Ads 468x60px

perjantai 23. joulukuuta 2011

Kun tietokoneet ohjaavat kaikkea

Tietokoneet ovat nykyään erottamaton osa lähes kaikkia laitteita, olivatpa ne sitten kodinkoneita, leluja, kulkuneuvoja tai vaikkapa sairaalan hoitolaitteita. Näitä laitteita ei ehkä niin helposti mielletä IT-järjestelmiksi, mutta niitä ne kuitenkin ovat. Näiden järjestelmien koodin kehittämiseen pätee samat säännöt ja periaatteet, kuin muunkin koodin ja koodissa on virheitä.

Perinteisissä IT-projekteissa ei aina ole onnistuttu erityisen hyvin toiminnallisessa eikä varsinkaan tietoturvamielessä. Testaamamme sovellukset eivät yleensä ole erityisen hyvin koodattuja tai testattuja. Kun tällainen ohjelmisto otetaan käyttöön huonosti testattuna, niin pahimmillaan tapahtuu tietovuoto, tietomurto tai jotain vastaavaa ei toivottavaa ja sinällään haitallista. Kun johonkin laitteeseen sulautettu tietojärjestelmä otetaan käyttöön huonosti testattuna, niin lentokone joutuu syöksyyn – 110 loukkaantui tai potilas kuolee saatuaan satoja kertoa liian suuren säteilyannoksen syöpähoitolaitteessa.

Ensimmäisessä esimerkissä matkustajakone joutui kahdesti syöksyyn ohjelmistovirheen takia. Tutkijat ovat moittineet erästä koodiriviä, joka tulkitsee ilmannopeuden antureiden tietoja lentokoneen tietokoneissa. Ohjelmakoodi ei toimintahäiriöiden yhteydessä pystynyt selvittämään epäkunnossa olevan anturin lähettämiä virheellisiä tietoja. Airbus on sittemmin päivittänyt koneidensa järjestelmät ja riskialtis ohjelmistokoodi on tiettävästi korjattu. Se onkin rauhoittava tieto seuraavaa lentoa ajatellen.

http://www.mikropc.net/kaikki_uutiset/matkustajakone+joutui+kahdesti+syoksyyn+ohjelmistovirheen+takia++110+loukkaantui/a743206

Toisessa esimerkissä sädehoitoa saaneet potilaat saivat koodivirheen vuoksi vuosien 1985 ja 1987 välisenä aikana yli 100-kertaisia säteilyannoksia. Ainakin 3 näistä potilaista kuoli. Koodia ei oltu riippumattomasti testattu ennen käyttöönottoa, koodin suunnittelussa ja vaatimusmäärittelyssä oli vakavia puutteita, käyttäjiltä tulevia virheraportteja ei uskottu eikä käsitelty ja lisäksi käytössä ollutta laite ja koodikokonaisuutta ei oltu koskaan testattu käytössä olleessa kokoonpanossa.

http://en.wikipedia.org/wiki/Therac-25

Itse muistan ihmetelleeni kehittäjien logiikkaa 90-luvun alkupuolella, kun Helsingissä ajatettiin DTM-sarjan osakilpailu. Kilpailussa Keke Rosberg ajoi ulos, koska auto ei antanut hänen jarruttaa toisen puolen renkaiden ollessa liian liukkaalla alustalla, hieman ajolinjan ulkopuolella. Itse ainakin vastaavassa tilanteessa seinän lähestyessä haluaisin kuitenkin sen mahdollisuuden, että jos nyt kuitenkin voisin yrittää sitä jarruttamista silläkin riskillä, että on liukasta. Täydellä vauhdilla seinään ajaminen ei oikein vaikuttaisi paremmalle vaihtoehdolle.

Lista kaikkien aikojen koodausvirheistä löytyy täältä: http://royal.pingdom.com/2009/03/19/10-historical-software-bugs-with-extreme-consequences/

Hyvää joulua kaikille ja varokaa käyttämissänne laitteissa olevaa koodia. Sitä ei ehkä ole testattu!

tiistai 13. joulukuuta 2011

Johdon tietoturvaopas (VAHTI 2/2011)

VAHTI-ryhmä on julkaissut johdon tietoturvaoppaan (VAHTI 2/2011) 7.12.2011. Tämä ohje on nimensä mukaisesti kohdistettu organisaatioiden johto- ja esimiesasemassa oleville; mitä heidän tulisi tietää tietoturvatyöstä ja organisaatioihin kohdistuvista tietoturvavelvoitteista sekä miten tietoturvatyön tukeminen tulisi sisällyttää jokapäiväiseen johtamiseen. Lähtökohta ohjeelle on ollut se, että valtion organisaatioiden tulee saavuttaa tietoturvatasojen perustason 30.9.2013 mennessä. Tämän takia ohjeen sisällössä on keskitytty ohjeistamaan tietoturvallisuuden johtamista lähinnä tietoturvatasojen perustason vaatimuksia vastaan mutta ohje soveltuu hyvin myös yksityissektorilla tehtävän tietoturvallisuustyön pohjaksi.

Ohjeen pohjimmainen sanoma on se, että tietoturvatyöllä on hyvin rajalliset mahdollisuuden onnistua, ellei sillä ole johdon näkyvää tukea. Lisäksi ohjeessa painotetaan, että riskejä tulee pyrkiä hallitsemaan kokonaisvaltaisesti. Ei siis riitä, että organisaatio hoitaa oman pesänsä kuntoon, vaan organisaation on osattava katsoa myös oman tynnyrinsä ulkopuolelle. Mitkä ovat vaikutukset meidän keskeisille sidosryhmille, jos meille käy jotain TAI mitkä ovat vaikutukset, mikäli tietoriskit realisoituvat jollain keskeisistä sidosryhmistämme?

Oheinen referaatti johdon muistilistasta(Ohjeen Liite 1) muodostaa perustan johdon tietoturvatyölle:
  1. Lainmukaisuuden varmistaminen: Olemmeko tunnistaneet meitä koskevat lakisääteiset velvoitteet?
  2. Riskienhallinnan- ja hallintajärjestelmän toteuttaminen: Arvioimmeko tietoriskejä säännöllisesti ja systemaattisesti?
  3. Tietoturvapolitiikkaan sitoutuminen: Kuvaako organisaation tietoturvapolitiikka tahtotilaamme?
  4. Tietoturvajohtaminen: Käsitelläänkö tietoturva-asioita säännöllisesti organisaation johtoryhmässä? Entä raportoidaanko poikkeustilanteita johtoryhmälle? (Mitkä ovat ne metriikat, jotka ovat relevantteja meidän organisaatiossa?)
  5. Tietoturvavastuuhenkilön nimeäminen: Kenen vastuulla on tietoturvatyön koordinointi ja raportointi johdolle? Onko henkilöllä riittävät resurssit työn tekemiseen?
  6. Tietoturvallisuuden organisointi: Onhan tietoturvallisuus osa ydinprosessejamme eikä vain päälle liimattu laastari?
  7. Tietoturvallisuuden toteutumisen varmistaminen: Huomioidaanhan tietoturvallisuus keskeisissä projekteissa, hankinnoissa ja kehittämisessä jo työn alkumetreillä?
  8. Tietoturvallisuuden TTS-suunnitteluedellytysten luonti: Onhan tietoturvatyöhön varattu riittävät taloudelliset resurssit?
  9. Poikkeama- ja eritystilanteiden hallinta: Olemme suunnitelleet miten toimimme poikkeustilanteessa (esim tietomurron sattuessa)?
  10. Tietoturvaraportointivelvollisuuksista huolehtiminen: Olemmeko suunnitelleet miten ja kenelle meidän tulee/kannattaa raportoida tietoturvallisuutemme tilasta?
Listan pointit ovat hyvä muistaa itse jokaisen ja meidän onkin syytä pysähtyä miettimään, ovatko yllämainitut asiat kunnossa omassa organisaatiossamme.


Terveisin
Antti

perjantai 2. joulukuuta 2011

Ohjelma tallentaa miljoonien puhelinten käyttäjien toimet

Tutkija Trevor Eckhart löysi Android puhelimestaan käyttöjärjestelmään piilotetun rootkit-tarkkailuohjelman. Trevorin tutkiessa asiaa tarkemmin hän huomasi, että ohjelmalla on paitsi oikeudet päästä käsiksi puhelimen tärkeisiin toimintoihin (mm. tarkkailla näppäintenpainalluksia tai nauhoittaa ääntä), ohjelma myös lähetti tietoa käyttäjän toimista eteenpäin Carrier IQ nimiselle yritykselle.

Luonnollisesti ohjelma, joka nauhoittaa käyttäjän kaikki toimet ja lähettää ne eteenpäin, on suuri loukkaus käyttäjien yksityisyydelle. Carrier IQ:n mukaan tämä ohjelma toimisi yli 140 miljoonassa puhelimessa. Carrier IQ löytyy Android puhelinten lisäksi myös Symbian, Blackberry sekä iPhone käyttöjärjestelmistä.

Carrier IQ puolustautuu lehdistötiedotteessaan vetoamalla siihen, että ohjelma auttaa ainoastaan parantamaan operaattoreiden palvelunlaatua. Carrier IQ:n mukaan ohjelman tarkoituksena ei ole tarjota mahdollisuutta käyttäjien toimien vakoiluun tai tuottaa informaatiota kolmansille osapuolille.

Carrieer IQ:n lehdistötiedotteesta voisi päätellä, että he eivät keräisi yksittäisiä näppäimenpainalluksia. Trevorin kuitenkin onnistui todistaa, että juuri näin tapahtuu.

Mikäli käyttäjä mieltää tällaisen laaduntarkkailun vakoiluksi, voi hän Android-puhelimen tapauksessa suojautua käyttämällä harrastelijavoimin tehtyä versiota Androidista. Tällaisestä käyttöjärjestelmän versiosta on mahdollista karsia Carrier IQ:n kaltaiset ohjelmat. Muut käyttöjärjestelmät (Symbian, iOS, BlackBerry) eivät anna käyttäjilleen vastaavanlaisia mahdollisuuksia ohjelmien poistoon, esimerkiksi hakkeroidulla iOS-järjestelmällä ohjelmien lataaminen Applen sovelluskaupasta voi olla vaikeaa.

Uutisen inspiroimana tutkin oman Android-puhelimeni sisältöä, mutta en löytänyt Carrier IQ ohjelmaa. Se saattaa rootkit-luonteensa takia olla hyvin piilotettuna. Sen sijaan itselläni näkyi ohjelma fcctest, jonka huomasin saavan oikeuden henkilökohtaisiin tietoihini, puheluihini, sijaintiini sekä 'maksullisiin palveluihin'. Pienellä googlaamisella vaikutti siltä, että kyseessä on amerikkalaisen viestintäviraston testiohjelma. Pysähdyin hetkeksi miettimään mihin itse vetäisin rajan oman yksityisyyteni loukkaamisesta.



Lähteet:
http://www.wired.com/threatlevel/2011/11/secret-software-logging-video/
http://www.tomsguide.com/us/Google-Android-Spyware-iOS-Carrier-IQ,news-13366.html
http://androidsecuritytest.com/features/logs-and-services/loggers/carrieriq/
http://www.carrieriq.com/Media_Alert_User_Experience_Matters_11_16_11.pdf

keskiviikko 30. marraskuuta 2011

Tuleeko sähköposti tiensä päähän?

Suuri IT-palvelutoimittaja Atos aikoo uutisten mukaan kieltää kaikilta työntekijöiltä sähköpostin käytön yrityksen sisällä. Atosin selvitykset kertovat, miten sähköpostista on tullut ongelma ja ylimääräinen taakka. Se korvataan modernien ja perinteisten työkalujen yhdistelmällä.

Seuraavatko muut yritykset perässä? Tuskin, mutta monissa organisaatioissa sisäisen viestinnän käytäntöjä, työvälineitä ja työtapoja olisi kyllä syytä miettiä. Monesti yksinkertaisen asian sopimiseen käytetään lähes 10 viestiä, kun asia olisi ollut mahdollista sopia vaikka puhelimessa. Itsekin syyllistyn liian usein lähettämään sähköpostia, vaikka järkevämpää olisi soittaa tai pitää palaveri. Oman sähköpostitulvani hallitsemiseksi siirrän myös automaattisella säännöllä viestit, joissa olen cc-kentässä, toiseen kansioon ja luen ne myöhemmin. Tämäkin on kyllä aiheuttanut erinäisiä ongelmia, kun viestin lähettäjät olettavat minun olleen tietoisia asioista, joita eivät kuitenkaan ole nähneet niin tärkeäksi, että olisivat osoittaneet viestin suoraan minulle.

