Ads 468x60px

keskiviikko 30. marraskuuta 2011

Tuleeko sähköposti tiensä päähän?

Suuri IT-palvelutoimittaja Atos aikoo uutisten mukaan kieltää kaikilta työntekijöiltä sähköpostin käytön yrityksen sisällä. Atosin selvitykset kertovat, miten sähköpostista on tullut ongelma ja ylimääräinen taakka. Se korvataan modernien ja perinteisten työkalujen yhdistelmällä.

Seuraavatko muut yritykset perässä? Tuskin, mutta monissa organisaatioissa sisäisen viestinnän käytäntöjä, työvälineitä ja työtapoja olisi kyllä syytä miettiä. Monesti yksinkertaisen asian sopimiseen käytetään lähes 10 viestiä, kun asia olisi ollut mahdollista sopia vaikka puhelimessa. Itsekin syyllistyn liian usein lähettämään sähköpostia, vaikka järkevämpää olisi soittaa tai pitää palaveri. Oman sähköpostitulvani hallitsemiseksi siirrän myös automaattisella säännöllä viestit, joissa olen cc-kentässä, toiseen kansioon ja luen ne myöhemmin. Tämäkin on kyllä aiheuttanut erinäisiä ongelmia, kun viestin lähettäjät olettavat minun olleen tietoisia asioista, joita eivät kuitenkaan ole nähneet niin tärkeäksi, että olisivat osoittaneet viestin suoraan minulle.

Miten tämä liittyy tietoturvallisuuteen? Ei ehkä suoranaisesti mitenkään, mutta mikäli viestinnässä sähköpostin rooli vähenee, jota itse kuitenkin epäilen, tulee korvaavat ratkaisut rakentaa turvallisesti. Joissakin asioissa ja toimialoilla tulee myös tarvittaessa pystyä osoittamaan, että joku tieto on lähetetty tai vastaanotettu. Miten tämä tehdään esimerkiksi puheluissa tai pikaviesteissä? Entäpä, jos viestintään käytetäänkin vaikka Facebookkia?

Sähköpostiin ja tietoturvallisuuteen liittyvänä yksityiskohtana voin vielä kertoa sellaisen tilastotiedon, että vuonna 2010 KPMG:n globaalisti lähettämästä sähköpostista noin 45% oli automaattisesti TLS salattua KPMG:n ja vastaanottajan postipalvelimien välillä. Tästä voinee vetää sellaisen johtopäätöksen, että koska suuri osa maailman organisaatioista on KPMG:n asiakkaita, tukee noin 45% maailman organisaatioista sähköpostin Opportunistic TLS salausta. Jos oma organisaationne ei sitä tue, kannattaa postipalvelimien asetuksia muuttaa niin, että salaus on jatkossa mahdollista.

tiistai 22. marraskuuta 2011

Tietoturvatietoisuudesta...

Henkilökunnan tietoturvatietoisuus ja sitä myöten, toivottavasti, parantuva tietoturvallinen käyttäytyminen ovat oleellinen osa jokaisen yrityksen tietoturvallisuuden hallintaa. Perusajatus on, että henkilökunnan tulisi olla riittävän tietoinen tietoturvallisuudesta, jotta he voivat itsenäisesti tunnistaa tilanteita, jotka mahdollisesti uhkaavat yrityksen tietoturvallisuutta ja osaavat toimia tilanteessa oikein. Tämän lisäksi henkilöstön tulisi tietää se mitä tietoturvapolitiikka ja sitä heijastava muu ohjeistus sisältää sekä toimia politiikan ja ohjeistuksen mukaisesti. Tietoturvakoulutus ja tietoturvatietoisuuskampanjat (”awareness”) tähtäävät juuri näiden taitojen ja tietojen kasvattamiseen.

