Ads 468x60px

keskiviikko 21. lokakuuta 2015

Kyberriskien ymmärtäminen – tiedätkö mitä verkossasi liikkuu?

Kirjoitukseni käsittelee tällä kertaa varsin ajankohtaista aihetta, kyberriskejä ja kehittyneitä tietoturvauhkia.

KPMG teki Sveitsissä kyselytutkimuksen 64 kybertietoturva-ammattilaiselle, heidän organisaatioidensa valmistautumisesta ja vastaamisesta kyberuhkiin. Kartoituksen perusteella monissa organisaatioissa on tekemistä asian suhteen, toisilla toimialoilla enemmän. Käyn tässä kirjoituksessa läpi tutkimuksen tuloksia ja avainlöydöksiä.

Ihmisten, prosessien ja teknologian tulee olla tasapainossa
  • 63 % piti yritystään kiinnostavana kyberuhkien kohteena.
  • 53 % mukaan hallitus ajattelee kybertuvallisuuden teknisenä ongelmana.
  • 44 % mukaan hallituksella ei ole keinoja arvioida kyberriskien vaikutuksia liiketoiminnalle.
  • 36 % uskoi työntekijöiden olevan riittävän valveutuneita kyberriskeistä.
  • 45 % vastaajista sanoi, että heillä ei ole suunnitelmia kybertapahtumien varalle. 
  • 31 % yritti ymmärtää, kuinka hakkerit voisivat päästä heidän tietoonsa käsiksi.
  • 50 % isoista yrityksistä ei ole käsitystä kyberuhkien vahingoista.
  • 15 % ei finanssialan toimijoista ja 25 % finanssialan toimijoista tunsivat, että ulkoistus on vähentänyt heidän ymmärrystään, näkyvyyttään ja hallintaansa kyberturvaan.
  • 59 % ei tiedä ymmärtävätkö heidän palveluntarjoajansa kuinka suojautua kyberhyökkäyksiltä.
  • 53 % uskoi pystyvänsä tunnistamaan meneillään olevan kyberhyökkäyksen.
  • 51 % uskoi, että kyberhyökkäyksiä ei voida täysin estää.
  • 14 % oli testannut heidän suunnitelmansa vastata kybertapahtumiin.
  • 76 % uskoi, että kyberturvallisuus ei ole hypetystä, joka tulee laantumaan.
    • 75 % mukaan suurin tekijä kontrollien tehostamisessa on häiriöiden esiintyminen.
    • 95 % mukaan yrityksellä tulisi olla enemmän yhteistyötä ulkopuolisten toimijoiden kanssa, jotta voitaisiin menestyksellisesti taistella kyberrikollisuutta vastaan.
    Haasteita ja huolia asiakasnäkökulmasta

    Asiakkaiden huolena oli yhä kehittyneemmät kohdistetut hyökkäykset. Hyökkääjien kyky yhdistellä erilaisia tekniikoita ja uudistaa strategiaansa. "Meidän pitäisi tiedostaa, että meidät on jo luultavasti murrettu - kuinka hoidamme sen ja minimoimme seuraukset?"

    "Meidän pitäisi keskittyä saamaan kyberturvan perusteet kuntoon, helppokäyttöisyyteen ja havaitsemiseen."

    "Jotkin tietoturvan toimijat myyvät ominaisuuksia sen sijaan, että myisivät ratkaisuja. Sen seurauksena, monet kyberturvan ohjelmat keskittyvät työkalujen toteuttamiseen ja unohdetaan mikä on tarpeellista – muuntaa nämä työkalut ratkaisuiksi."

    "Meidän täytyy keskittyä paremmin uhkatietoon ja älykkyyteen, ei tiukempaan vaatimustenmukaisuuteen. Meidän täytyy parantaa näkemystämme yhdistelemällä tietoa eri lähteistä ja tutkimalla historiatietoa."

