Ads 468x60px

keskiviikko 27. helmikuuta 2013

Uuden ISO/IEC 27001-standardin luonnosversio julkisesti saatavilla – yhteenveto keskeisistä muutoksista

International Organization for Standardization (IS0) julkaisi tammikuussa luonnosversion päivitetystä ISO27001-standardista. Jatkossa kyseinen standardi tunnetaan nimellä ISO27001:2013, ja se lanseerataan vuoden 2013 aikana. Itse luonnosdokumentti on maaliskuun puoleen väliin asti kenen tahansa saatavilla BSI:n Internet-sivuilta kirjautumista vastaan: http://drafts.bsigroup.com/Home/Details/50818.

Uutta versiota tarkastellessa voidaan huomata, että se sisältää joitakin keskeisiä muutoksia verrattuna vuonna 2005 julkaistuun standardiin. Ensisijaisena tavoitteena on ollut selvästi yhdenmukaistaa standardin rakennetta muiden ISO-julkaisuiden kanssa, sekä päivittää sitä vastaamaan nykyisiä tarpeita. Alla on tiivistetty listaus standardin keskeisistä muutoksista:

1.     Standardin rakenne vastaa jatkossa muita ISO-julkaisuja (esim. ISO 20000, 9001:2000). Samalla tekstin yleiset kohdat on laadittu yhdenmukaiseksi kaikkien ISO-standardien osalta.

2.     Standardin liitteenä on enää Annex A, eli luettelo standardin vaatimista kontrolleista. Lisäksi kontrollien kokonaismäärä on vähentynyt 133:sta 113:een (23 poistettua ja 12 uutta kontrollia). Tämä johtuu siitä, että kontrollien ryhmittelyä ja sisältöä on muokattu vastaamaan paremmin nykyajan vaatimuksia. Listaus poistetuista ja lisätyistä kontrolleista on löydettävissä alta.

3.     Plan-Do-Check-Act (PDCA)-malliin ei viitata enää suoraan ja maininnat siitä on poistettu. Malli on kuitenkin oleellisesti mukana standardin taustalla, ja tarkastelemalla esimerkiksi sisällysluetteloa voidaan todeta sen itse asiassa koostuvan PDCA-mallista.

4.     Jatkossa organisaatioiden tulee myös tunnistaa ja dokumentoida ne sidosryhmät, jotka ovat relevantteja tietoturvallisuuden hallintajärjestelmän kannalta. Samalla tulee huomioida sidosryhmien vaatimukset, lait, määräykset ja mahdolliset sopimusvelvoitteet.

5.     Tietoturvallisuusriskien arviointimalli vastaa jatkossa ISO 31000-standardia, ja arviointivaatimukset ovat muuttuneet yleisemmiksi. Esimerkkinä organisaation tulee jatkossa tunnistaa riskit, jotka kohdistuvat tiedon luottamuksellisuuteen, eheyteen ja saatavuuteen. Entisessä standardissahan tunnistettiin riskit, jotka kohdistuivat organisaation etuihin (assets).

6.     Päivitetyssä standardissa kuvataan tarkemmin myös uusi toimintamalli poikkeamatilanteiden hallintaan ja niistä oppimiseen. Niistä tulee myös ylläpitää kattavaa dokumentaatiota.

7.     Standardi sisältää uuden lausekkeen, jossa määritellään että organisaation tulee arvioida tarve sisäiseen ja ulkoiseen tiedottamiseen, ja määritellä esimerkiksi tiedotuksen tarkoitukset, ajankohdat ja vastuut.

8.     Viimeisenä keskeisenä uudistuksena tietoturvallisuuden hallintajärjestelmän tavoitteiden saavuttamista ja seurantaa on tiukennettu huomattavasti. Tuleva standardi määrittelee, että tietoturvallisuuden hallintajärjestelmää tulee valvoa ja arvioida jatkuvasti.

Yhteenvetona muutokset aiheuttavat luonnollisesti jonkin verran toimenpiteitä ISO27001-sertifioiduille organisaatioille, koska ne velvoitetaan siirtymään jossain vaiheessa standardin uuteen versioon. Siirtymäaikaa ei ole kuitenkaan vielä määritelty, mutta oletettavasti siirtymä tulee suorittaa noin kahden vuoden kuluessa uuden standardin julkaisemisesta. Ennen toimenpiteitä on kuitenkin hyvä huomioida, että lopullinen standardi saattaa aikanaan poiketa huomattavasti nyt esiteltävästä luonnosversiosta ja näin ollen yllä listatut muutokset voivat vielä vaihtua.