Miten tämä liittyy tietoturvallisuuteen? Ei ehkä suoranaisesti mitenkään, mutta mikäli viestinnässä sähköpostin rooli vähenee, jota itse kuitenkin epäilen, tulee korvaavat ratkaisut rakentaa turvallisesti. Joissakin asioissa ja toimialoilla tulee myös tarvittaessa pystyä osoittamaan, että joku tieto on lähetetty tai vastaanotettu. Miten tämä tehdään esimerkiksi puheluissa tai pikaviesteissä? Entäpä, jos viestintään käytetäänkin vaikka Facebookkia?

Sähköpostiin ja tietoturvallisuuteen liittyvänä yksityiskohtana voin vielä kertoa sellaisen tilastotiedon, että vuonna 2010 KPMG:n globaalisti lähettämästä sähköpostista noin 45% oli automaattisesti TLS salattua KPMG:n ja vastaanottajan postipalvelimien välillä. Tästä voinee vetää sellaisen johtopäätöksen, että koska suuri osa maailman organisaatioista on KPMG:n asiakkaita, tukee noin 45% maailman organisaatioista sähköpostin Opportunistic TLS salausta. Jos oma organisaationne ei sitä tue, kannattaa postipalvelimien asetuksia muuttaa niin, että salaus on jatkossa mahdollista.

tiistai 22. marraskuuta 2011

Tietoturvatietoisuudesta...

Henkilökunnan tietoturvatietoisuus ja sitä myöten, toivottavasti, parantuva tietoturvallinen käyttäytyminen ovat oleellinen osa jokaisen yrityksen tietoturvallisuuden hallintaa. Perusajatus on, että henkilökunnan tulisi olla riittävän tietoinen tietoturvallisuudesta, jotta he voivat itsenäisesti tunnistaa tilanteita, jotka mahdollisesti uhkaavat yrityksen tietoturvallisuutta ja osaavat toimia tilanteessa oikein. Tämän lisäksi henkilöstön tulisi tietää se mitä tietoturvapolitiikka ja sitä heijastava muu ohjeistus sisältää sekä toimia politiikan ja ohjeistuksen mukaisesti. Tietoturvakoulutus ja tietoturvatietoisuuskampanjat (”awareness”) tähtäävät juuri näiden taitojen ja tietojen kasvattamiseen.

Viime viikot ovat tässä suhteessa olleet mielenkiintoisia. Olemme saaneet Suomeen kaksi uutta tohtoria, jotka ovat tehneet väitöksensä juuri tähän liittyen, Viestintävirasto julkaisi uuden tietoturvallisuuden tietoisuutta lisäävän kampanjan ”Internetin itsepuolustuskurssi” ja viime viikon lopulla Euroopan verkko- ja tietoturvavirasto ENISA julkaisi ison kasan videomateriaalia 23 kielellä (saatavilla myös suomeksi). Linkit materiaaleihin löytyvät artikkelin lopusta.
Oulun yliopisto, johon edellä mainitsemani tuoreet tohtoritkin väitöksensä tekivät, on professori Mikko Siposen johdolla jo vuosituhannen alkupuolelta saakka tehnyt ahkerasti töitä tutkimalla tietoturvatietoisuuden parantamisen keinoja ja etsimällä syitä henkilökunnan heikkoon tietoturvapolitiikkojen ja ohjeistuksen noudattamiseen. Voidaan varmasti sanoa, että tässä tutkimuksessa Oulun yliopisto on maailman johtava tutkimuslaitos. Yhteenvetona tutkimuksesta todettakoon että henkilökunnan syyt rikkoa ovat moninaiset ja motivointi sekä henkilökunnan käytöksen muuttaminen hankalaa. Vaikka kyseessä on hyvin käytännönläheistä tutkimusta, valitettavan harva tietoturva-ammattilainen on tietoinen tehdystä tutkimuksesta.

Tietoturvatietoisuuden lisäämisen tärkeys on myös huomattu käytännöntasolla. Nyt julkaistut tietoturvatietoisuusmateriaalit, kuten monet muut aiemmat, sisältävät ainakin yhden yhteisen tekijän; materiaalit ovat tehty huumorilla. Videoiden oletettu teho perustuu siis olettamukseen siitä, että monen mielestä kuiva ja tylsä aihe saadaan mielenkiintoiseksi katsojille huumorin avulla ja näin ollen viesti saadaan paremmin perille. Valitettavasti vain huumori on erittäin vaikea taiteenlaji. Katsoessani (erityisesti ENISAn) videoita en ainakaan itse nauranut. Valitettavasti reaktioni on usein ollut sama katsoessani vastaavia kampanjoita. En myöskään ole tietoinen siitä, onko huumorin osoitettu olevan tehokas keino lisätä tietoturvatietoisuutta ja, mikä oleellista, saavutetaanko sitä kautta haluttu henkilökunnan käyttäytymisen muutos. Yleensä se mikä toimii yhdelle ei toimi kaikille. Tämä tekee juuri yleisesti kampanjoista vaikeita. Joillekin varmasti paras keino on juurikin huumori, toiset haluavat kovia faktoja kuten statistiikkoja ja kolmas ärsyyntyy jo pelkästä ”tietoturva”-sanasta. Varmaa on kuitenkin se, että epäonnistuessaan tietoisuuskampanjalla voi olla hyvinkin negatiivinen vaikutus, kuten millä tahansa epäonnistuneella mainoskampanjalla.

Kokemukseni mukaan, nykyään edelleen harva suomalainen yritys harjoittaa tietoturvatietoisuuskampanjoita (tässä en laske mukaan niitä organisaaatioita, joiden intranetin syvyyksissä on jokin video, joka organisaation oli pakko tehdä auditoinnista läpi päästäkseen). Lieneekö syynä juuri sen vaikeus vaiko se ettei yleensä kovin IT-taustaiset tietoturva-ammattilaiset ole kokeneet keinoa omakseen? Kuitenkin viimeaikaisten, paljon mediahuomioita saaneiden, tietoturvaloukkausten kautta henkilökunnan kiinnostus tietoturvaan on varmasti lisääntynyt ja moni kaipaisi lisätietoa. Tämän kaltaiset tapahtumat avaavatkin hienon mahdollisuuden organisaatioiden tietoturvallisuushenkilöstölle saada aidosti kiinnostuneita henkilöitä kuuntelemaan esitystä tapahtumista ja jonka yhteydessä voidaan samalla kertoa myös organisaation omista tietoturvatavoitteista, vaatimuksista ja syistä vaatimusten taustalla.

Linkkejä viittaamaani materiaaliin:

Väitöskirja ” Tietoturvakoulutuksen vaikuttavuuden arviointi yksilön ja organisaation tietoturvakäyttäytymiseen”, http://jultika.oulu.fi/Record/isbn978-951-42-9571-3

Väitöskirja “Improving employees’ information systems (IS) security behavior : Toward a meta-theory of IS security training and a new framework for understanding employees' IS security behavior”, http://jultika.oulu.fi/Record/isbn978-951-42-9567-6

Internetin itsepuolustuskurssi:
http://www.tietoturvaopas.fi/perusohjeet/tietoturvaiskut/internetin_itsepuolustuskurssi.html

ENISAn videot: http://www.enisa.europa.eu/media/press-releases/enisa-launches-information-security-awareness-videos-in-23-european-languages

keskiviikko 16. marraskuuta 2011

Miten havaita tietomurrot?

Olin viime viikolla puhumassa Tietoturva 2012 –tapahtumassa aiheesta tietomurtojen nykytilanne ja kuinka tietomurtoihin tulisi valmistautua. Ohessa hieman jatkopohdintaa esitykseni pohjalta:

Tietomurtojen havaitseminen saattaa joskus olla yllättävän vaikeaa. Esityksessäni käytin esimerkkinä havaitsemisen vaikeudesta American Expressin kotisivuilta löytynyttä cross-site-scripting (XSS) –haavoittuvuutta [1] ja Yhdysvaltain ilmavoimien miehittämättömässä lentokoneesta löytynyttä virusta. Ensimmäisessä tapauksessa ulkopuolinen tietoturvatutkija yritti ilmoittaa Amexille, että Amexin sivuilla on avoinna kehittäjille tarkoitettu näkymä, jonka kautta vihamielinen henkilö saattoi hyökätä eteenpäin. Ongelmaksi tapauksessa nousi kuitenkin se, että tutkija ei löytänyt mitään järkevää tapaa kertoa Amexille havainnoistaan. Näinpä hän päätyi postaamaan havaintonsa Twitteriin, jolloin havainnon saama julkisuus herätti lopulta myös Amexin korjaamaan aukon. Yhdysvaltain ilmavoimien tapauksessa ilmavoimien tietoturva-asiantuntijat lukivat lehdestä, että heidän Predator-lennokkien ohjausjärjestelmässä oli virus [2]. Vaikka viruksesta tiedettiin paikallisesti jo aikaisemmin, niin kukaan ei ollut kuitenkaan kertonut viruksesta asiantuntijoille. Näinpä he eivät olleet osanneet aloittaa viruksen poistamista ennen kuin lehdistö julkaisi asiasta uutisen.

Kuinka siis lievittää havaitsemisen tuskaa? Aivan ensimmäiseksi organisaation tulee varmistaa, että organisaation omat työntekijät ymmärtävät havainnoida ympäristöään poikkeamien varalta ja että heillä on selkeä käsitys siitä, miten ja kenelle poikkeamista tulee kertoa. Yksinkertainen vaade, mutta tämä ohjeistus on aina välillä syytä kerrata henkilöstölle. Toiseksi organisaation tulee varmistaa, että se seuraa tärkeimpiä (tietoturva)lokitietojaan. Nämä lokitiedot riippuvat luonnollisesti organisaatiosta, mutta tyypillisesti ne voivat olla esimerkiksi järjestelmien kriittisten tiedostojen eheyden varmistamista, onnistuneiden tai epäonnistuneiden kirjautumisten seuraamista tai vaikkapa palomuurin tai IDS:n hälytyslokien analysointia.

Edellä mainitut perustuvat organisaation omaan havaitsemiskykyyn. Organisaation kannattaa kuitenkin hyödyntää myös organisaation ulkopuolisia tietolähteitä. Itse suositan, että organisaatiot lisäisivät esimerkiksi julkiselle web-sivulleen lomakkeen, jonka kautta ulkopuoliset (ja miksei myös organisaation omat työntekijät) voivat ilmoittaa tietoturvapoikkeamahavainnoistaan. Tärkeää on, että ilmoittaminen olisi mahdollisimman helppoa (ei mitään pakollisia rekisteröitymisiä jne) ja että palautteenantajalle ilmoitetaan palautteen vastaanottamisesta (ja mahdollisesti myös tehdyistä korjaustoimista) palautteenantajan niin halutessa. Näin palautteenantaja tuntee/tietää antamallaan palautteella olevan vaikutusta eikä sen katoava vain mustaan aukkoon.

Mahdollisesti hyvistä ilmoituksista kannattaa harkita myös palkitsemisesta (Vrt Google ja Crome). Tämänkin suhteen toki kannattaa käyttää harkintaa, 2€ mainoskynä ei välttämättä ole hyvä palkkio. Sitä vastoin monessa tapauksessa julkinen kiitos (web-sivulle, Twitterissä etc) saattaa olla huomattavasti mieluisampi palkkio.

Toinen mainitsemisen arvoinen väline tiedon louhintaan on Twitter. Organisaation kannattaa laittaa ”jatkuvaksi” hakukriteeriksi oma nimensä (tai organisaation vakiintunut lyhenne). Jos osumia tulee jatkuvasti paljon, niin lisämääreenä voi käyttää esimerkiksi jotain tageistä #fail, #hack, #vulnerability tai #security. Vastaavalla tavalla organisaatio voi etsiä avainkumppaneita tai –sovelluksiaan koskevia viestejä. Oman tuntumani mukaan tiedot uusista poikkeamista leviävät erittäin nopeasti Twitterissä, joten seuraamalla sitä, organisaatio pystyy tehokkaasti täydentämään kuvaansa tietoturvatilanteestaan. Lisäksi kannattaa muistaa, että esimerkiksi lehdistö haravoi Twitteriä, joten aktiivinen seuranta antaa organisaatiolle muutaman tunnin etumatkan valmistautuessaan viestimään tapahtuneista poikkeamista.

