Ads 468x60px

perjantai 29. marraskuuta 2013

Status update EU:n tietosuoja-asetus


EU:n tietosuoja-asetuksen lainsäädäntöprosessissa eletään jännittäviä aikoja. Mm. Yhdistynyt kuningaskunta ja Ruotsi vastustavat asetuksen hyväksymistä tämän vaalikauden (-2014) aikana, mutta komissio on ilmoittanut, että se aikoo jatkaa lainsäädännön valmistelua siten, että se astuisi voimaan vuoden 2015 alusta. Muussa tapauksessa lainsäädäntötyö jouduttaisiin aloittamaan uudelleen melko lailla puhtaalta pöydältä. 

Poliittisessa ilmapiirissä on Edward Snowdenin NSA-paljastusten ja erinäisten vakoiluskandaalien jälkeen voimistunut tahto saada voimaan uusi, vahvempi ja yhtenäisempi tietosuojalainsäädäntö, jolla pyritään vaikuttamaan myös esim. amerikkalaisten yritysten henkilötietojen käsittelyn käytäntöihin.
Alkuperäiseen luonnokseen on ehdotettu ennätyksellisesti n. 4000 muutosta, ja ehdotus on nyt menossa jäsenvaltioiden välisiin neuvotteluihin unionin neuvostossa. Merkittäviä muutoksia on mm. tietovuototapausten maksimirangaistuksen korottaminen jopa 5 % / 100 milj. euroon yrityksen maailmanlaajuisesta liikevaihdosta. Uutena pyrkimyksenä on rajoittaa EU:n ulkopuolelle tapahtuvaa henkilötietojen siirtoa vaatimalla toimivaltaisen viranomaisen hyväksyntää tiedonsiirroille. Eksplisiittisen suostumuksen vaatimuksella koskien kaikkea henkilötietojen käsittelyä olisi merkittäviä taloudellisia vaikutuksia rekisterinpitäjille. 
Voitaneen todeta, että alalla odotetaan uusien vaatimusten hyväksyntää innolla, lopullisen asetuksen nyanssit ovat toissijaisia; ne kun ovat viime kädessä aina poliittisten intressien värittämiä.

maanantai 25. marraskuuta 2013

Tietoturvaennustukset 2014

Vuoden lähentyessä loppuaan suurten tietoturvayritysten tietoturvaennustukset lisääntyvät. Websense, joka tekee mm. Facebookin kanssa yhteistyötä haitallisten linkkien suodatuksessa, julkaisi vastikään ennustuksensa vuodelle 2014.  Ohessa on yhteenveto ennusteista sekä lyhyesti mahdollisia keinoja näiden riskien hallitsemiseksi.

1. Kehittyneet haittaohjelmat lisääntyvät
Haittaohjelmat ovat määrällisesti vähentyneet viimeaikoina, sillä kyberrikolliset ovat siirtyneet hienostuneimpiin ja kohdistetuimpiin hyökkäysmenetelmiin. Enää ei yritetä saastuttaa mahdollisimman suurta määrää järjestelmiä, vaan keskitytään mieluummin muutaman arvokkaamman järjestelmän valloittamiseen. Tällaisia hyökkäyksiä on hyvin vaikea havaita perinteisillä antivirusratkaisuilla sillä hyökkäystavat ovat hyvin spesifisiä ja tapauksesta riippuvia, josta hyvä esimerkki on Ulkoasianministeriössä ilmennyt tapaus. Paras tapa suojautua kehittyneempiä hyökkäyksiä vastaan on valvoa verkkoja ja järjestelmiä epätavallisen toiminnan varalta. Tähän voidaan käyttää erilaisia IDS-ratkaisuita, kuten esimerkiksi HAVARO-järjestelmää.

