Ads 468x60px

keskiviikko 28. toukokuuta 2014

Turvasuojauksen ja turvallisuuskonsultoinnin luvanvaraisuus



Turvasuojauksen ja turvallisuuskonsultoinnin luvanvaraisuus

Hallituksen esityksessä uudeksi laiksi yksityisistä turvallisuuspalveluista (HE 22/2014 vp.) ehdotetaan, että laissa erikseen määriteltävä hyväksymistä edellyttävien turvasuojaustehtävien (mm. turvalaiteasennus) hoitaminen edellyttäisi kyseistä toimintaa harjoittavalta yhteisöltä tai toiminimeltä elinkeinoluvan (Poliisihallituksen myöntämä turvallisuusalan elinkeinolupa). Lisäksi työntekijöiltä edellytettäisiin yrityskohtaista henkilökohtaista hyväksymistä turvasuojaajaksi (poliisihallinnon yksikön myöntämä turvasuojaajakortti). Turvasuojausliikkeiden tulisi hakea turvallisuusalan elinkeinolupaa Poliisihallitukselta ehdotetun voimaantulosäännöksen perusteella kahden vuoden siirtymäajan jälkeen. Jos laki astuisi suunnitellulla tavalla voimaan 1.1.2015, tulisi luvat hakea vuoden 2016 loppuun mennessä.

Elinkeinolupavaatimus sisällytettiin lopulliseen hallituksen esitykseen alan toimijoiden omasta toivomuksesta. Huomioiden esimerkiksi viimeaikaiset kansainväliset ja kotimaatammekin kohdanneet tapahtumat muun muassa tietoturvallisuuden rintamalla, olisi viranomaisvalvonnan tiivistäminen perusteltua. Varsinaiset tietoturvallisuuteen liittyvät palvelut olisivat kuitenkin jäämässä jäljempänä kerrotuista syistä elinkeinolupavaatimuksen ulkopuolelle.

Vaikka asiaa ei hallituksen esityksessä suoranaisesti mainita, lupaedellytyksen taustalla voi olla myös EU-oikeudellinen näkökulma. Vuoden 2009 laissa palvelujen tarjoamisesta 2 §:n 1 momentin 10 kohdassa säädettiin pitkällisen väännön jälkeen myös turvasuojaustehtävät poikkeukseksi Euroopan Unionin palvelujen vapaan liikkuvuuden periaatteesta. Ilman lupaedellytystä sisäiselle turvallisuudellemme turvallisuustekniikan voimakkaan kehityksen ja käytön lisääntymisen vuoksi yhä tärkeämpiä hyväksymistä edellyttäviä turvasuojaustehtäviä ei ehkä voitaisi jatkossa yhtä hyvin suojella, kun EU harmonisoi yksityistä turvallisuusalaa koskevaa sääntelyään.

Muita kuin hyväksymistä edellyttäviä turvasuojaustehtäviä saataisiin nykyiseen tapaan harjoittaa ilman elinkeinolupaa ja ilman turvasuojaajaksi hyväksymisiä. Hyväksymistä edellyttävän turvasuojaustehtävän määritelmä muodostuukin jatkossa alalla vähintään Salpausselän veroiseksi vedenjakajaksi turvasuojauksen ammattilaisten ja lähinnä turvallisuusalan laitemyyntiin osallistuvien yritysten ("tavaratalot") sekä esimerkiksi "puhtaiden" sähköasennusliikkeiden välille.

Miten turvasuojaustehtävät ja hyväksymistä edellyttävät turvasuojaustehtävät eroavat toisistaan, eli mihin HE:ssa on vedetty elinkeinoluvanvaraisuuden raja? Hallituksen esityksen 2 §:n 1 momentin 14 kohdan perusteella turvasuojaustehtävällä tarkoitettaisiin yhtenevästi voimassa olevan lain kanssa rakenteellisen suojauksen tai sähköisten valvontajärjestelmien suunnittelemista, asentamista, korjaamista tai muuttamista sekä muiden turvallisuusjärjestelyjen suunnittelemista. Saman momentin 15 kohdan perusteella hyväksymistä edellyttävällä turvasuojaustehtävä määriteltäisiin sähköisten ja mekaanisten lukitusjärjestelmien, murtohälytysjärjestelmien ja kulunvalvontajärjestelmien asentamiseksi, korjaamiseksi tai muuttamiseksi. Hyväksymistä edellyttävän turvasuojaustehtävän määritelmä poikkeaisi nykyisestä määritelmästä. Muutos tehtiin siksi, että määritelmässä mainittujen toimintojen suorittamisen yhteydessä saaduilla tiedoilla voitaisiin tyypillisesti vähintään helpottaa tunkeutumista toimeksiantajan tiloihin.