Loppukommenttina voidaan todeta, että pelkkä ongelmien havainnointi ei luonnollisestikaan vielä paranna organisaation tietoturvaa, vaan havaitut tietoturvapoikkeamat tulee korjata. Aivan kuten keittokirjakaan ei vie nälkää vaikka se antaakin mitä mainioimman pohjan maukkaan aterian valmistamiselle!
Terveisin
Antti

[1] http://h7c.blogspot.com/2011/10/american-express-xssd.html
[2] http://www.wired.com/dangerroom/2011/10/drone-virus-kept-quiet/

perjantai 11. marraskuuta 2011

Etsimme nyt tietoturvatiimiimme Helsinkiin IAM-asiantuntijaa

IAM-asiantuntijaa

suunnittelemaan ja arvioimaan mm. finanssi ja julkishallinnon asiakkaidemme käyttövaltuuksiin ja pääsynhallintaan liittyviä ratkaisuja ja kehittämään käyttövaltuushallinnan prosesseja. Tuot oman asiantuntijuutesi sekä teknisen että hallinnollisen tietoturvatiimin projekteihin neuvonantajan ja auditoijan roolissa. Osaat arvioida kriittisesti ratkaisujen järkevyyttä ja tehdä suunnitelmia asioiden parantamiseksi. Tehtävänkuvassa voidaan huomioida mahdollinen erityisosaamisesi.

Edellytämme sinulta käyttövaltuushallinnan ratkaisujen suunnittelu- ja toteutusosaamista kansainvälisesti tunnetuilla kaupallisilla järjestelmillä, sekä suomalaisten ratkaisujen tuntemista. Tunnet käyttövaltuushallinnan prosessit ja tiedät miten niitä automatisoidaan kustannustehokkaasti. Olet perehtynyt PCI-DSS ja Vahti määrityksiin. Katsomme eduksi auditointi- ja IT-arkkitehtuuriosaamisen. Arvostamme myös osaamista kokonaisarkkitehtuurien ja käyttöpalvelujen alueilla.

Sinulla on aito halu kehittyä edelleen tietoturvallisuuden ja riskienhallinnan huippuammattilaiseksi muiden asiantuntijoidemme rinnalle. Olet mahdollisesti jo suorittanut tietoturvaan liittyviä sertifiointeja, kuten CISA ja CISSP tai valmistajakohtaisia sertifiointeja. Tuotat sujuvasti tekstiä suomeksi ja englanniksi.

Tarjoamme Sinulle
mielenkiintoisen tehtävän suuressa kansainvälisessä organisaatiossa, toimivan ja osaavan työyhteisön, viihtyisän työympäristön, monipuoliset vapaa-ajan harrastusmahdollisuudet, kattavat työterveyshuollon palvelut sekä joukon muita työsuhteeseen liittyviä etuja.

Tehtävä on vakituinen ja työt alkavat sopimuksen mukaan. Siirry elämässä eteenpäin meidän kanssamme!

Lisätietoa tehtävästä antavat
Mika Laaksonen puh. 020 760 3337 sekä Kaapro Kanto puh. 020 760 3262.

Toimi nopeasti! Täytä hakulomake www.kpmg.fi/rekrytointi -sivuilla mahdollisimman nopeasti kuitenkin viimeistään 27.11.2011.

torstai 10. marraskuuta 2011

Lex Nokian lopun alku?

Lex Nokia” eli laki sähköisen viestinnän tietosuojalain muuttamiseksi (125/2009) tuli voimaan reilut pari vuotta sitten. Muutoksen myötä sähköisen viestinnän tietosuojalaki antaa yhteisötilaajille mahdollisuuden työntekijöiden viestinnän tunnistamistietoja käsittelemällä selvittää yrityssalaisuuksien vuotamista. Selvittäminen on luvallista tietyissä olosuhteissa, mikäli sitä ennen täytetään tietoturvaan ja yt-menettelyyn liittyvät velvoitteet. Säännösten soveltaminen edellyttää myös ennakkoilmoitusta tietosuojavaltuutetulle.

Laki säädettiin kovan hälyn saattelemana, epäiltiin sen jopa rikkovan perustuslaillista viestinnän luottamuksellisuutta ja kajoavan kansalaisten perusoikeuksiin. Elinkeinoelämän puolelta lobbaus oli kiivasta, sittemmin mm. Nokia on myöntänyt olleensa asiassa aktiivinen. Lainsäädäntöprosessia on jälkikäteen arvosteltu jopa virkamiestahoilta.

Periaatteellisten mietintöjen lisäksi laki on aiheuttanut päänvaivaa myös käytännön soveltamisessa. Pykälien tulkinta ja jopa käsitteiden määrittelyt ovat osoittautuneet hyvin ongelmallisiksi. Lakiin sisältyvistä valvontapykälistä tuore viestintäministeri Krista Kiuru toteaa, että "ilmoitusvelvollisuus tietosuojavaltuutetulle ei ole toiminut kuten pitäisi." Toden totta, tähän mennessä yksikään yhteisötilaaja ei ole tehnyt valvontailmoitusta Reijo Aarnion toimistoon. Ilmeisesti kukaan ei ole halunnut toimia ennakkotapauksena ja joutua suurennuslasin alle.

Ilmoitusten puuttuminen ei välttämättä tarkoita sitä, ettei tietovuotoja yrityksissä pyrittäisi selvittämään Lex Nokian kuvaamilla keinoilla. Lisäksi teknologia mahdollistaa monet valvontakeinot, joiden laillisuudesta Suomessa ei ole takeita. Ehkä vallitsevaan tilaan saadaan muutosta, jos huhut pitävät paikkansa, että kourallinen suuria suomalaisyrityksiä olisi tekemässä yhteisen valvontailmoituksen tietosuojavaltuutetulle.

Kaikkein kaikkiaan Lex Nokia ei kuulu Suomen oikeushistorian sankaritarinoihin. Tästä huolimatta lailla on yhä kannattajansa, vaikka sen sallimat toimenpiteet voidaan rikollisen toimesta helposti kiertää eivätkä lain vaikutukset ole olleet toivotunlaiset. Viestintäministeri Kiuru on ilmoittanut, että sähköisen viestinnän tietosuojalaki otetaan monien muiden lakien tapaan uudelleentarkasteluun. Nähtäväksi jää, päättyykö Lex Nokian taival.

keskiviikko 9. marraskuuta 2011

Kriittinen ohjelmistovirhe Windows -käyttöjärjestelmissä

Microsoft julkaisi tiedot kriittisestä haavoittuvuudesta(MS11-083), joka koskee kaikkia uusia Windows- käyttöjärjestelmiä (Windows Vista, Windows 7, Windows 2008/R2). Ohjelmistohaavoittuvuuksien löytyminen ja niihin tulevat päivitykset eivät enää nykypäivänä yllätä ketään. Tämän bugin vakavuus ja laajuus kuitenkin pani miettimään miten on mahdollista että edelleen käyttöjärjestelmistä löydetään näinkin vakavia haavoittuvuuksia huolimatta Microsoftin selkeistä tavoitteista luoda tietoturvallinen käyttöjärjestelmä.

Mistä kriittisessä haavoittuvuudessa on kyse ja mikä sen vaikutus on? Microsoftin mukaan haavoittuvuus sallii koodin suorittamisen etäkoneella lähettämällä UDP paketteja SULJETTUUN UDP -porttiin. Haavoittuvuutta hyväksikäyttäen, ohjelmistokoodi suoritetaan etäkoneella niin sanotussa ”kernel” –tilassa. Hieman yksinkertaistaen voidaan sanoa että ohjelmistokoodi suoritetaan etäkoneessa pääkäyttäjän tunnuksilla. Tämä mahdollistaa esimerkiksi uusien pääkäyttäjien luomisen etäjärjestelmään UDP -paketteja lähettämällä.

Onneksi Microsoft on tarjonnut ongelmaan samalla paikkauksen, joka asentuu muiden paikkausten mukana. Näin haavoittuvuus saadaan tukittua ja sen vaikutukset estettyä. On tietysti mahdoton sanoa minkä verran kyseistä haavoittuvuutta rikolliset ovat mahdollisesti hyödyntäneet tai minkä verran he ehtivät haavoittuvuutta vielä hyödyntämään ennen kuin kaikki haavoittuvat käyttöjärjestelmät on taas asianmukaisesti päivitetty.

Lisätietoa haavoittuvuudesta löytyy:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-2013
ja lisäksi Microsoftin bulletin asiasta
http://technet.microsoft.com/en-us/security/bulletin/ms11-083

maanantai 7. marraskuuta 2011

Miten suojautua tietovuodoilta?

Viimeistään nyt, lauantaina julkitulleen Suomen historian suurimman henkilötietovuodon jälkeen, on kaikkien järjestelmien omistajien, järjestelmävastaavien, tietoturvavastaavien ja tietoturvapäälliköiden mietittävä omien järjestelmiensä sisältämien tietojen suojaamista. Jos järjestelmä sisältää arkaluonteista tietoa kuten esimerkiksi henkilötietoja, maksukorttitietoja, tuotekehitystietoa tai muita yrityssalaisuuksia, tulee sen suojaamiseen kiinnittää erityistä huomiota. Lauantaisen tietovuodon lähde ei ole vielä selvillä, mutta tietomurron mahdollisuutta ei ole poissuljettu.

Miten tietovuodoilta sitten voi suojautua? Täydellistä suojaa ei tietenkään voi koskaan saavuttaa, jos tietoja pitää tietojärjestelmiin tallentaa. Tämä onkin ensimmäinen kysymys, joka jokaisen järjestelmän kohdalla pitää ensimmäisenä kysyä. Onko todellakin tarpeen tallentaa kaikki ne tiedot mitä järjestelmässä tällä hetkellä on? Tarvitaanko henkilötunnusta todellakin rekisteröinnin yhteydessä ja pitääkö se oikeasti tallentaa?

Maksukorttialalla tietojen suojaamista säätelee PCI DSS, joka mm. kieltää tiettyjen korttitietojen tallentamisen kategorisesti. Vuosittaisessa maksukorttialan yhteisötapaamisessa (PCI Community Meeting) Lontoossa viime kuussa oli esillä parikin puheenvuoroa, jossa puhuttiin tietovuodoista, tietosuojasta ja Euroopan tietosuojadirektiivistä. Puheenvuoroista on enemmän tietoa aiemmissa blogiteksteissämme, mutta tiivistettynä niissä todettiin että maksukorttitiedot ovat vain yksi henkilötietojen ilmentymä, ja että kaikki muutkin henkilötiedot olisi hyvä suojata vähintään yhtä hyvin.

Olen aiemminkin blogikirjoituksissani ottanut esille PCI DSS:n hyvänä mallina tietojen suojaamiselle. Kyseessä on kattava tietoturvastandardi jota noudattamalla saa aikaan varsin hyvän ”perustason” tietojen suojauksessa. Lisäksi se on täysin ilmainen ja sen sovellusohjeet, tulkintaohjeita ja paljon muuta tietoa on kaikkien saatavilla. Standardi ja paljon muuta tietoa löytyy täältä. Lisäksi Luottokunta on laatinut standardista suomennoksen, joka on ladattavissa Luottokunnan sivuilta.

Muita ilmaisia ja hyviä kotimaisia malleja tietojen suojaamiseen ovat KATAKRIn ja tietoturvatasojen vaatimukset. PCI DSS antaa kuitenkin eniten konkretiaa ja sen vaatimukset ovat monissa tapauksissa suoraviivaisempia toteuttaa.

Vielä lopuksi ohjeet tietovuodoilta suojautumiseen:

Mieti ensimmäisenä, tarvitseeko tietoa ylipäänsä tallentaa? Mitä ei ole tallennettu, se ei myöskään voi vuotaa. Jos tieto pitää tallentaa, suojaa se PCI DSS:n ohjeiden mukaisesti:

1) Rakenna turvallinen verkko ja ylläpidä sitä
2) Suojaa tiedot salaamalla
3) Käytä vain turvallisia sovelluksia ja haittaohjelmien torjuntaohjelmia ja päivitä niitä säännöllisesti
4) Rajoita käyttöoikeuksia ja pääsyä verkkoon ja sovelluksiin
5) Valvo ja testaa turvallisuutta säännöllisesti.

lauantai 5. marraskuuta 2011

Suomen toistaiseksi suurin tiedossa oleva tietovuoto

Yle kertoi lauantaina 5.11.2011 että yli 16 000 suomalaisen henkilötiedot ovat vuotaneet internetin tiedostonjakosivustolle.Toistaiseksi ei ole selvillä, miten nämä tiedot ovat vuotaneet, mutta Krp tutkii henkilötietovuotoa törkeänä tietomurtona.