Standardista poistetut kontrollit:
A.6.1.1 Management commitment to information security
A.6.1.2 Information security coordination
A.6.1.4 Authorization process for information processing facilities
A.6.2.1 Identification of risks related to external parties
A.6.2.2 Addressing security when dealing with customers
A.10.2.1 Service delivery
A.10.7.4 Security of system documentation
A.10.10.2 Monitoring system use
A.10.10.5 Fault logging
A.11.4.2 User authentication for external connections
A.11.4.3 Equipment identification in networks
A.11.4.4 Remote diagnostic and configuration port protection.
A.11.4.6 Network connection control
A.11.4.7 Network routing control
A.11.8.5 Business Information systems
A.11.6.2 Sensitive system isolation
A.12.2.1 Input data validation
A.12.2.2 Control of internal processing
A.12.2.3 Message integrity
A.12.2.4 Output data validation
A.12.5.4 Information leakage
A.15.1.5 Prevention of misuse of information processing facilities
A.15.3.2 Protection of information systems audit tools

Alustavasti lisätyt kontrollit:
A.6.1.4 Information security in project management
A.12.6.2 Restrictions on software installation
A.14.2.1 Secure development policy
A.14.2.5 System development procedures
A.14.2.6 Secure development environment
A.14.2.8 System security testing
A.15.1.1 Information security policy for supplier relationships
A.15.1.3 ICT Supply chain
A.16.1.4 Assessment and decision of information security events
A.16.1.5 Response to information security incidents
A.17.1.2 Implementing information security continuity
A.17.2.1 Availability of information processing facilities

Lisätietoja: http://bsiedge.bsi-global.com/iso27001dis/

tiistai 26. helmikuuta 2013

Asetus vai ei - ja mihin se asettuu?

Hieman virtaa vielä vettä Vantaassa, ennen kuin EU:n uusi tietosuojasäädös on lopullisessa muodossaan. Lainsäädäntöteknisesti on väännetty siitä, olisiko direktiivilinjalla hyvä jatkaa, vai tarvitaanko harmonisoivampaa lainsäädäntöinstrumenttia, asetusta. Esim. Yhdistyneessä kuningaskunnassa ollaan sitä mieltä, että direktiivisääntely on riittävää, pyrkimys on mm. säilyttää oman oikeuskulttuurin ominaispiirteet. Toisen leirin edustajat toivovat uudelta asetussääntelyltä mm. yhdenmukaisia pelisääntöjä kaikille, ja sitä kautta esim. kustannussäästöjä rekisterinpitäjille. Täysharmonisointiin ei näilläkään eväillä päästä, siitä pitävät huolen eri jäsenvaltioiden tietosuojaviranomaiset erilaisine tulkintoineen ja resursseineen.
Euroopan parlamentti julkaisi hiljattain muutosehdotuksensa komission asetusluonnokseen raportööri Jan-Philipp Albrechtin johdolla. 215-sivuinen raportti vetää komission ehdotusta rekisteröityjen oikeuksia ja rekisterinpitäjän velvollisuuksia painottavaan suuntaan.
Muutosehdotukset ovat herättäneet vilkasta keskustelua niin yksityisellä kuin julkisellakin sektorilla. Vaatimukset julkishallinnon resursseille koetaan nyt ehdotetussa muodossa liian raskaiksi, julkishallinnon toive näyttäisi olevan, että sektorin tietosuojasäännökset eroaisivat yksityisen puolen sääntelystä. Näistä vaatimuksista mainittakoon esim. tietosuojavaikuttavuusarvioinnin pakollisuus myös julkisille tahoille käsiteltäessä suuria määriä henkilötietoja sekä tietosuojavastaavan nimittämisen velvollisuus. Myös kynnystä yksityisen rekisterinpitäjän velvollisuudelle nimittää tietosuojavastaava laskettaisiin muutosehdotuksen mukaan.
Totta on, että uusi sääntely tulee joka tapauksessa aiheuttamaan rekisterinpitäjille lisää hallinnollisia velvollisuuksia sekä kustannuksia. Mielenkiintoista on nähdä, mihin tasapaino asettuu, ehdotus saattaa Neuvostossa saada vielä uusia painotuksia.
Olennaista rekisterinpitäjälle tässä vaiheessa on seurata säädöksen kehittymistä ja valmistautua organisaatiossa muutoksiin.  Yleistäen voi todeta, että tämä jumppa tulee vaatimaan sekä nykytilan arvioinnin/auditoinnin että kehityssuunnitelman laatimisen, näiden jälkeen päästään vasta prosessien ja järjestelmien kehittämiseen. Kiire tulee joka tapauksessa!

maanantai 25. helmikuuta 2013

Elämme suurien tietoturvahyökkäysten aikaa

Yhdysvaltalainen tietoturva-alan yritys Mandiant julkaisi 18.2.2013 paljon media huomiota saaneen raportin suuresta ja organisoidusta tietomurroista.