2. Laajamittainen tietojen tuhoamishyökkäys
Kyberrikolliset ovat perinteisesti olleet kiinnostuneita tiedostojen sisällöstä, mutta entistä enemmän rikoksia on alettu toteuttaa myös hyödyntämällä erilaisia ”liiketoimintamalleja”. Esimerkiksi tiedostojen varastamisen sijaan tietoja tuhotaan tai pidetään panttivankina. Kyseiset haittaohjelmat ovat yleistyneet vuoden 2013 lopulla huomattavasti ja leviävät erityisesti sähköpostin liitetiedostoina ja USB-tikkujen kautta. Näiden ransomware-haittaohjelmien (mm. CryptoLocker) erityispiirteenä on tietokoneelta löytyvien tiedostojen salaus, joiden avaamiseen tarvitaan salasana. Avaussalasanan saamiseksi vaaditaan maksua, joskaan ei ole mitään takeita siitä että maksun jälkeen mitään avaussalasanaa koskaan saadaan. Lisäksi tulee huomioida, että maksamalla tulee tukeneeksi myös järjestäytynyttä rikollisuutta. Tiedot onkin parempi mieltää tuhoutuneeksi ja hankkiutua eroon haittaohjelmasta, jonka jälkeen tiedot voidaan palauttaa varmuuskopioista. Tästä syystä Websense ennustaakin, että tänä vuonna tullaan näkemään entistä laajempia tietojen tuhoamishyökkäyksiä. Oleellista kyseisen riskin kohdalla on käyttäjien koulutus ja tietoisuuden lisääminen, jolla estetään haittaohjelmien pääsy organisaation laitteisiin.

3. Hyökkäykset kohdistuvat yritysverkkojen sijasta pilvipalveluihin
Sekä yksityiset ihmiset että yritykset siirtävät tietojaan helppouden ja kustannustehokkuuden takia verkkopalveluihin, joten kyberrikolliset ovat kiinnostuneet pilivipalveluista entistä enemmän. Tämä voi tosin olla tietoturvan kannalta hyväkin asia, sillä Googlella ja muilla suuremmilla pilvipalveluyrityksillä tietoturvan taso on oletettavasti jopa korkeampi kuin useilla yrityksillä keskimäärin. Pilvipalveluihin liittyvät kuitenkin edelleen samat ongelmat, jotka liittyvät yksityisyyteen, tietosuojaan sekä tietojen saatavuuteen. Pilvipalvelu ei siis ole lähtökohtaisesti huono vaihtoehto, mutta ennen niihin siirtymistä tulee kiinnittää huomiota erityisesti palvelusopimuksiin ja omaan toimintaan kohdistuviin tietoturvavaatimuksiin.

4. Uusien haittaohjelmatyökalujen leviäminen
Yhden maailman menestyksekkäimmän haittaohjelmien kehitystyökalun Blackholen kehittäjän pidätyksen jälkeen on oletettavissa, että haittaohjelmamarkkinoilla tullaan näkemään entistä kiivaampaa tuotekehitystä, koska kaikki pyrkivät toteuttamaan seuraavan ”markkinaykkösen”. Tämä asevarustelu voi näkyä vuonna 2014 entistä suurempana määränä erilaisia haittaohjelmia.

5. Javan haavoittuvuusongelmat jatkuvat
Javan haavoittuvuusongelmien ennustetaan jatkuvan. Ongelma ei ole kuitenkaan täysin Javan, vaan juurisyynä on usein se, että monet yritykset joutuvat käyttämään vanhentuneita Java-versioita koska muut liiketoimintakriittiset järjestelmät sitä vaativat. Yritysten tulisi yrittää tasapainottaa tietoturva ja liiketoiminta niin, että tietoturvariskit eivät kasva liian suuriksi. Esimerkiksi kaikista kriittisimpiin toimintoihin ei ole suotavaa käyttää ohjelmistoja jotka hyödyntävät Java-toimintoja.

6. Sosiaalisen median kautta tehtävät kohdistetut hyökkäykset
Henkilöstöön ja erityisesti liikkeenjohtoon kohdistuvat sosiaalisen median kautta tehtävät hyökkäykset tulevat luultavasti lisääntymään. Varsinkin LinkedInin kaltaiset sivut houkuttelevat tietojen kalastelijoita, jotka voivat kohdistaa hyökkäyksensä tarkasti. Tätä metodia tullaan käyttämään enemmän erityisesti tietojen urkintaan ja sosiaaliseen hakkerointiin, mutta samalla perinteisesti tietokoneiden saastuttamiseen. Oleellista on pitää koko organisaatio tietoisena mahdollisesta riskistä ja oikeista toimintamalleista. Tässä korostuu säännöllisen, koko organisaation laajuisen tietoturvallisuuskoulutuksen merkitys.