Vuotanut tiedosto on nimilista, jossa näkyy kunkin henkilön henkilötunnus, kotiosoite, nimi, sähköpostiosoite ja joissakin tapauksissa muitakin tietoja, kuten ammatti. Näiden tietojen avulla on mahdollista muun muassa tilata pikavippejä toisen henkilön laskuun.

Vaikkakin kyseessä on suomen mittakaavassa suuri tietovuoto, maailmalla on tapahtunut huomattavasti suurempia vuotoja. Itse tietovuodon lisäksi varsinainen ongelma on siinä, että liian monessa asiassa henkilö "tunnistetaan" henkilötunnuksen avulla. Henkilötunnus on kuitenkin tarkoitettu yksilöimään tietty henkilö, ei henkilön tunistamiseen.

Mielenkiintoista on seurata, miten nämä tiedot ovat vuotaneet. Onko kyseessä ollut esimerkiksi tahallinen teko, huolimattomuus vai huonosti toteutetu ja suojattu tekninen ratkaisu. Kaikki muut, paitsi tahallinen teko olisi ollut helposti estettävissä.

EDIT: 21:33. Etsin kyseisen listan, meni noin 2 minuuttia löytää se. Itse en ole listalla, mutta tosiaan siinä on paljon nimiä ja tietoja. En ainakaan heti pystynyt päättelemään mistä kyseinen lista voisi olla peräisin, mutta siinä on selvästi sekä yksityisosoitteita että yritysosoitteita.

EDIT: 6.11.2011 kello 19:50. Näyttää siltä, että tiedot on koostettu useasta eri paikasta, lähinnä oppilaitoksista vuotaneista tiedoista. Tietoturvamielessä tämä ei ole niin mielenkiintoista, kuin joku teknisesti hieno, yhteen tahoon kohdistunut tietomurto. Toisaalta tämä on hyvä osoitus siitä, että myös henkilöstön koulutukseen, erityisesti henkilötietojen käsittelyyn liittyen, on syytä panostaa.

perjantai 4. marraskuuta 2011

Uusi KPMG:n globaali tutkimus ” Clarity in the Cloud - A global study of the business adoption of Cloud”

KPMG on tuottanut uuden pilvipalveluihin liittyvän tutkimuksen. Tutkimukseen osallistui yli 900 globaalin yrityksen ylempään johtoon kuuluvaa henkilöä. Nämä henkilöt edustavat sellaisia yrityksiä, jotka ovat pilvipalveluiden potentiaalisia tai nykyisiä käyttäjiä tai tarjoavat itse pilvipalveluita. Edustettuina ovat seuraavat maat: Yhdysvallat, Kanada, Meksiko, Ranska, Saksa, Irlanti, Italia, Alankomaat, Ruotsi, Sveitsi, Iso-Britannia, Australia, Kiina, Intia ja Japani.

Tutkimus käsittelee pilvipalveluiden liiketoiminnallisia, operationaalisia ja varotuksellisia vaikutuksia sekä palveluihin liittyviä riskejä ja mahdollisuuksia.

Tutkimuksen mukaan halukkuus ja valmius pilvipalveluiden käyttöön on lisääntynyt ja useimmat vastaajat ovatkin sitä mieltä, että pilvipalveluista on saatavissa strategista höytyä ja että ne mahdollistavat liiketoimintamallien merkittävänkin muuttamisen. Eniten hyötyä pilvipalveluista on saatavissa silloin, kun organisaatio ei ole investoinut merkittävistä omaan IT-infrastruktuuriin tai IT-infrastruktuuri on vanhentunutta. Tällaisia organisaatioita on erityisesti kehittyvillä markkinoilla ja siellä olevat yritykset voivatkin kuroa kehittyneiden maiden teknistä etumatkaa umpeen pilvipalveluiden avulla. On mahdollista, että ne pääsevät jopa kehityksessä edelle, mikäli muualla ollaan liian hitaita muuttamaan olemassa olevia toimintamalleja ja järjestelmiä.

Huomattava osa vastaajista kertoi pilvipalveluihin liittyvien investointiensa kasvavan merkittävästi vuonna 2012. Osa organisaatioista kertoi käyttävänsä vuonna 2012 yli viidenneksen IT budjetistaan pilvipalveluihin. Pilvipalveluita käytetään tällä hetkellä lähinnä: Sähköposti-, myynti-, ja muihin vastaaviin Saas-palveluina tarjottaviin sovelluksiin.

Pilvipalveluihin liittyvät verotukselliset mahdollisuudet ja riskit tunnetaan toistaiseksi huonosti. Noin 45% vastaajista ei ollut tietoisia pilvipalveluiden verotukseen liittyvistä seikoista eikä heillä ollut tietoa, että näitä asioita myöskään heidän organisaatiossaan aktiivisesti selvitettäisiin.

Keskeisimmät pilvipalveluiden riskit liittyvät:
  • Rahoitukseen ja verotukseen
  • Tietoturvaan ja yksityisyydensuojaan
  • Operatiiviseen toimintaan ja sen hallintaan
  • Teknologioihin ja tietoon
  • Vaatimustenmukaisuuteen
  • Toimittajien hallintaan

Tutustu koko laajaan tutkimukseen

tiistai 1. marraskuuta 2011

Saadaanko Euroopan unioniin tietosuoja-asetus?

EU:n henkilötietodirektiivi on vuodesta 1995 toiminut tietosuojalainsäädännön perustana ja lainsäätäjien pakollisena ohjenuorana jäsenvaltioissa. Direktiivien velvoittavuus on aina ensisijaisesti jäsenvaltioita kohtaan, tavoite henkilödirektiivin kohdalla oli lainsäädännön harmonisointi ja unionikansalaisen tietosuojan vähimmäistason turvaaminen riippumatta tämän asuinpaikasta. Kyseessä ei kuitenkaan ole nk. täysharmonisointidirektiivi, joten jäsenmaille jäi tiettyä pelivaraa direktiivin tavoitteiden toteuttamisessa. Direktiiviä tulkittiin eri maissa eri tavalla, ja tämän seurauksena tietosuojalainsäädäntö ei edelleenkään ole yhdenmukaista, puhumattakaan valvontaviranomaisten toimivallasta ja toimeenpanon päättäväisyydestä.

Komissio on jo jonkin aikaa valmistellut tietosuojan lainsäädäntöpuitteiden uudistamista. Direktiivimuutoksen sijaan saattaa kuitenkin käsillä olla isompi remontti: pikku- ja vähän isommatkin linnut lauloivat alkusyksystä, että direktiivin sijaan olisikin tulossa asetus. Asetukset eroavat direktiiveistä siten, että ne ovat kaikilta osin yleisesti ja suoraan velvoittavia. Jäsenvaltioille ei siis enää jäisi harkintavaltaa säännösten implementoinnin muodossa.

Jos huhut pitävät paikkansa, merkitsee se isoa muutosta EU:n lähestymistapaan. Tietyssä mielessä se merkitsee jäsenvaltioiden lakia säätävien elinten aseman heikentymistä, mutta toisaalta korostuvat unionin lainsäädäntöelinten tietosuojalle asettama merkitys sekä unionikansalaisten yhtäläiset perusoikeudet. Viranomaiskentässä tapahtuu varmasti muutoksia kansallisten valvojien toimivallassa ja tehtäväkentän laajuudessa, odotettavissa on luultavasti Euroopan tietosuojavaltuutetun aseman vankistaminen. Toisaalta yhtäläinen normipohja tukee eri maiden viranomaisten yhteistyötä sekä viime kädessä unionikansalaisen oikeusturvaa, vaikka nyanssieroista ei varmasti asetuksellakaan eroon päästä.

KPMG:n kannalta tulevat säädösmuutokset ovat mielenkiintoisia lakitekniikasta riippumatta. Tilivelvollisuuden periaate velvoittaa rekisterinpitäjät toimimaan aktiivisesti tietosuojan toteuttamiseksi omassa (liike-)toiminnassaan ja pyydettäessä osoittamaan tehdyt toimenpiteet konkreettisesti. Tämä luo uusia liiketoimintamahdollisuuksia myös asiantuntijaorganisaatioille. Luvassa on myös muita merkittäviä uudistuksia, mutta ehkä ei paljasteta tässä vaiheessa ihan kaikkea…

/ Mikko V.

maanantai 31. lokakuuta 2011

XBRL ja tietoturva

Sain pyynnön kirjoittaa Tilintarkastus-lehteen artikkelin XBRL:stä. Syy tähän löytyy historiastani, olenhan sekaantunut XBRL:ään jo vuonna 2004 opinnäytetyöni yhteydessä. Artikkelia varten materiaalia kootessani koetin samalla myös miettiä XBRL:ää nykyisen substanssini, tietoturvan, valossa.

XBRL, mitä se on?

eXtensible Business Reporting Language (XBRL) on XML (eXtensible Markup Language)-pohjalta määritelty liiketoiminnan raportointikieli, jolla esitetään tietoa yhdenmukaisella, rakenteisella tavalla. XBRL:n huomattavin etu on se, että se on täysin standardimuotoista ja siten riippumaton käytettävästä laitteistoista sekä ohjelmistoista. Lisäksi XBRL-kielellä tuotetut dokumentit voidaan muotoilla jälkikäteen ja niitä voidaan hyödyntää koneellisesti eri tarkoituksiin.

XBRL:ssä tieto ja tiedon sisäiset suhteet löytyvät samasta tiedostosta, joka mahdollistaa tiedon rakenteen merkintään käytettyjen tunnisteiden avulla hahmottaa sekä tiedoston tietosisältö että metatieto. Tämä XML:n rakenteisuus ja metatiedon mukaanotto erottaa XBRL-raportoinnin paperisista toimintakertomuksista ja pdf-, tai html-muotoisista vuosikertomuksista ja tilinpäätöksistä. Perinteisten formaattien rakennetta tietokoneohjelmat eivät ymmärrä, vaikka se ihmissilmällä on selkeästi havaittavissa. Kauniisti tuloslaskelman eri erät ja rivit esittävä paperi on koneellisesti hankalaa lukea. Sen sijaan, yksinkertaistettuna XBRL tarkoittaa sitä, että XBRL-instanssitiedoston rivi "<liikevaihto>1000000</liikevaihto>" voidaan lukea ja sitä voidaan suoraan hyödyntää koneellisesti.

Mihin sitä käytetään?

XBRL siis helpottaa tilinpäätösinformaation sekä muun taloudellisen informaation raportointia, jakelua sekä käytettävyyttä. XBRL:n käyttöönoton myötä sijoittavat tulevat tasavertaisemmiksi yritysten informaation saatavuuden suhteen ja yritysten keskinäinen vertailtavuus paranee huomattavasti. Samalla myös yrityksen sidosryhmät saavat tarvitsemansa tiedon nopeammin, luotettavammin ja helpommin. Tiedonkäsittelyn automatisoituessa myös virheiden määrä ja niiden mahdollisuus vähenee, kun tietoa haetaan ja kopioidaan automatisoidusti. Tämä mahdollistaa myös automaattisen tietojen tarkastuksen. XBRL:n käytön tavoitteita ovatkin kustannussäästöt, tiedonkäsittelyn tehokkuuden sekä tiedon tarkkuuden ja luotettavuuden parantuminen. Aiemmin manuaalisesti suoritettua työtä voidaan automatisoida XBRL:n käytön myötä, esimerkkeinä tiedon analysointi, tiedon sähköinen jakelu, tiedon esittämistavat, osatietojen poiminta/tunnuslukujen laskenta ja yritysten väliset vertailut.

XBRL ja tietoturva?