HE:n perustelujen perusteella hyväksymistä edellyttävän turvasuojaustehtävän määritelmäsäännöksen tarkoitus ei muuttuisi nykyisestä, mutta muutoksella pyrittäisiin selkeyttämään rajanvetoa hyväksymistä edellyttävän ja muun turvasuojaustehtävän välillä. Huolimatta määritelmässä mainittujen toimintojen yksityiskohtaisesta kuvauksesta esimerkein HE:ssa, ei sillä käsityksemme mukaan kyetä rajaamaan elinkeinoluvan tarvetta kokonaan pois muilta turvasuojaustoimintaa harjoittavilta yrityksiltä. Tämä johtuisi siitä luonnollisesta lähtökohdasta, että ennalta arvaamattomat asiakkaiden tarpeet määrittävät kummasta tehtävälajista on kysymys. Lähtökohtana voitaneen myös pitää sitä, että alan yrityksillä tuskin olisi varaa kieltäytyä hyväksymistä edellyttävistä turvasuojaustehtävistä, mikäli asiakas toivoisi niitä sisällytettäväksi toimeksiantoonsa ja vaikka turvasuojausyrityksellä ei olisi niihin vaadittavaa lupaa. Monessa tapauksessa lainsäädännön noudattamisen valvonta jäisikin asiakkaiden tietämyksen ja aktiivisuuden varaan.

Lainsäätäjä toteaa itsekin muutoksen johtavan nykyiseen tilanteeseen verrattuna "jonkin verran jäykempään tulkintaan turvasuojaustehtävän luonteen suhteen". Esimerkkinä tästä tiukennuksesta mainitaan lukkoliikkeille tyypillinen tilanne: "Kun esimerkiksi nykyisin on yhtenä rajanvetona hyväksymistä edellyttävien ja muiden turvasuojaustehtävien suhteen pidetty sitä, suorittaako lukkoseppä pelkästään sarjoittamattomia avainpesiä vai myös lukkojen sarjoitusta, vastaisuudessa erolla ei enää olisi merkitystä, koska kaikki mekaanisten lukitusjärjestelmien asennustyö olisi määritelty hyväksymistä edellyttäväksi turvasuojaustehtäväksi."

Turvallisuuskonsultoinnin edellytykset väitetään hallituksen esityksen yleisperustelussa säilytettävän nykyisellään. Turvallisuuskonsultointi määriteltäisiin turvasuojaustehtäväksi (”muiden turvallisuusjärjestelyjen suunnittelemista”), ei hyväksymistä edellyttäväksi turvasuojaustehtäväksi. Turvallisuusalan elinkeinolupaa eikä turvasuojaajakorttia tarvitsisi hankkia. Konsulttien luotettavuus valvottaisiin viranomaistoimin siten jatkossakin lähinnä turvallisuusselvitysmenettelyssä. Myös tietoturvakonsultointi määriteltäisiin ilmeisesti kuuluvaksi turvallisuuskonsultoinnin piiriin. Asiasta ei ole nimenomaista mainintaa hallituksen esityksessä. Linjaus nykytilanteen jatkumisesta pitänee kuitenkin paikkansa vain hetken. Tämä johtuu siitä, että myös turvallisuusselvityksistä annettua lakia ollaan parhaillaan uudistamassa (HE 57/2013 vp.).

Turvallisuusselvityslakia koskevan Hallituksen esityksen käsitteleminen on Eduskunnassa edennyt lähelle päätepistettään. Tavoiteaikatauluna on saattaa esityksen lait voimaan kuluvan vuoden 2014 alkupuolen aikana. Vaikuttaisi vahvasti siltä, että turvallisuuskonsultit tulisivat nykyiseen tapaan, mutta laajemmin käytettynä ainakin henkilöturvallisuusselvityksen piiriin. Itse kohdehenkilö ei voi kuitenkaan poliisilaitokselta selvitystä hakea. Selvitystä voidaan pyytää turvallisuuskonsulttien asiakkaiden toimesta lähinnä viranomaisten turvaluokiteltujen tietojen salaamiseksi. Lisäksi selvityksiä olisi mahdollisuus saada rajoitetusti esimerkiksi yritysten T&K:n suojaamiseksi.

