Ads 468x60px

torstai 27. helmikuuta 2014

Big Data ja tietosuoja: yhteensovitettavissa?

Viime vuoden NSA-paljastukset nostivat esiin valtioiden välisen epäluottamuksen sekä hallinnon alaisten organisaatioiden järjestelmällisen tiedonkeruun, joka koskettaa suurta joukkoa sähköisiä viestintävälineitä käyttäviä maapallon asukkaita. Jos asiaa tarkastelee hieman neutraalimmasta näkökulmasta, voi NSA:n toiminnan nähdä valtaisana Big Data-hankkeena, jossa ihmisiä pyritään eri tietolähteistä tietoja yhdistelemällä mm. profiloimaan ja sitä kautta mahdollisesti ennakoimaan heidän käytöstään. Tiedon yhdistelyyn ja profilointiin liittyy tietosuojahaasteita, jotka em. esimerkki tuo tehokkaasti päivänvaloon.

Tulevan tietosuoja-asetuksen valossa henkilötietoja sisältävää Big Dataa keräävien ja yhdistelevien organisaatioiden tulee EU:ssa huomioida mm. seuraavat seikat/vaatimukset:


1.    Järjestelmät (ja prosessit) tulee rakentaa Privacy by design –periaatteen mukaan, mikä tarkoittaa sitä, että tietosuoja-aspektit tulee ottaa huomioon jo suunnitteluvaiheessa

2.    Ennen profiloinnin aloittamista tulee suorittaa nk. tietosuojavaikuttavuusarviointi

3.    Henkilötietojen käsittely tulee minimoida ehdottoman tarpeelliseen --> mahdollisuuksien mukaan tiedot kannattaa anonymisoida tai pseudonymisoida.

4.    Alkuperäinen henkilötiedon käsittelytarkoitus rajoittaa tietojen käsittelyä – tietoja ei tule käsitellä muihin tarkoituksiin, jotka eivät ole yhteensovitettavissa alkuperäisen käsittelytarkoituksen kanssa

5.    Muualta kuin rekisteröidyltä itseltään kerättyjen henkilötietojen yhdistelyä arvioidaan tiukemmin kuin organisaation itse suoraan rekisteröidyiltä keräämien henkilötietojen käsittelyä

6.    Tapauksissa, joissa profiloinnilla on rekisteröidylle oikeudellisia tai niihin verrattavissa olevia vaikutuksia, tarvitaan yleensä rekisteröidyn suostumus profilointiin

7.    Tiedon laatuun ja oikeellisuuteen tulee kiinnittää erityistä huomiota, tarpeettomat tiedot tulee tuhota turvallisesti tai anonymisoida tehokkaasti

8.    Rekisteröityjä tulee informoida profiloinnista; rekisteröidyillä on oikeus kieltää heitä koskeva profilointi

9.    Tietojen suojaamiseen ja tietovuodoista tiedottamiseen tulee kiinnittää erityistä huomiota

10.  Tunnistamistietojen yhdistelyä muihin henkilötietoihin koskee erityiset rajoitukset

11.  Tiedonsiirtoja esim. alihankkijoille EU:n ulkopuolelle koskee erityiset rajoitukset

Vaatimukset ovat siis melkoiset! 


Vaatimusten soveltuvuus määräytyy sen mukaan, voidaanko käsiteltävät tiedot jäljittää luonnollisiin henkilöihin suoraan tai tietoja yhdistelemällä, tai voidaanko anonymisoiduille tiedoille suorittaa nk. re-identifikaatio. Jos näin ei ole, käsissänne on anonymidataa, jonka käsittelyä tietosuojalainsäädäntö ei juurikaan rajoita.

torstai 20. helmikuuta 2014

Onko Olympialaiset ja erityisesti video streaming tietoturvaongelma vai eikö se ole?