Viime viikot ovat tässä suhteessa olleet mielenkiintoisia. Olemme saaneet Suomeen kaksi uutta tohtoria, jotka ovat tehneet väitöksensä juuri tähän liittyen, Viestintävirasto julkaisi uuden tietoturvallisuuden tietoisuutta lisäävän kampanjan ”Internetin itsepuolustuskurssi” ja viime viikon lopulla Euroopan verkko- ja tietoturvavirasto ENISA julkaisi ison kasan videomateriaalia 23 kielellä (saatavilla myös suomeksi). Linkit materiaaleihin löytyvät artikkelin lopusta.
Oulun yliopisto, johon edellä mainitsemani tuoreet tohtoritkin väitöksensä tekivät, on professori Mikko Siposen johdolla jo vuosituhannen alkupuolelta saakka tehnyt ahkerasti töitä tutkimalla tietoturvatietoisuuden parantamisen keinoja ja etsimällä syitä henkilökunnan heikkoon tietoturvapolitiikkojen ja ohjeistuksen noudattamiseen. Voidaan varmasti sanoa, että tässä tutkimuksessa Oulun yliopisto on maailman johtava tutkimuslaitos. Yhteenvetona tutkimuksesta todettakoon että henkilökunnan syyt rikkoa ovat moninaiset ja motivointi sekä henkilökunnan käytöksen muuttaminen hankalaa. Vaikka kyseessä on hyvin käytännönläheistä tutkimusta, valitettavan harva tietoturva-ammattilainen on tietoinen tehdystä tutkimuksesta.

Tietoturvatietoisuuden lisäämisen tärkeys on myös huomattu käytännöntasolla. Nyt julkaistut tietoturvatietoisuusmateriaalit, kuten monet muut aiemmat, sisältävät ainakin yhden yhteisen tekijän; materiaalit ovat tehty huumorilla. Videoiden oletettu teho perustuu siis olettamukseen siitä, että monen mielestä kuiva ja tylsä aihe saadaan mielenkiintoiseksi katsojille huumorin avulla ja näin ollen viesti saadaan paremmin perille. Valitettavasti vain huumori on erittäin vaikea taiteenlaji. Katsoessani (erityisesti ENISAn) videoita en ainakaan itse nauranut. Valitettavasti reaktioni on usein ollut sama katsoessani vastaavia kampanjoita. En myöskään ole tietoinen siitä, onko huumorin osoitettu olevan tehokas keino lisätä tietoturvatietoisuutta ja, mikä oleellista, saavutetaanko sitä kautta haluttu henkilökunnan käyttäytymisen muutos. Yleensä se mikä toimii yhdelle ei toimi kaikille. Tämä tekee juuri yleisesti kampanjoista vaikeita. Joillekin varmasti paras keino on juurikin huumori, toiset haluavat kovia faktoja kuten statistiikkoja ja kolmas ärsyyntyy jo pelkästä ”tietoturva”-sanasta. Varmaa on kuitenkin se, että epäonnistuessaan tietoisuuskampanjalla voi olla hyvinkin negatiivinen vaikutus, kuten millä tahansa epäonnistuneella mainoskampanjalla.

Kokemukseni mukaan, nykyään edelleen harva suomalainen yritys harjoittaa tietoturvatietoisuuskampanjoita (tässä en laske mukaan niitä organisaaatioita, joiden intranetin syvyyksissä on jokin video, joka organisaation oli pakko tehdä auditoinnista läpi päästäkseen). Lieneekö syynä juuri sen vaikeus vaiko se ettei yleensä kovin IT-taustaiset tietoturva-ammattilaiset ole kokeneet keinoa omakseen? Kuitenkin viimeaikaisten, paljon mediahuomioita saaneiden, tietoturvaloukkausten kautta henkilökunnan kiinnostus tietoturvaan on varmasti lisääntynyt ja moni kaipaisi lisätietoa. Tämän kaltaiset tapahtumat avaavatkin hienon mahdollisuuden organisaatioiden tietoturvallisuushenkilöstölle saada aidosti kiinnostuneita henkilöitä kuuntelemaan esitystä tapahtumista ja jonka yhteydessä voidaan samalla kertoa myös organisaation omista tietoturvatavoitteista, vaatimuksista ja syistä vaatimusten taustalla.

Linkkejä viittaamaani materiaaliin:

Väitöskirja ” Tietoturvakoulutuksen vaikuttavuuden arviointi yksilön ja organisaation tietoturvakäyttäytymiseen”, http://jultika.oulu.fi/Record/isbn978-951-42-9571-3

Väitöskirja “Improving employees’ information systems (IS) security behavior : Toward a meta-theory of IS security training and a new framework for understanding employees' IS security behavior”, http://jultika.oulu.fi/Record/isbn978-951-42-9567-6

Internetin itsepuolustuskurssi:
http://www.tietoturvaopas.fi/perusohjeet/tietoturvaiskut/internetin_itsepuolustuskurssi.html

ENISAn videot: http://www.enisa.europa.eu/media/press-releases/enisa-launches-information-security-awareness-videos-in-23-european-languages

keskiviikko 16. marraskuuta 2011

Miten havaita tietomurrot?