Miksi Mandiant julkaisi raportin?
Mandiant haluaa nostaa tietoisuutta ja ”aseistaa” tietoturva-alan ihmisiä. Ensimmäistä kertaa julkaistaan raportti jossa todistetaan että APT-tyyliset hyökkäykset ovat ihan oikeasti olemassa ja että niitä tehdään isolla mittakaavalla. 

Mandiant on seurannut hyökkääjien toimintaa vuodesta 2006 lähtien, julkaisemalla raportin he ampuvat itseään jalkaan. Nyt hyökkääjät tietävät että joku on seurannut heidän toimiaan. Aivan varmasti he muuttavat toimintamalliansa ja kaivautuvat vielä syvemmälle Internetin syövereihin.


Miten Mandiant huomasi hyökkäykset?
Hyökkääjät eivät väärentäneet sähköpostien lähettäjän kenttää (erittäin helppo toimenpide).
Sähköpostin liitetiedosta eli haittaohjelmasta voidaan selvittää mihin ne yrittävät ottaa yhteyttä eli missä hyökkääjään komentopalvelimet sijaitsevat.

 Osa kohteista oli epäileviä ja varmistivat hyökkääjältä onko sähköpostin liite turvallinen. Tämä ei olisi mahdollista jos lähettäjä kenttä olisi väärennetty. Hyökkääjän varmistaessa että liite ei ole vaarallinen kohde avasi liitteen ja tartutti koneensa.

Useita DNS rekisteröitiin jotta niiden kautta voitaisiin lähettää sähköpostia. DNS-osoitteet imitoivat uutisorganisaatioita, teknologiayrityksiä sekä antivirus-yrityksiä. Näin nopeasti vilkaisemalla sähköposti osoitteet näyttävät valideilta.

KPMG tietoturvatarkastuksissa lähetämme kohdennettuja hyökkäys-sähköposteja (spearfishing).
Toimitamme asiakkaalle raportissa statistiikkaa hyökkäyksen onnistumisesta. Kyseisellä testauksella testaamme useita asioita:
  1. Klikkaavatko vastaanottajat tökerösti tehtyjen sähköpostiviestien linkkejä? (kyllä klikkaavat)
  2. Onko päätelaitteissa sellaisia haavoittuvuuksia, joita on mahdollista käyttää hyväksi jos/kun käyttäjä klikkaa linkkiä? (yleensä on)
  3. Estääkö työaseman/verkon suojaus (virustorjunta, IPS, proxy, palomuuri tms.) työasemasta ulospäin avautuvat yhteiden muodostamisen? (noin puolessa tapauksissa estää ja puolessa ei estä)
Kyseisellä testauksella voidaan osoittaa, että useimpiin organisaatioihin voi helposti murtautua ja että verkon palomuurit ja virustorjunnat eivät yleensä estä tätä. Kyseisen testauksen avulla havaitaan useimmat ongelmat, joita Mandiantin raportinkin mukaan oli käytetty ja on mahdollista parantaa suojauksia niin, että suuri osa hyökkäyksista ei olisi onnistunut.

Kuka teki hyökkäykset?
APT1 on raportin mukaan osa Kiinan tasavallan kansan vapautusarmeijan yksikköä 61398. Yksikköä ei nähtävästi ole virallisesti olemassa. Yksikön olemassaolosta löytyy viitteitä Internetistä. Varmasti voidaan vain sanoa että raportin APT1-yksikkö on suuren luokan operaatio jonka toimintaan on sijoitettu huomattavia summia rahaa.

APT1-yksikkö on toiminut jo pitkän aikaa, ainakin vuodesta 2006. Yksikön entisistä työtekijöiden CV:stä on saatu lisää todistusaineistoa yksikön olemassa olosta. Eräs yksikön operatiivi ei panostanut peitehenkilöllisyytensä luomiseen riittävästi. Hyvin todennäköisesti hänen henkilöllisyytensä pystytään kytkemään hyökkäyksiin. Häneen liittyviä tietoa on yritetty poistaa Internetistä mutta ne löytyvät edelleen Internetin välimuistista.