Aikaisempi blogikirjoituksemme ”Sotshin olympialaiset ja leijonien menestyson organisaatioille uusi tietoturvariski” sai kohtuullisesti mediahuomiota ja herätti myös paljon keskustelua puolesta ja vastaan. Se on hyvä asia. Saimme myös jossain määrin kritiikkiä siitä, että keksimme olemattomia ongelmia. Esitettyjä argumentteja olivat muun muassa:

  • Toimisto ja tuotantoverkothan on erotettu toisistaan
  • Liikenteeseen voi helposti asettaa rajoituksia ja priorisoida liikennettä
  • Eihän ulospäin lähtevä liikenne vaikuta sisäisten järjestelmien toimintaan
  • Ei-toivotun liikenteenhän voi estää

Nämä ovat kaikki valideja argumentteja – silloin, kun ne on toteutettu.
Yksi kirjoituksemme keskeisistä tavoitteista ja ajatuksesta oli nimenomaan korostaa sitä, että läheskään aina näitä asioita, jotka ovat mahdollisia, ei kuitenkaan ole tosielämässä toteutettu. Tässäkään asiassa oleellista ei ole ainoastaan se, miten asiat hienoimmillaan teknisesti voisi toteuttaa, vaan miten ne oikeasti on toteutettu ja miten ihmiset toimivat.
20.2.2014 mennessä uutisiin asti oli päässyt ainakin seuraavat tapaukset

EDIT: 20.2.2014 13:30 - uusia uutisoituja tapauksia
Suhteellisen lyhyessä ajassa video streaming on siis aiheuttanut ihan oikeita ongelmia. Olettavaa on myös se, että 100% ongelmista ei ole päätynyt mediaan asti. Huomaako kukaan muuten mitä yhteistä mediaan asti päätyneillä ongelmilla on?

Lisäksi otimme jutussamme kantaa siihen, että työntekijät saattavat käyttää myös vaihtoehtoisia tapoja videon katseluun ja aika monessa eri uutisten kommenteissa sanottiinkin, että ”siinähän estävät Areenan, pystyn katsomaan peliä tavalla x”. Poikkeuksetta tämä tapa x oli organisaation kannalta ei-toivottu ja riskialtis.

Saimme siis aikaan hyvää keskustelua ja muistetaan että se, mikä on teknisesti mahdollista ei aina ole se, miten asiat oikeasti on. Muistetaan myös, että ihmiset ovat luovia. Yleensä se on hyvä asia. Ihan aina ei;)

EDIT 21.2.2014 Viestintävirasto selvitti onko Olympialaisten katselu ongelma runkoverkoille. Selvityksen perusteella ei, mikä nyt olikin aika odotettu tulos. samassa yhteydessä todetaan yritysverkkojen osalta että Internetliittymille palveluntarjoajat kertovat olympialaisten aiheuttaneen yksittäisiä kuormituspiikkejä. Yksittäinen nettivideolähetyksen katsoja kuluttaa kaistaa 1-2 Mbit/s, jolloin tyypillinen keskisuuren yrityksen 100 Mbit/s liittymä kuormittuu täyteen 50-100 samanaikaisen katsojan aiheuttamasta liikenteestä. Tilannetta on pystytty korjaamaan liittymien kapasiteetin nostoilla ja yritysten sisäisillä ohjeistuksilla.


maanantai 17. helmikuuta 2014

Sotshin olympialaiset ja leijonien menestys on organisaatioille uusi tietoturvariski


Viime viikon torstaina käynnistyivät pitkään odotetut olympialaiset Suomen jääkiekon osalta. Olympiadi, eli kisojen välinen nelivuotiskausi, on tietotekniikassa sekä erityisesti internetissä ja kyberturvallisuudessa käytännössä katsoen ikuisuus. Viimeaikaisten urheilutapahtumien myötä olemme törmänneet aivan uudenlaiseen tietoturvallisuuden haasteisiin, josta myös media on uutisoinut näyttävästi. 

Tietoturvallisuuden kannalta haasteellinen tilanne aiheutui Tampereen kaupungin työntekijöiden seuratessa YLE Areena -palvelun välittämää suoratoistolähetystä Suomen leijonien avausottelusta. Ottelua katsoessaan työntekijät saattoivat huomaamattaan häiritä jopa potilastietojärjestelmien käyttöä. Mitä luultavimmin vähintäänkin 100 000 suomalaista seurasi ottelua internetistä työpaikoillaan ja mahdollisesti vielä suurempi määrä opiskelijoita eri oppilaitosten verkoissa. Se on tietysti sinällään hyvä uutinen - tässä on erinomainen esimerkki tekniikan hyötypotentiaalin käyttöönotosta ja siitä, miten eri mediaratkaisut kehittyvät käyttäjäläheisemmiksi. 