8. Alihankkijoihin ja muihin 3. osapuoliin kohdistuvat hyökkäykset lisääntyvät
Koska yritykset alkavat vähitellen parantaa tietoturvansa tasoa, kyberrikolliset kohdistavat hyökkäyksensä mielummin kumppani- ja alihankintaketjuihin, joissa tietoturvaa ei välttämättä priorisoida vastaavalla tavalla. Tästä syystä tietoturvallisuusvaatimukset tulee ulottaa myös alihankintaketjuihin, joiden toimintaa tulee valvoa säännöllisesti. Tällöin on ensisijaista varmistua siitä, että sopimuksissa määritellyt tietoturvavaatimukset toteutuvat myös käytännön tasolla. Yrityksen on hyvä siis itse auditoida alihankkijansa toimintaa, tai toisaalta säännölliset auditoinnit voidaan toteuttaa ulkopuolisen toimijan toimesta. Näiden lisäksi soveltuvien varmennuslausuntojen kuten ISAE3000 hyödyntäminen ovat erinomainen tapa varmistua kolmansien osapuolien tietoturvallisuustasosta.

9. Vastahyökkäykset lisääntyvät, ja kohdistuvat vääriin tahoihin
”Hyökkäys on paras puolustus” –sanonnan mukaisesti monet, sekä yritys- että valtiotahot pyrkivät eliminoimaan mahdollisia uhkia mahdollisimman tehokkaasti. Tämän hetken pelkona tosin on, että ennaltaehkäisevät iskut tai kostoiskut kohdistuvat vääriin tahoihin, sillä esim. murtojälkien väärentäminen sujuu osaavalta kyberrikolliselta käden käänteessä.

Listalta ei sinänsä löydy suuria yllätyksiä, vaan suurimmat riskit näyttävät olevan jo tämänhetkisten ongelmien jatkoa. Riskeihin varautumisessa voidaankin tehdä myös vastaava yleistys. Tietoturvallisuus perustuu edelleen samoihin perusasioihin kuin aikaisemminkin: riskien tunnistukseen ja hallintaan, tekniseen suojaukseen sekä koko organisaation koulutukseen ja tietoisuuden ylläpitoon.

Ennustuksiinkaan ei tosin aina kannata luottaa liikaa, sillä vain pieni osa Websensen viime vuoden ennustuksista kävi toteen. Tai sitten yritykset ottivat ennustuksista opikseen, ja pystyivät valmistautumaan mahdollisiin ongelmiin. Toivotaan siis jälleen, etteivät vuoden 2014 ennustukset toteudu tai vähintäänkin niihin on osattu varautua!

Websensen koko raportti saatavissa osoitteesta:
http://www.websense.com/content/websense-2014-security-predictions-report.aspx

-Alex ja Harri

torstai 21. marraskuuta 2013

Taloudellisiin väärinkäytöksiin syyllistyvät arvostetut kollegat, kyberuhat tulevat ulkopuolelta


Taloudellisiin väärinkäytöksiin syyllistyvät arvostetut kollegat, kyberuhat tulevat ulkopuolelta
KPMG analysoi Global profiles of the fraudster -tutkimuksessa lähes 600 taloudellisesta väärinkäytöstapausta ja väärinkäytösten tekijää 78 maassa ympäri maailmaa, mukaan lukien Suomessa. Tutkimuksen mukaan tyypillistä väärinkäytöksille on: 
-      tekijän ikä on 36−45 vuotta
-      teko kohdistuu omaan työnantajaorganisaatioon
-      tekijä toimii johtavassa asemassa
-      tekijä on ollut organisaation palveluksessa yli kuusi vuotta
-      tekijä toimii yhteistyössä yhden tai useamman henkilön kanssa
-      tekijä nauttii kollegoidensa arvostusta.

Tekijöistä 61 prosenttia on sen organisaation palveluksessa, johon väärinkäytös kohdistuu. Näistä 41 prosenttia on ollut kyseisen organisaation palveluksessa yli kuusi vuotta. Useamman tekijän yhteistyössä toteuttamien väärinkäytösten määrä on noussut jatkuvasti ja niitä oli 70 prosenttia tutkituista tapauksista (vuoden 2011 tutkimuksessa vastaava luku oli 61 prosenttia ja vuoden 2007 tutkimuksessa ainoastaan 32 prosenttia). Näistä 43 prosentissa oli mukana tekijöitä sekä organisaation sisältä että sen ulkopuolelta.