Olin viime viikolla puhumassa Tietoturva 2012 –tapahtumassa aiheesta tietomurtojen nykytilanne ja kuinka tietomurtoihin tulisi valmistautua. Ohessa hieman jatkopohdintaa esitykseni pohjalta:

Tietomurtojen havaitseminen saattaa joskus olla yllättävän vaikeaa. Esityksessäni käytin esimerkkinä havaitsemisen vaikeudesta American Expressin kotisivuilta löytynyttä cross-site-scripting (XSS) –haavoittuvuutta [1] ja Yhdysvaltain ilmavoimien miehittämättömässä lentokoneesta löytynyttä virusta. Ensimmäisessä tapauksessa ulkopuolinen tietoturvatutkija yritti ilmoittaa Amexille, että Amexin sivuilla on avoinna kehittäjille tarkoitettu näkymä, jonka kautta vihamielinen henkilö saattoi hyökätä eteenpäin. Ongelmaksi tapauksessa nousi kuitenkin se, että tutkija ei löytänyt mitään järkevää tapaa kertoa Amexille havainnoistaan. Näinpä hän päätyi postaamaan havaintonsa Twitteriin, jolloin havainnon saama julkisuus herätti lopulta myös Amexin korjaamaan aukon. Yhdysvaltain ilmavoimien tapauksessa ilmavoimien tietoturva-asiantuntijat lukivat lehdestä, että heidän Predator-lennokkien ohjausjärjestelmässä oli virus [2]. Vaikka viruksesta tiedettiin paikallisesti jo aikaisemmin, niin kukaan ei ollut kuitenkaan kertonut viruksesta asiantuntijoille. Näinpä he eivät olleet osanneet aloittaa viruksen poistamista ennen kuin lehdistö julkaisi asiasta uutisen.

Kuinka siis lievittää havaitsemisen tuskaa? Aivan ensimmäiseksi organisaation tulee varmistaa, että organisaation omat työntekijät ymmärtävät havainnoida ympäristöään poikkeamien varalta ja että heillä on selkeä käsitys siitä, miten ja kenelle poikkeamista tulee kertoa. Yksinkertainen vaade, mutta tämä ohjeistus on aina välillä syytä kerrata henkilöstölle. Toiseksi organisaation tulee varmistaa, että se seuraa tärkeimpiä (tietoturva)lokitietojaan. Nämä lokitiedot riippuvat luonnollisesti organisaatiosta, mutta tyypillisesti ne voivat olla esimerkiksi järjestelmien kriittisten tiedostojen eheyden varmistamista, onnistuneiden tai epäonnistuneiden kirjautumisten seuraamista tai vaikkapa palomuurin tai IDS:n hälytyslokien analysointia.

Edellä mainitut perustuvat organisaation omaan havaitsemiskykyyn. Organisaation kannattaa kuitenkin hyödyntää myös organisaation ulkopuolisia tietolähteitä. Itse suositan, että organisaatiot lisäisivät esimerkiksi julkiselle web-sivulleen lomakkeen, jonka kautta ulkopuoliset (ja miksei myös organisaation omat työntekijät) voivat ilmoittaa tietoturvapoikkeamahavainnoistaan. Tärkeää on, että ilmoittaminen olisi mahdollisimman helppoa (ei mitään pakollisia rekisteröitymisiä jne) ja että palautteenantajalle ilmoitetaan palautteen vastaanottamisesta (ja mahdollisesti myös tehdyistä korjaustoimista) palautteenantajan niin halutessa. Näin palautteenantaja tuntee/tietää antamallaan palautteella olevan vaikutusta eikä sen katoava vain mustaan aukkoon.

Mahdollisesti hyvistä ilmoituksista kannattaa harkita myös palkitsemisesta (Vrt Google ja Crome). Tämänkin suhteen toki kannattaa käyttää harkintaa, 2€ mainoskynä ei välttämättä ole hyvä palkkio. Sitä vastoin monessa tapauksessa julkinen kiitos (web-sivulle, Twitterissä etc) saattaa olla huomattavasti mieluisampi palkkio.