Suoratoistoon liittyy monenlaisia uhkia

Aihetta olisi mahdollista lähestyä kysymällä, onko tällainen työajan käyttö sallittua ja sopivaa. Mitä muita vaikutuksia menetetyillä työtunneilla on saattanut olla? Jättämällä humoristiseksi tarkoitetut viisastelut sikseen, voimme syventyä itse ongelmaan ja kysyä esimerkiksi miten julkishallinnon, eri yhtiöiden ja kansallisen koulutusjärjestelmämme tietohallinnot ovat varautuneet tämän kaltaiseen toimintaa haittaavaan liikenteeseen?  Tämän tyyppinen ilmiöhän voitaisiin määritellä myös aivan uudenlaiseksi hyökkäystavaksi - nimetään se tässä tapauksessa vaikkapa ”Internal Distributed Denial of Services” (IDDS), jossa hajautetusti organisaation sisältä pyritään estämään oman verkon palveluiden saatavuus.

Tämän kaltaisessa yleisen massan omavaltaisessa toiminnassa, joka mitä luultavimmin rikkoo organisaation tietoturvapolitiikkaa, on helposti myös muita suuria riskejä. Tässä tapauksessa YLE tarjoaa luotettavan palvelunsa kautta suoratoistoa olympiakisoista, mutta kuinka moni suomalainen etsii internetistä hakuammunnalla erilaisia suoratoistosivustoja nähdäkseen maksullisten kanavien lähetyksiä vaikkapa paikallisten urheilusarjojemme finaaleista tai formulasankarimme suorituksista. Ei tarvitse olla suurikaan skeptikko epäilläkseen näiden Googlen ja sosiaalisten medioidenkin kautta löytyvien sivustojen turvallisuutta muun muassa erilaisten haittaohjelmien välittäjinä.

Kun asioita pohditaan vielä analyyttisemmalta näkökulmalta, nousevat väistämättä esille yleiset puutteet niin saatavuutta uhkaavien riskien tunnistamisessa kuin tietoliikenne- ja arkkitehtuurisuunnittelussa. Esimerkiksi uuden järjestelmän tai palvelun hankinnassa ei välttämättä oteta huomioon hankinnan kohteen aiheuttamaa lisäkuormaa tietoliikenneverkkoon. Tämä pätee etenkin pilvipalveluissa, joiden riskianalyysissa arvioidaan tietoliikenneverkon kriittisyyttä usein aivan liian yleisellä tasolla - (”sen on pakko toimia”), mutta ei kuitenkaan lasketa sen vaikutuksia ja lisätarpeita koko liiketoiminnan näkökulmasta. Ongelmia tarkasteltaessa huomataan usein, että koko organisaatioiden jatkuvuudenhallinta, mikä käsittää edellä mainitut riskiarvioinnit, keskeytysvaikutusanalyysit sekä suunnitelmat ongelmatilanteiden selvittämistä varten, on vielä lapsenkengissä.

On hyvin todennäköistä, että monissa tapauksissa verkkojen käyttö on jo valmiiksi niin äärirajoilla, että tahattomasti aikaansaatu ”IDDS” on lähempänä kuin saatetaan uskoakaan. Kysymys kuuluukin, kuinka monessa organisaatiossa tänä päivänä varaudutaan juuri tällaisiin yllättäviin piikkeihin tietoliikenneverkon käytössä? Tulisiko organisaatioiden suunnitella jatkossa IT-arkkitehtuuriaan entistä tarkemmin liiketoimintakriittisten järjestelmien ja sovellusten tietoliikennetarpeiden mukaan? Eli nykyistä kovemmalla kädellä luoda periaatteet sille, mihin tarkoitukseen, millä prioriteetilla ja millä aikavälillä tietoliikenneverkkoa saa käyttää – ja kuka tai mikä sitä saa käyttää?

Bring your own network!

Mikäli paniikkinappulaa on jo painettu, on olemassa myös eräs nopea ja kustannustehokas ensiratkaisu. Jos organisaatiolla on toimiva Bring your own device (BYOD) –politiikka ja olympialaisten seuraaminen on virallisesti sallittua työajalla, tulisi työntekijöiden hoitaa mahdollinen suoratoisto esimerkiksi omien mobiililaitteidensa kautta käyttäen muita verkkoja kuin organisaation verkkoa – kuten 3G – verkkoa. Näin poistettaisiin riski (liike)toimintakriittisten järjestelmien hidastumisesta sekä uhka mahdollisista haittaohjelmista. Asian voisi myös ilmaista kauniisti toteamalla: Bring your own network!