Poimittuja faktoja hyökkäyksistä
  • Suurin osa hyökkäyksistä kohdistui englantia puhuviin maihin.
  • Yhteyksiä kohteisiin pystyttiin ylläpitämään keskimäärin vuoden verran.
  • Kohteista vietiin suuria määriä informaatiota.
  • 80% kohteista sijaitsi Yhdysvalloissa, yksi kohde sijaitsi Norjassa.
  • Hyökkäykset kohdistuivat useisiin eri yritysaloihin tässä suurimmat kohteet:
    IT, avaruusteknologia, julkishallinto, tietoliikenne, tutkimus ja tiede sekä energia.
  • Täällä Madiantin julkaisema video hakkerien toiminnasta

Mitä varastettiin
Raportin mukaan hyökkääjät varastivat hyvin suuria määriä dataa. Hyökkääjät saivat todennäköisesti haltuunsa satoja teratavuja informaatiota.  Tämän data määrän säilyttäminen ja analysointi vaatii runsaasti resursseja.

Vertauksena jos tallettaisimme 200Tt dataa A4-paperille. Kuinka monta paperiarkkia se veisi?
Olettaen että yhdelle arkille voisi tallettaa 1 Kt verran dataa ja että arkin paksuus on 0,25mm.
Paperipinosta tulisi niin korkea että se voisi kiertää maapallon ympäri 1,25 kertaa (50 0000 km).


Miksi hyökkäyksiä ei pystytty torjumaan?

Hyökkäykset tehtiin hyvin perinteisellä tavalla, lähettämällä kohteelle sähköpostin liitetiedosto.
Ne toimivat paremmin seuraavista syistä.
  1. Sähköpostit olivat tarkalleen kohdennettu yritykseen ja kyseiseen henkilöön. Tämä edellyttää kohteen taustaselvitystä jotta viestistä saadaan riittävän vakuuttava.
  2. Haittaohjelmat tunnistetaan haittaohjelmientunnistus-järjestelmissä (IDS/IPS) niiden sormenjäljen eli allekirjoituksen perusteella. Liitteenä olevista haittaohjelmista suurin osa oli hyökkääjän itse tekemiä. Järjestelmillä ei siis ollut tietoa niistä jolloin niistä ei välttämättä ole mitään apua.
Huolestuttavampaa on se, että KPMG:n tekemien auditointien mukaan useimpiin organisaatioihin pystyy vastaavalla tavalla murtautumaan ilman, että tekee edes kohdennettuja viestejä tai modifioi käytettyjä haittakoodeja.

Mikä toimii ns. normaaleissa tietoverkko hyökkäyksissä puolustuskeinoina ei toimi APT-tyylisissä hyökkäyksissä. 

Investoivatko yritykset vain uusiin ja hienoihin järjestelmiin ja luottavat niiden torjuvan kaikki hyökkäykset?
Esimerkkinä: Ostimme juuri uuden IDS/IPS-järjestelmän. Nyt olemme turvassa!

Miksi yritykset jotka pelkäävät olevansa hyökkäyksen uhan alla blokkaa kaikkea liikennettä Kiinasta?
Tämä ratkaisu auta ollenkaan koska hyökkäykset tulevat hyppykoneitten kautta useista muista maista.


Miten puolustautua tällaiselta hyökkäykseltä
  • Henkilöstön koulutus on avain asemassa. Henkilöstön tiedostaessa ongelman hyökkäyksen onnistuminen on jo huomattavasti hankalampaa.
  • Pysähdy hetkeksi ja ajattele mitä sinä tekisit jos saisi sähköpostiisi hyvin vakuuttavan oloisen viestin? Poistaisitko viestin vai Ilmoittaisitko siitä?
  • Suojaudu nyt edes niiltä hyökkäyksiltä, jotka eivät ole nimenomaan omaa organisaatiotasi vastaan organisoituja
DLP-järjestelmä (dataloss prevention) oikein konfiguroituna olisi todennäköisesti huomannut hyökkäyksen. DLP-järjestelmä tarkkailee suurien datamäärien siirtoa verkossa eli järjestelmä olisi huomannut kun varastettua dataa siirretään hyökkääjien palvelimille. DLP-järjestelmän havainnointia voi yrtittää vaikeuttaa pilkkomalla datan osiin ja hajauttamalla siirron useisiin kohde palvelimiin.