Toinen mainitsemisen arvoinen väline tiedon louhintaan on Twitter. Organisaation kannattaa laittaa ”jatkuvaksi” hakukriteeriksi oma nimensä (tai organisaation vakiintunut lyhenne). Jos osumia tulee jatkuvasti paljon, niin lisämääreenä voi käyttää esimerkiksi jotain tageistä #fail, #hack, #vulnerability tai #security. Vastaavalla tavalla organisaatio voi etsiä avainkumppaneita tai –sovelluksiaan koskevia viestejä. Oman tuntumani mukaan tiedot uusista poikkeamista leviävät erittäin nopeasti Twitterissä, joten seuraamalla sitä, organisaatio pystyy tehokkaasti täydentämään kuvaansa tietoturvatilanteestaan. Lisäksi kannattaa muistaa, että esimerkiksi lehdistö haravoi Twitteriä, joten aktiivinen seuranta antaa organisaatiolle muutaman tunnin etumatkan valmistautuessaan viestimään tapahtuneista poikkeamista.

Loppukommenttina voidaan todeta, että pelkkä ongelmien havainnointi ei luonnollisestikaan vielä paranna organisaation tietoturvaa, vaan havaitut tietoturvapoikkeamat tulee korjata. Aivan kuten keittokirjakaan ei vie nälkää vaikka se antaakin mitä mainioimman pohjan maukkaan aterian valmistamiselle!
Terveisin
Antti

[1] http://h7c.blogspot.com/2011/10/american-express-xssd.html
[2] http://www.wired.com/dangerroom/2011/10/drone-virus-kept-quiet/

perjantai 11. marraskuuta 2011

Etsimme nyt tietoturvatiimiimme Helsinkiin IAM-asiantuntijaa

IAM-asiantuntijaa

suunnittelemaan ja arvioimaan mm. finanssi ja julkishallinnon asiakkaidemme käyttövaltuuksiin ja pääsynhallintaan liittyviä ratkaisuja ja kehittämään käyttövaltuushallinnan prosesseja. Tuot oman asiantuntijuutesi sekä teknisen että hallinnollisen tietoturvatiimin projekteihin neuvonantajan ja auditoijan roolissa. Osaat arvioida kriittisesti ratkaisujen järkevyyttä ja tehdä suunnitelmia asioiden parantamiseksi. Tehtävänkuvassa voidaan huomioida mahdollinen erityisosaamisesi.

Edellytämme sinulta käyttövaltuushallinnan ratkaisujen suunnittelu- ja toteutusosaamista kansainvälisesti tunnetuilla kaupallisilla järjestelmillä, sekä suomalaisten ratkaisujen tuntemista. Tunnet käyttövaltuushallinnan prosessit ja tiedät miten niitä automatisoidaan kustannustehokkaasti. Olet perehtynyt PCI-DSS ja Vahti määrityksiin. Katsomme eduksi auditointi- ja IT-arkkitehtuuriosaamisen. Arvostamme myös osaamista kokonaisarkkitehtuurien ja käyttöpalvelujen alueilla.

Sinulla on aito halu kehittyä edelleen tietoturvallisuuden ja riskienhallinnan huippuammattilaiseksi muiden asiantuntijoidemme rinnalle. Olet mahdollisesti jo suorittanut tietoturvaan liittyviä sertifiointeja, kuten CISA ja CISSP tai valmistajakohtaisia sertifiointeja. Tuotat sujuvasti tekstiä suomeksi ja englanniksi.

Tarjoamme Sinulle
mielenkiintoisen tehtävän suuressa kansainvälisessä organisaatiossa, toimivan ja osaavan työyhteisön, viihtyisän työympäristön, monipuoliset vapaa-ajan harrastusmahdollisuudet, kattavat työterveyshuollon palvelut sekä joukon muita työsuhteeseen liittyviä etuja.

Tehtävä on vakituinen ja työt alkavat sopimuksen mukaan. Siirry elämässä eteenpäin meidän kanssamme!

Lisätietoa tehtävästä antavat
Mika Laaksonen puh. 020 760 3337 sekä Kaapro Kanto puh. 020 760 3262.

Toimi nopeasti! Täytä hakulomake www.kpmg.fi/rekrytointi -sivuilla mahdollisimman nopeasti kuitenkin viimeistään 27.11.2011.

torstai 10. marraskuuta 2011

Lex Nokian lopun alku?