XBRL:n tietoturvaan vaikuttavia ominaisuuksia voidaan miettiä sen käyttötarkoitusten mukaan. Luottamuksellisuus ei yleensä ottaen ole XBRL:n tärkeimpiä ominaisuuksia, koska XBRL on tarkoitettu julkisen ja julkaistavan tiedon käsittelyyn. XBRL:n sovellukset rakentuvatkin pitkälti XBRL:n hyvän käytettävyyden ja sen eheyden varaan. XBRL-sovellukset pyrkivät helpottamaan tiedon saatavuutta ja yhdenmukaisuutta (XBRL = joustava ja yhdenmukainen rakenteinen talouden raportointikieli). Kuitenkin, koska XBRL on rakenteinen kieli, on sen eheys ensiarvoisen tärkeää. Kaikki XML-johdannaiset kielet validoidaan aina erillistä tiedostoa (skeema tai DTD) vastaan, joka kertoo onko tiedoston rakenne eheä. Rakenteen lisäksi myös XBRL-tiedostojen tietosisältö voi korruptoitua. Erilaiset XBRL-sovellukset tarkistavat yleensä vain rakenteen eheyden eivätkä kiinnitä huomiota itse tietosisältöön. Toisin sanoen, täysin eheän näköinen XBRL-tiedosto voi sisältää väärää tai tiedonsiirron aikana väärennettyä tietoa. Tämän vuoksi XBRL on herkkä korruptoitumiselle ja sen suojaamiseen tulee kiinnittää erityistä huomiota. Tietoturvanäkökulmasta XBRL-tiedostoille on hyvä laskea tarkistussumma säilytettäessä ja tiedostot tulee siirtää ainoastaan salattua siirtotietä pitkin. XBRL itsessään ei siis huolehdi tietoturvasta muuten kuin rakenteen eheyden validoimisen kautta, joten sen turvallinen käyttö on verrattavissa sähköpostin turvalliseen käyttöön, muuttumattomuus ja luottamuksellisuus on siis varmistettava muilla kuin itse välineen keinoilla.

Tilintarkastuslehdessä julkaistaan pidempi artikkeli aiheesta joulukuussa 2011. Pro gradu-työni ”Tilinpäätösdokumenttien elektroninen mallintaminen XML-merkintäkielen avulla” on laadittu Oulun yliopiston kauppatieteelliselle tiedekunnalle vuonna 2004.

sunnuntai 30. lokakuuta 2011

Millainen on (hyvä) tietoturvapolitiikka?

Lueskelin tässä taannoin luonnosta Vahti-ohjeesta, jonka aiheena oli ”Johtajan tietoturvaopas”. Menemättä sen suuremmin itse ohjeen sisältöön jäin miettimään ohjeen lopussa ollutta esimerkin omaista tietoturvapolitiikan sisällysluetteloa (Vahti 3/2007). Henkilökohtaisen mielipiteeni tietoturvapolitiikasta on se, että se on liian pitkä.

Miksi tämä on sitten merkityksellistä? Mitä väliä sillä on, miten pitkä on organisaation tietoturvapolitiikka? Hmm, oikeastaan ei kai tietoturvapolitiikan pituudella olekaan mitään väliä. Kuitenkin, käytännössä kaikissa edes hieman hallinnollisen tietoturvan puolelle osuvissa auditoinnessa kysytään aina onko organisaatiolla tietoturvapolitiikkaa. Ja jos vastaus on kyllä; tässä on dokumentti, joka alkaa sanalla Tietoturvapolitiikka ja päättyy organisaation johtajan allekirjoitukseen, niin väitän tuon dokumentin kelpaavan poikkeuksetta tietoturvapolitiikaksi. Aivan sama mitä on edellä mainittujen sanojen välissä.

Entäpä jos käännämme tilanteen; kuinka auditoija suhtautuu tilanteeseen, jossa organisaatio ilmoittaa, ettei heillä ole tietoturvapolitiikkaa, mutta he esittävät dokumentin, jossa määritellään asiat X, Y ja Z ja joka on organisaation johtajan allekirjoittaman. Täyttääkö tämä dokumentti vaatimuksen siitä, että organisaatiolla tulee olla tietoturvapolitiikka? Tästä päästään siihen filosofiseen kysymykseen, että mikä on oikeastaan tietoturvapolitiikka ja mitä sen tulisi sisältää vähintään?

Minun filosofiani mukaan tietoturvapolitiikan (olipa se millä nimellä tahansa) tulisi täyttää seuraavat reunaehdot:
  1. Dokumentin tulee kuvata organisaation suhtautuminen tietoturvaan. Itse toivon, että löytäisin dokumentista seuraavat osa-alueet:
    • Johdanto: mikä on tämä dokumentti?
    • Päämäärät ja tavoitteet: mikä on tämän dokumentin tavoite?
    • Vastuut: Miten vastuut on jaettu?
    • Tietoturvatyön organisointi ja toteutuskeinot: Miten tietoturvatyö on priorisoitu ja organisoitu sekä miten riskejä hallitaan?
    • Tiedottaminen ja koulutus: Miten tietoturvaohjeistus hoidetaan ja miten se jalkautetaan henkilöstölle?
    • Seuranta ja ongelmatilanteet: Miten ohjeiden noudattamista seurataan ja miten puututaan rikkomuksiin?
  2. Dokumentin tulee olla allekirjoittanut organisaation tämän hetkinen toimiva johto
  3. Dokumentin tulisi olla julkinen. Vastaavalla tavalla kuin yrityksen mission ja vision tulisi olla julkisia, niin tulisi olla myös tietoturvapolitiikan.
  4. Dokumenttiin ei tule kirjoittaa mitään sellaista, mitä organisaation ylin johto ei ymmärrä. Tekniset nippelit eivät siis kuulu tietoturvapolitiikkaan vaan dokumenttiin halutaan suuret linjat.
  5. Dokumentin maksimi pituus on viisi sivua, mieluummin kuitenkin korkeintaan kolme sivua. (Emme voi olettaa, että rivityöntekijä jaksaa lukea ajatuksella tätä pidempiä dokumentteja.)
Edellä mainitut eivät ole ehdottomia totuuksia, vaan vain oma henkilökohtainen näkemykseni. Juhani Tammista lainatakseni, ”jokaisella valmentajalla on oma pelikirjansa, jonka mukaan hän johtaa joukkuettaan”. Samoin, organisaatiolla tulisi olla siis itsensä näköinen tietoturvapolitiikka, jonka tarkoituksena on olla organisaation tietoturvatyön ylin ohjenuora.

Jos sinulla on vahva mielipide siitä, mitä organisaation tietoturvapolitiikan tulisi vähintään sisältää, niin kommentoi kirjoitukseen. Lupaan koostaa kommenttien perusteella tietoturvapolitiikan, joka huomioi annetut kommentit!

Ystävällisin terveisin
Antti

keskiviikko 26. lokakuuta 2011

KPMG saavutti Microsoftin Gold -tason Software Asset Management (SAM) alueella

KPMG:n Management Consulting -yksikön IT-neuvontapalveluiden tarjonta laajentui syyskuussa, kun KPMG täytti Microsoftin Gold -tason vaatimukset Software Asset Management (SAM) –kompetenssissa, jonka avulla asiakasorganisaatiot voivat tehostaa lisenssiomaisuuden hallintaansa.

  • Lisenssit muodostavat merkittävän osan organisaatioiden IT-kuluista ja mahdollisesta lisenssiehtojen rikkomuksista aiheutuvat kulut ovan yleensä sitäkin suurempia.
  • Pahimmillaan organisoimaton ja päivittämätön ohjelmisto jättää yrityksen avoimeksi viruksille ja muille mahdollisille tietoturvaongelmille.
  • Tehokkaalla lisenssien hallinnalla ja hankinnalla säästöt voivat olla merkittäviä.

KPMG:n SAM-palvelut auttavat lisenssien hallinnan monisäikeisessä ja joskus jopa mahdottomilta tuntuvissa haasteissa. Palvelun avulla ylimääräiset, päällekkäiset ja vanhat ohjelmistot voidaan poistaa ja näin saadaan minimoitua niihin liittyviä kustannuksia.

maanantai 24. lokakuuta 2011

Maksukorttialan tietoturvapäivät Lontoossa, osa 2


Nykytrendin mukaisesti konferenssissa oli sosiaalinen media myös hyvin käytössä. #PCICM hashtagilla kommentoitiin puheenvuoroja reaaliajassa ja mielenkiintoisia pointteja ja esiinnostoja viserrettiin eteenpäin myös maksukorttialan turvallisuudesta vähemmän kiinnostuneiden seuraajien iloksi. Jopa itse Jeremy King (PCI SSC:n European Director) että vielä legendaarisempi Bob Russo (PCI SSC:n General Manager) olivat aktivoituneet twitterissä. Bob Russon voi bongata oheisesta Councilin vuonna 2010 julkaisemasta promomusiikkivideosta, jossa tiivistetysti hauskalla tavalla käydään läpi myös itse PCI DSS -standardin vaatimukset:

http://www.youtube.com/watch?v=OceYWri86Ts

Mutta sitten niihin luvattuihin muihin mielenkiintoisiin puheenvuoroihin:

Johtaja David Evans Ison-Britannian "tietosuojatoimistosta" ja konsultti Matthias Hauss SRC Security Research and Consulting Gmbh:sta kertoivat mielenkiintoisia esimerkkejä sekä Britannian että Saksan raportointivaatimuksista tietomurtotapauksissa. Britanniassa paikallinen tietosuojatoimisto alkaa ylläpitämään listaa tietomurroista ja tietomurron kohteeksi joutuneista organisaatioista. Jatkossa ennen asiointia verkkokaupassa kannattaakin tsekata onko organisaatio tietosuojatoimiston listalla. Saksassa käytäntö on toisenlainen, tietomurron kohteeksi joutunut organisaatio joutuu antamaan asiasta ilmoituksen kahdessa maanlaajuisessa lehdessä. Lisäksi Hauss omassa puheenvuorossaan otti kantaa Euroopan tietosuojadirektiiviin sekä Saksan vastaavaan lainsäädäntöön ja totesi, että PCI DSS:n näkökulmasta suojattavat tiedot ovat yksi suojattavien henkilötietojen ilmentymä. Hauss kehottikin kaikkia tietosuojadirektiivin ja vastaavan lainsäädännön alaisia organisaatioita ottamaan PCI DSS:n perustasoksi tietojensa suojaamiseen.

Kuten Hauss, mekin KPMG:llä olemme jo useiden vuosien ajan suositelleet PCI DSS:n käyttöönottoa myös maksukorttialan ulkopuolisille toimijoille hyvänä tietoturvan kehittämistyökaluna. PCI DSS on ilmainen standardi, jonka toteuttamisvaatimukset sekä paljon ohjeistusta vaatimusten toteuttamiseksi ovat ilmaiseksi kaikkien käytettävissä.

Lontoon yliopiston professori Fred Piper piti todella mielenkiintoisen, hauskan ja mukaansatempaavan luennon kryptografiasta. Uusien salausmenetelmien keksimisen ja vanhojen salausmenetelmien murtamisen kilpajuoksusta huolimatta sirulla varustettua maksukorttia ei ole vielä onnistuttu murtamaan. Maksukorttien väärinkäytökset ovat aina perustuneet muihin menetelmiin, kuten esim. shoulder surfing tai perinteiset tietomurtomenetelmät. Fred Piper kiteytti asian lauseeksi: "Chip and PIN is not Broken!", josta muodostui varmasti yksi #PCICM-hashtagin eniten retweetattu lausahdus. Lisäksi puheenvuorossa käytiin läpi salausmenetelmien historiaa kymmenien vuosien takaa aina tähän päivään asti. Mielenkiintoista oli myös spekulaatiot siitä, miten menetelmien luomiseen ja murtamiseen on ajansaatossa suhtauduttu. Riippuen näkökulmasta aina ei ole ollut yksiselitteistä onko murtaja ollut se hyvä vaiko paha kaveri. Fred myös spekuloi sitä, mitkä asiat olisivatkaan muuttuneet, jos tietyt salausalgoritmit olisivat tulleet aikoinaan murretuksi. Vaikutuksia olisi saattanut olla hyvinkin suoraan esimerkiksi juuri pankkimaailmaan. Matematiikan ja kryptografian suurena guruna hän myös naureskeli sitä, kuinka usein algoritmin luojat olettavat kaikkien potentiaalisten ihmisten haluavan käyttää aikaansa uuden algoritmin murtamiseen. Tiivistettynä voidaan siis sanoa, että vaikka algoritmia ei puoleen vuoteen ole joku taho murtanut, se ei tarkoita sitä, että se olisi turvallinen. Ihmisillä on saattanut olla "parempaakin tekemistä", kuin viettää yöt ja päivät murtopuuhissa.