Suomessa DLP tekniikan käyttä vaatii "Lex-Nokian" mukaisen toimenpiteiden toteuttamista mikäli tekniikkaa käytetään liikenteen sisällön analysointiin siten, että etsitään meneekö ulos esim. Hetu- tai luottokorttitietoja. Tämä siksi, että ko. teitojen vuotaminen ulos yrityksestä ei aiheuta uhkaa verkolle ja lain 20§ ei siksi sovellu. Kyllä, olemme käyneet tästä pitkän keskustelun Tietosuojavaltuutetun toimiston eri asiantuntijoiden kanssa... Suomessakin on kuitenkin käytössä useita DLP-toteutuksia, joilla tehdään juuri yllämainittua, mutta "Lex-Nokian" mukaisia ilmoituksia ei ole tehty. Suomessa siis rikotaan lakia tältä osin.


Yhteenveto:

Hyökkääjät lähettivät sähköpostia massoittain joka varmasti nosti huomiota kohdeyrityksissä.
He olisivat voineet lähettää viestejä huomattavasti vähemmän ja selkeästi pienentää kiinnijäämisen riskiä.
Jos he olisivat operoineet näin, niin voi olla että heitä ei olisi vieläkään huomattu?

APT on täällä ja pysyy. Tietoturvayritysten tuotteet ovat heikoilla tässä taistelussa.
Mitä yritykselle tapahtuu kun se joutuu ison hyökkäyksen uhriksi?  

Toisaalta suureen osaan yrityksistä pystyy auditointiemme mukaan murtaitumaan ilman sen suurempaa hyökkäysten kohdentamista. Tehtävään on siten ihan perusasioissakin.

Päivitys 25.2.2013 klo 14:45:

Marketplacen Kiinan vastaava Rob Schmitz kertoi twitter-viestissään soittaneensa Mandiantin videossa puhuttuun numeroon. Numeroon vastasi eläkkeellä oleva maanviljelijä, hänellä ei ollut mitään tietoa että hänen numeroansa on käytetty hakkeroinnissa. Maanviljelijän mukaan hänellä on ollut sama numero käytössään 4-5 vuotta. Tämä pitää paikkansa koska Rob Scmitz soitti väärään numeroon. Videolla kohdassa 43 sekuntia kertoja mainitsee väärän puhelinnumeron. Oikea numero päättyy ... 7229 kun videolla kerrotaan väärä numero ... 7729. Robin varmistus twitter viesti




torstai 21. helmikuuta 2013

Huono tietoturvallisuuden hallinta johti konkurssiin



Lukuisia kertoja olen kuullut kysymyksiä siitä, että voiko huonolla tietoturvallisuuden hoidolla oikeasti olla merkittäviä vaikutuksia yrityksen toimintaedellytyksiin ja onko esittää mitään konkreettisia esimerkkejä asiasta. Jos kysyjälle on esittänyt vastauksena esimerkin ulkomailta, niin vastaus on yleensä ollut: ”Niin, mutta entäs Suomessa?”

Nyt näyttäisi olevan esittää ainakin yksi konkreettinen esimerkki myös Suomesta. Kolmen sähköyhtiön omistuksessa oleva it-palveluyritys Enerit on hakeutunut konkurssiin Vaasan hovioikeuden määrättyä yhtiön maksamaan yli 100 000 euron korvaukset tietoturva-asioiden huonon hoidon johdosta.

Eneritin palveluksessa olleen työntekijän todettiin laiminlyöneen tietoturva-asioiden hoitamisen. Vuoden 2008 lopulla alkaneen riidan taustalla näyttävät olleen näkemyserot siitä, mitä yhtiöiden väliset palvelusopimukset tarkoittivat ja kenen vastuulla kyseinen työntekijä oli. Oikeuden mukaan sopimuksen perusteella kyse oli tietotekniikkapalvelujen ulkoistuksesta, josta vastuu oli Eneritillä. Tapaus aiheutti uhkaa muun muassa asiakastiedoille ja sähkön jakelulle.