    Yritykset näyttävät hapuilevan pimeässä mitä tulee tietoturvainvestoinnin tuottoprosentin arviointiin. 39 % vastaajista ei tarkkaile kyberhyökkäysten kokonaisvahinkoja. Tällainen tiedon puute ei olisi hyväksyttävää monen muun investoinnin suhteen, missä investoinnin tuottoprosentti on avainmittareita päätöksentekijöille. Suurten yritysten keskuudessa luku on jopa korkeampi, 50 % vastaajista ei ole näkemystä vahingoista. Monilta organisaatioilta puuttuu kunnon näkemys pystyäkseen tekemään asiantuntevia päätöksiä kyberturvan suhteen. Jos tehokkaan kyberturvallisuuden puutteen riskit ja vakavat seuraukset pystyttäisiin esittämään rahallisesti – kyberturvallisuuteen panostettaisiin enemmän. Pohjimmiltaan kyberturvallisuus tarkoittaa riskiarvion tekemistä organisaation kuin myös hyökkääjän näkökulmasta, tunnistamalla ja analysoimalla kriittiset kilpailutekijät ja toteuttamalla häiriöihin vastaavan organisaation (Incident Response).
    • 58 % vastaajista sanoi, että IT tietoturva ei raportoi suoraan hallitukselle.
    • 51 % ei pysty tunnistamaan meneillään olevia hyökkäyksiä.
    • 44 % hallituksista ei ole riittävän tietoisia kyberrikollisuuden riskeistä.
    Tietoturvan taso riippuu organisaation heikoimmasta lenkistä. Kyberturva koskettaa kaikkia organisaation työntekijöitä. Kyberturva on asenne, ei osasto. Yritysjohto voi vaikuttaa yleiseen asenteeseen omalla esimerkillään.
    • 48 % sanoi, että työntekijät eivät ole riittävän tietoisia kyberriskeistä.
    • 61 % ilmaisi, että kyberturva on liian teknologiaan keskittynyttä.
    • 31 % sanoi, että ammattilaiset eivät osaa puhua kieltä, jota liiketoiminta ymmärtäisi.
    "Tietoturvabudjettiin tulee yleensä rahaa vasta sitten, kun jotain suurempaa vahinkoa tapahtuu. Silloin kysytään, miksi et tehnyt mitään estääksesi tietomurtoa?”.

    Valitettavasti kyberturvan suhteen häiriöt ovat yhä päätekijä investoinneille (75 % vastaajista oli samaa mieltä). Tämä on selvä merkki siitä, että monet kybertuvallisuusstrategiat ovat reaktiivisia.

    Vaatimustenmukaisuus (Compliance) näyttäisi olevan vallitseva tekijä kyberturvaan investoimisessa. Yli puolet vastaajista (55 %) sanoivat, että vaatimustenmukaisuus ohjaa heidän toimintaansa enemmän kuin tietoturva – sitä tosin käytettiin myös hyödyksi tietoturvatavoitteiden saavuttamiseksi.

    Suurimmat haasteet ja alueet, joista on huolissaan kyberturvan osalta?
    • Kohdistettujen ja ammattitaitoisten hyökkäysten lisääntyneet määrät.
    • Hyökkäysten tunnistaminen, rikollisten löytäminen ja saaminen vastuuseen.
    Useimmat hyökkääjät haluavat saada taloudellista hyötyä, mm. varastamalla luottokorttitietoa, tekemällä hyökkäyksiä verkkopankkien asiakkaisiin tai tekemällä tuottavaa vakoilua kalastelulla.

    Hyökkäyksillä kriittisiin infrastruktuureihin voi olla vakavat seuraukset. Monien yritysten tietoisuus on riittämätön.

    Yhteistyö ja tiedon jakaminen ja vaihtaminen muiden yritysten ja valtion kanssa nähdään tärkeänä. Ilman yhteistyötä on äärimmäisen hankalaa puolustautua yksin uusimmilta hyökkäyksiltä. Sveitsissä suurimpien organisaatioiden kesken järjestetään asian tiimoilta pari kertaa vuodessa työpajoja (workshop). Osallistujat ovat enimmäkseen finanssi, telekommunikaatio ja energiasektorilta. Aiemmin moni ei tohtinut keskustella avoimesti hyökkäyksistä. Nykyään yrittäjät ovat avoimempia ja jopa yhteistyössä suorien kilpailijoidensa kanssa, minkä yritykset näkevät positiivisena kehityksenä.

    Monet yritykset eivät aloita investoimaan kunnes heihin on kohdistettu hyökkäys

    Johto aliarvioi usein kyberaiheen niin pitkään kun häiriöitä ei esiinny. Lisäksi suunnitelmat, esimerkiksi jatkuvuussuunnittelun suhteen, ovat usein riittämättömiä. Sitten ei ole aikaa valmistautua kun hyökkäys tapahtuu. Katastrofisuunnitelmat, tiedostussuunnitelmat yms. täytyy tehdä etukäteen.