Uudistettavan turvallisuusselvityslain uutuus olisi myös kotimaiseen liiketoimintaan ulotettavat yritysturvallisuusselvitykset. Ne ovat aikaisemmin tuttuja lähinnä puolustushallinnon alan kansainvälisestä kaupasta. Tulevaisuudessa yritysturvallisuusselvitysten perusteella annettavia todistuksia (vrt. nykyinen FSC) laissa rajoitetuista syistä voisivat hakea tai joutuvat hakemaan myös esimerkiksi yritykset, jotka saavat haltuunsa viranomaisten salassa pidettäviä tietoja. Myös esimerkiksi kansallisen huoltovarmuusketjumme (mm. energiayhtiöt, julkisen infrastruktuurin ylläpitämiseen liittyvät yritykset) kuuluvat yhtiöt ja yhteiskunnallistesti merkittävää T&K:ta tuottavat yritykset voisivat pyrkiä suojautumaan muun ohessa kybersodan uhilta vaatimalla alihankkijoiltaan yritysturvallisuustodistuksia.

Sekä turvasuojaustoiminnassa että turvallisuuskonsultoinnissa olisi huomioitava sekä lakiin yksityisistä turvallisuuspalveluista että turvallisuusselvityslakiin ehdotetut muutokset. Voidakseen tarjota compliance huomioiden kattavasti palveluita, olisi tilanteesta riippuen hankittava:

  1. todistus henkilöturvallisuusselvityksen suorittamisesta (poliisihallinnon yksiköltä) 
  2. yritysturvallissuuselvitystodistus (Suojelupoliisilta tai puolustusvoimien pääesikunnalta) 
  3. turvallisuusalan elinkeinolupa turvasuojaustoiminnan osalta (Poliisihallitukselta) ja 
  4. turvasuojaajaksi hyväksyminen (poliisihallinnon yksiköltä). Tietoturvan tasoa koskevan selvityksen tekisi aina Liikenne- ja viestintäministeriön alainen Viestintävirasto (tai hyväksytty tietoturvallisuudenarviointilaitos).


Minkään edellä mainituista neljästä luvasta, hyväksymisestä tai todistuksesta saaminen ei kaikki edellytykset kirkkaasti täyttäville yrityksillekään olisi varmaa, vaan kaikki ne olisivat voimakkaasti tarveharkintaisia. Kuten edellä todettiin, henkilöturvallisuusselvitystä (kohta 1) kohdehenkilö eikä hänen työnantajansa voi hakea. Koska elävässä elämässä tilanteet vaihtuvat nopeasti ja asiakkaiden tarpeet harvoin odottavat viranomaisten lupamenettelyjä, olisi useiden turvasuojausyritysten perusteltua hakea turvallisuusalan elinkeinolupa "varmuuden vuoksi". Lisäksi on huomattava, että lainsäädännön muutosvaiheessa viranomaisten lupakäytännöt ja mahdollinen tuleva oikeuskäytäntö on vielä muovautumatta. Varovainen voi siis menettää vähän euroja ja työllistää viranomaista, mutta ei menetä yhteiskunnan luottamusta ja mainettaan.

Samat sanat pätevät turvallisuuskonsultteihin, koska hyväksymistä edellyttäviä turvasuojaustehtäviä ja turvallisuuskonsultointia voi sisältyä samoihin toimeksiantoihin. Turvallisuusalan elinkeinolupa ei kummankaan hallituksen esityksen perusteella korvaa yritysturvallisuusselvitystodistusta. Siksi myös se olisi hankittava useissa turvallisuusselvityslaissa määritellyissä tilanteissa, vaikka molempien lakien lainsäätäjien tarkoituksena onkin varmasti ollut välttää päällekkäisiä viranomaisvalvontamenettelyitä.

Ehdotetun turvallisuusselvityslain tullessa voimaan turvasuojaajien ja turvallisuuskonsulttien yritysturvallisuusmenettelyn piirissä olevat asiakkaat joutuisivat todistamaan viranomaisille ja liikekumppaneilleen omien turvallisuusjärjestelyjensä lisäksi myös käyttämiensä alihankkijoiden turvallisuustason. Turvasuojausyritykset ja turvallisuuskonsultit voivat itse hakeutua tai ne voisivat joutua yritysturvallisuusselvitysmenettelyyn juuri valtionhallinnon tai yritysten alihankkijoina.