Tapauksesta pitää oppia ainakin seuraavat asiat:

  1. Tietoturvallisuuteen liittyvät roolit ja vastuut tulee selvästi määritellä yrityksen sisällä ja yritysten välillä
  2. Tietoturvallisuuteen liittyvien vaatimusten toteutuminen käytännössä tulee varmistaa – ei riitä, että ne on paperilla
  3. Työnantajalla on valvontavastuu siitä, että tietoturvamääräyksiä noudatetaan. Valvontavastuun laiminlyönnillä voi olla merkittävät seuraukset
  4. Tietoturvallisuuden laiminlyönnillä voi olla merkittävät seuraukset ja jatkossa laiminlyönneistä voi saada entistä helpommin merkittäviä sanktioita, kun EU-tietosuoja-asetus tulee voimaan

sunnuntai 17. helmikuuta 2013

PCI DSS -vaatimustenmukaisuus pilvessä – totta vai tarua?

Pidin vuonna 2010 esitelmän pilvipalveluista ja erityisesti niihin liittyvistä tietoturvariskeistä. Tuolloin kirjasin kalvoihini, että esimerkiksi PCI DSS -vaatimustenmukaisuutta ei voi saavuttaa, mikäli haluaa käyttää pilvipalveluja. Nyt tilanne on muuttunut.

PCI Security Standard Council on julkaissut hiljattain ohjeen, joka linjaa kuinka pilvipalveluja voidaan käyttää maksukorttiympäristössä [1]. Ohjeen perusteella pilvipalvelujen käyttäminen ei ole vieläkään täysin suoraviivaista, mutta nyt se on kuitenkin mahdollista. Sinänsä tämä pilvipalvelujen ”salliminen” on ymmärrettävää, koska Council julkaisi jo 2011 ohjeen kuinka virtuaalisointia voidaan hyödyntää maksukorttiympäristöissä ja pilvipalveluthan pohjautuvat pääsääntöisesti virtuaalisoimiseen. Lisäksi aiheesta on syytä huomata, että ”pilvikapasiteettia” ei ole todellisuudessa kuin paperilla. Kaikki laskenta tapahtuu oikeissa konesaleissa (ainakin vielä toistaiseksi), joten pilvipalvelujen käyttäminen ei välttämättä eroa valtavasti perinteisestä ulkoistamisesta.

Ensimmäinen suuri haaste pilvipalvelujen hyödyntämisessä PCI-maailmassa on sopivan sertifiointirajauksen määrittäminen. Council itse suosittaa seuraavaa rajauksen hallitsemiseksi:

  1. Älä tallenna maksukorttidataa pilvipalveluihin
  2. Käytä dedikoitua laitteistoa palvelun tuottamiseen
  3. Minimoi pilvipalvelun tarjoajan velvollisuudet suojata maksukorttidataa (eli suojaa itse)

Äkkiseltään vaikuttaa siltä, että mainitut ”vinkit” eivät varsinaisesti kannusta pilvipalvelujen käyttämiseen. Oleellista on kuitenkin huomata, että Councilin näkemyksen mukaan pilvipalveluja *voi* käyttää kaikkeen muuhun kuin korttinumeroita sisältävän tiedon prosessointiin ongelmitta. Näinpä pilviympäristö voi toimia vallan mainiosti esimerkiksi testi- tai kehitysympäristönä.

Mikäli rajauksen määrittäminen ei pelota, niin myös maksukorttidataa on mahdollista tuoda pilveen. Councilin näkemykset pilvilaskennasta ja korttinumeroista voidaan tiivistää seuraavaan:

  • Sovi PCI DSS -rajauksesta toimittajan ja QSA:si kanssa. Pilvipalveluja ei kannata yrittää ottaa käyttöön ilman, että PCI DSS -rajauksesta sovitaan ensin tilaajan, toimittajan ja tilaajan QSA:n kanssa.
  • Sovi roolit ja vastuut. Kaikki roolit ja vastuut tulee olla sovittuna kirjallisesti. Osa vastuista pysyy edelleen tilaajalla mutta osa vastuusta siirtyy toimittajalle. Lisäksi, mikäli toimittaja hankkii palveluja edelleen toisilta toimittajilta, niin palvelujen ketjuuntuminen tulee huomioida vastuumäärityksissä.
  • Muista seuranta. Vaikka toimittajan vastuulla on sovittujen kontrollien toteuttaminen, niin tilaajan vastuulla on niiden toteuttamisen seuraaminen.
  • Varmista riittävä eriyttäminen. Pilvipalvelussa käytettävän laitteiston tulee tarjota samantasoinen järjestelmien eriyttäminen kuin ”oikeassakin” elämässä. Virtuaalisoidut laitteet, tai järjestelmät, eivät saa mahdollistaa tarkoituksetonta järjestelmien välistä kommunikaatiota. Turvallisuusmekanismien lähtökohta tulee olla, että kaikki muut samassa ympäristössä toimivat järjestelmät ovat epäluotettavia.
  • Pyri minimoimaan toimittajan vastuu suojaamisesta. Mitä useammat kontrollit ovat tilaajan omassa hallinnassa sitä helpompaa on toimittajan toiminnan valvominen. (Esimerkiksi mikäli palveluun tallennetaan vain salattua dataa ja avaintenhallinta on tilaajan omassa kontrollissa, niin tämä rajaa osan valvontavaatimuksista ulos.)
  • Vastuu on aina tilaajan! Vaikka tilaaja pystyy ulkoistamaan osan kontrolleista toimittajalle, niin vastuuta tilaa ei pysty ulkoistamaan.