Suomen Leijonien seuraava peli on keskiviikkona Norja vs. Venäjä -pelin voittajaa vastaan.  Pelin tarkkaa ajankohta ei ole vielä tiedossa, mutta kisasivuston mukaan se alkaa joko 10:00, 14:30 tai 19:00.  On siis täysin varmaa, että kahden aikaisemman ajankohdan osuessa Suomen ja Venäjän otteluajaksi, organisaatioiden verkot tulevat olemaan kovilla. Yrityksillä ja julkishallinnon organisaatioilla on siis keskiviikkoaamuun asti aikaa reagoida asiaan tai sitten vain toivoa, että pelin ajankohdaksi tulee iltaohjelman mukainen 19:00. Suomen kyberturvallisuuden seuraavan haasteen määrittelee siis Häkämiestäkin mukaillen kolme asiaa: 1) ajankohta, 2) oma toimintamme ja 3) Venäjä. 

Näissä tunnelmissa toivomme peukut pystyssä sekä Suomen menestystä että elintärkeiden ja liiketoimintakriittisten järjestelmien toimivuutta!


Blogitekstin on kirjoittanut olympiatunnelmissa
Partner Harri Wihuri, joka vastaa liikkeenjohdon konsultoinnin palveluista,
Kristian Backman, joka on tietoturvan ja kokonaisarkkitehtuurin asiantuntija sekä
Olli Knuuti, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla.

perjantai 14. helmikuuta 2014

Tervetuloa kuulemaan KPMG Global Energy Institute -webcastia Cyber security evolution - What boards are talking about





Tiistai, 18. Helmikuuta 2014
19.00–20.00 (UTC+2, 12:00-13:00 EST)
                       

Tervetuloa kuulemaan KPMG Global Energy Institute -webcastia aiheesta Cyber security evolution – What boards are talking about. Esitys on englanninkielinen.

Kyberrikollisten ja haktivistien toiminnan aiheuttamat uhat ovat määrällisesti kasvussa ja entistä ammattitaitoisempia. Teknologian kehitys ja uudet tavat työskennellä ovat tehneet organisaatiosta entistä haavoittuvampia. Esimerkiksi etäyhteydet, big data, pilvipalvelut, on-demand -palvelut ja mobiiliteknologiat aiheuttavat uuden tyyppisiä riskejä.

Tietomurrot ja kyberhyökkäykset ovat toistuvasti otsikoissa ja ovat nousseet myös yritysjohdon agendalle. Lainsäädännöllisten sekä muiden vaatimusten tiukentumisen johdosta yritysten on pystyttävä osoittamaan, että kriittinen informaatio ja toiminnot on asianmukaisesti suojattu.

Osallistumalla tähän webcastiin opit kuinka mitata ja kehittää tietoturvaohjelmia ja -hankkeita, ja kuinka uusimmat trendit voivat vaikuttaa liiketoimintasi kannalta kriittiseen informaatioon.

Käsiteltäviä asioita ovat muun muassa:

  • Johdanto kyberuhkien evoluutioon
  • Kyberuhkien kenttä - kuinka energiatoimiala reagoi?
  • Kuinka vastata johdon kysymykseen: Olemmeko valmistautuneet uusien kyberuhkien varalle? - Kyberturvallisuuden kypsyysarvioinnit
  • Välittömät toimenpiteet - Kymmenen avainkysymystä kybertuvallisuusohjelman arviointiin



KPMG Global Energy Institute - lisätietoa:
KPMG Global Energy Institute (GEI) on perustettu avoimeksi keskustelupaikaksi, jossa energia-alan johtajat voivat jakaa tietoa ja kokemuksia, ja löytää toimialan tuoreimman tietämyksen uusiin haasteisiin ja tuleviin trendeihin liittyen.

Varaa kalenteriisi paikka 12. vuotuiseen KPMG Global Energy -konferenssiin (GEC). Lisätietoa KPMG Global Energy -konferenssin verkkosivuilla.


Osallistujat voivat ansaita yhden CPE-pisteen tästä audiowebcastista.

keskiviikko 12. helmikuuta 2014

Tietoturvallisuus – olisiko minun pitänyt osata pyytää tätä erikseen?

Tarkoitukseni oli kirjoittaa ohjelmistotoimittajille asetettavien tietoturvavaatimusten asettamisen sietämättömästä keveydestä. Törmäsin eilen kuitenkin tapaukseen, joka sai minut jälleen miettimään mikä on ammattilaisen vastuu tekemisestään ja kuinka paljon turvallisuutta meidän tulee osata vaatia.