Vahvat sisäiset kontrollitkaan eivät estä väärinkäytöksiä
Tutkimuksen mukaan peräti 93 prosentissa tapauksista teko sisälsi useita yksittäisiä transaktioita. Väärinkäytökset jatkuvat monesti useita vuosia ja niiden havaitsemiseen saattaa mennä 3−5 vuotta. Heikko sisäinen kontrolli mahdollisti 54 prosenttia väärinkäytöksistä.
− Sisäisten kontrollien toimivuutta onkin syytä arvioida uudelleen muuttuvassa ympäristössä: eilisen kontrollit eivät vastaa tämän päivän eivätkä etenkään huomisen kyberriskeihin, toteaa Suomessa KPMG:n Forensic-palveluita vetävä Jyri Tarvainen.
− Toisaalta vahvatkaan kontrollit eivät estä väärinkäytöksiä – peräti 20 prosenttia tekijöistä toimi uhkarohkeasti kontrolleista piittaamatta, jatkaa Tarvainen.

Kyberväärinkäytösten osuus kasvaa
Tutkimuksen mukaan erilaiset kyberväärinkäytökset, kuten haittaohjelmien tai väärennettyjä www-sivujen avulla tehtävät rikokset tulevat todennäköisesti kasvamaan. Samalla huipputeknologian rooli väärinkäytöksissä voi lisääntyä merkittävästi. Taloudelliset väärinkäytökset ja perinteiset petokset, joiden tekijä tulee usein organisaation sisältä, poikkeavat jossain määrin kyberrikollisuudesta, jossa uhka tulee tyypillisesti ulkoa.
− Uhrina on yleensä ensiksi organisaation työntekijä, joka tietämättään tai ajattelemattomuuttaan joutuu osaksi hyökkäystä antamalla yritykseen liittyviä tietoja puhelimessa tai klikkaamalla sähköpostin linkkiä tai liitetiedostoa, kertoo Suomen KPMG:n tietoturvapalveluista vastaava Mika Laaksonen.
− Kun organisaation sisäisiin järjestelmiin on päästy, hyökkääjä etsii haluamiaan tietoja esimerkiksi patenteista, hinnoittelusta tai muista liikesalaisuuksista, joilla on merkitystä sekä hyökkääjälle että organisaatiolle itselleen, jatkaa Laaksonen.

Perinteiset petokset ja sisäiset väärinkäytökset eivät ole kadonneet mutta kyberuhat ovat tulleet niiden rinnalle. Yritysten on panostettava myös kyberväärinkäytösten ehkäisemiseen ja niiden havaitsemiseen.
− Selvää on, että organisaatioiden kyky havaita ja siten puuttua ulkoisiin ja sisäisiin uhkiin ja väärinkäytöksiin on niin KPMG tutkimuksen kuin julkisuuteen tulleiden tapaustenkin valossa aivan riittämätön, jatkaa Laaksonen.

Taustaa tutkimuksesta
KPMG:n Global profiles of the fraudster -tutkimus on jatkoa vuosina 2007 ja 2011 toteutetuille tutkimuksille. Tutkimuksen kohteena on valkokaulusrikollisuus. Tutkimus pureutuu tyypillisen taloudellisen väärinkäytöksen tekijän profiiliin sekä tunnusmerkkien, motivaatiotekijöiden ja ympäristötekijöiden suhteeseen. Vuoden 2013 tutkimuksessa analysoitiin 596 väärinkäytöksen tekijää ja väärinkäytöstapausta 78 maassa ympäri maailmaa. Tutkimus perustuu tapauksiin, joita KPMG tutki elokuun 2011 ja helmikuun 2013 välisenä aikana.  

Tutkimus on luettavissa osoitteessa:

torstai 14. marraskuuta 2013

KPMG:n asiantuntijalle palkinto parhaasta opinnäytetyöstä

KPMG:n tietoturva-asiantuntija Harri Pienimäen opinnäytetyö ”Alihankinnan tietoturvallisuuden ja liiketoiminnan jatkuvuuden kehittäminen” (Laurea-ammattikorkeakoulu, 2012) palkittiin Finnsec-turvallisuusmessujen avajaistilaisuudessa 13.11.2013 vuoden parhaana turvallisuuteen liittyvänä opinnäytetyönä. Työn katsottiin tuottavan oleellista uutta tietoa  alihankintasuhteen riskeistä ja riskien hallintaan liittyvistä mahdollisuuksista, jotka ovat käyttökelpoisia yrityksien, yhteisöjen ja yhteiskunnan turvallisuuden näkökulmista.