Lex Nokia” eli laki sähköisen viestinnän tietosuojalain muuttamiseksi (125/2009) tuli voimaan reilut pari vuotta sitten. Muutoksen myötä sähköisen viestinnän tietosuojalaki antaa yhteisötilaajille mahdollisuuden työntekijöiden viestinnän tunnistamistietoja käsittelemällä selvittää yrityssalaisuuksien vuotamista. Selvittäminen on luvallista tietyissä olosuhteissa, mikäli sitä ennen täytetään tietoturvaan ja yt-menettelyyn liittyvät velvoitteet. Säännösten soveltaminen edellyttää myös ennakkoilmoitusta tietosuojavaltuutetulle.

Laki säädettiin kovan hälyn saattelemana, epäiltiin sen jopa rikkovan perustuslaillista viestinnän luottamuksellisuutta ja kajoavan kansalaisten perusoikeuksiin. Elinkeinoelämän puolelta lobbaus oli kiivasta, sittemmin mm. Nokia on myöntänyt olleensa asiassa aktiivinen. Lainsäädäntöprosessia on jälkikäteen arvosteltu jopa virkamiestahoilta.

Periaatteellisten mietintöjen lisäksi laki on aiheuttanut päänvaivaa myös käytännön soveltamisessa. Pykälien tulkinta ja jopa käsitteiden määrittelyt ovat osoittautuneet hyvin ongelmallisiksi. Lakiin sisältyvistä valvontapykälistä tuore viestintäministeri Krista Kiuru toteaa, että "ilmoitusvelvollisuus tietosuojavaltuutetulle ei ole toiminut kuten pitäisi." Toden totta, tähän mennessä yksikään yhteisötilaaja ei ole tehnyt valvontailmoitusta Reijo Aarnion toimistoon. Ilmeisesti kukaan ei ole halunnut toimia ennakkotapauksena ja joutua suurennuslasin alle.

Ilmoitusten puuttuminen ei välttämättä tarkoita sitä, ettei tietovuotoja yrityksissä pyrittäisi selvittämään Lex Nokian kuvaamilla keinoilla. Lisäksi teknologia mahdollistaa monet valvontakeinot, joiden laillisuudesta Suomessa ei ole takeita. Ehkä vallitsevaan tilaan saadaan muutosta, jos huhut pitävät paikkansa, että kourallinen suuria suomalaisyrityksiä olisi tekemässä yhteisen valvontailmoituksen tietosuojavaltuutetulle.

Kaikkein kaikkiaan Lex Nokia ei kuulu Suomen oikeushistorian sankaritarinoihin. Tästä huolimatta lailla on yhä kannattajansa, vaikka sen sallimat toimenpiteet voidaan rikollisen toimesta helposti kiertää eivätkä lain vaikutukset ole olleet toivotunlaiset. Viestintäministeri Kiuru on ilmoittanut, että sähköisen viestinnän tietosuojalaki otetaan monien muiden lakien tapaan uudelleentarkasteluun. Nähtäväksi jää, päättyykö Lex Nokian taival.

keskiviikko 9. marraskuuta 2011

Kriittinen ohjelmistovirhe Windows -käyttöjärjestelmissä

Microsoft julkaisi tiedot kriittisestä haavoittuvuudesta(MS11-083), joka koskee kaikkia uusia Windows- käyttöjärjestelmiä (Windows Vista, Windows 7, Windows 2008/R2). Ohjelmistohaavoittuvuuksien löytyminen ja niihin tulevat päivitykset eivät enää nykypäivänä yllätä ketään. Tämän bugin vakavuus ja laajuus kuitenkin pani miettimään miten on mahdollista että edelleen käyttöjärjestelmistä löydetään näinkin vakavia haavoittuvuuksia huolimatta Microsoftin selkeistä tavoitteista luoda tietoturvallinen käyttöjärjestelmä.

Mistä kriittisessä haavoittuvuudessa on kyse ja mikä sen vaikutus on? Microsoftin mukaan haavoittuvuus sallii koodin suorittamisen etäkoneella lähettämällä UDP paketteja SULJETTUUN UDP -porttiin. Haavoittuvuutta hyväksikäyttäen, ohjelmistokoodi suoritetaan etäkoneella niin sanotussa ”kernel” –tilassa. Hieman yksinkertaistaen voidaan sanoa että ohjelmistokoodi suoritetaan etäkoneessa pääkäyttäjän tunnuksilla. Tämä mahdollistaa esimerkiksi uusien pääkäyttäjien luomisen etäjärjestelmään UDP -paketteja lähettämällä.