Toisaalta Hallituksen esityksessä turvallisuusselvityslaiksi pyritään voimakkaasti rajoittamaan yritysturvallisuusselvitysmenettelyyn osallistuvia yrityksiä ilmeisesti viranomaisten arvioidun resurssipulan johdosta. Sen vuoksi yrityksille ei esimerkiksi tarjota mahdollisuutta vapaasti selvityttää toistensa turvallisuustasoa viranomaisvoimin tässä menettelyssä. Myös henkilöturvallisuusselvitysten saaminen maksua vastaan poliisilta edellyttäisi jatkossa myös hakijoina olevilta yrityksiltä panostamista yritysturvallisuuteen kansallisessa turvallisuuskriteeristössä (KATAKRI) osoitetulla tavalla.

Yritysturvallisuuden tason kehittämiseksi ja ylläpitämiseksi sekä saavuttaakseen parhaat mahdollisen markkina aseman lakimuutosten jälkeen, suosittelee KPMG yrityksiä aloittamaan turvallisuusjärjestelyjen suunnittelun ja toteuttamisen KATAKRI:n mukaisesti heti. Todistus yritysturvallisuusmenettelystä edellyttäisi, että joko selvityksen tekevä viranomainen tai erityinen yksityinen tietoturvallisuuden arviointilaitos voisi todeta turvallisuustason riittäväksi. Esimerkiksi tietoturvallisuuden osa-alueella vaadittu taso ei ole useinkaan saavutettavissa nopeasti. Turvallisuusselvityslain muutokset voivat sen sijaan tulla voimaan pian.

Turvasuojaajat voivat aloittaa turvallisuusalan elinkeinolupansa hakemisen todennäköisesti jo kuluvan vuoden viimeisinä kuukausina, jos laki astuu voimaan ehdotetusti vuoden 2015 alusta alkaen. Vaikka laissa olisi voimaantulosäännösluonnoksen perusteella kahden vuoden siirtymäaika, lainsäädännön muutostilanteissa hyödyn saavat ne yritykset, joilla lakisääteiset viranomaishyväksymiset ovat ensimmäisenä hallussa. Lupa luo luotettavuuden olettaman. Esimerkiksi julkishallinnon kilpailutuksissa turvallisuusalan elinkeinolupa voisi olla kilpailuun osallistumisen edellytyksenä siitä huolimatta, että lain määrittelemä siirtymäaika on vasta kulumassa.

KPMG voi avustaa asiakkaitaan erityisesti tietoturvallisuuden kehittämisessä. KPMG on ensimmäisenä yrityksenä Suomessa hakenut tietoturvallisuuden arviointilaitoksen statusta. Prosessi on kuitenkin vielä kesken. Lähitulevaisuudessa tekemämme auditoinnin ja sen perusteella antamamme todistuksen perusteella Suojelupoliisi tai puolustushallinnon pääesikunta voi myöntää yritysturvallisuustodistuksen ilman, että viranomainen enää itse suorittaa auditointia.

Yhteistyö kanssamme voi siis sekä mahdollistaa että nopeuttaa yritysturvallisuustodistuksen hankkimisessa, edellyttäen luonnollisesti, että kohdeyrityksen turvallisuusjärjestelyt ovat riittävällä tasolla. Auditoinnin perusteella antamallamme todistuksella voi olla merkitystä myös yritysten keskinäisissä suhteissa, sillä ehdotetun sääntelyn perusteella viranomaisten auditointia ei ole saatavissa useilla toimialoilla.

Avustamme mielellämme myös aiheen lakiasioissa. Huomioiden hyväksymistä edellyttävän turvasuojaustehtävän määritelmän tulkinnanvaraisuus ja lupaviranomaisen käytäntöjen puuttuminen lainsäädännön ollessa tuoretta, oikeudellisesti laadukkaalla hakemuksella voidaan auttaa ja nopeuttaa turvallisuusalan elinkeinoluvan saamista. Myös yritysturvallisuusmenettelyyn pääsemiseksi sitä koskeva hakemus olisi perusteltava hyvin. Teemme hakemukset, niiden liitteet ja muut mahdollisesti tarvittavat selvitykset avaimet käteen -periaatteella.

Lisätietoja:

Vesa Ellonen
p. 020 760 3125

tiistai 20. toukokuuta 2014

Perusoikeudet vastakkain Euroopan unionin tuomioistuimen Google-ratkaisussa?