Yritysten harjoittaman ulkoistamisen ohella myös alihankinta on viime vuosina lisääntynyt merkittävästi. Yritykset pyrkivät vähentämään kiinteitä kulujaan ja keskittymään ydinliiketoimintaansa hyödyntämällä alihankkijayrityksiä eri toimintojen korvaajina. Laajojen alihankintaketjujen hallinta ja alihankinnasta aiheutuvat riskit tuovat kuitenkin omat haasteensa erityisesti liiketoiminnan jatkuvuudelle.

Opinnäytetyössään Harri perehtyi erään kohdeorganisaation alihankkijayrityksiin ja suunnitteli menetelmän, jonka avulla voidaan tunnistaa organisaation liiketoiminnan jatkuvuuden kannalta merkittävimmät alihankkijat. Opinnäytetyössä käsiteltiin alihankinnan hyötyjä ja riskejä sekä selvitettiin, miten liiketoimintaa voidaan jatkaa normaalisti riskeistä huolimatta. Tutkimuksessa perehdyttiin alan teoriaan, selvitettiin mahdollisia keinoja alihankkijoiden liiketoiminnallisen merkityksen arviointiin sekä käytettiin toimintatutkimusta alihankkijoiden luokittelumenetelmän kehittämiseen yhteistyössä kohdeorganisaation kanssa.

Laurean tiedote asiasta. Harrin opinnäytetyön voit lukea kokonaisuudessaan täältä.

Koko KPMG:n tietoturvaryhmän ja kollegoiden puolesta onnittelut Harrille hienosta saavutuksesta!

perjantai 8. marraskuuta 2013

ICT ulkoistukset jatkuvat



KPMG on taas vuosittaisessa tutkimuksessaan selvittänyt ICT-hankintoihin eniten rahaa käyttävien Pohjoismaisten yritysten ja organisaatioiden ulkoistamisaikeita sekä tyytyväisyyttä ICT-palvelutoimittajiin.
Tutkimus osoittaa, että ICT-ulkoistaminen lisääntyy edelleen Pohjoismaissa. Tutkimukseen vastanneista organisaatioista 43 % aikoo lisätä ulkoistamistaan ja 34 % kertoo aikovansa pitää ulkoistukset nykyisellä tasolla. Samaan aikaan kuitenkin 11 % vastaajista aikoo vähentää ulkoistamistaan ja ottaa palveluita takaisin omaan tuotantoon. Ulkoistamisen vähentämistä harkitsevien määrä on noussut viime vuodesta 5 prosenttiyksikköä.
Ensisijainen syy ulkoistamiselle on edelleen kustannussäästötavoitteet: 71 % vastaajaorganisaatioista mainitsee tämän olevan ulkoistuspäätöksen taustalla. Myös palvelutoimittajien osaaminen ja palvelun laadun parantaminen ovat painavia syitä ulkoistamiseen.
Tarkasteltaessa asiakasorganisaatioiden tyytyväisyyttä ICT-palvelutoimittajiin parhaimman arvion asiakkailtaan saa intialainen TCS (Tata Consultancy Services), jonka palveluihin on tyytyväisiä 83 % vastaajista. Toista sijaa pitävät HCL ja Volvo IT (80 %). 
Tutkimuksessa kysyttiin myös asiakkaiden näkemystä palvelutoimittajien kyvystä toimittaa palveluita tietoturvallisesti. Pääasiallisesti palvelutoimittajat, joihin oltiin kokonaisuudessa tyytyväisiä saivat hyvää palautetta myös kyvystään hoitaa tietoturvallisuuteen liittyviä asioita. Tutkimuksen tehneiden kollegoiden kanssa kylläkin pohdiskelimme, että perustuuko käsitys oikeaan tietoon vai pelkästään palvelutoimittajan työstä syntyneeseen näppituntumaan.
On selvää, että jos palvelutoimittajalla aika menee taistellessa käyttökatkojen, henkilöstövaihdosten ja aikatauluongelmien kanssa, niin lähtökohdat tieturvallisuuden saamiseksi hyvälle tasolle ovat huonot. Toimivat prosessit luovat hyvät edellytykset myös sille, että tietoturvallisuus on asianmukaisesti hoidettu. Aina näin kuitenkaan ei ole.
Asiakkaiden kanssa käytyjen keskustelujen ja tehtyjen auditointien perusteella voi todeta, että tietoturvallisuus on alue, jossa hyvällekin ICT-palveluntarjoalle saattaa sattua virheitä. Erityisesti asiakaskohtaiset erityisvaatimukset, jotka poikkeavat toimittajien normaaliprosesseista, ovat monille toimittajille vaikeita toteuttaa. Tietoturva-auditointi tarjoaa edelleen näppituntumaa vankemman pohjan palvelutarjoajan tietoturvatason arvioimiseen.
Ja jos ICT palveluntarjoajaasi ollaan organisaatiossasi laajasti tyytymättömiä, myös tietoturvavastaavan on syytä terästää katsettaan.
Janne Vesa  Advisory Partner