Vaikka ohje keskittyykin käsittelemään pilvipalvelujen käyttämistä maksukorttiympäristössä, niin dokumentti sisältää hyviä ajatuksia kenelle tahansa pilvipalveluja harkitsevalle. Oleellistahan ei varsinaisesti ole onko suojattava data korttinumeroita vai ”muuta” arvokasta businessdataa. Oleellista on ymmärtää suojattavan datan käsittelystä ja tallennuksesta aiheutuvat riskit ja suhteuttaa olemassa olevat kontrollit näihin riskeihin.

Leppoisaa viikonalkua
Antti

keskiviikko 13. helmikuuta 2013

Huonot ajat saavat ihmiset tekemään kavalluksia



KPMG tekee säännöllisesti Fraud Barometer-tutkimusta. Tutkimuksen data on pääosin Britanniasta, mutta tässä kirjoituksessa on pyritty analysoimaan tilannetta myös Suomen osalta.

Vuoden 2012 osalta tutkimuksessa on nähtävissä kuinka ammattirikollisten tekemien suurten huijauksien sijaan perinteisemmät, yksittäisten ihmisten toteuttamat ja arvoltaan vähäisemmät yrityspetokset ovat lisääntyneet selvästi vuoden 2012 aikana. Tämä on hyvin linjassa aikaisempien tutkimuksien kanssa, jotka osoittavat, että taloudellisesti huonoina aikoina väärinkäytöksiin syyllistyvät myös yksittäiset ihmiset. Tämä oli voimakkaasti nähtävissä myös vuoden 2008 talouskriisin aikoihin.

Suomessakin paljastui juuri kavallus, jossa kirjanpitäjän epäillään vieneen asiakkaiden tileiltä merkittävän summan rahaa (lähes miljoona euroa). Ilta-Sanomien uutinen aiheesta

Tulosten analysoinnin perusteella esimerkiksi identiteettivarkauksia tapahtui rahallisilla kuluilla mitattuna kaksinkertaisesti, sekä tavaroihin että hyödykkeisiin liittyvien petosten ja Ponzi-huijausten (pyramidihuijausten) määrät kasvoivat selvästi vuoteen 2011 verrattuna. Lisäksi tutkimuksessa todettiin, että petokset tapahtuivat entistä enemmän yritysten sisäpiirissä. Esimerkiksi brittiläisiin yrityksiin kohdistuneissa petoksissa johdon tai henkilökunnan osuus oli 80 prosenttia kaikkien petoksien aiheuttamista taloudellisista menetyksistä. Lisäksi kaikkien Britanniassa vuonna 2012 tapahtuneiden yrityspetosten määrä kasvoi sekä niistä aiheutuvat kulut nousivat jyrkästi.

Tutkimuksessa todettiin myös että yksityishenkilöiden veronkiertotapauksia sekä erilaisten etuuksien väärinkäyttötapauksia todettiin Britanniassa vuonna 2012 huomattavasti enemmän kuin vuotta aikaisemmin. KPMG:n tutkimuksessa todetaankin, että vuoden 2013 osalta odotetaan entistä suurempaa kasvua perinteisten petosten osalta, koska niiden taustalla ovat ihmisten henkilökohtaiset ongelmat nykyisen taloustilanteen aikana. Petokset ja väärinkäytökset kuitenkin lisäävät entisestään tarvetta tehdä kululeikkauksia niin julkisella kuin yksityiselläkin sektorilla, joka voi tarkoittaa rahallisten menetysten lisäksi myös työpaikkojen vähennystarvetta ja valtionhallinnon budjetin venyttämistä entisestään.

