Ads 468x60px

tiistai 29. toukokuuta 2012

ISAE 3XXX – LYHYT OPPIMÄÄRÄ

ISAE, International Standard on Assurance Engagements, ei ole sertifikaatti eikä vaatimusluettelo, vaan nimensä mukaisesti kansainvälinen standardi varmennustoimeksiantojen suorittamiseen. Varmennus taas tarkoittaa jonkin toisen toteuttaman asian tarkastamista ja tästä tarkastuksesta lausunnon antamista. Käytännössä ISAE-lausunnot vertautuvatkin tilintarkastuslausuntoon, ja ovat myös aina valtuutetun tilintarkastusyhteisön antamia.

ISAE-lausunnot tulevat usein esiin ulkoistusten yhteydessä. Palveluiden ja prosessien ulkoistamisesta haettavat hyödyt ovat usein merkittäviä, mutta toisaalta ulkoistamiseen liittyy aina myös merkittäviä riskejä organisaation sisäisen valvonnan kannalta, joita ei välttämättä mietitä ulkoistusta suunniteltaessa. Palveluita ulkoistaneen organisaation on tarvittaessa pystyttävä varmistumaan, että palveluntarjoajan toiminta täyttää esim. soveltuvin osin kotimaisen ja ulkomaisen lainsäädännön (mm. kirjanpitolaki, SOX, EU-regulaatio) ja muiden ulkopuolisten instanssien (mm. Finassivalvonnan, luottokorttiyhtiöiden) sekä käyttäjäorganisaation asettamat vaatimukset. Sopimukset palvelu- ja käyttäjäorganisaation välillä nousevat luonnollisesti merkittävään rooliin ja näillä palveluorganisaatio voidaan velvoittaa toimimaan käyttäjäorganisaation määrittelemien vaatimusten mukaisesti. Pelkillä sopimuksilla ei kuitenkaan voida varmistua siitä, että palveluntarjoajan toiminta täyttää sopimuksen kirjaimen.Toimintaansa ulkoistanut yritys ja ulkoistettua toimintoa hoitava palveluorganisaatio saavat tilintarkastajan ISAE 3402/3000 -raporttien kautta varmistuksen mm. palveluorganisaation sisäisen valvonnan tai tietoturvan tasosta. 


Kolmenlaisia raportteja

Tarkastuksen lopputuloksena palveluorganisaatiolle tuotetaan määrämuotoinen varmennusraportti, nk. SOC –raportti, (Service Organization Control report). Raportti sisältää riippumattoman kolmannen osapuolen näkemyksen palveluorganisaation kontrolliympäristön kattavuudesta, kontrollien tarkoituksenmukaisuudesta ja niiden toiminnan tehokkuudesta. Käytännössä raportteja on kolmenlaisia: SOC1, SOC2 ja SOC3. SOC1 ja SOC2 raportit voidaan vielä antaa kahden tyyppisinä, Type 1 tai Type 2.
  • SOC1 = ISAE3402, vastaa lähes täysin vanhaa SAS 70 –raporttia, jakelu rajoitettu
  • SOC2 = ISAE3000, varmennettavan ympäristön ei tarvitse liittyä taloudelliseen raportointiin, jakelu rajoitettu
  • SOC3 = ISAE3000 tai ISAE3402 mukaan tehdyn varmennuksen ”sertifikaatti”, vapaampi jakelu
ISAE 3000 -tarkastuksessa suoritetaan täysin vastaavat toimenpiteet kuin ISAE 3402 -tarkastuksessa ja tuotetaan vastaavat tiedot sisältävä raportti. Ainoastaan tarkastettava kontrolliympäristö voi olla esim. tietoturvaan tai yksityisyydensuojaan keskittyvä.

Tyypin 1 raportti antaa lausunnon kontrolliympäristön kattavuudesta tietyllä ajan hetkellä ja Tyypin 2 raportti taas antaa varmuuden ko. kontrolliympäristön tehokkuudesta ja toiminnasta tietyllä ajanjaksolla (vähintään puoli vuotta). Luonnollisesti siis Tyypin 2 raportti antaa organisaatiolle hyvän kuvan kontrollien toiminnasta, koska tarkastusta tehdään pidemmältä ajanjaksolta. Monesti erilaiset tietoturva-auditoinnit (esim. PCI DSS on-site audit yms.) antavat lähinnä Tyypin 1 raporttia vastaavan kuvan kontrollien olemassa olosta tietyllä ajan hetkellä. SOC3 -raportti vaatii aina, että on suoritettu joko ISAE3000 tai ISAE3402 Tyypin 2 mukainen testaus, josta annetaan "sertifikaatti", vapaammin jaettava ja markkinoinnissa tietyin varauksin käytettävä lausunto kontrollien tehokkuudesta.