    Johtopäätöksiä, ajatuksia tutkimuksen pohjalta ja rinnastusta Suomalaiseen yhteiskuntaan
    • Tiedon ja näkemyksen puute. Uutisia ja alan julkaisuja seuraavien pitäisi olla tietoisia kyberuhkista ja niiden mahdollisuudesta oman organisaation suhteen. Monet kuitenkin ajattelevat, että ei koske meitä – emme ole tarpeeksi kiinnostava kohde. Kuitenkin, jokaisessa organisaatiossa on jotain kiinnostavaa tietoa, mistä voidaan hyötyä taloudellisesti, imagollisesti, saada liikesalaisuuksia, tietoa millä voidaan kiristää, jne. Tarvitaan tietoisuuden lisäämistä koko organisaatiossa ja johdon sparrausta. Säännöllisiä tietoturvakoulutuksia, tietoiskuja, materiaaleja. Ihminen on edelleen se heikoin lenkki. Liian moni lankeaa esim. sähköpostin välityksillä tapahtuviin kohdistettuihin hyökkäyksiin (kuten Spear Phishing), joiden vaikutusten määrää voitaisiin vähentää paremmalla tietoisuudella.
    • Osaaminen ja resurssointi. Vaikka monet nykyajan järjestelmät ovatkin hyviä, ei niihin voida yksin tukeutua, vaan vaaditaan osaamista ja asiaan perehtynyttä henkilöstöä. Riittävästä resurssoinnista tulee pitää huoli. Ensisijaisille asiantuntijoille tulee olla myös varahenkilöt riittävin tiedoin, taidoin ja pääsyin varustettuna - ympäristöt eivät saa olla yhden henkilön varassa. Ympäristöjä ylläpitävien ja kehittävien riittävästä ammattitaidosta on pidettävä huolta jatkuvalla kouluttautumisella, seminaareihin osallistumisella ja alan päivittäistä uutisointia seuraamalla. Automaatiota voidaan ja tietyissä asioissa pitääkin rakentaa, mutta tietoturvaa ei voida täysin automatisoida - kunnon asiantuntevaa tietoturva-ammattilaista ei voida koneilla korvata.
    • Havainnoinnin puute. Mantra, mikä tulee mitatuksi, tulee hallittavaksi, ansaitsee enemmän huomiota. Tutkimukseen vastanneista, joku sanoi, että "meidät on luultavasti jo murrettu" - asia tiedostetaan, mutta varmaksi ei voida sanoa, kun asianmukaiset mittarit puuttuvat. Oman näkemykseni mukaan monissa Suomalaisissa organisaatioissa käytetään pitkälti vielä perinteisiä tietoturvaratkaisuja. Kehittyneiden uhkien havainnointikykyä tulisi parantaa. Markkinoilla on havainnointiin ja reagointiin monia kehittyneitä ja monipuolisia ratkaisuja, joita saa myös palveluna. Löytyy esim. DDoS-suojauksia, verkkotason APT-skannausratkaisuja, haavoittuvuusskannauksia, murtotestauksia, jne. Uuden ajan palomuurituotteissakin on moniin yrityksiin soveltuvia riittäviä ominaisuuksia.
    • Tilannekuva ja lokitus. Omia järjestelmiä ja verkkoja tulee valvoa aktiivisesti ja reagoida havaittuihin löydöksiin välittömästi, niistä yrityksen johtoa asianmukaisesti tiedottaen ja ajan tasalla pitäen. Monilta yrityksiltä puuttuu tietoturvan tilannekuva ja näkymä, jonka avulla voitaisiin nähdä yrityksen tietoturvan tämänhetkinen tila ja pystyttäisiin paremmin reagoimaan ja kehittämään toimintaa. Joillakin palveluntarjoajilla voi olla (ja toivottavasti onkin) oma näkymänsä tapahtumiin, mutta myös asiakkailla olisi tarve saada oma, ymmärrettävä asiakasnäkymä reaaliaikaisena. Jotta tilannekuvan muodostamiselle olisi edellytykset, järjestelmien tulisi kirjoittaa lokia keskitettyyn paikkaan (esim. SIEM) ja tulisi olla ratkaisu, joka kykenee tekemään kaikesta tiedosta korrelaatiota. Lokit tulisi myös säilöä tarpeeksi kauan, jotta jo mahdollisesti tapahtuneita tietomurtoja voidaan jälkikäteen tehtyjen havaintojen pohjalta tutkia.
    • Valmistautumisen puute. Monilta yrityksiltä puuttuvat prosessit, suunnitelmat ja ohjeet eri poikkeus -ja häiriötilanteisiin - saati, että oltaisiin testattu niiden toimivuutta. Prosessit ja toimintatavat tulisivat olla valmiina mietittynä ja sovellettavissa kulloiseenkin tilanteeseen. Kun ongelmat ja paniikki on päällä, ei ole aikaa miettiä, miten tulisi menetellä. Ennalta tarkkaan mietityt ja käytössä olevat menetelmät auttavat selkeyttämään tilannetta ja mahdollistavat tehokkaan, kontrolloidun toiminnan. Tämä on tärkeää myös siksi, että ei tuhota mahdollista todistusaineistoa, eikä paljasteta vastapuolelle, että heidät on huomattu. Toiminnan parantamisessa, häiriötilanteiden ja niihin reagoimisen testaamisessa kannattaa miettiä myös ulkopuolisen arviointilaitoksen käyttämistä, joka voi testata ja arvioida yrityksen kyberturvaan varautumisen tasoa auditoinneilla ja testeillä (esim. Red teaming).
