Ads 468x60px

torstai 19. syyskuuta 2013

Uutta liiketoimintaa mobiilitietoturvasta - Mobile Security: from risk to revenue

Huoli mobiilitietoturvasta kasvaa. Yksityisinä kuluttajina meitä huolettaa, joutuvatko kaikki älypuhelimeen tallennetut henkilökohtaiset tiedot, kuten yhteystiedot, tilinumerot, sähköpostit jne., identiteettivarkaiden tai huijareiden käsiin ja kuinka helposti näin voi käydä. Yritysten riskit ovat vielä suuremmat, kun mobiililaitteet integroituvat toimistoympäristöön ja niiden kautta käsitellään arkaluontoisia yritystietoja, asiakasdataa ja arvokasta aineetonta pääomaa.
Erityisesti telekommunikaatio- ja teknologia-aloilla toimiville yrityksille mobiililiiketoiminta tarjoaa runsaasti uusia liiketoimintamahdollisuuksia uusien tuotteiden ja palvelujen muodossa. Tietoturvaan ja palvelujen ja ratkaisujen luotettavuuteen liittyvät kysymykset ovat kuitenkin kaksi suurinta estettä mobiiliratkaisujen käyttöönottoon ja uusille innovaatioille.

Forrester-tutkimuslaitoksen ja KPMG:n yhteistyönä syntyneessä raportissa Mobile Security: from risk to revenue kartoitetaan tämän hetken mobiilitietoturvamarkkinoita. Selvityksen tavoitteena oli tunnistaa teleoperaattoreiden ja teknologiayhtiöiden tulevaisuuden menestykseen vaikuttavia tekijöitä ja sellaisia mobiiliin tietoturvallisuuteen liittyviä osa-alueita, joilla yrityksillä on mahdollista luoda uutta liiketoimintaa.

Raportista käy ilmi, että mobiilitietoturvakehitys on vielä jossain määrin vasta alullaan, mutta jo nyt lukuisat teleoperaattorit ja teknologiayritykset tekevät muhkeaa tiliä mobiiliturvaratkaisuilla luoden samalla uutta, kestävää liiketoimintaa tulevaisuutta varten.

Koko artikkeli tutkimukseen liittyen löytyy KPMG:n www-sivuilta

maanantai 16. syyskuuta 2013

Kuka tietää mitä teit viime kesänä - tai eilen?

Hollantilaiset kollegamme kertovat omassa blogissaan miten Firefox selaimen “Collusion" laajennuksen avulla voi seurata miten eri www-sivut keräävät ja vaihtavat tietoja siitä, missä surffaat ja mistä olet kiinnostunut.

On aika pysäyttävää huomata, miten vierailu 10-15 www-sivulla johtaa siihen, että jäljet vierailustasi on jo yli 100 eri sivun tiedossa.

Koko artikkeli, havainnollistavine kuvineen löytyy osoitteesta:
http://hackingthroughcomplexity.nl/2013/09/13/you-are-being-watched/#more-91

Lue ja hämmästy. Asenna selainlaajennus ja hämmästy lisää.

Mika

keskiviikko 11. syyskuuta 2013

Tietovuotojen asianmukainen hoito säästää rahaa ja julkisuuskuvaa

EU:n tulevassa tietosuoja-asetuksessa tullaan asettamaan rekisterinpitäjille yleinen velvoite raportoida henkilötietoihin kohdistuneista tietovuodoista valvontaviranomaisille, ja jos tietovuodosta on oletettavissa suoraa haittaa rekisteröidyille (esim. henkilötietoja on päätynyt salaamattomana asiattomien haltuun), myös heitä on tiedotettava tapahtuneesta ja ohjeistettava koskien vahinkojen minimointia. Velvoitteen soveltamisalasta käydään vielä kädenvääntöä, mutta se koskenee aikanaan ainakin kaikkia suuria ja keskisuuria yrityksiä, joiden liiketoiminnassa henkilötiedoilla on merkitystä resurssina.