Troy Leach PCI SSC:stä antoi Councilin "ohjeita" vaatimustenmukaisuuden elinkaaren hallintaan ja vaatimustenmukaisuuden saavuttamisen nopeuttamiseen. Ideana oli lyhentää tietä (tai siltaa, kuten he asiasta puhuivat) vaatimustenmukaisuuteen käyttämällä PA-DSS (Payment Application Data Security Standard ), PCI PTS (PIN transaction security) jne. sertifioituja laitteita, palveluita jne. Myös mm. tuleva P2PE (Point-to-Point Encryption) -salaus ja sen sertifiointimahdollisuus auttavat PCI DSS vaatimustenmukaisuuden kanssa painivia organisaatioita. Tiivistetysti: ulkoista kaikki minkä voit, jolloin sinulle itsellesi jää vain murto-osa vaatimuksista toteutettavaksi. Monet suomalaisetkin organisaatiot ovat tämän jo huomanneet ja sitä toteuttaneet.

...ja vielä se tärkein huomio tietoturva-asiantuntijoiden näkökulmasta. Suurin osa tietomurroista tehdään edelleen web-pohjaisina hyökkäyksinä ja erityisesti pitkäaikaisen OWASP TOP10 – listallakin mainittujen SQL-injektioiden kautta. Herätys! :)



Mika Iivari & Olli Knuuti

Maksukorttialan tietoturvapäivät Lontoossa, osa 1


Vain viikko RSA-Europe – konferenssin jälkeen Lontoon Lancaster – hotelli keräsi jälleen tietoturvaihmisiä ympäri maailman paikalle. Tällä kertaa kyseessä oli PCI SSC:n (Payment Card Industry Security Standards Council) järjestämä yhteisötapaaminen, johon osallistui itse neuvoston jäsenten lisäksi mm. luottokorttiyhtiöiden edustajia, laitevalmistajia sekä standardin parissa toimivia auditoijia ja konsultteja aina Kookossaarilta asti. Tapaamisen tarkoituksena oli käsitellä alaan ja standardiin liittyviä ajankohtaisia asioita, osallistua standardien kehittämiseen ja verkostoitua alan toimijoiden kesken.

Tilaisuuden avasi PCI SSC:n Euroopan johtaja Jeremy King. Puheenvuorossa käsiteltiin PCI yhteisön saavutuksia ja kehitystä kuluneen viiden vuoden aikana, jonka ikäinen neuvosto on. Huomionarvoista oli muun muassa vuosittaisen tapaamisen osallistujamäärän suuri kasvu. Siinä missä vuonna 2009 osallistujia oli ollut kokonaisuudessaan 187, tänä vuonna päästiin jo lukuun 505. Kasvu kuvastaakin hyvin sitä, kuinka PCI standardi saa jatkuvasti enemmän jalansijaa ympäri maailman.

Seuraavat kaksi päivää sisälsi runsaasti keskustelua ja hyviä puheenvuoroja. Aloitamme käytännön kokemuksilla PCI DSS -vaatimuksenmukaisuudesta:

British Airwaysin Phil Morton ja Kingfisherin David Lumley kertoivat kokemuksiaan pitkäkestoisen PCI-vaatimustenmukaisuusohjelman implementoinnista edustamiinsa yrityksiin. Molempien esityksissä tiivistyi tärkeä sanoma: vaatimuksenmukaisuuden saavuttaminen ja ylläpitäminen on haastava, mutta mahdollinen projekti, kunhan se toteutetaan huolellisesti ja oikealla asenteella koko organisaation laajuisesti. David Lumley korostikin erityisesti sitä, että PCI ei ole missään tapauksessa IT-projekti, vaan formaali ja hallittu liiketoiminnan muutosprosessi. ”Business” on siis taho, joka vastaa PCI-vaatimuksenmukaisuudesta. Onnistumisen elementtejä lueteltiin molempien toimesta useita ja monilta osin yhteneväisesti. Muun muassa seuraavat elementit korostuivat:

- Hyvien suhteiden luominen QSA:n, ASV:n, pankkien, PCI-työryhmien, IT-osaston ja muiden vastaavassa tilanteessa olevien organisaatioiden kanssa.
- Johdon sitoutuminen ja täydellinen ymmärrys siitä, mistä on kyse
- Tulevaisuuden suunnittelu ja vastuiden selkeä määrittäminen
- Tietoisuuden lisääminen
- Tekniset valmiudet ja valikoidut asiantuntijat
- ”Don’t think cards, think customers”, eli yritysjohdolle on turha puhua korttinumeroiden turvaamisesta - puhukaa asiakkaidenne turvaamisesta

Jatkamme seuraavassa blogikirjoituksessa muiden mielenkiintoisten puheenvuorojen yhteenvetämistä. Tulossa on muun muassa tietovuotojen käsittely- ja raportointikäytännöistä Iso-Britanniasta ja Saksasta, kryptografiaguru Fred Piperin luento salauskäytännöistä ja PCI councilin ohjeet siitä, kuinka voi lyhentää tietä vaatimustenmukaisuuteen... stay tuned.


-Olli Knuuti & Mika Iivari

lauantai 15. lokakuuta 2011

RSA Europe 2011: 3. päivä

Varsin pitkä, mutta antoisa viikko alkaa olla takanapäin. Konferenssi päättyi torstaina ja osallistujat lähtivät omiin suuntiinsa konferenssireppu kokemuksia täynnä.

Torstain antia kuvaavat mm. seuraavat ajatukset:

  • "Metrics are Bunk!?" Konferenssin yksi eniten ajatuksia herättävistä aiheista, joka kyseenalaistaa nykyisin käytössä olevat tietoturva- ja riskimittarit. Tämä ansaistsee syvällisemmän käsittelyn, joten seuratkaahan blogia.
  • "Wikileaks is not the problem - the problem is that information leaks out of organizations in the first place!" Wikileaks:n toiminnan moraalista voidaan olla montaa mieltä, mutta perimmäinen ongelma on, että arkaluontoista tietoa vuotaa ulos organisaatioista ja esim. Wikileaksin kaltaisten tahojen käsiin.

Konferenssin loppupuheenvuorossa Sir Tim Berners-Lee toi esiin omaa visiotaan tulevaisuuden Internetistä. Hänen ajatuksensa olivat hyvin käyttäjäkeskeisiä ja kuvastivat ehkä laajempaakin muutosta ympäristössä jossa toimimme - tietotekniikka ja Internet ovat arkipäiväistyneet, mutta teknologioista paistaa edelleen läpi niiden kehittäjien insinööritaustaisuus.

Sähköinen kommunikaatio perustuu edelleen valtaosin suojaamattomaan sähköpostiin. Palvelinten välillä liikenne alkaa tosin olla kohtalaisen usein salattua, mutta päästä-päähän salaus puuttuu edelleen. Tekniikka suojaukseen on olemassa - julkisen avaimen salaus - mutta edelleen puuttuu yhtenäinen toteutusmalli ja menetelmä avaintenvaihtoon. Tässä varmaan osasyynä on rakennettujen työvälineiden ja tekniikoiden käytön vaikeus. Käyttäjänäkökulmaa kaivataan enemmän - tilaisuuksia turvalliseen avaintenvaihtoon on kyllä riittämiin kunhan itse vaihtotoimenpide saadaan tehtyä sujuvasti.

Kokonaisuutena konferenssi oli varsin onnistunut ja antoi hyvän kokonaiskuvan tämän hetken tietoturvallisuuskentästä. Bleeding edge tekniset esitykset tosin olivat varsin harvassa - näitä hakeville Black Hat on parempi kohde.

Suomalaisia osallistujia konferenssissa oli joitakin kymmeniä, pohjoismaisia vajaa sata. Kaiken kaikkiaan osallistujia lienee ollut lähempänä tuhat. Verkottumismahdollisuuksia siis löytyy.

/Samuel

torstai 13. lokakuuta 2011

RSA Europe 2011: 1. ja 2. päivä

Konferenssin puoliväli on ohitettu, joten lienee korkea aika luoda pieni katsaus kuluneeseen kahteen päivään.

Tiistain avauspuheenvuorot tulivat RSA:n johtoryhmän puheenjohtajalta Arthur W. Coviello Jr.:ltä ja toimistusjohtajalta Thomas P. Heiser:ltä. Puheet käsittelivät odotetusti RSA:n keväistä tietomurtoa, ja muutama uusi tiedonjyvänenkin saatiin. Hyökkäykseen osallistui kaksi ryhmää, jotka koordinoivat toimintaansa (toinen suojasi toisen ryhmän etenemistä). Vieläkään RSA ei paljastanut ryhmien identiteettiä, mutta puheista nousi viittaus siitä että kyseessä olisi valtiotasoinen toimija. Tämä huomioitiin nopeasti verkkomedioissa, mm. The Register:n artikkelissa RSA defends handling of two-pronged SecurID breach. Toisaalla verkkokirjoittelussa spekulaatio jatkuu (esim. Slashdot).

Muissa esityksissä ja keskusteluissa näiden kahden päivän aikana on esiin noussut mm. seuraavia asioita:

  • "Context defines risk!" Perinteisen riskianalyysin ongelma on, se että uhkakuvia ja sitä kautta riskejä käsitellään irrallisina. Riskin määrittely vaatii kuitenkin aina asiayhteyden. Esimerkkinä henkilö seisomassa kallion reunalla - tässähän on selkeä riski? Riski tulee kuitenkin asiayhteydestä, eli oletamme kallion reunalla seisovan henkilön haluavan elää. Mikäli kyseessä on itsemurhaa hautova henkilö, on kallion reuna hänelle mahdollisuus saavuttaa tavoitteensa.
  • "Embrace failure and create safety nets. Agility will be key!" Melko radikaali ehdotus ottaa pessimistinen näkökulma asioihin - olettaa että virheitä/epäonnistumisia tapahtuu. Ohjataan resursseja enemmänkin siihen miten toimitaan kun jotain tapahtuu. Opitaan virheistä ja muutetaan toimintatapoja tarpeen mukaan.
  • "Opt-in security is worthless!" Useissa sovelluksissa ja palveluissa monet tietoturva-asetukset ovat oletuksena pois päältä. Vastuu on siis siirretty käyttäjälle (tai organisaation IT-osastolle) ottaa kyseiset asetukset käyttöön. Aina tulee kuitenkin olemaan käyttäjiä, jotka eivät välttämättä edes tiedä kaikkien asetusten olemassaolosta saati sitten ymmärrä niiden merkitystä.
  • "People are the new perimeter!" Päätelaite on siirtynyt organisaation verkon reunalle erityisesti älykkäiden mobiililaitteiden yleistymisen myötä; näiden tekninen suojaaminen on haasteellista, jolloin käyttäjän merkitys organisaation portinvartijana korostuu. Nykypäivänä pitää huomioida myös kuluttajalaitteet ja niiden käyttö organisaatioissa.
  • "Security fundamentals guard against most attacks!" APT on täällä ja tullut jäädäkseen. Organisaatioiden kannalta on kuitenkin tärkeämpää huolehtia perustietoturvasta kuin murehtia yksittäisestä hyökkäystyypistä.

Koostamme blogiin syvällisemmän analyysin muutamasta aiheesta konferenssin jälkeen, joten pysykää kuulolla.

// Samuel Korpi ja Juhana Yrjölä //

keskiviikko 12. lokakuuta 2011

Teknisen tietoturvallisuuden testaajaksi KPMG:lle?

Haluaisitko lähteä Kiinaan testaamaan kansainvälisen kauppaketjun langattomien verkkojen ja IT-järjestelmien tietoturvaa tai osallistua Diginotarin tietovuodon jäkimainingeissa kansallisten PKI-toteutusten penetration testing toimeksiantoihin osana globaalia tiimiä?

Mikäli haluat ja omaat hyvät tekniset valmiudet murtotestausten ja koodiauditoinnin suorittamiseen laita hakemus tulemaan.

http://tyopaikat.oikotie.fi/avoimet-tyopaikat/tekninen-tietoturva-asiantuntija---helsinki/577235

maanantai 10. lokakuuta 2011

Ennakkotunnelmia vuoden 2011 RSA Europe-konferenssista Lontoosta

RSA Europe 2011 -konferenssi kokoaa Lontooseen tietoturva-asiantuntijoita ympäri maailmaa seuraavaksi kolmeksi päiväksi. Konferenssin arvostuksesta kertoo se, että mukaan on saatu maailmanluokan puheenvuoroja, huipentuen Sir Tim Berners-Leen loppuyhteenvetoon WWW:n kehityksestä ja tulevaisuudesta. Yritysmaailmasta mukana ovat IT-alan jättiläiset Microsoft, HP, Symantec, Cisco, Google, EMC, Verisign jne. Muita sektoreita edustavat mm. CERT, W3C, ENISA ja CSA.