EU-tuomioistuin linjasi menneellä viikolla kauaskantoisessa ratkaisussaan hakukoneiden kuten Googlen velvollisuudesta poistaa hakutuloksistaan viitteet tiettyihin yksittäisiä henkilöitä koskeviin tietoihin. Ratkaisun mukaan yksityishenkilöllä on oikeus tulla unohdetuksi Googlen hakutuloksissa, kun häntä koskeva tieto on muuttunut epäolennaiseksi tai vanhentuneeksi. Tällöin tuoretta ECJ:n ratkaisua tulkiten henkilöllä voisi olla oikeus saada itseään koskevista hakutuloksista poistettavaksi aineiston, joka viittaa esim. taloudellisiin vaikeuksiin tai oikeuskäsittelyihin, jos hänen taloudellinen tilanteensa on ratkaisevasti muuttunut tai jos hän on saanut vapauttavan tuomion. 


Oikeus ei koske yleisesti kaikkia tiettyä henkilöä koskevia henkilötietoja, vaan tiedot, joita pyydetään poistettavaksi, tulee osoittaa tietojen käsittelyn kannalta virheellisiksi. Oikeus tukeutuu tulkinnassaan suoraan henkilötietodirektiivin 12 b artiklaan.


Päätös on luonnollisesti herättänyt kiivasta keskustelua suuntaan ja toiseen. Toisten mielestä päätös, joka kiistatta jatkaa Euroopassa vallalla olevaa perusoikeusmyönteistä tulkintalinjaa tietosuoja-asioissa, on yksilön suojan riemuvoitto isoista korporaatioista, toiset taas näkevät ratkaisussa sensuurin piirteitä.


Sananvapauden kannalta on kieltämättä ongelmallista, että hakutuloksia sensuroidaan yksityishenkilöiden pyyntöjen perusteella. Näissä aineistoissa saattaa olla myös muuta, yleisesti oleellista tietoa, tai sellaista tietoa henkilöstä, joka olisi tärkeää informaatiota yhteiskunnan näkökulmasta. Pulmallista on myös se, että viime kädessä Google tai muu hakukoneyhtiö tekee ensisijaisen päätöksen tiedon olennaisuudesta tai vanhentuneisuudesta eli siitä, onko poistopyyntö perusteltu vai ei. Poistopyynnöt, jotka tehdään suoraan hakukoneyhtiölle, saattavat olla vain subjektiivisesta näkökulmasta perusteltuja.


Tuomioistuin on ratkaisussaan ennakoinut tulevaa tietosuoja-asetusta, jonka luonnostekstistä löytyy mainittu ”the right to be forgotten”. Asetuksen tavoite on myös ulottaa säännösten soveltuvuus koskemaan EU:n ulkopuolella sijaitsevia palveluntarjoajia, jos nämä tarjoavat palvelujaan unionin alueella – tuomioistuin on ratkaisussaan samoilla linjoilla.


Mielenkiintoista on nähdä, minkäluonteisia pyyntöjä hakukoneyhtiöille alkaa tippua. Julkisuudessa pyynnöistä tulevat olemaan sellaiset, joihin hakukoneyhtiöt eivät suostu ja jotka tämän seurauksena mahdollisesti puidaan tuomioistuimissa. Ratkaisun tuottamasta pettymyksestä huolimatta hakukoneyhtiöt ovat varmasti jo ryhtyneet rakentamaan vaatimustenmukaista prosessia, sillä ECJ:n tuomiosta ei voi valittaa.

EDIT 11.6.2014: Euroopan komissio on hiljattain julkaissut factsheetin ECJ:n päätöksestä.

torstai 15. toukokuuta 2014

ICTExpo 2014 - Live Hack: Red Alert

Hyökkäysten havainnointi Open source -työkaluilla

KPMG:n tietoturvatiimin edustajat pitivät lähes perinteeksi muodostuneen Live Hack -esityksen ICT Expossa, Tietoturva Ry:n Secure IT -lavalla. Kiitokset tilaisuudesta järjestäjille ja kuulijoille! Viime vuonna esittelimme tunnistautumista ja tietoturvallisen sisäänkirjautumisen kompastuskiviä. Tänä vuonna Live Hack käsitteli havainnointi- ja reagointikyvyn parantamista ja SIEM-ratkaisuja (SIEM = Security Information and Event Management).

Pohdimme aluksi, miksi havainnonti- ja reagointikyky on entistä tärkeämpää. Meillähän on käytössä palomuurit ja virustorjunnat, eikö se riitä?