Onneksi Microsoft on tarjonnut ongelmaan samalla paikkauksen, joka asentuu muiden paikkausten mukana. Näin haavoittuvuus saadaan tukittua ja sen vaikutukset estettyä. On tietysti mahdoton sanoa minkä verran kyseistä haavoittuvuutta rikolliset ovat mahdollisesti hyödyntäneet tai minkä verran he ehtivät haavoittuvuutta vielä hyödyntämään ennen kuin kaikki haavoittuvat käyttöjärjestelmät on taas asianmukaisesti päivitetty.

Lisätietoa haavoittuvuudesta löytyy:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-2013
ja lisäksi Microsoftin bulletin asiasta
http://technet.microsoft.com/en-us/security/bulletin/ms11-083

maanantai 7. marraskuuta 2011

Miten suojautua tietovuodoilta?

Viimeistään nyt, lauantaina julkitulleen Suomen historian suurimman henkilötietovuodon jälkeen, on kaikkien järjestelmien omistajien, järjestelmävastaavien, tietoturvavastaavien ja tietoturvapäälliköiden mietittävä omien järjestelmiensä sisältämien tietojen suojaamista. Jos järjestelmä sisältää arkaluonteista tietoa kuten esimerkiksi henkilötietoja, maksukorttitietoja, tuotekehitystietoa tai muita yrityssalaisuuksia, tulee sen suojaamiseen kiinnittää erityistä huomiota. Lauantaisen tietovuodon lähde ei ole vielä selvillä, mutta tietomurron mahdollisuutta ei ole poissuljettu.

Miten tietovuodoilta sitten voi suojautua? Täydellistä suojaa ei tietenkään voi koskaan saavuttaa, jos tietoja pitää tietojärjestelmiin tallentaa. Tämä onkin ensimmäinen kysymys, joka jokaisen järjestelmän kohdalla pitää ensimmäisenä kysyä. Onko todellakin tarpeen tallentaa kaikki ne tiedot mitä järjestelmässä tällä hetkellä on? Tarvitaanko henkilötunnusta todellakin rekisteröinnin yhteydessä ja pitääkö se oikeasti tallentaa?

Maksukorttialalla tietojen suojaamista säätelee PCI DSS, joka mm. kieltää tiettyjen korttitietojen tallentamisen kategorisesti. Vuosittaisessa maksukorttialan yhteisötapaamisessa (PCI Community Meeting) Lontoossa viime kuussa oli esillä parikin puheenvuoroa, jossa puhuttiin tietovuodoista, tietosuojasta ja Euroopan tietosuojadirektiivistä. Puheenvuoroista on enemmän tietoa aiemmissa blogiteksteissämme, mutta tiivistettynä niissä todettiin että maksukorttitiedot ovat vain yksi henkilötietojen ilmentymä, ja että kaikki muutkin henkilötiedot olisi hyvä suojata vähintään yhtä hyvin.

Olen aiemminkin blogikirjoituksissani ottanut esille PCI DSS:n hyvänä mallina tietojen suojaamiselle. Kyseessä on kattava tietoturvastandardi jota noudattamalla saa aikaan varsin hyvän ”perustason” tietojen suojauksessa. Lisäksi se on täysin ilmainen ja sen sovellusohjeet, tulkintaohjeita ja paljon muuta tietoa on kaikkien saatavilla. Standardi ja paljon muuta tietoa löytyy täältä. Lisäksi Luottokunta on laatinut standardista suomennoksen, joka on ladattavissa Luottokunnan sivuilta.

Muita ilmaisia ja hyviä kotimaisia malleja tietojen suojaamiseen ovat KATAKRIn ja tietoturvatasojen vaatimukset. PCI DSS antaa kuitenkin eniten konkretiaa ja sen vaatimukset ovat monissa tapauksissa suoraviivaisempia toteuttaa.

Vielä lopuksi ohjeet tietovuodoilta suojautumiseen:

Mieti ensimmäisenä, tarvitseeko tietoa ylipäänsä tallentaa? Mitä ei ole tallennettu, se ei myöskään voi vuotaa. Jos tieto pitää tallentaa, suojaa se PCI DSS:n ohjeiden mukaisesti:

1) Rakenna turvallinen verkko ja ylläpidä sitä
2) Suojaa tiedot salaamalla
3) Käytä vain turvallisia sovelluksia ja haittaohjelmien torjuntaohjelmia ja päivitä niitä säännöllisesti
4) Rajoita käyttöoikeuksia ja pääsyä verkkoon ja sovelluksiin
5) Valvo ja testaa turvallisuutta säännöllisesti.

lauantai 5. marraskuuta 2011

Suomen toistaiseksi suurin tiedossa oleva tietovuoto

Yle kertoi lauantaina 5.11.2011 että yli 16 000 suomalaisen henkilötiedot ovat vuotaneet internetin tiedostonjakosivustolle.Toistaiseksi ei ole selvillä, miten nämä tiedot ovat vuotaneet, mutta Krp tutkii henkilötietovuotoa törkeänä tietomurtona.