Tietovuotoilmoituksen (”Data Breach Notification”) vaatima sisältö ja vaaditut toimenpiteet ovat vielä lainsäätäjän pohdittavana, mutta osviittaa saa jo nyt Tietosuoja-asetuksen valmisteludokumenteista sekä juuri voimaan astuneesta EU-asetuksesta, joka koskee Sähköisen viestinnän tietosuojadirektiivin mukaisten henkilötietojen tietoturvaloukkausten ilmoittamiseen sovellettavia toimenpiteitä (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002:0008:en:PDF).
Käytännössä säädetään mm. siitä, miten teleyrityksen tai yhteisötilaajan tulee toimia, jos sähköiseen viestintään tai siihen liittyviin tunnistamistietoihin on kohdistunut tietoturvaloukkaus.

Myös lainmukaisesti toimivan muun rekisterinpitäjän on jatkossa suunniteltava toimintatapa tietovuotoilmoitusten tekoa varten, ”ready-to-go” käytettäväksi. Tehokas prosessi säästää rahaa ja rajoittaa kielteistä julkisuutta, jonka seuraukset voivat pahimmassa tapauksessa olla kohtalokkaat. Siinä missä itse tieto, myös ajan mittaan rakennettu ja saavutettu brandi ja maine ovat yrityksen avainomaisuutta ja vaativat täten asiaankuuluvaa hallintaa, varautumista (kuten ennalta määriteltyjä toimintaprosesseja ja henkilöresursointia) sekä suojelua. Viestinnän roolia maineriskin hallinnassa ei sovi unohtaa: oikea-aikainen (viivyttelemätön) ja rehellinen, faktuaalinen ja informatiivinen kriisiviestintä ammattimaisesti hoidettuna on ensiarvoista asiakasuskollisuuden ja kuluttajaluottamuksen säilyttämisen kannalta.

Yritysten muuttuva IT- ja tietohallintokulttuuri (mm. työntekijöiden henkilökohtaisten välineiden käyttö työnteossa (BYOD), työn mobiili luonne sekä etätyön lisääntyminen) alleviivaa myös omalta osaltaan tietovuotojen ja -varkausten ehkäisyn ja tehokkaan hallinnan merkitystä.

Toimintatavan suunnittelu nojaa omien prosessien ja tietovarantojen tuntemukseen, olivat nämä sitten strukturoitua tai strukturoimatonta dataa. Suunnitelmallisuus, riskien arviointi, tiedon luokittelu ja siihen kytkeytyvä käyttöoikeuksien oikeellisuus, muut tietoturvatoimenpiteet, huolellisuus rekisterinpidossa sekä avoimuus ilmoituksen tekemisessä ovat tekijöitä, jotka vaikuttavat viranomaisarvioon ja mahdollisiin seuraamuksiin. Lainsäätäjän on toki onnistuttava tehtävässään siten, ettei säännös kannusta rekisterinpitäjiä kaikin toimin salaamaan tietovuodon sattumista.

Henkilötietojen merkityksen kasvu kriittisenä resurssina, alati lisääntyvät tietovuodot (40% globaali lisäys verrattuna vuoteen 2011, ks. KPMG Data Loss Barometer 2012-julkaisu http://www.kpmg.com/uk/en/services/advisory/risk-consulting/pages/data-loss-barometer-2012.aspx), julkisuuden paine sekä kaavailtujen maksimisakkojen suuruus pitävät huolen siitä, että tämä aihe tulee olemaan kuuma peruna myös Suomessa tulevina vuosina. Toimintatapojen suunnittelulla on kiire - yhteisötilaajia velvoite sitoo jo tänä päivänä!

Mikko Viemerö ja Petteri Leiviskä

tiistai 10. syyskuuta 2013

PCI DSS -standardi tulee päivittymään versioon 3.0

Maksukorttiturvallisuuden kivijalkana tunnettu PCI DSS –standardi tulee päivittymään versioon 3.0 vuoden 2013 aikana. Osana aiempaa avoimempaa tiedottamista PCI Council on julkaissut tulevasta standardista ennakkomaistiaisen [1], joka kuvaa tulevan standardin merkittävimmät muutokset suhteessa versioon 2.0. Osittain yhteenvedon tarkoitus on tarjota PCI DSS ja PA-DSS:n piirissä oleville organisaatiolle paremmat valmiudet keskustella ehdotettutuista muutoksista syksyn tapaamisissa mutta toisaalta yhteenveto tarjoaa organisaatioille hieman lisäaikaa sovittaa omia menettelynjään vastaamaan uuden standardin vaatimuksia.