Käytimme vertauskuvana jokavuotista influenssakautta ja keinojamme selvitä sen läpi enemmän tai vähemmän terveinä ja työkykyisinä. Ennakoivina kontrolleina ja suojautumiskeinoina voimme hankkia influenssarokotuksen ja huolehtia käsihygieniasta. Suojautumisesta huolimatta osa ihmisistä saa silti tartunnan ja sairastuu. Sairastuttuamme käytämme havainnointikykyämme: olo on heikko ja kuumemittarin avulla varmistumme, että tartunta on vienyt meistä hetkellisesti voiton. Reaktiivisina vastatoimina otamme kuume- ja särkylääkkeitä ja vetäydymme vuodelepoon, kunnes tauti on talttunut. 

Käsihygieniasta huolehtimien on tärkeä keino suojautua tartuntataudeilta. Samalla tavoin oikeaoppinen verkon segmentointi, palomuurit ja haittaohjelmien suodatus ovat tärkeitä suojausmenetelmiä hyökkääjiltä ja haittaohjelmilta. Näiden lisäksi tarvitaan kuitenkin myös keinoja havaita ja poistaa ne tartunnat, joita ennakoivat suojauksemme eivät pystyneet estämään.

Kun valmistelimme viikolla esitystämme, huomasimme tuoreen uutisen, jossa tietoturvayhtiö Symantecin edustaja totesi ykskantaan virustorjuntaohjelmiston olevan kuollut. Artikkelin mukaan arviolta yli puolet kyberhyökkäyksistä jää perinteisiltä virustorjuntaohjelmilta huomaamatta. Tämä ei varsinaisesti ole mikään uutinen alaa seuraaville ihmisille, mutta mielenkiintoista kuulla se sellaiselta taholta, jonka liiketoiminnasta iso osa on kyseisten ohjelmistojen myyntiä.
  
Tiivistyksenä voidaan todeta, että toimintamallin on näilläkin yhtiöillä muututtava suojaavista kontrolleista havainnointiin ja vastatoimiin.

Asian voi mieltää esimerkiksi näin: miten valmistaudumme influenssakauteen, jos tiedämme että kohtuullisella todennäköisyydellä joko sairastumme itse tai joku perheenjäsenemme sairastuu? Kenties kuumemittari ja muutama lääkepaketti on hyvä pitää varalla kotona. Jo sairastuneeseen perheenjäseneen lienee järkevää säilyttää tietty turvaväli. 

Havaitsette varmasti analogian: miten valmistaudumme, jos tiedämme että todennäköisesti osa sisäverkon koneistamme on haittaohjelman saastuttamia tai hyökkääjän hallussa? Jos tiedämme, että hyökkääjä ennemmin tai myöhemmin onnistuu tunkeutumaan puolustuksemme reunan lävitse?

Asetutaanpa hetkeksi hyökkääjän saappaisiin: miten kannattaisi toimia? Hyökkääjä pyrkii ensin hankkimaan passiivisilla keinoilla tietoa kohteesta ja sen ympäristöstä, esimerkiksi Internetistä etsimällä tai sisäverkon liikennettä kuuntelemalla. Seuraavassa vaiheessa kartoitetaan aktiivisella skannauksella lisätietoa suoraan kohteesta. Kun tietoa on riittävästi, käynnistyy varsinainen hyökkäys. Onnistuneen hyökkäyksen jälkeen hyökkääjä pyrkii hankkimaan kohdekoneelle mahdollisimman laajat käyttöoikeudet (root/admin). Tämän jälkeen hyökkääjä voi esim. lisätä haitallista koodia, varastaa tietoa kohteesta, ja niin edelleen. Lopuksi taitava hyökkääjä pyrkii vielä peittämään jälkensä mm. poistamalla tai muokkaamalla lokitietoja. Tilanteesta riippuen pyritään saastuneelle kohteelle yleensä jättämään myös takaovi, jonka kautta hyökkääjä pääsee takaisin kohdekoneelle. 

Tänä päivänä esimerkiksi sisäverkon arvokkaimmat kohteet ovat yleensä kohtuullisen hyvin suojattuja, ja niihin on tyypillisesti erittäin rajoitettu pääsy yrityksen sisäverkon ulkopuolelta. Valitettavasti myös haittaohjelmat ja hyökkääjät ovat kehittyneet, ja hyökkäys kulkee usean eri koneen kautta kohti lopullista kohdetta. Usein hyökkäyksen ensimmäisessä vaiheessa hyökkääjä pyrkii yllä selostettujen vaiheiden kautta saamaan pysyvän jalansijan jollekin sisäverkon koneelle (tyypillisesti tavalliselle työasemalle/kannettavalle). Toisessa vaiheessa hyökkääjä hyödyntää pääpiirteissään samaa prosessia ja pyrkii tunkeutumaan sisäverkon koneelta kohti seuraavaa, usein paljon arvokkaampaa kohdetta (esimerkiksi sisäverkon keskeiset palvelimet). 