Vuotanut tiedosto on nimilista, jossa näkyy kunkin henkilön henkilötunnus, kotiosoite, nimi, sähköpostiosoite ja joissakin tapauksissa muitakin tietoja, kuten ammatti. Näiden tietojen avulla on mahdollista muun muassa tilata pikavippejä toisen henkilön laskuun.

Vaikkakin kyseessä on suomen mittakaavassa suuri tietovuoto, maailmalla on tapahtunut huomattavasti suurempia vuotoja. Itse tietovuodon lisäksi varsinainen ongelma on siinä, että liian monessa asiassa henkilö "tunnistetaan" henkilötunnuksen avulla. Henkilötunnus on kuitenkin tarkoitettu yksilöimään tietty henkilö, ei henkilön tunistamiseen.

Mielenkiintoista on seurata, miten nämä tiedot ovat vuotaneet. Onko kyseessä ollut esimerkiksi tahallinen teko, huolimattomuus vai huonosti toteutetu ja suojattu tekninen ratkaisu. Kaikki muut, paitsi tahallinen teko olisi ollut helposti estettävissä.

EDIT: 21:33. Etsin kyseisen listan, meni noin 2 minuuttia löytää se. Itse en ole listalla, mutta tosiaan siinä on paljon nimiä ja tietoja. En ainakaan heti pystynyt päättelemään mistä kyseinen lista voisi olla peräisin, mutta siinä on selvästi sekä yksityisosoitteita että yritysosoitteita.

EDIT: 6.11.2011 kello 19:50. Näyttää siltä, että tiedot on koostettu useasta eri paikasta, lähinnä oppilaitoksista vuotaneista tiedoista. Tietoturvamielessä tämä ei ole niin mielenkiintoista, kuin joku teknisesti hieno, yhteen tahoon kohdistunut tietomurto. Toisaalta tämä on hyvä osoitus siitä, että myös henkilöstön koulutukseen, erityisesti henkilötietojen käsittelyyn liittyen, on syytä panostaa.

perjantai 4. marraskuuta 2011

Uusi KPMG:n globaali tutkimus ” Clarity in the Cloud - A global study of the business adoption of Cloud”

KPMG on tuottanut uuden pilvipalveluihin liittyvän tutkimuksen. Tutkimukseen osallistui yli 900 globaalin yrityksen ylempään johtoon kuuluvaa henkilöä. Nämä henkilöt edustavat sellaisia yrityksiä, jotka ovat pilvipalveluiden potentiaalisia tai nykyisiä käyttäjiä tai tarjoavat itse pilvipalveluita. Edustettuina ovat seuraavat maat: Yhdysvallat, Kanada, Meksiko, Ranska, Saksa, Irlanti, Italia, Alankomaat, Ruotsi, Sveitsi, Iso-Britannia, Australia, Kiina, Intia ja Japani.

Tutkimus käsittelee pilvipalveluiden liiketoiminnallisia, operationaalisia ja varotuksellisia vaikutuksia sekä palveluihin liittyviä riskejä ja mahdollisuuksia.

Tutkimuksen mukaan halukkuus ja valmius pilvipalveluiden käyttöön on lisääntynyt ja useimmat vastaajat ovatkin sitä mieltä, että pilvipalveluista on saatavissa strategista höytyä ja että ne mahdollistavat liiketoimintamallien merkittävänkin muuttamisen. Eniten hyötyä pilvipalveluista on saatavissa silloin, kun organisaatio ei ole investoinut merkittävistä omaan IT-infrastruktuuriin tai IT-infrastruktuuri on vanhentunutta. Tällaisia organisaatioita on erityisesti kehittyvillä markkinoilla ja siellä olevat yritykset voivatkin kuroa kehittyneiden maiden teknistä etumatkaa umpeen pilvipalveluiden avulla. On mahdollista, että ne pääsevät jopa kehityksessä edelle, mikäli muualla ollaan liian hitaita muuttamaan olemassa olevia toimintamalleja ja järjestelmiä.