PCI Councilin dokumentin mukaan merkittävimmät teemat muutoksia suunniteltaessa ovat olleet:

  • Koulutuksen ja tietoturvatietouden tärkeyttä korostetaan. Ehdotetuilla muutoksilla pyritään parantamaan organisaation sisäisen ja ulkoisen tietoturvakoulutuksen ja –tietouden tasoa. Lisäksi muutoksilla pyritään selkiyttämään standardin vaatimuksia, jotta organisaatiot ”ymmärtäisivät” paremmin kontrollien tarkoituksen ja kuinka kontrollit tulisi toteuttaa läpi korttinumeroita käsittelevien tahojen.
  • Standardin joustavuutta lisätään. Tulevassa standardissa pyritään keskittämään kontrolleja aihealueille, jotka muodostavat suurimman riskin korttinumeroiden vuodon aiheutumiselle. Tällaisia aihealueita ovat esimerkiksi heikko käyttövaltuuksienhallinta, haittaohjelmat ja vajavainen oman tietoturvatilannekuvan hallinta. Muutokset on kuitenkin pyritty muotoilemaan siten, että organisaatiolla olisi vapaammat kädet kontrollien toteuttamiseen. Kun samalla version 3 mukaan toteutettujen kontrollien toimivuutta pyritään seuraamaan aiempaa tarkemmin, niin lopputuloksena tulisi olla paremmin organisaatiolle sopivia mutta aiempaa tehokkaampia kontrolleja.
  • Turvallisuus on jaettu vastuu. Harva toimija pystyy enää toimimaan täysin yksin, vaan korttinumeroiden käsittelyyn liittyy usein ketjullinen erilaisia yhteistyökumppaneita, tai alihankkijoita. Näinpä tulevassa standardissa pyritään painottamaan, että vastuu korttinumeroiden turvallisesta käsittelystä on yhteinen. Käytännössä tämä siis edellyttää tarkempaa vastuiden määrittämistä mutta toisaalta myös parempaa vastuun ottamista.

Yhteenvedon mukaan PCI DSS –standardin 12 perusaluetta pysyvät ennallaan, mutta päivitys sisältää useita lisävaatimuksia, joita ei ollut edellisessä versiossa. Tämä on aiheuttanut sen, että osa uusista vaatimuksista tulee pakollisen voimaan vasta 1.7.2015. Samoin, vaikka Council suosittelee organisaatioita siirtymään uuden standardin mukaiseen toimintaa mahdollisimman pian, niin version 2.0 mukaiset sertifioinnit ovat voimassa 2014 loppuun saakka.

Sinänsä hauskaa, että Council itse sanoo pyrkineensä ehdotetuilla muutoksilla parantamaan turvallisuutta ja edistävänsä turvallisuuden viemistä osaksi jokapäiväistä toimintaa. Tarkoitus ei ole ollut suinkaan luoda vaatimuksia vain vaatimusten vuoksi. (Eikös tämän pitäisi olla kaikkien turvallisuuteen tähtäävien vaatimussettien tarkoitus? :) Itselläni ei ole vielä tätä tulevaa standardiehdotusta käsillä mutta Concilin yhteenvedon ja useiden eri artikkeleiden perusteella odotan innolla tulevaa standardia. Katsotaan miten tavoitteet saadaan toteutettua.

Leppoisaa syksyn jatkoa,
Antti

tiistai 3. syyskuuta 2013

Mikä ihmeen chargen ja miksi et tarvitse sitä?

Chargen on vanha UNIX-järjestelmien palvelu, joka generoi päättymätöntä merkkijonoa. Alun perin chargen oli tarkoitettu esimerkiksi verkkoyhteyskoodiin yksinkertaiseen testaamiseen. Nykypäivänä palvelua ei kuitenkaan juuri mihinkään tarvitse. Useat UNIX-pohjaiset järjestelmät kuitenkin edelleen asentavat palvelun, mikäli sattuu asennuksen aikana valitsemaan kaikki mahdolliset paketit. Samoin joissakin verkkolaitteissa palvelu voi olla edelleen oletuksena päällä.

Olennaista palvelussa on, että se toimii myös UDP-protkollan päällä. UDP:llähän on tunnetusti helppo väärentää lähettäjän osoite. Tämä mahdollistaa sen, että chargen-palvelu ohjataan syytämään liikennettä väärään paluuosoitteeseen. Riittävillä liikennemäärillä saadaan luonnollisesti aikaan myös palvelunestohyökkäys.