Lisätietoa: Nordic Service Provider Performance and Satisfaction (SPPS): 2013 – tutkimuksesta


 

tiistai 5. marraskuuta 2013

RSA Conference Europe, Amsterdam - 29.-31.2013



Jokavuotinen RSA -tietoturvakonferenssi järjestettiin tänä vuonna ensimmäistä kertaa Amsterdamissa. Tapahtuma on Euroopan mittapuulla melko suuri ja kerää osanottajia ympäri maapallon. Hyvien verkostoitumismahdollisuuksien lisäksi seminaari tarjoaa yleensä lukuisia presentaatiota monilta eri tietoturvan osa-alueilta, ja monipuolisuus onkin konferenssin yksi vetonauloista. Kun paikalle saadaan vielä kuuluisia ja mielenkiintoisia puhujia, pitäisi paletin olla kutakuinkin kasassa. Seuraavassa hieman näkemyksiä ja kokemuksia KPMG:n edustajien kynästä.

Kuten yllä mainittiin, presentaatiot oli jaettu useaan erilaiseen kategoriaan, joista jokaiselle varmasti löytyi omansa. Kategorioita olivat Key Notes -puheenvuorojen lisäksi mm. Application & Data Security; Governance, Risk & Compliance; Hackers & Threats; Human Element; Mobile Security; Security Architechture ja Security Trends. Hyvin kattavaa siis niin teknisessä kuin hallinnollisessa tietoturvamielessä. Kaikista esityksistä oli myös tehty hyvin myyvät kuvaukset, joka kuitenkin johti paikoin pieniin pettymyksiin - mediaseksikkäiden mainostekstien ja hyvien esittäjien taakse saattoi joissain tapauksissa kätkeytyä vähemmän kattavaa sisältöä tai vanhan toistoa. Esimerkiksi Big Data oli edelleen iso puheenaihe, mutta juurikaan mitään uutta tämän suhteen ei saatu kuulla. Käytännössä Big Datan, kuin muunkin kehityksen myötä, tulevaisuuden tietomurrot tulevat keskittymään nykyisestä häiritsemisestä enemmän tiedon ja toiminnan tuhoamisen suuntaan. Teknisimmissä presentaatioissa jäi selvästi kaipaamaan vanhan informaation ja esittelykalvojen lisämausteeksi enemmän tuoreita tapausesimerkkejä maailmalta. Mitkä kontrollit ovat toimineet erityisen hyvin, ja mitkä huonommin?

Key Notes -puheenvuorot sisälsivät paikoin mielenkiintoisia aiheita. Mm. BT Securityn johtaja Mark Hughes kertoi millainen projekti oli turvata Lontoon olympialaisia varten toimiva, turvallinen ja vikasietoinen verkko kaikkine funktioineen. Kuten arvata saattaa, infrastruktuuri oli jatkuvan pommituksen alaisena. Projekti kuitenkin onnistui ja tästä saattoi huomioida esimerkiksi sen, kuinka tärkeää jatkuva tilannetietoisuus ja verkon analysointi on. Aihe sopii viitteellisesti myös tuoreisiin Ulkoministeriöön liittyviin tapahtumiin, joissa havainnointikyvyn merkittävyys korostui.