Perustelu kehittyneelle havainnointi- ja reagointikyvylle on se, että hyökkääjän toiminta toisessa vaiheessa (ja miksei ensimmäisessäkin) on merkittävästi vaikeampaa, mikäli meillä on hyvä tilannekuva ja kyky reagoida poikkeamiin nopeasti.

No, meillähän on käytössämme monenlaista tietoa ympäristöstämme, eikö siitä ole mitään apua? 
 
Eri järjestelmät (ja niitä ylläpitävät ja hallinnoivat ihmiset) yrityksessämme tietävät paljon tietoturvan kannalta olennaisia asioita. Palomuurien suodatussäännöt ja lokit kertovat, mitä liikennettä sallitaan ja mitä estetään. IDS kertoo millaisia paketteja liikkuu mihinkin osoitteisiin, ja mitkä niistä ovat kenties IDS:n mielestä epäilyttäviä (tunniste- ja/tai anomaliapohjainen suodatus). Yksittäisen koneen virustorjunta ymmärtää kyseiseen koneeseen liittyviä asioita: mikä kone on kyseessä, kuka on kirjautunut, mitä tiedostoja tällä hetkellä käsitellään, ja niin edelleen. Erilaiset lokitiedot kertovat järjestelmäylläpitäjille monenlaista tietoa sisäänkirjautumisista, prosesseista, palveluista, yms. Edellä mainittujen lisäksi monet muutkin järjestelmät sisältävät paljon tietoturvan päätöksentekoa helpottavaa tietoa. On kuitenkin hyvä muistaa, että kerättävästä tiedosta vain pieni osa on tietoturvamielessä olennaista. 
Ongelmana on, että mikään näistä ei yksin tuota kokonaiskuvaa siitä, mitä organisaation tietoverkossa itse asiassa tapahtuu.

Miten SIEM sitten liittyy tähän? Pohjimmiltaan SIEM on kokoelma erilaisia lokeja ja ylätason käyttöliittymä niiden sisältämän tiedon korrelointiin. SIEM yhdistää tietoturvan kannalta relevantin tiedon erillisistä lähteistä (lokit, verkkoliikenne, omaisuusrekisteri, haavoittuvuusskannaukset, jne.). Tämä auttaa tietoa analysoivaa ihmistä hahmottamaan, mitä oikeastaan tapahtuu ja/tai tapahtui. Erilaisia SIEM-ratkaisuja on tarjolla useilta eri toimittajilta, suuri osa on maksullisia tuotteita, mutta myös ilmaisia Open Source -vaihtoehtoja on olemassa. Teknistä ratkaisua tai tuotetta tärkeämpää on kuitenkin SIEMille syötettävä tieto, ja osaaminen ja resurssit SIEMin konfigurointiin ja jatkuvaan käyttöön. Valitettavasti tietoa syöttävien järjestelmien integrointi SIEM-ratkaisuun, ja hyödyllisten sääntöjen luonti ja järjestelmän konfigurointi eivät ole triviaaleja tehtäviä.

Perusperiaatteena on, että SIEM on vain niin hyvä työkalu kuin siihen syötetty data mahdollistaa. Mitä enemmän ja parempaa dataa, sen parempaan päätöksentekoon SIEMin avulla päästään.
 
ICT Expo 2014 Live Hack Setup

Käytimme tässä demonstraatiossa Open Source -pohjaista AlienVault OSSIM -ratkaisua. AlienVault tarjoaa myös kaupallista Unified Security Management (USM)-ratkaisuaan Demoympäristö on SIEM-demonstraatiota ajatellen hyvinkin yksinkertainen, onhan SIEMillä yleensä tarkoitus valvoa hieman suurempia kokonaisuuksia kuin muutamaa konetta. Teime myös esitysteknisistä syistä tiettyjä kompromisseja. Silti demoympäristömme kehittely useine koneineen oli kohtuullisen työläs operaatio, toivottavasti se palveli tarkoitustaan kuulijoillemme.


