information Sharing and Analysis Centers (ISACs) –toiminta. Structured Threat Information eXpression (STIX™) hanke taas pyrkii standardisoimaan miten tietoa uhista vaihdetaan mahdollisimman tehokkaalla tavalla. Vielä pidemmälle kehittynyttä toimintaa on luotettujen ja tunnistettujen toimijoiden yhteisöt, joita on luotu esimerkiksi Red Sky® Alliancen kautta. Niissä tiedon vaihdon lisäksi analysoidaan vaihdettua tietoa yhteisön keskuudessa.

Koulutus

Chrisin mukaan vastaaminen yhä kehittyneempään ja nopeammin muuttuvaan uhkaan vaatii turvallisuustietoista henkilökuntaa ja turvallisuusammattilaisia. Näiden tahojen pitäminen ammattimaisella tasolla on merkittävä mutta kannattava sijoitus miltei mille tahansa yritykselle.

Perinteinen koulutus tarkoittaa yleensä henkilökunnan lähettämistä tietylle hintavalle kurssille tai seminaariin. Ongelma tässä lähestymistavassa on se että hankittu tieto ei skaalaudu tehokkaasti organisaatiossa ja luokkahuoneessa opitut taidot heikentyvät jos niitä ei pääse säännöllisesti harjoittelemaan käytännössä. Ja cyber -uhkien suhteen ongelmaksi muodostuu se että niiden nopea kehitys tekee opitut taidot vielä nopeammin vanhanaikaiseksi.

Vastatakseen tähän heikkouteen jotkut yritykset ovat suunnitelleet koulutusohjelmia joihin sisältyy automaattisesti säännöllisiä kertauksia asioiden virkistämiseksi ja uusimpiin uhkiin vastaamisen oppimiseksi. Koulutusta on myös pyritty suuntaamaan yrityksessä olevien ihmisten roolien mukaan, jotta he saisivat omalta kannaltaan olennaista koulutusta.

Ne tärkeät harjoitukset

Harjoituksien suhteen aktivoituneet yritykset ovat ymmärtäneet käytännön harjoitteiden tärkeyden niissä rajoissa kun niiden toteuttaminen on mahdollista. Näin opittuja taitoja voidaan käyttää ja niitä voidaan vahvistaa ja samalla toimijat saavat myös itseluottamusta. Sen puute on suurin näkymättömistä haasteista kun yritys pyrkii tehokkaasti torjumaan cyber -uhkaa.

Harjoitukset voivat vaihdella neuvotteluhuoneharjoituksista käytännön tietoverkkoharjoitteisiin. Kun harjoitus suunnitellaan huolella, siitä voi saada indikaattoreita henkilökunnan vahvuuksista ja osaamisen kehitysalueista sekä suunnitelmien ja reagointitoimien tasosta. Johto voi saada luottamusta suunnitelmiinsa ja päätöksentekokykyynsä ja turvallisuusammattilaiset taas saavat luottamusta siihen että he kykenevät toimimaan oikein ja tehokkaasti todellisessa tilanteessa.

Miksi harjoitella?

Harjoitukset tarjoavat myös helpon tien muuttaa kulttuuria dokumentoidun valmiuden hyväksymisestä osoitetun kyvyn hyväksymiseen. Julkisuuteen tulleiden tietomurtojen myötä organisaatiot ovat alkaneet ymmärtää että ohjeidenmukaisuus ei ole sama kuin turvallinen. Ja sen että keskittyminen ohjeidenmukaisuuteen on eräänlainen ”käytännönelämässä juuri ja juuri riittävä” taso, joka pettää lähes aina todellisen tilanteen sattuessa. Kuten koulutuksien, on myös harjoitusten pidettävä sisällään viimeisten uhkamallien mukaisia skenaarioita ja tapahtumia jotka koskettavat harjoitukseen osallistuvien työarkea ja siihen liittyviä uhkia.

Chris sanoo oman haastattelunsa lopuksi, ”Kehittämällä uusia strategioita sekä luomalla JA ylläpitämällä tehokkaita puolustuskeinoja yhtiöt tulevat hyötymään sijoituksistaan ihmisiin ja toimintatapoihin.”