Symantecin varapääjohtaja taas syväluotasi nykyistä tietoturvateknologiaa ja totesi useista eri järjestelmistä ja erillisistä komponenteista koostuvan tietoturva-arsenaalin olevan vaikeasti hallittavissa. Lisäksi hänen mukaansa on ongelmallista, että eri komponentit eivät osaa aidosti keskustella keskenään ja käyttää toistensa tietoja hyväksi esimerkiksi tietoturvauhkien havaitsemiseksi. Myös joitakin SIEM-ratkaisuja kritisoitiin mm. siksi, että ne eivät kykene analysoimaan tietoa riittävän pitkältä ajalta havaitaakseen hyvin harkitut ja hitaasti edistyvät hyökkäykset, vaan lähinnä säilövät lokitietoa loputtomaan arkistoon ja tarkastelevat vain pientä aikaikkunaa kerrallaan.

Monien (useimmiten laitevalmistajien) esityksistä paistoi myös läpi se, että uuden sukupolven tietoturvaratkaisut ovat monelta osin vielä kehityspolulla, eikä pelkästään vain teknologioiden osalta, vaan ennen kaikkea niihin liittyvien toimintamallien ja toteutustapojen osalta. Teknologioissa ei ole sinällään vikaa - uusia innovatiivisia havainnointitapoja myös kehitetään jatkuvasti, ja niillä pystytään kyllä vastaamaan APT-tyyppisiinkin uhkiin (kuten aiemmin mainittu UM-tapaus). Käyttöönotto ja ylläpito eroaa kuitenkin merkittävästi perinteisistä virustorjuntaratkaisuista ja vaatii uutta ajattelumallia ja enemmän älykkyyttä myös tekijöiltään.

Yksi parhaimpia ohjenuoria tietoturvan kehitystyötä organisaatoissa ohjaamaan tarjosi Akamai Technologies:in Joshua Corman keynotes -puheenvuorossaan, joka havainnollisti organisaation puolustusstrategian prioriteetteja seuraavalla mallilla:



Käytännössä tämä on hyvin toimiva marssijärjestys moneen tietoturvaan liittyvään suunnitteluperiaatteeseen. Sen ajatusmallissa ylempien alueiden hyöty jää usein olemattomaksi tai kustannustehottomaksi, mikäli alemmat kohdat ovat huonosti toteutettuja. Näin ollen tekemistä pitäisi pyrkiä painottamaan perustuksien (helposti puolustettava infrastruktuuri) pohjalta kohti täsmätyökaluja ja edistyneempiä puolustusstrategioita. Tähän pyramidiin olisi kuitenkin vielä hyvä lisätä erittäin oleellinen laatikko alimmaiseksi - eli riskiarviointi, jonka pitäisi määrittää ensisijaisesti tietoturvaan liittyvää tekemistä.

Koska ihmisten toiminta korostuu nykyään ratkaisevasti tietoturvallisuuteen liittyvissä huolissa, piti myös "Human Element" -kategorian luentoa testata. Tähän kelpasi vetävän kuuloinen esitys "My Personality - Your Security Problem!", joka luotasi henkilöstön käyttäytymistä Carl Jungin persoonallisuustyyppeihin. Valitettavasti sisältö oli hyvin yksinkertainen - suurin osa ihmisistä taitaa tietää, että ihmisiä voi jakaa sekä introvertteihin että ekstrovertteihin, ja että toiset ihmiset ovat rationaalisia kun taas toiset toimivat enemmän tunnepohjalta. Näin ollen toiset myös pitävät esimerkiksi kirjallisista politiikoista enemmän kuin toiset. Aiheesta olisi voinut saada huomattavasti enemmän irti, sillä ainakin oman havainnon mukaan useissa organisaatioissa ongelmana on, että politiikat ja ohjeet jäävät enemmän pöytälaatikkomateriaaliksi ja henkilöstö ei täysin adaptoi niitä omakseen.

Ja lopulta, koska Amsterdamissa oltiin, niin pitihän sitä tutustua myös paikallisiin nähtävyyksiin. Suuri kiitos myös kaikille muille suomalaisille konferenssivieraille, joiden kanssa tuli käytyä monia hyviä keskusteluja. Kippis!



-Olli ja Toni