Ympäristö koostui seuraavista koneista: hyökkääjän hallinnoima kone kuvasi toimistoverkon työasemaa, jonka hyökkääjä oli jo aiemmin saanut haltuunsa ja käytti sitä hyökkäyksen seuraavaan vaiheeseen. Hyökkäyksen kohteena oli sisäverkon palvelinta kuvaava Windows-kone. Todellisuudessa nämä molemmat koneet olivat samalla fyysisellä laitteella pyöriviä virtuaalikoneita, joiden liikenne kuljetettiin ulkoisen kytkimen kautta, josta liikenne voitiin peilata kokonaisuudessaan OSSIM-monitorointikoneelle (erillinen fyysinen kone). Kohteena toimiva Windows-palvelin oli myös konfiguroitu lähettämään lokidataa OSSIM-koneelle. Näiden lisäksi käytössä oli kolmas virtuaalikone, joka kuvasi Internetissä sijaitsevaa hyökkääjän konetta (command & control -palvelinta), jonne haittaohjelman saastuttama kohdekone ottaa ns. callback-yhteyden. Käytännössä monet haittaohjelmat ”soittavat kotiin” päästyään kohteeseensa, jotta hyökkääjä voi olla yhteydessä saastuneeseen koneeseen. 
Ympäristön pystytys: kamppailua Layer 1 -yhteensopivuuden kanssa
Demonstroimme erilaisia tiedonkeruuyrityksiä ja hyökkäyksiä hyökkääjän koneelta kohdekoneelle, sekä callback-yhteyden avaamisen, kun käyttäjä avaa haittaohjelman saastuttaman tiedoston kohdekoneella. Näytimme, miltä nämä hyökkäykset SIEM-ratkaisussa näkyvät, ja kerroimme hieman millaisia sääntöjä niiden löytämiseksi voidaan luoda. On tietysti huomioitava, että käyttämämme muutaman koneen ympäristö ei vielä riitä tuomaan esiin SIEM-ratkaisun parhaita puolia. Emme myöskään kehittäneet demoa varten ”edistyneitä” haittaohjelmia, vaan käytimme sellaisia tunnettuja hyökkäyskeinoja, jotka myös virustorjunta ja IDS/IPS -ratkaisut olisivat todennäköisesti havainneet. Tarkoitus oli lähinnä antaa perustiedot SIEMin toiminnasta ja näyttää käytännössä, minkälaisia asioita sen avulla voidaan tehdä.
Live Hacking
Yhteenvetona todettakoon, että viimeistään nyt on syytä hylätä puolustuksen ajatusmalli Maginot-linjan rakentamisesta, ja heittää roskakoriin illuusio täydellisen suojamuurin olemassaolosta. Perinteisten tietoturvaratkaisujen rinnalle tarvitsemme kykyä havainnoida ympäristöämme lähes reaaliaikaisesti, ja reagoida erilaisiin poikkeamiin nopeasti tilanteen vaatimalla tavalla.

SIEM ei valitettavasti tarjoa hopealuotia tietoturvaan, mutta se on yksi hyödyllinen ja arvokas työkalu lisää tietoturvan kehittämiseen. Ratkaisuja on saatavilla kattavasti, ja useimmilla on sekä hyvät että huonot puolensa. Eikä SIEM sinällään ole mikään uusi asia: lue myös Tonin puolentoista vuoden takainen kirjoitus dynaamisemman tietoturvan puolesta, joka on edelleen täyttä asiaa.

On syytä muistaa, että tietoturva on prosessi. Ajattelumalli ”ostan ja asennan tämän ja olen sitten turvassa” ei ole tässäkään tapauksessa optimaalinen. Pahimmillaan pelkkä SIEM-ratkaisun hankkiminen antaa valheellisen turvallisuudentunteen - samoin kuin vaikka huonosti konfiguroitu palomuuri. 
Esityksen yhteenveto
Itse tuotetta tärkeämpää on sen oikea käyttö ja riittävä resurssit konfigurointiin ja valvontatyöhön. SIEM on parhaimmillaankin vain niin hyödyllinen kuin tieto, jota siihen syötetään.

Esityksemme lisäksi Secure IT -lavalla oli paljon hyvää ohjelmaa läpi koko tilaisuuden. Live Hackin lisäksi Toni piti esityksen hieman samaa aihetta sivuten, eli kuinka havaitaan ja selvitetään hyökkäys verkossa, ja miten voidaan rakentaa monitorointikykyisiä verkkoja. Kuvia tästä ja muista hyvistä esityksistä löytyy esimerkiksi Tietoturva Ry:n Twitter-tililtä @tietoturva_ry. Jos esityksestä tai tästä kirjoituksesta heräsi kysyttävää, kommentoi tai ota yhteyttä, vastaamme mielellämme!

Risto, Toni ja Antti A.