Huomattava osa vastaajista kertoi pilvipalveluihin liittyvien investointiensa kasvavan merkittävästi vuonna 2012. Osa organisaatioista kertoi käyttävänsä vuonna 2012 yli viidenneksen IT budjetistaan pilvipalveluihin. Pilvipalveluita käytetään tällä hetkellä lähinnä: Sähköposti-, myynti-, ja muihin vastaaviin Saas-palveluina tarjottaviin sovelluksiin.

Pilvipalveluihin liittyvät verotukselliset mahdollisuudet ja riskit tunnetaan toistaiseksi huonosti. Noin 45% vastaajista ei ollut tietoisia pilvipalveluiden verotukseen liittyvistä seikoista eikä heillä ollut tietoa, että näitä asioita myöskään heidän organisaatiossaan aktiivisesti selvitettäisiin.

Keskeisimmät pilvipalveluiden riskit liittyvät:
  • Rahoitukseen ja verotukseen
  • Tietoturvaan ja yksityisyydensuojaan
  • Operatiiviseen toimintaan ja sen hallintaan
  • Teknologioihin ja tietoon
  • Vaatimustenmukaisuuteen
  • Toimittajien hallintaan

Tutustu koko laajaan tutkimukseen

tiistai 1. marraskuuta 2011

Saadaanko Euroopan unioniin tietosuoja-asetus?

EU:n henkilötietodirektiivi on vuodesta 1995 toiminut tietosuojalainsäädännön perustana ja lainsäätäjien pakollisena ohjenuorana jäsenvaltioissa. Direktiivien velvoittavuus on aina ensisijaisesti jäsenvaltioita kohtaan, tavoite henkilödirektiivin kohdalla oli lainsäädännön harmonisointi ja unionikansalaisen tietosuojan vähimmäistason turvaaminen riippumatta tämän asuinpaikasta. Kyseessä ei kuitenkaan ole nk. täysharmonisointidirektiivi, joten jäsenmaille jäi tiettyä pelivaraa direktiivin tavoitteiden toteuttamisessa. Direktiiviä tulkittiin eri maissa eri tavalla, ja tämän seurauksena tietosuojalainsäädäntö ei edelleenkään ole yhdenmukaista, puhumattakaan valvontaviranomaisten toimivallasta ja toimeenpanon päättäväisyydestä.

Komissio on jo jonkin aikaa valmistellut tietosuojan lainsäädäntöpuitteiden uudistamista. Direktiivimuutoksen sijaan saattaa kuitenkin käsillä olla isompi remontti: pikku- ja vähän isommatkin linnut lauloivat alkusyksystä, että direktiivin sijaan olisikin tulossa asetus. Asetukset eroavat direktiiveistä siten, että ne ovat kaikilta osin yleisesti ja suoraan velvoittavia. Jäsenvaltioille ei siis enää jäisi harkintavaltaa säännösten implementoinnin muodossa.

Jos huhut pitävät paikkansa, merkitsee se isoa muutosta EU:n lähestymistapaan. Tietyssä mielessä se merkitsee jäsenvaltioiden lakia säätävien elinten aseman heikentymistä, mutta toisaalta korostuvat unionin lainsäädäntöelinten tietosuojalle asettama merkitys sekä unionikansalaisten yhtäläiset perusoikeudet. Viranomaiskentässä tapahtuu varmasti muutoksia kansallisten valvojien toimivallassa ja tehtäväkentän laajuudessa, odotettavissa on luultavasti Euroopan tietosuojavaltuutetun aseman vankistaminen. Toisaalta yhtäläinen normipohja tukee eri maiden viranomaisten yhteistyötä sekä viime kädessä unionikansalaisen oikeusturvaa, vaikka nyanssieroista ei varmasti asetuksellakaan eroon päästä.

KPMG:n kannalta tulevat säädösmuutokset ovat mielenkiintoisia lakitekniikasta riippumatta. Tilivelvollisuuden periaate velvoittaa rekisterinpitäjät toimimaan aktiivisesti tietosuojan toteuttamiseksi omassa (liike-)toiminnassaan ja pyydettäessä osoittamaan tehdyt toimenpiteet konkreettisesti. Tämä luo uusia liiketoimintamahdollisuuksia myös asiantuntijaorganisaatioille. Luvassa on myös muita merkittäviä uudistuksia, mutta ehkä ei paljasteta tässä vaiheessa ihan kaikkea…

/ Mikko V.