Lähipiirissäni ilmeni tapaus, jossa yhdistyksen verkkosivuille oli murtauduttu (ei ole Tietoturva ry ;). Sen jälkeen kun tapahtuneesta oli kysytty sivuston toimittajalta, he vastasivat murron tapahtuneen tammikuun (2014) alussa ja koska tapauksesta on niin pitkä aika, ei varmuuskopioita ollut enää olemassa. Toimittaja kuitenkin totesi, että heiltä löytyisi joku varmuuskopio vuoden takaa ja että samassa yhteydessä olisi varmaan hyvä ajaa tietoturvapäivitykset palveluun. Tämä he voisivat tehdä XXX€ hinnalla.

Ilkeä päättelijä saattaisi todeta, että vastauksessa on rahastuksen makua: ”Emme ota mitään vastuuta tapahtuneesta mutta saamme lisämyyntiä kun voimme veloittaa sotkun siivoamisesta.”

Mielenkiintoiseksi tapauksen tekee se, että toimittaja oli aikoinaan myynyt palvelun avaimet käteen periaatteella eikä tilaajalle ole missään vaiheessa tarjottu mitään tietoturvapalvelua kotisivutilan lisäksi. Tilaaja ei myöskään näe web-palvelun alustaa eikä välttämättä edes tiedä käytetyn CMS:n versiota. Toisaalta tilaaja ei ole myöskään osannut vaatia tietoturvaa järjestelmälle.

Kumpi on siis suurempi syyllinen siihen, että murto pääsi tapahtumaan? Toimittaja, joka ei huolehtinut tietoturvasta vai asiakas, joka ei osannut vaatia tietoturvaa? Asia olisi hyvin helppo, jos toimittaja olisi tarjonnut asiakkaalle tietoturvapalvelua, mutta asiakas ei olisi tätä halunnut. Tai mikäli toimittaja olisi kertonut tilaajalle, että nyt asiakkaan järjestelmästä on löytynyt vakava haavoittuvuus ja se tulisi korjata pikaisesti, mutta asiakas ei ole halunnut tätä. Toisaalta, toimittaja toimittaa vain sen mitä tilaaja tilaa. Olisiko tilaajan siis pitänyt osata vaatia tietoturvan toteuttamista toimittajalta (Jos ostat autoa, niin muistatko vaatia, että myös jarrut tulevat mukaan?).

Suomi on täynnä erilaisia harrasteyhdistyksiä, joiden toiminnan kannalta verkkonäkyvyys on oleellista. Läheskään kaikilla ei ole kuitenkaan osaamista vaatia tietoturvallisuutta vaan suurin osa haluaa luottaa palvelun tarjoajan olevan ammattilainen, joka osaa kertoa oleellisista asioista. Näinpä ohessa muutamia vinkkejä, joita kannattaa hyödyntää sopivinta verkkopalvelua valitessa (*):

  1. Tiedustele, sisältääkö palvelu myös tietoturvapäivityksistä huolehtimisen. (Tietoturvapäivitykset tulee ajaa säännöllisesti eikä vain kertaluontoisesti.)
  2. Tiedustele, miten palvelun tarjoaja varmistaa, että järjestelmässä ei ole tunnettuja haavoittuvuuksia. Kenen vastuulla on seurata mahdollisten haavoittuvuuksien julkaisua?
  3. Tiedustele, miten palvelun varmuuskopiointi on järjestetty. Miten kauas taaksepäin on mahdollista palata varmuuskopioissa? Entä minkä milloin varmuuskopiot viimeistään tuhotaan?
  4. Tiedustele mikä on palvelun saatavuus (kuinka monta tuntia päivässä / viikossa / tms. aikayksikössä palvelun tulisi olla käytettävissä.)
  5. Tiedustele, miten toimittaja toimii, mikäli sivustolle murtaudutaan.

Jos et saa vastauksia, tai et yrityksistäsi huolimatta ymmärrä, mitä sinulle on vastattu, niin harkitse huolella haluatko valita kyseistä palvelua.

Turvallista verkkonäkyvyyttä itse kullekin yhdistykselle!
Antti

* Lista ei ole mitenkään kattava eikä vastaukset kohtiin takaa palvelun turvallisuutta, mutta tämä antaa nyt edes jonkun alkupisteen turvallisuuden huomioimiselle.