Toisaalta KPMG:n tutkimuksessa todettiin myös hyviä uutisia petosten torjunnassa, koska ammattimaisen rikollisuuden toteuttamat petokset vähenivät selvästi vuoden 2012 aikana. Tutkimuksessa kuitenkin muistutetaan, että vielä ei ole syytä juhlaan, koska järjestelmällinen rikollisuus aiheutti vähentymisestä huolimatta 50 prosenttia kaikista petoksiin liittyvistä kuluista. Ammattimaisia petoksia olivat esimerkiksi tekaistujen laskutusosoitteiden muutosilmoitukset, joita myös KPMG:n asiakkaat olivat kohdanneet viime vuoden aikana.

KPMG:n tutkimuksen mukaan organisaatioiden tulisikin huomioida jatkossa entistä paremmin myös perinteisten petosten riskit, mutta varautua edelleen myös ammattimaisen rikollisuuden aiheuttamiin monimutkaisiin uhkiin.

KPMG:n tutkimus

maanantai 11. helmikuuta 2013

Sovelluskehityksen VAHTI-ohje julkaistu

Kirjoittaessamme sovelluskehitykset VAHTI-ohjetta (VAHTI 1/2013) meiltä kyseltiin kovin usein, milloin se oikein julkaistaan. Lisäksi ennen julkaisua pidimme siihen liittyen jo muutaman asiakaskohtaisen koulutuksenkin. Tuntuu siis siltä, että ohjeelle on kova kysyntä niin kuin asiallista onkin, sillä mielestäni sovellusten turvallisuus on tietoturvan keskeisimpiä asioita.

Ohjeen keskiössä on tehtävät, joita sovelluskehityksen aikana tulisi suorittaa turvallisuuden varmistamiseksi. Ohjeessa on lueteltu tehtäviä, kuten ’tunnistautumismenetelmän valinta’ sekä ’toimintaympäristön kuvaus’ ja kuvattu tehtävän sisältöä. Tehtävät on listattu vesiputousmallin mukaisesti luettavuuden helpottamiseksi, mutta ohjetta tehtäessä olemme pitäneet vahvasti mielessä sen käyttöä nykyaikaisissa iteratiivisissa menetelmissä. Organisaatioiden ensimmäinen tehtävä onkin soveltaa ohjeen tehtävät omaan sovelluskehitysmalliin (eli poimia tehtävät ja laittaa ne oikeisiin kohtiin omaa prosessia).

Valtionhallinnon tietoturvaa ohjaa nykyään vahvasti tietoturvatasot ja ohjeessa eri tehtävät onkin listattu perustason, korotetun tason ja korkean tason tehtäviin ja määritelty, miten pakollisia tehtävät milläkin tasolla ovat. Tämä antaa myös muille kuin valtionhallinnon organisaatioille viestiä siitä, minkä tasoisille sovelluksille kukin tehtävä tulisi asettaa vaatimukseksi.

Sovelluskehityksen tehtävien lisäksi ohjeessa on käsitelty lyhyesti nykyaikaista sovellusten toimintaympäristöä muun muassa moniasiakkuuden, monitoimittajuuden ja pilvipalveluiden näkökulmasta.  Ohjeessa on myös eritelty vaatimukset, joita järjestelmätoimittajille kannattaa esittää.

Kiitokset omasta puolestani kaikille ryhmän jäsenille sekä lukuisille organisaatioille, jotka antoivat ohjeen tekovaiheessa arvokasta palautetta. Mielestäni nyt meillä on valtionhallinnossa hyvä sovelluskehitysohje, joka varmasti parantaa sitä käyttävien organisaatioiden tietoturvan tasoa.

Ohje löytyy osoitteesta http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/20130207Sovell/name.jsp

Terveisin
Matti

KPMG ehdolla globaalisti vuoden parhaaksi tietoturvafirmaksi



Maailman suurin tietoturvallisuuteen keskittynyt lehti SC Magazine jakaa vuosittain parhaiden tietoturvapalveluiden, ratkaisuiden ja tuotteiden palkinnot.

KPMG on globaalisti ehdolla useissa kategorioissa:

o   Information Security Consultancy of the Year
o   Best Global Security Company
o   Information Security Team of the Year (KPMG's Computer Emergency Response Team)
o   Information Security Project of the Year (KPMG TalkTalk Cast Compliance Programme)
o   The Rising Star Award (Victoria Crawley, Susan Sharawi, Alessandro da Silva, Konrads Smelkovs)
o   Information Security Person of the Year (Malcolm Marshall)

Voittajat  julkaistaan 23 huhtikuuta 2013. Odotamme ja toivomme tulevamme palkituksi.

Lisätietoja lehden sivuilta.