    • Strategia ja riskiarvio. Kyberriskit tulisi ottaa huomioon jatkuvuuden hallintaa, riskiarviota ja strategiaa tehtäessä ja tunnistettava kyberriskien merkitys organisaation toiminnalle. Uhkien vaikutusta on arvioitava yrityksen palveluiden ja järjestelmien toimintakykyyn. Tietoturva tulee saada lähemmäksi yrityksen johtoa, jotta siihen ollaan sitoutuneita, kiinnitetään asiaan enemmän huomiota ja se on tehokasta. Liian monissa organisaatioissa tehdään ainoastaan se, mikä on välttämätöntä, jotta saavutettaisiin vaatimustenmukaisuus (Compliance) - kyberriskien suhteen tämä taso ei riitä.
    • Yhteistyö ja tiedon jakaminen. Kuten tutkimuksen vastauksista kävi ilmi, yritysten mielestä pitäisi olla enemmän oman yrityksen ulkopuolista yhteistyötä, jotta voidaan menestyksellisesti taistella kyberrikollisuutta vastaan. Olen täysin samaa mieltä. Tietoturvan suhteen tiedon pimittäminen ei ainakaan edistä yhteistä hyvää. Uskoisin kaikkien yritysten hyötyvän rajat ylittävästä yhteistyöstä, uhkatiedon jakamisesta ja saamisesta sekä tiedon jakamisesta yritysten kesken, hyväksi havaittujen menetelmien ja käytäntöjen suhteen.
    • IRT (Incident Response Team). Organisaatioiden tulisi tiedostaa, että mitkään tekniset menetelmät eivät ole täysin aukottomia, jokaisesta suojauksesta voidaan tulla läpi. Yrityksellä tai palvelun tarjoajalla ei välttämättä ole omaa koulutettua henkilöstöä tai osaamista häiriötilanteisiin vastaamiseen, forensiikan ammattilaisia. Kyberhyökkäyksen tapahtuessa myös niihin vastaamiseen tulisi olla valmiudet ja asia tulisi huomioida suunnitelmia tehtäessä. Tietovuodon tai rikoksen tapahtuessa on monia kysymyksiä vailla vastausta, esim.
      • mistä hyökkäys tuli ja mitä hyökkääjästä tiedetään
      • miksi hyökkäys kohdistettiin meihin
      • miten hyökkäys tehtiin
      • mitä tietoa on kadonnut ja minne
      • onko joitain tietoja muutettu
      • onko tietoa hävinnyt lopullisesti vai saadaanko sitä palautettua
      • minne kaikkialle hyökkääjä on liikennöinyt, onko muita murrettuja/saastuneita koneita
      • onko hyökkäys ohi vai onko se vielä meneillään
      • onko tapahtuneesta todistusaineisto
      • miten tapahtunutta voidaan tutkia hyökkääjän huomaamatta
      • miten tilanteesta toivutaan ja palaudutaan normaaliin tilaan
      • miten voimme jatkossa välttyä vastaavalta
    Yksi asia on varma, kyberuhat tulevat lisääntymään tulevaisuudessa merkittävästi. IoT (Internet of Things) myötä yhä useampi laite on yhteydessä julkiseen verkkoon. Reaktiivisuus ei riitä, proaktiivisuus ja ennustettavuus ovat päivän sanoja.

    Jos Suomessa tehtäisiin vastaava tutkimus, niin uskoisin vastausten olevan aika samansuuntaisia. Moni yritys sanoisi tietävänsä mitä yrityksen verkossa liikkuu, mutta jos asian todellinen laita selvitettäisiin kehittyneillä ratkaisuilla - olen 100% varma, että todellisuus olisi toinen suurimmassa osassa organisaatioita - kokemus voisi olla valaiseva.

    Aiheeseen liittyen - KPMG on ostanut osuuden cyberturvallisuuden uhka analyyseja ja live feedejä tuottavasta Norse Corpista. Hankinta mahdollistaa KPMG:n asiakkaille erilaisten kyberuhkien paremman torjumisen jo etukäteen. Hankinta täydentää KPMG:n olemassa olevia kyberturvallisuuden palveluita, jotka tähän mennessä ovat keskittyneet lähinnä erilaisten kyberturvallisuuden ongelmien löytämiseen ja korjaamiseen sekä hyvän kyberturvallisuuden ylläpitoon. Nyt tähän palveluvalikoimaan tulee komponentti, joka täydentää kokonaisuutta mahdollistamalla myös predikatiivisen varautumisen.

    Ei kommentteja:

    Lähetä kommentti