Kesäkuun tilintarkastuslehdessä on KPMG:n ISAE-palveluista vastaavan Mikko Kinnasen artikkeli ISAE-raporteista. Verrattuna tähän kirjoitukseen, luvassa on pitkä oppimäärä aiheesta.

tiistai 8. toukokuuta 2012

Ajankohtaisia tietoturva-aiheita KPMG:n tietoturvaristeilyllä 24.5.-25.5.2012 – tule mukaan


KPMG järjestää yhteistyökumppaniensa (Elisa, RSA ja Stonesoft) kanssa perinteisen tietoturvaristeilyn toukokuun 2012 lopulla. Ilmoittautumisaikaa on enää perjantaihin 11.5.2012 asti. Älä jää rannalle, vaan tule nauttimaan hyvistä esityksistä ja seurasta.
Risteilyn aikana meillä on ajankohtaisia tietoturvallisuuteen liittyviä esityksiä ja olemme varanneet aikaa myös vapaalle keskustelulle. Yhtenä teknisenä aiheena/esityksenä meillä viimeviikkoisen Openx-haavoittuvuuteen liittyvän tutkinnan analyysi.
Hinta 1 hh/hytti 240 eur/hlö + alv 23%, 2 hh/hytti 210 eur/hlö + alv 23%. Ilmoittautumisen yhteydessä kysytään halutaanko 1hh/hytti vai 2hh/hytti sekä syntymäaika laivayh­tiötä varten.

sunnuntai 6. toukokuuta 2012

Laaja tietoturvahyökkäys käynnissä Suomessa ja ulkomailla

Viime viikolla on suoritettu laaja tietoturvahyökkäys OpenX-mainosalustaa vastaan. CERT-FI julkaisi 3.5.2012 aiheeseen liittyvän tiedotteen. Sovellus on avoimen lähdekoodin ratkaisu mainosbannereiden hallintaan. Sovellusta käytetään laajasti sekä Suomessa että ulkomaila. Ensimmäiset hyökkäykset on suoritettu mahdollisesti jo viime vuoden puolella.

Perjantain ja lauantain aikana KPMG:n asiantuntijat selvittivät kyseistä aukkoa käyttäneen tietomurron kulkua eräässä organisaatiossa. Tutkinnan aikana kävi ilmeiseksi, että Suomessa on useita organisaatioita, jotka ovat joutuneet hyökkäyksen uhreiksi. CERT-FI:n tietoon näistä on tullut kolme. Lisäksi löysimme ainakin kolme uutta uhria, joihin olemme olleet yhteydessä. On mahdollista, että monet muut organisaatiot eivät vielä tiedä olevansa uhreja. Pyrimme olemaan yhteydessä kaikkiin tahoihin, joiden palvelimille on mahdollisesti murtauduttu. Toistaiseksi vain kaksi kohteista on tiedottanut sivuillaan murrosta.

Lisäksi olemme tiedottaneet CERT-FIlle hyökkäyksen yksityiskohdista. Näiden tietojen pohjalta CERT-FI julkaisi uuden tiedotteen 4.5.2012.

Vielä ei ole täyttä varmuutta siitä, kuinka hyökkäyksen ensimmäinen vaihe on toteutettu. On mahdollista, että kyseessä on ollut CSRF-tyyppinen haavoittuvuus OpenX:ssä ja OpenX:n omalla palvelimella, joiden avulla on saatu luotua admin-tason oikeuksilla uusi käyttäjä OpenX:n asennukseen. Käyttäjän nimi openx-manager. Tämän käyttäjän avulla hyökkäystä on viety eteenpäin seuraavilla tavoilla:
  1. Lisätty debug.php-tiedosto OpenX:n asennuksen alihakemistoihin. Tämä tiedosto on skripti, jonka avulla hyökkääjä voi kirjoittaa tiedostoja palvelimelle, palvelinprosessin oikeuksilla.
  2. Lisätty xmarket.php-tiedosto OpenX:n alle. Tämä tiedosto on varsinainen takaovi palvelimelle, ja tarjoaa shell-tason pääsyn palvelimelle, palvelinprosessin oikeuksilla.
  3. Lisätty OpenX:n tietokantaan tauluihin ZONES ja BANNERS kenttään APPEND haittaohjelmaa jakeleva pätkä javascriptiä.
Kuinka voit tarkistaa, oletko hyökkäyksen uhri:
  1. Tarkista, onko OpenX-asennukseen ilmestynyt käyttäjä openx-manager. Tämä käyttäjä ei kuulu normaaliin asennukseen.
  2. Tarkista, onko OpenX:n alla, lukuisissa eri hakemistoissa, debug.php-tiedosto. Tässä tiedostossa on useimmiten kaksi riviä lokitietoa. Suurin osa lokista on PHP-koodia, joka on ujutettu palvelimelle ilmeisesti OpenX:n haavoittuvuuden kautta.
  3. Tarkista, onko OpenX:n alla xmarket.php-tiedosto. Tämä tiedosto sisältää base64-enkoodatun takaoven.
Mitä tehdä, jos olet uhri:
  1. Mikäli mahdollista, ota kopio palvelimen nykyisestä tilasta.
  2. Poista takaovitiedostot.
  3. Vaihda palvelimien ja palveluiden salasanat.
  4. Päivitä OpenX julkaistujen ohjeiden mukaisesti (http://blog.openx.org/05/security-update-for-openx-28-users/)
  5. Tutki lokitiedoista, mitä palvelimellasi on tapahtunut. Web-palvelimen lokista voi esimerkiksi selvitä, mitä komentoja takaovien kautta on suoritettu. Tietokannan lokeista voit selvittää esimerkiksi milloin openx-manager-tili on luotu ja milloin haittaohjelmien jakelu on aloitettu.
  6. Suorita laaja tarkistus tietojärjestelmiin, joihin hyökkääjä on voinut päästä.
  7. Tiedota CERT-FIlle tietomurrosta. Erityisen arvokasta on lisätieto hyökkäyksen kulusta.
  8. Tee rikosilmoitus tietomurrosta.
KPMG avustaa myös mielellään murtojen selvittämisessä.

-Antti Alestalo ja Pasi Kolkkala


Lisätietoja: