Ads 468x60px

maanantai 27. toukokuuta 2013

KPMG Tietoturvaseminaari 2013, 23.-24.5. Tallinna

KPMG:n jokavuotinen tietoturvaseminaari rantautui tällä kertaa etelänaapurimme pääkaupunkiin, Tallinnaan. Kaksipäiväinen 56 osanottajaa 34:stä eri yrityksestä ja organisaatiosta kerännyt seminaari käsitteli erilaisia tietoturvallisuuteen liittyviä ajankohtaisia ja erikseen toivottuja aiheita herättäen paljon keskustelua. Seminaarin yhteistyökumppaneina toimivat tänä vuonna Efecte Oy, Stonesoft Oyj, Symantec Finland Oy sekä Ymon Oy, jotka pitivät KPMG:n ohella esityksiä erityisosaamisalueisiinsa liittyvistä asioista.

Stonesoft Oyj:n puheenvuoro: Cyber Security

Tilaisuuden avasi KPMG:n hallinnollisen tietoturvaryhmän vetäjä Mika Iivari, joka toimi seminaarin isäntänä. Ensimmäisestä esityksestä vastasi KPMG:n teknisen tietoturvaryhmän vetäjä Matti Järvinen, joka aloitti keskustelun hyvin ajankohtaisesta ja monia asiakkaitammekin askarruttaneesta kirjainyhdistelmästä BYOD. BYOD (Bring Your Own Device) tarkoittaa työntekijöiden mahdollisuutta käyttää omia laitteitaan, kuten älypuhelimia ja tabletteja, työntekoon yrityksen tarjoamien laitteiden sijasta. Puheenvuorossa käsiteltiin asian perusteita sekä sen hyviä että huonoja puolia niin yleisestä kuin tietoturvanäkökulmasta. Vaikka yksiselitteistä lopputulosta BYOD -kulttuurin turvallisuudesta on vaikea antaa, voitiin kuitenkin todeta sen olevan joka tapauksessa keskimäärin turvattomampaa kuin yrityksen tarjoamien laitteiden kanssa. Puheenvuoron aikana kuultiin yleisöltä paljon kysymyksiä, kommentteja ja esimerkkejä, ja aihe tuntuikin olevan sen verran kuuma peruna, että puheenvuorojen aikatauluihin täytyi tehdä muutoksia jo heti ensimmäisen esityksen johdosta.

Heti seuraavassa esityksessä Symantec kertoi omia näkemyksiään BYOD -menetelmistä, niiden haasteista ja Symantecin tarjoamista ratkaisuista asiaan. Mielenkiintoisena voitiin pitää esimerkiksi Symantecin tarjoamaa organisaation sisäistä "app storea", josta käytetään nimeä Symantec App Center. Tällä organisaatio pystyy helposti hallitsemaan millaisia sovelluksia käyttäjät voivat organisaation omasta App Centeristä ladata käyttämille laitteilleen. Teknologialla voidaan myös ottaa huomioon työntekijöiden erilaiset roolit ja jakaa eri ohjelmia eri käyttäjäryhmille.

Mobiililaitteiden mielenkiintoisesta maailmasta siirryttiin käyttövaltuushallintaan liiketoiminnan kielellä, josta vastasi KPMG:n Kaapro Kanto. Tässä esityksessä Kaapro muun muassa totesi, että käyttövaltuushallinnan projekteissa liiketoiminnan tuntemus on ehdottomasti avainasemassa. Tekniset ratkaisut tukevat liiketoimintaa ja mahdollistavat uusia toimintatapoja, mutta tekniikka ei saa olla projektin driveri. Esimerkkinä KPMG IAM-GAP analyysityökalulla tunnistetaan ja priorisoidaan projektin keskeisimmät kehityskohteet organisaation tavoittelemalle kypsyystasolle.

Sulavasti aiheeseen liittyen seuraava puheenvuoro oli ohjelmistoyhtiö Efecte Oy:llä, joka puhui liiketoiminnan kehittämisestä käyttövaltuushallinnan avulla. Esitys noudatteli samoja peruspiirteitä, mutta erinomaisena lisänä Efectellä oli mukana heidän asiakkaansa edustaja, joka kertoi miten organisaation näkökulmasta käyttövaltuushallintaprojekti oli kokonaisuudessaan toteutettu käyttäen Efecten tarjoamaa teknologiaa.

Hyvin alkaneen seminaaripäivän lähestyessä iltaa osallistujat siirtyivät kohti Tallinnan vanhaa kaupunkia ja pitkää illallista. Aktiivinen keskustelu jatkuikin hyvässä hengessä monien osalta aamun pikkutunneille asti.

Mikä ilahduttavinta, seminaarin aiheet tuntuivat sen verran houkuttelevilta, ettei yön jälkeistä osallistujakatoa ollut havaittavissa aamupäivällä esitysten jatkuessa. Toisen päivän ensimmäinen puheenvuoro oli KPMG:n Toni Sulankivellä, jonka aiheena oli HAVARO tietoturvapoikkeamien analysointi. HAVARO on Ficoran huoltovarmuuskriittisille yrityksille mahdollistama tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä, jonka tarkoituksena on auttaa tarkemman tilannekuvan muodostamista suomalaisiin verkkoihin kohdistuvista tietoturvauhkista. Toni kertoi KPMG:n tuottamasta palvelusta, jonka avulla organisaation on helpompi saada käsitys HAVARO-raporttien sisällön merkityksestä.

Aamupäivän esitykset jatkuivat viestintäviraston Aki Tauriaisen johdolla, jonka esitys koski poikkeamanhallintaa ja turvallisuusvaatimuksia. Esityksen aikana kuultiin myös mielenkiintoista ja havainnollistavaa tietoa esimerkiksi CERT-FI:n toiminnasta, arjesta ja tulevaisuudennäkymistä.

Stonesoft Oyj:n esityksen aiheena oli Cyber Security. Kuten aiheen nimestä saattaa päätellä, esityksessä kuultiin kattava ja viihdyttävä katsaus yleiseen kyberturvallisuuteen niin kansallisesta kuin kansainvälisestä näkökulmasta päättyen aina aktiivisen kybersodan visioihin. Esityksen pihvinä voidaan vaikkapa pitää uusimman James Bond - Skyfall elokuvan erästä Q:n Bondille suuntaamaa lausahdusta: "Well, I'll hazard I can do more damage on my laptop sitting in my pajamas before my first cup of Earl Grey than you can do in a year in the field."

Toisen seminaaripäivän viimeinen esitys oli Ymon Oy:n Sami Sara-Ahon Lokienhallinta osana tietoturvaa. Tässä esityksessä porauduttiin monelle organisaatiolle harmaita hiuksia aiheuttaseen ajankohtaiseen keskitettyyn lokienhallinta -dilemmaan, sen haasteisiin ja Ymonin tarjoamiin ratkaisuihin. Esityksessä todettiin erityisesti se, että keskitetty lokienhallinta ei ole vain tekninen ratkaisu, joka tuo oikotien onneen, vaan vaatii paljon suunnittelua ja ajatustyötä sekä tilaajalta että toteuttajalta.

Viimeisen esityksen jälkeen oli hieman aikaa kierrellä Tallinnassa ja prosessoida kaikkea kahtena päivänä kuultua. Yhteenvetona voisi vaikkapa todeta, että monessa esityksessä korostui vanha tuttu liiketoimintalähtöisyys tietoturvallisuudessa ja siihen liittyvissä teknisissä toteutuksissa. Tekniikka ei ole "silver bullet", vaan liiketoiminnan pitää tietää ja määritellä mitä halutaan ja miksi. Kun politiikat ja prosessit ovat kunnossa, ollaan valmiita ottamaan askel eteenpäin - ei tuntemattomaan.

KPMG haluaa esittää suuren kiitoksen yhteistyökumppaneille ja kaikille seminaariin osallistuneille - teitte tästä tapahtumasta arvoisensa! Näillä eväillä lähdemme kohti ensi vuoden tietoturvaseminaaria, johon ollaan jo nyt toivottu tiettyjä aiheita. Tällaisia ovat esimerkiksi liiketoiminnan jatkuvuus- ja toipumissuunnittelu. Stay tuned!

maanantai 6. toukokuuta 2013

Henkilötietojen luvaton katselu paljastaa rekisterinpidon perustoimintojen puutteet



Viimeaikaiset julkisuuteen tulleet tapaukset, joissa yksittäiset työntekijät ovat katselleet tai yrittäneet katsella yksityishenkilöiden henkilötietoja luvatta esimerkiksi silkasta uteliaisuudesta, tarjoavat oivan aasinsillan kerrata yksityisyyden suojan periaatteita ja rekisterinpidon perusasioita.

Lähtökohta henkilörekisterin pidossa on, että henkilötietojen käsittelyyn tarvitaan aina laillinen peruste, ja tällöinkin tietoja saa käsitellä vain laillisen käsittelyperusteen mukaisiin tarkoituksiin virka-/työtehtävien hoidon yhteydessä ja vain tarpeellisessa laajuudessa.

Rekisterinpitäjän on huolehdittava siitä, että henkilötietojen käsittelijöiden piiri pidetään minimissä ja että pääsyä tietoihin kontrolloidaan. Tämä tarkoittaa mm. sitä, että
a)      henkilötietoja tulee päästä katselemaan vain ne, joilla siihen on virka-/työtehtäviensä hoitamiseksi perusteltu syy. Käytännössä oikeuksien myönnön perusteet määritellään käyttövaltuuspolitiikassa.
b)      pääsynvalvonnan tulee olla teknisesti sillä tasolla, että ns. „need-to-know-periaate“ pystytään toimeenpanemaan. Pääsy henkilötietoihin tulee olla toteutettu riittävän vahvan, henkilötietojen luonteen huomioivan, autentikoinnin avulla; ja
c)      henkilötietojen käsittelyn valvonnan tulee olla järjestetty lokituksen avulla. Lokeja tulee säilyttää riittävän kauan ja ne tulee suojata oikeudettomalta pääsyltä kuten muutkin henkilörekisterit.

Rekisterinpitäjän on hyvä huomata myös, että lokirekisteristä on tehtävä rekisteriseloste, ja että lain mukaan työntekijöiden tekniseen valvontaan liittyvät seikat on käytävä läpi YT-menettelyssä.

Edellä esitetyt vaatimukset ovat rekisterinpidon perusasioita, jotka kuitenkin hämmästyttävän usein ovat hukassa niin pienillä kuin institutionaalisillakin rekisterinpitäjillä. Tuleva EU:n tietosuojauudistus tarkoittaa mm. sitä, että henkilötietojen käsittelyn prosessit, käytänteet ja teknologia tulee dokumentoida. Tämän toivotaan osaltaan edistävän tehokkaiden prosessien ja teknologian käyttöä myös käytännössä.

perjantai 3. toukokuuta 2013

Kyberuhkien tilannekuva ja opit ulkomaisilta viranomaisilta



Johdanto
KPMG on julkaissut uuden tutkimuksen sekä kuvannut laaja-alaisesti kokemuksiaan ja palveluitaan Kyberturvallisuuteen liittyen. Toukokuun 2013 alussa julkaistiin tutkimus ”Cyber threat intelligence and the lessons from law enforcement

Suomen kyberturvallisuusstrategia
KPMG:n ja KPMG asiakkaina olevien globaalien yritysten sekä ulkomaisten viranomaisten opeista on mahdollisuus oppia paljon ja käyttää tätä oppia hyödyksi Suomen kyberturvallisuusstrategian toteuttamisessa. Opit ovatkin tarpeen, sillä Suomen on määrä olla kyberturvallisuuden mallimaa vuonna 2016 ja vuoden 2013 keväällä tilanne on se, että monet maat ovat asiassa huomattavasti Suomea pidemmällä.

Kyberuhkien tilannekuva ja keskeiset opit
KPMG:n vuoden 2012 ”Data Loss Barometer” tutkimuksen mukaan yli 67% tietovuodoista johtui ulkopuolisten tahojen toiminnasta, kun aikaisemmin suurempana riskinä on pidetty organisaation oman henkilökunnan aiheuttamia tietovuotoja. Ulkoiset uhat ovat siten kasvaneet suhtessa sisäisiin. Enää riitä, että pyrkii suojautumaan hyökkäyksiltä, vaan on myös pyrittävä havaitsemaan niitä proaktiivisesti. Hyvin keskeiseksi asiaksi onkin noussut havainnointikyky. Organisaatioiden tulee tunnistaa uhat ajoissa ja vähintään havaita ei-toivottavat tapahtumat silloin, kun ne tapahtuvat. Erilaisten kyberturvallisuuden tilannekuvapalveluiden tarjonta onkin kasvussa.  KPMG:n kansainvälisen kokemuksen mukaan organisaatioilla on vielä paljon kehitettävää ennen, kuin niiden prosessit ja järjestelmät voivat kunnolla hyödyntää tällaista tilannetietoa.
KPMG on työskennellyt useiden maiden lainvalvontaa hoitavien ja muiden viranomaisten kanssa ja tästä yhteistyöstä olemme oppineet sen, että on olemassa kolme perusperiaatetta, joiden avulla organisaatiot voivat pro-aktiivisesti hallita kyberuhkia. Nämä periaatteet ovat:
  1. Tue ajattelutavan muutosta kohti tilannetiedolla johtamista
  2. Muuta toimintamallit tukemaan tilannetiedolla johtamista
  3. Muuta päätöksentekoprosessi pohjautumaan tilannetietoon
1. Ajattelutavan muutos kohti tilannetiedolla johtamista
Jotta kyberuhkien hallinta voi perustua tiedolla johtamiseen, tulee muodostaa selvä käsitys uhkista, haavoittuvuuksista, vaatimusten mukaisuudesta, riskeistä, toimenpiteistä ja niiden seurauksista. Organisaation johdon tulee aktiivisesti ja säännöllisesti kysyä yksinkertaisia, mutta tärkeitä kysymyksiä:
  • Mitä kyberuhkia meihin kohdistuu?
  • Mitä riskiä ne aiheuttavat suojattavalle tiedolle ja toiminnallemme?
  • Mitä meidän tulisi tehdä?
  • Onko meillä riittävästi keinoja havaita ei-toivottuja tapahtumia ja uhkia ympäristössämme?
  • Miten tehokkaita toimenpiteemme ovat tähän mennessä olleet?
KPMG kokemuksen mukaan yritysten johto ja hallitus eivät kuitenkaan vielä osaa riittävästi kysyä näitä kysymyksiä eivätkä myöskään saa niihin tyydyttäviä vastauksia.
 
2. Tilannetiedolla johtamista tukevat toimintamallit
Jotta tiedolla johtaminen voi onnistua, tulee organisaatiolla olla tätä tukevat järjestelmät ja toimintamallit. Viranomaiset ovat jo pitkään kehittäneet järjestelmiä ja toimintamalleja, jotka soveltuvat tilannetiedon keräämiseen, analysointiin ja analyysin perusteella toteutettavaan reagointiin. Viranomaisten kanssa tekemämme yhteistyön tuloksena olemme laatineet tilannetiedolla johtamisen toimintamallin, jonka keskeiset vaiheet ovat:
  • Aseta tilannetiedon keräämisen prioriteetit
  • Kerää tilannetietoa riskeihin ja haavoittuvuuksiin liittyen ja muuta ne johdon ymmärtämään muotoon
  • Analysoi kerättyä tilannetietoa ja pyri tunnistamaan siitä suuret linjat ja heikot signaalit
  • Toimi kerätyn tilannetiedon perusteella sekä taktisella että strategisella tasolla
    KPMG:n tilannetiedolla johtamisen toimintamalli
3. Päätöksen teko tilannetietoon pohjautuen
Koska millään organisaatiolla ei ole resursseja eikä intressiä torjua jokaista uhkaa, tulee toimia, kuten viranomaiset ja priorisoida uhkia sekä sitoa resursseja näiden prioriteettien mukaan.  Kyberuhkien tunnistamisessa keskeistä on myös se, että vain yhteistyöllä on mahdollista saada riittävää ja luotettavaa tietoa päätöksenteon pohjaksi.  Tätä on asia, jota on syytä korostaa myös Suomen kyberturvallisuusstrategian toteutuksessa.

Ongelmat nykytilassa
KPMG:n kokemuksen mukaan nykytilanteessa on monia keskeisiä ongelmia ja haasteita, joista yksi merkittävimmistä on yritysten ja viranomaisten sekä yritysten keskinäisen yhteistyön puute. Suomessa tässä ollaan hieman muuta maailmaa paremmalla tasolla ja esimerkkeinä voidaan mainita Huoltovarmuuskeskuksen poolien tekemä työ sekä Ficoran ja Huoltovarmuuskeskuksen Havaro-järjestelmä.
Muita keskeisiä ongelmia yhteistyön puutteen lisäksi ovat:
  • Organisaatioiden riittämätön kyky kerätä, korreloida ja analysoida eri lähteistä ja järjestelmistä kerättyä tietoa.  Usein organisaatioilla ei ole edes keskitettyä lokienhallintajärjestelmää.
  • Analyyttisyyden puute uhkaprofiilien ja mallien laadinnassa. Ei ole riittävää tietoa ja ymmärrystä hyökkääjistä, uhreista, suojattavista kohteista, kohteiden sijainnista ja tapahtumien ajankohdista
  •  Reagointikyvyn puute, joka tyypillisimmin johtuu siitä, että ei edes havaita mitään, mihin reagoida ja jos havaitaan, ei tiedetä miten toimia.
Vaikka yritysten ja viranomaisten yhteistyö Suomessa toimii hieman muuta maailmaa paremmin samaa ei voida sanoa yllä listatuista asioista. Näiden osalta Suomessa on vielä paljon tehtävää niin viranomaisilla, kuin yrityksillä.

Lisätietoja:
Lisätietoja KPMG palveluista ja julkaisuista kyberturvallisuuteen liittyen löytyy sivuilta: 
kpmg.com/cybersecurity.

Näillä sivuilla kerromme muun muassa mitä yritysten tulisi tehdä ja tietää kyberturvallisuuden keskeisistä painopisteistä, jotka KPMG:n mukaan ovat:
Kyberturvallisuuden painopisteet KPMG:n mukaan

torstai 2. toukokuuta 2013

KPMG Hacknet 2013, 2.-3.5., Milano, Italia


KPMG:n sisäinen jokavuotuinen Hacknet-koulutustapahtuma järjestetään tällä kertaa keväisessä Milanossa. Kaksipäiväinen tapahtuma kokoaa yhteen n. 40 KPMG:n tietoturva-ammattilaista eri puolilta maailmaa ja tapahtuman teemana on tänä vuonna kyberpuolustus. Tapahtuma tarjoaa KPMG:n tietoturva-asiantuntijoille erinomaisen mahdollisuuden verkostoitua, jakaa ja kehittää omaa osaamistaan sekä päivittää tietouttaan ajankohtaisista aiheista.

KPMG:n asiantuntijat kertovat tapahtumassa mm. verkkopankkitoiminnan petoshallinnan ja kyberpuolustuksen vaatimuksista, Metasploit -liikenneprofiloinnista, APT (Advanced Persistent Threat) -uhkista, websovellusten testauksesta suurissa yrityksissä sekä aina yhtä ajankohtaisesta SQL-tietokantaturvallisuudesta.

Tapahtuman avainantina on tiimipohjainen, vaativa, kovaa keskittymistä sekä taitoa kysyvä kyberpuolustusharjoituskilpailu.