CSA (Cloud Security Alliance) otti varaslähdön järjestämällä CSA Summit 2011 -tapahtuman tänään, päivää ennen konferenssin virallista avausta. CSA on maailmanlaajuinen organisaatio, joka pyrkii edistämään pilvipalveluiden tietoturvallista käyttöä. CSA on laatinut pilvipalveluiden tietoturvallisuusohjeen ja myös vastaa sen ylläpidosta. Ohjeen nykyinen versio on 2.1, mutta päivitetty versio 3.0 on viimeistelyä vaille valmis. Päivitetyn ohjeen suunniteltu julkaisuaikataulu on marraskuussa.

Konferenssin virallinen ohjelma alkaa huomenna, ja luvassa on - yllätys, yllätys - RSA:n oma kuvaus keväisestä tietomurrosta ja mitä siitä on opittu. Iltapäivällä esitykset hajautuvat eri aihepiireihin, joista blogissa tulemme käsittelemään mm. mobiilitietoturvaan ja tietoliikenteen suojaukseen liittyviä kysymyksiä.

KPMG:n RSA-delegaatio toivottaa tässä vaiheessa hyvää yötä ja seuraa tiiviisti konferenssin kulkua.

// Samuel Korpi ja Juhana Yrjölä //

torstai 6. lokakuuta 2011

American Express XSS'd

Satuin lukemaan ruotsalaisen tietoturvablogaajan Nilklas Femerstrandin kirjoituksen, jossa hän esittelee American Express -luottokorttifirman kotisivuilta löytämäänsä cross-site scripting (XSS) -haavoittuvuutta.

Haavoittuvuus löytyi näin:
  1. American Expressin sivustoilta löytyi Internetiin avoinna oleva admin-konsoli.
  2. Konsoliin tutustumalla selviää, että sivuston debug-ominaisuudet saa käyttöön lisäämällä "debug"-lipun URL-osoitteen perään. Tällöin sivustolla näytetään JavaScriptillä toteutettu debug-konsoli: (https://www.americanexpress.com/?debug)
  3. Kuten tyypillistä, debug-toiminnallisuuden syötteenkäsittely on olematonta, jolloin XSS saadaan laukaistua lisäämällä JavaScript-koodia heroOverride-parametriin.

Vaarallisinta koko haavoittuvuudessa on se, että injektoitua koodia kutsutaan silmukassa jatkuvasti. Haavoittuvuutta hyväksikäyttäen voisi siis toteuttaa helposti monenlaisia hyökkäyksiä (CSRF, istuntotunnisteiden varastus jne.) Amexin tai kolmannen osapuolen verkkosivuja vastaan.

Femerstrand yritti ilmoittaa haavoittuvuudesta American Expressille Twitterin välityksellä, jolloin ilmeni että Amex hyväksyy sähköpostia vain kortinomistajilta. Haavoittuvuus kuitenkin varmaan korjataan nopeasti, joten alla vielä kuvakaappaus epäuskoisille.

tiistai 27. syyskuuta 2011

Ympäristön heterogeenisuus tietoturvallista?

Lukaisin jonkin aikaa sitten julkaistun tietoturvatutkimuksen, jonka kirjoittajina olivat Chen, Kataria ja Krishnan (Krishnan muun muassa toimii tietoturvapuolella kuuluisan Carnegie Mellon yliopiston tutkijana). Tutkimus oli julkaistu eräässä alan parhaimmaksi, tai jopa parhaaksi, rankatussa tieteellisessä julkaisussa nimeltä Management Information Systems Quarterly (MISQ). Tarkemmat ja yksityiskohtaisemmat tiedot löytyvät luonnollisesti itse artikkelista, mutta mielenkiintoisinta oli heidän johtopäätös: ohjelmistojen heterogeenisuuteen pyrkivä strategia on eduksi tietyissä tapauksissa ja lisää tietoturvallisuutta. Tutkijoiden väitteen mukaan kun heterogeenisuutta (tutkijat itse käyttävät englanninkielen termiä ”software diversification”) lisätään niin saatavuutta saadaan kasvatettua monimuotoistamalla käytössä olevat ohjelmistot ja näin on todennäköisempää ettei ongelma/haavoituvuus yhdessä ohjelmistossa kosketa koko ympäristöä.

Vastaavasta on käyty keskustelua jo pitkään ammatinharjoittajien keskuudessa. Hyvä esimerkki tästä on ollut keskustelu useampia vuosia sitten siitä tulisiko palomuurit hankkia kahdelta eri valmistajilta vai vain yhdeltä valmistajalta. Selkeyttä (tai ainakin lisäpontta keskustelulle) toi analytiikkayritys Gartnerin raportti, jossa suositeltiin vain yhtä laitevalmistajaa. Muistan kuitenkin tämän keskustelun muokanneen käytännön toteutuksia ja joskus maailmalla työskennellessäni, tällä kertaa kehittyvässä maassa, useammankin eri yrityksen asiantuntijat jakoivat näkemystään, jonka mukaan kahta tietoturvaratkaisua (ei siis vaan palomuuria vaan tietoturvaratkaisua yleensä) ei tulisi milloinkaan hankkia samalta laitevalmistajalta.

Tämä kaikki on myös tällä hetkellä hyvinkin ajankohtaista. Moni käyttäjä haluaa hyödyntää Applen tuotteita yrityskäytössä. Homogeenisuuden suosimisen kautta, kuten tutkijat totesivat, moni yritysverkko on puhtaasti Windows -verkko. Tästä johtuen voidaan esimerkiksi Applen tuotteiden käyttöönotto nähdä juuri artikkelin mukaisena monimuotoistamisena. Johtuen käyttöjärjestelmien hyvinkin suuresta erilaisuudesta, voidaan varmasti olettaa ettei kovin helposti löydetä haavoittuvuuksia, jotka koskisivat molempia käyttöjärjestelmiä (poikkeuksena luonnollisesti sovellushaavoittuvuudet tai esimerkiksi Java-haavoittuvuudet, joita on yleensä voitu hyödyntää yli käyttöjärjestelmärajojen). Voisiko siis tietoturvan lisääntyminen toimia business casena heterogeenisempien ympäristöjen suosimiseksi?
Lopuksi lienee hyvä huomioida, että tutkijat, tarkoituksen mukaisesti, ovat tutkineet asiaa vain valitsemastaan perspektiivistä. Tietoturvallisuus on kuitenkin monimutkaista ja näin ollen heterogeenisuuden vaikutuksia kokonaistietoturvaan on vaikea tai mahdoton arvioida vain näiden tulosten valossa.

Linkki artikkeliin: http://misq.org/correlated-failures-diversification-and-information-security-risk-management.html

maanantai 26. syyskuuta 2011

Seitsemän asiaa, jotka CIO:den tulee huomioida tämän päivän tietoturvatyössä

Niall Brownen (CISO, LiveOps Inc.) on kerännyt kokemuksiaan ja ajatuksiaan listaksi, jotka tämän päivän CIO:n ja (CISO:n) tulisi huomioida kehittäessään yrityksensä tietoturvaa. Lähtökohtana listalle on ollut se, että toimintaympäristömme digitalisoituu kiihtyvällä vauhdille omista haluistamme ja näkemyksistämme välittämättä. Samoin, rikollisuus ja ”cyberhyökkäykset” eivät ole enää pienten rajoittuneiden kohteiden ongelma ja (tietoturva)yritykset ovatkin joutuneet arvioimaan uudelleen vastaavatko heidän olemassa olevat tietoturvarakenteet tämän päivän uhkiin. Niallin näkemyksen mukaan olemassa olevat standardit ovat (edelleen) perusta tietoturvan rakentamiselle, mutta pelkkä vaatimustenmukaisuus ei ole enää tae turvallisuudesta.

Ohessa on tiivistetysti Niall Brownen teesit tämän päivän CIO:lle:
  1. Keskity tietoturvauhkiin vaatimustenmukaisuuden sijasta. Karrikoiden voidaan sanoa, että varashälyttimen asentamisesta etuoveen ei ole mitään iloa, jos takaovemme on jatkuvasti auki. Monesti vaatimustenmukaisuuden ongelma on se, että rakennamme kontrollit niin, että ne täyttävät standardin Z vaatimukset ja näin ollen ne tyydyttävät auditoijaa. Ongelma lähestymisessä on kuitenkin se, että kontrollimme eivät välttämättä suojaa meitä tämän päivän todellisilta uhkilta, näin ollen olemme haavoittuvaisia vaikka olisimmekin vaatimustenmukaisia.

  2. Tiedon suojaamisessa tulee keskittyä tiedon suojaamiseen paikan suojaamisen sijasta. Nykyään tieto on hajaantunut enenevässä määrin ympäri toimintaympäristöämme ja tietoa käsitellään yhä kasvavassa määrin toimiston ulkopuolella mitä erilaisimmilla päätelaitteilla. Tämä on johtanut siihen, että tietoturva ei voi enää nojata toimiston fyysiseen turvallisuuteen vaan meidän on suunniteltava kontrollimme uusiksi. Toisin sanoen tiedon suojauksen on kuljettava tiedon mukana huolimatta tiedon fyysisestä sijainnista.

  3. Ymmärrä sosiaalisen median luonne. Monessa yrityksessä sosiaalinen media nähdään (edelleen) suurena peikkona ja sen käyttö halutaan kieltää tietoturvasyihin vedoten. Pelätään, että työntekijät vuotavat yrityksen tietoa somessa. Äärimmilleen vietynä yritykset ovat estäneet kaikki yhteydet sosiaalisen median palvelimiin työpaikalta, mutta toisaalta yrityksen työntekijät voivat surffata somessa yrityksen kannettavalla kotonaan. Näin ollen suoraviivainen kieltäminen ei ratkaise ongelmaa. Tänä päivänä onkin järkevämpää sallia kontrolloitu pääsy sosiaaliseen mediaan täydellisen kiellon sijasta. Käyttäjiä tulee valistaa olemassa olevista riskeistä ja kertoa heille, kuinka he voivat suojautua näitä riskejä vastaan. Näin käyttäjät saavat paremmat edellytykset tiedon suojaamiseen sijaitsivatpa tiedot sitten yrityksen tiloissa tai niiden ulkopuolella.

  4. Perinteiset tietoturvaryhmät on organisoitava uudelleen. Yritysten ohjelmistokehitys on pitkälti siirtynyt käyttämään ketteriä sovelluskehitysmalleja. Käytännössä tämä tarkoittaa sitä, että perinteisten puolivuosittaisten tai kerran vuodessa olevien julkaisujen sijasta ohjelmistot saavat uusia ominaisuuksia (tyypillisesti) kahden viikon välein. Lisäksi ohjelmoijat harvoin sijaitsevat enää yhdessä paikassa, vaan kehitystyötä saatetaan tehdä jopa ympäri maapalloa. Ketterien sovelluskehitysmenetelmien hyvä puoli on se, että niiden avulla on mahdollista saada uusia toiminnallisuuksia sovelluksiin huomattavasti aikaisempaa nopeammin. Tietoturvan kannalta haaste taas on se, että perinteisen puolen vuoden sijasta tietoturvaryhmällä on aikaa riskien arviointiin vain kaksi viikkoa. Jos 10 ohjelmoijaa toteuttaa 10 toiminnallisuutta per ohjelmoija, niin ohjelmistoon tulee 100 muutosta joka toinen viikko! Näin ollen tietoturvaryhmän on pystyttävä toimimaan samassa tahdissa sovelluskehittäjien kanssa, koska muuten tietoturva jää jälkeen.
    Kun tietoturva jää jälkeen, niin liiketoiminnan riski kasvaa. Jotta liiketoiminnan riski pysyisi hallittavana, niin joko tietoturvaryhmien täytyy pystyä lyhentämään reaktioaikaansa tai vaihtoehtoisesti ohjelmiston julkaisuväliä tulee pidentää. Liiketoiminta harvoin haluaa hidastaa toimintaansa kankean riskienhallinnan takia. Näin ollen tietoturvaryhmien tulee siirtyä ”ketteriin tietoturvamenetelmiin” tai muuten he pian huomaavat etteivät he pysty vastaamaan liiketoiminnan vaatimuksiin.