Chargen sekä muut vastaavat ikiaikaiset UNIX-palvelut (echo, daytime, quote of the day) tulevat edelleen meillä säännöllisesti teknisissä testauksissa vastaan. Yleensä asiakkaat lähinnä kohauttelevat näille lähinnä olkapäitään, eivätkä KPMG:n riskiarviossa myöskään nouse kovin korkealle. CERT-FI on kuitenkin julkaissut tiedotteen, jonka mukaan chargeniä on viime viikonloppuna käytetty palvelunestohyökkäyksen toteuttamiseen. Tiedotteesta ei selviä, onko kyseessä omassa verkossa olleet laitteet, mutta todennäköisenä tätä voi pitää.

Muistakaa siis porttiskannauksen kattavuus ja sulkekaa niitä turhia palveluita! Seuraava yksinkertainen nmap-loitsu skannaa portit 1-1024 sekä TCP- että UDP-protokollilla, sekä yrittää tunnistaa avoimet palvelut:

nmap -vv -PN -n -sTUV -p 1-1024 10.0.0.0/24

Monimutkaistahan tämä ei ole, mutta saattaa myös säästää paljolta vaivalta myöhemmin.

maanantai 2. syyskuuta 2013

Arkkitehtuuriohjaus

Kollegani Jan Montell kehotti Suunta kasvuun blogissamme trimmaamaan yrityksen kisakuntoon. Trimmauksen ohjeet käsittelivät taseläskin karsintaa ja kassavirran kuntoon saattamista. Kun rahalle on saatu hyvä kulku aikaan, on hyvä kiinnittää huomiota yrityksen toiminan tehostamiseen.

Arkkitehtuuriohjauksen kautta luodaan yritykseen toimi, joka avustaa pitkän ja lyhyen tähtäimen hankkeiden määrittelyssä, suunnittelussa ja priorisoinnissa. Ohjauksen tarkoituksena on tunnistaa hankkeiden riippuvuuksia ja olemassa olevien kyvykkyyksien hyödyntämisen mahdollisuudet tuotteiden ja palveluiden kehityksessä ja operoinnissa. Tarkoitus ei siis ole estää kehitystä tai pakottaa sitä tiettyyn suuntaan vaan tukea yritystä kehittämään kyvykkyyksiään siten, että toiminta pysyy kannattavana.

Arkkitehtuuriohjaukselle löytyy useita eri malleja, mutta nämä harvemmin sopivat sellaisenaan Suomalaisiin yrityksiin. Yhtiörakenteet, toimintatavat, kulttuuri ja koko sanelevat miten arkkitehtuuria voidaan hallita ja ohjata. Näin ollen sopivan toimintatavan valinta on aloitettava tutustumalla organisaatioon itseensä ja tunnistamalla sieltä dominoivat piirteet, joihin arkkitehtuurityö voidaan sitoa kiinni. Tärkeää on muistaa, ettei hallintamalli luo arkkitehdeista norsunluutornissa toimivia päättäjiä vaan kysynnän hallinnan (demand management) lähettiläitä, jotka toimivat yhdessä toteuttajien kanssa suunnitellessaan yrityksen ratkaisuja. Kun suunta on selvä voidaan yrityksen IT läskiä trimmata pois IT kyvykkyyksien tehokkaalla käytöllä, yhteisten palveluiden ja alustojen hyödyntämisellä sekä tarpeettomien projektien karsinnalla. Arkkitehtuuriohjaus tukee myös hyvää tietohallintatapaa sekä luo vankkaa pohjaa tietoturvalle.

Arkkitehtuuriohjaus ja hallinta vaatii usein pieniä muutoksia toimintatapoihin, olemassa olevan arkkitehtuurin ymmärtämistä, hieman työkaluja ja reilusti osaamista ja rohkeutta. Näin ollen mallien määrittelyn yhteydessä määritellään erilaisten arkkitehtien roolit ja osaamisprofiilit, näihin liittyvä koulutus ja hallinnassa käytetyt työkalut ja hyödynnettävät viitekehykset. Näissä ja monissa muissa IT haasteissa autamme suomalaisia yrityksiä ja organisaatioita, joten ole rohkeasti yhteydessä jos aiheet askarruttavat.