Tiedonvaihdon merkitys

Yhteiskunnan on eri toimialojen sisällä olisi hyödyllistä pystyä hyväksikäyttämään muiden tekemää tutkintaa ja oppia muiden tekemistä analyyseistä. Samat ongelmat ja hyökkäykset koskettavat yleensä samaan aikaan useita organisaatioita tai koko yhteiskuntaa. On resurssien tuhlausta, että jokainen analysoi samaa asiaa tietynlaisessa ”umpiossa”. Viestintäviraston CERT-FI tai Kyberturvakeskuskin pystyy tutkimaan vain sitä, mikä heillä on tiedossa ja mitä tapahtuu organisaatioiden verkkojen ulkopuolella. Miten tämä yhteistyö sitten saadaan toteutumaan, lähtökohtaisestihan asioiden kertominen ja kilpailijoiden auttaminen ei oikein ole organisaatioiden intresseissä. Kysymys on kuitenkin mielestäni yksi Suomen kyberturvallisuusstrategian toteuttamisen keskeisimmistä kysymyksistä. Valitettavasti sen ratkaisuun minullakaan ei ole mitään helppoa ratkaisua eikä sitä myöskään kyseisen strategian toimenpidesuunnitelmassa mielestäni riittävästi huomioida.

Mika Laaksonen toteaa oman haastattelunsa päätteeksi, ”Oman organisaationsa osalta jokainen lukija voi omalta osaltaan kysyä itseltään kysymyksen: Tiedänkö minä mitä verkossani ja järjestelmissäni tapahtuu ja huomaisinko jos niissä tapahtuisi ei-toivottua.”



Koulutettavat tahot

Yleensä yrityksissä cyber -uhkien tiimoilta koulutettavat tahot voidaan jakaa kolmeen ryhmään.

1       Ensimmäisenä ryhmä on käyttäjät – heitä yrityksessä on eniten. Opettamalla heille turvalliset toimintatavat lisätään yrityksen sisäistä herkkyyttä tunnistaa uhkia ja nopeutetaan turvallisuusammattilaisten hälyttämistä avuksi. Käyttäjien koulutuksen tulisi keskittyä esimerkiksi uhkien luonteen ymmärtämiseen ja siihen miten yrityksien tietoverkkoon tunkeudutaan käyttäen työntekijöitä hyväksi, miten tunnistaa phishing -yrityksiä ja muita hyökkäyksiä joissa käytetään social engineeringiä. Tällä hetkellä yli 29% hyökkäyksistä käytetään jotain social engineeringin muotoa ja vuonna 2012 phishing tuotti Yhdysvalloissa noin 1 miljardin dollarin vahingot pienille ja keskisuurille yrityksille. Käyttämällä työntekijöitä tunnistamaan näitä ”ei teknisiä” hyökkäyksiä voivat yritykset parantaa mahdollisuuksiaan sulkea yhden suurimmista aukoista puolustuksessaan.
2       Seuraavan ryhmän muodostaa ylempi johto. He tekevät eri-tasoisia päätöksiä organisaatioissa. Heidän koulutuksessaan pitäisi keskittyä myös uhan luonteeseen, mutta heidän pitäisi selvästi ymmärtää millaisia seurauksia hyökkäyksillä voi olla yrityksen keskeisille toiminnoille ja sille miten he voivat toteuttaa kannattavaa liiketoimintaa cyber -uhat huomioiden ja niistä huolimatta. Koulutuksessa tulisi myös käsitellä suunnitelmia siitä miten tunkeutumistilanteita hoidetaan ja miten yrityksen reagoi cyber hyökkäyksen sattuessa.
3       Kolmantena ryhmänä ovat turvallisuusammattilaiset, jotka vastaavat tietoverkon monitoroinnista ja turvallisuudesta. Heidän koulutuksena tulee keskittyä yksityiskohtaisempiin asioihin. Näitä voivat olla lokitiedostojen analysointi, hyökkäysten tunnusmerkkien tunnistaminen, oman järjestelmän heikkouksien tunnistaminen teknisten arviointien avulla ja hyökkäyksiin liittyvien tietoverkkotapahtumien tutkinta. Tärkeintä tälle ryhmälle on että koulutusta tapahtuu säännöllisin väliajoin ja koulutus sisältää viimeisintä tietoa uhista.



Ei kommentteja:

Lähetä kommentti