  5. Järjestä työntekijöille interaktiivista tietoturvakoulutusta. Tietoturvakoulutus, jossa tietoturvaosasto järjestää pakollista koulutusta henkilöstölle kerran vuodessa eilisen tietoturvahuolista on tänä päivänä tehotonta. Sitä vastoin tietoturvaosastojen tulisi jalkautua henkilöstön joukkoon ja pyrkiä valistamaan käyttäjiä jatkuvasti ajankohtaisista uhista. Mahdollisia tapoja tavoittaa käyttäjät ovat esimerkiksi tietoturvalounaat, -julisteet, -visailut, uutiskirjeet ja muut vastaavat tavat, joilla pystytään kasvattamaan henkilöstön tietoisuutta ajankohtaisista aiheista.

  6. Keskity ohjelmistoturvallisuuteen. Valitettavan usein kuvitellaan, että sovelluksien suojaamiseen riittää palomuuri verkon laidalla. Nykyään tämä olettamus ei kuitenkaan enää pidä paikkaansa. Sovellukset kommunikoivat kasvavassa määrin internetin läpi ja ne tarjoava yhä enemmän ja enemmän erilaisia liitäntäpintoja muille sovelluksille (API). Tämä taasen johtaa siihen, että sovellusten haavoittuvuuspinta on kasvanut samalla kuin palomuurin tarjoama suojaus on laskenut. Näin ollen sovellusten on oltava turvallisia itsessään. Tämä taasen vaatii, että tietoturva huomioidaan systemaattisesti koko ohjelmistokehitysprosessin aikana.

  7. Seuraa tietoturvan tilaa jatkuvasti. Monet tietoturvastandardit vaativat, että yrityksessä seurataan tietoturvan tilaa ennalta määritetyn syklin mukaan. Käytännössä tämä voi tarkoittaa, että yrityksessä audioidaan käyttöoikeudet neljänneksittäin tai palomuurisäännöt tarkastetaan puolivuosittain. Valitettavasti hakkerit eivät kuitenkaan toimi ennalta määrätyn aikataulun mukaan. Jos yritys ei seuraa jatkuvasti tietoturvansa tilaa, niin on mahdollista, että väärinkäytös havaitaan vastan viikkojen tai kuukausien kuluttua itse tapahtumasta. Tästä syystä tietoturvan valvonnan tulee olla jokapäiväistä. Tietoturvatyökalujen tulee tarjota käyttäjilleen ajantasaista ja selkeää informaatiota, jotta tietoturvapoikkeamat olisi mahdollisimman helppo havaita ja jotta korjaaviin toimenpiteisiin voitaisiin ryhtyä mahdollisimman nopeasti. Vain näin voidaan suojata tehokkaasti liiketoimintaa olemassa olevilta riskeiltä.
Oman kokemuspohjani perusteella pidän Niallin teesejä varsin mainiona lähtökohtana tietoturvallisuuden rakentamiselle yksinkertaisuudessaan. Esimerkiksi tietoturvaa ja vaatimustenmukaisuutta ei pitäisi tehdä vain auditointeja varten. Hienoista dokumenteista ei ole mitään apua, ellei henkilöstö tunne niiden sisältöä ja toimi ohjeiden mukaan. (Toisaalta, vaatimustenmukaisuus saattaa toisinaan olla edellytys liiketoiminnalle, esimerkiksi tietoturvatasojen tai PCI DSS -standardin täyttäminen, eli emme voi unohtaa muodollisuuttakaan kokonaan.) Samoin, yleensähän tietoturvan heikoin lenkki on itse käyttäjät, joten emme saa koskaan aliarvioida koulutuksen ja valituksen merkitystä kokonaistietoturvan rakentamisessa jne. Summa summarum, Niallin lista kannattaa lukea ajatuksella läpi ja pohtia, ovatko mainitut asia kunnossa itse kunkin organisaatiossa!

Ystävällisin terveisin
Antti

perjantai 23. syyskuuta 2011

Miksi ”kaikki” julkishallinnon IT-projektit epäonnistuvat?

Turun Sanomissa julkaistiin 23.9.2011 artikkeli, jossa todetaan: Valtiontalouden tarkastusviraston mukaan it-alan järjestelmäntoimittajat ovat aiheuttaneet veronmaksajille satojen miljoonien eurojen menetykset. – Julkisella puolella kaikki isot tietojärjestelmähankkeet ovat päätyneet viime aikoina kaaokseen käyttöönottovaiheessa. Tarkastusviraston mukaan syy ei ole ostajissa ja artikkelissa arvotellaan kovin sanoin tiettyjä suuria järjestelmätoimittajia ja heidän kyvyttömyyttään oppia aikaisemmista virheistä.

Olen omassa työssäni saanut seurata monia merkittäviä it-projekteja ja oman kokemukseni mukaan syy ei todellakaan ole pelkästään toimittajassa. Tarkastusviraston omassa raportissakin todetaan että ”Julkinen sektori on ollut tässä suhteessa aivan liian löperö. Maksetaan siitä, että toimittajat korjaavat omia virheitään” Oman kokemukseni mukaan viimeaikaiset it-projektien ongelmat johtuvat:
  • Julkisten hankintojen kilpailutuksesta – ei voida riittävästi keskustella toimittajien kyvystä toteuttaa haluttu kokonaisuus, valinnassa korostuu monesti pelkkä hinta, toimittajien saadessa tasavertaiset laatupisteet. – Hankintalaki asettaa haasteita hankinnalle.
  • Hintakilpailun aiheuttamista paineista toteuttaa voitettu projekti mahdollisimman edullisesti – usein osa työstä ulkoistetaan halvan työvoiman maihin.
    Riittämättömistä ja huonosta projektin hallinnasta ja projektin aikaisten muutosten hallinnan puutteista.
  • Riittämättömästä valvonnasta, riskienhallinnasta ja riippumattoman testauksen / laadunvarmistuksen puutteesta.
  • Kiireestä ja epärealistisista aikataulu tavoitteista.
Yleensä epäonnistuminen johtuu näiden kaikkien tekijöiden yhteisvaikutuksesta eikä kaikki näistä syistä ole pelkästään toimittajien kontrollissa. Toki toimittajilla olisi parantamisen varaa muun muassa sovelluskehityksen tietoturva-osaamisessa. Tämä on selkeä puute ja ongelma, johon itse törmäämme omassa auditointityössämme.

Projektinjohdollinen ja aikatauluihin liittyvä ongelma on se, että silloin kuin tilaaja on ymmärtänyt tilata järjestelmälle tietoturva-auditoinnin ennen käyttöönottoa – ja tässä julkishallinto on parantanut toimintaansa viimevuosina – ei järjestelmä yleensä ole valmis silloin, kun se pitäisi testata ja tuotantoon se pitäisi saada eilen.

Valtiontalouden tarkastusviraston raportissa on kyllä suuri totuuden siemen, mutta vastuu epäonnistumisista on sekä ostajalla että toimittajalla ja osittain myös lainsäädännöllä.

Turun Sanomien artikkeli http://www.ts.fi/online/kotimaa/259794.html

maanantai 19. syyskuuta 2011

Tietoturvakoulutus – hieno juttu, mutta mistä aloittaa?

Monessa yhteydessä on korostettu, että organisaation tulisi kouluttaa henkilöstöään säännöllisesti (myös) tietoturvatietouden osalta. Itse asiassa tämä vaatimus tietoturvakoulutuksesta ei ole mikään uusi juttu, vaan kansanväliset tietoturvakriteeristöt (kuten ISO27001 ja PCI DSS) ovat edellyttäneet säännöllisestä kouluttamista (muodossa tai toisessa) jo pitkään. Kansallisella tasolla tietoturvakoulutuksen merkitystä on pyritty nostamaan mm. niin, että tietoturvatasoihin on tuotu oma vaatimus (1.3.1 Osaamisen ja tietoisuuden kehittäminen sekä sanktiot) tietoturvakoulutukselle.

Karkeasti voidaan sanoa, että kritteeristöjen vaatimukset täyttyvät sillä, että organisaatio järjestäisi itse, tai ostaisi ulkopuoliselta, jonkun satunnaisen tietoturvakoulutuksen kerran vuodessa. En kuitenkaan pidä tätä hyvänä lähestymisenä, koska tällöin hyvin harvoin tarjottu koulutus ja organisaation henkilöstön todellinen koulutustarve kohtaavat.

Näinpä, jos organisaatiossa ei ole (vielä) käynnissä suunnitelmallista tietoturvakoulutusta eikä organisaatiossa oikein edes vielä tiedetä mistä lähteä liikkeelle, niin asiaa voisi alkaa purkamaan alla olevien kysymysten kautta. Vastausten perusteella organisaation pitäisi saada karkea käsityksen siitä, mitä mieltä organisaation henkilöstö on koulutustarpeistaan. Tämä taas on äärimmäisen arvokasta tietoa siinä vaiheessa kun organisaatio miettii mistä lähteä liikkeelle.

Yleisesti ottaen tietoturvakoulutuksen osalta suosin itse mallia, jossa koko organisaation henkilöstölle järjestetään vuosittain ”peruskoulutus”. Tässä koulutuksessa kerrataan kaikille yhteisiä perusteita sekä nostetaan esiin ajankohtaisia aiheita. Tämän lisäksi, esimerkiksi noin puolen vuoden kuluttua peruskoulutuksesta, tulisi eri henkilöstöryhmille järjestää kohdistettua henkilöiden työtehtäviin liittyvää tietoturvakoulutusta. (Kohderyhminä voivat olla esimerkiksi sovelluskehittäjät, järjestelmien ylläpitäjät, asiakaspalvelijat, toimistotyöntekijät jne.) Näin koulutus voidaan räätälöidä henkilöiden tarpeiden mukaan, jolloin myös motivaatio oppimiseen on huomattavasti suurempi. Vielä kun koulutukselle laaditaan pitkän aikavälin suunnitelma; 2011 keskitymme tähän, 2012 tuohon, 2013 on vuorossa se jne, niin organisaatiolla on oivat perusteet onnistuneeseen henkilöstön tietoturvatietotaidon kehittämiseen ja ylläpitoon!


Terveisin

Antti


Kysymyksiä organisaation henkilöstön tietoturvakoulutustarpeen selvittämiseksi

  • Oletko lukenut organisaatiomme tietoturvapolitiikkaa?
    [kyllä | ei]
  • Saatko riittävästi tietoturvakoulutusta?
    [kyllä | ei]
  • Kuinka usein tietoturvakoulutusta tulisi järjestää?
    [kerran vuodessa | kaksi kertaa vuodessa | useammin kuin keksi kertaa vuodessa | harvemmin kuin kerran vuodessa]
  • Miten tietoturvakoulutus tulisi järjestää?
    [Luokkamaisena opetuksena | verkkopohjaisena koulutuksena | pienryhmissä | Muuten: miten?]
  • Mitä aiheita koulutuksessa tulisi käsitellä? (Valitse mielestäsi kolme tärkeintä)
    • Sähköpostin turvallinen käyttö Salasanojen turvallisuus
    • Internetin turvallinen käyttö
    • Työasemien turvallinen käyttö
    • Yksityisyyden suojaaminen verkossa
    • Tiedon käsittely ja sen luokittelu
    • Tietojenkalastelulta suojautuminen (social engineering)
    • Tiedon salaaminen
    • Sosiaalisen median turvallinen käyttö
    • Henkilötietojen oikeaoppinen käsittely
    • Jotain muuta: mitä?
  • Käytätkö työkäytössä olevaa käyttäjätunnusta ja salasanaa henkilökohtaisissa palveluissa?
    [kyllä | ei]
  • Tiedätkö mitkä ovat organisaatiomme suositukset vahvalle salasanalle?
    [kyllä | en | en tiedä organisaatiomme suosituksia, mutta tiedän vahvan salasana vaatimukset]
  • Tiedätkö kuinka sinun tulee käsitellä työtehtäviisi liittyvää aiheistoa työpaikan ulkopuolella Etätyö, työskentely julkisella paikalla)?
    [kyllä | ei | luulisin, mutta tarvitsen lisätietoa]
  • Käytänkö ulkopuolisia henkilökohtaiseen käyttöön tarkoitettuja palveluita työtehtävien hoitamisessa? (Esimerkiksi Google docs, Gmail, Dropbox, jne)
    [kyllä | ei]