Ads 468x60px

torstai 31. joulukuuta 2015

Ennustuksia vuodelle 2016

Vielä ehtii kirjoittaa ennustuksia vuodelle 2016, onneksi ei jäänyt viime tippaan :-)

Useat tietoturva-alalla toimijat julkaisivat kirjoituksiaan ensi vuoden ennustuksista, tässä lyhyt katsaus niihin ja muutama muukin poiminta.

Linkkejä ennustuksiin, joita käytetty tämän blogin lähteenä. Niissä on tietysti kerrottu kattavammin tulevaisuuden näkymistä ja sisältävät paljon asioita, mistä en tässä blogissa kirjoita.
Hyökkäykset kotireitittimiä vastaan
  • Vuonna 2015 nähtiin hyökkäyksiä kotireitittimiä vastaan enemmän kuin koskaan aiemmin. Operaattori ei laitteita kovin hanakasti päivitä ja asiakkaat eivät ole asiasta tietoisia, eivät omaa taitoja päivitysten tekemiseen tai eivät tiedä päivitystarpeesta. Jatkossa kun IoT yleistyy ja kotona Internetiin yhteydessä olevien laitteiden määrä moninkertaistuu nykyiseen verrattuna, olisi syytä parantaa myös kotiverkkojen tietoturvaa. Ikäjakauma kun vielä levenee yläpäästä, niin jonkun kannattaisi kehittää kotikäyttäjille tietoturvasta palvelua - tulevaisuudessa sille voisi olla entistä enemmän kysyntää.
Mobiililaitteita vasten hyökätään enemmän ja niitä hyödynnetään hyökkäyksissä, enimmäkseen Andoidia, mutta myös iOSia.
  • Kännyköillä, tableteilla yms. käsitellään ja säilytetään yritysten dataa, joten niiden suojaukseen tulisi kiinnittää aiempaa enemmän huomiota, siis keskitetty mobile device management ja haittaohjelmasuojaus kuntoon!
Mobiilimaksaminen ja mobiililompakot yleistyvät
  • Näin tullee tapahtumaan jos ei nyt vielä 2016, niin väistämättä kuitenkin. Tämä lisää entisestään tarvetta mobiililaitteiden suojausten suhteen.
 Selainten mainoksia estävät liitännäiset "tappavat" malvertisement hyökkäykset
  • Mainoksia hyödyntäviä hyökkäyksiä nähtiin viime vuonna enemmän kuin koskaan aiemmin. Tietoisuus hyökkäyksistä on lisääntynyt ja siten myös niiden estäminen yleistynyt. Itsekin käytän mainosten ja skriptien rajoittamiseen tarkoitettuja lisäosia paitsi tietoisena siitä, että mainokset voivat olla haitallisia - myös siksi, että minusta ei kerättäisi niin paljoa tietoa, sivut latautuvat nopeammin ja kaistaakin säästyy.
Yrityksissä tietoturvatietoisuuden lisäämiseen panostetaan enemmän
  • Tämä on toivottava kehitys. Mikäs se olikaan se heikoin lenkki? Käyttäjien koulutus maksaa itsensä takaisin!
Lainsäädäntö kehittyy ja ottaa kyberuhat entistä paremmin huomioon
  • Lainsäädäntö ei monessa maassa ole ihan nykypäivän tasalla ja syytä uudistamiseen on. Kehitys on siis toivottava. Lainsäädännön myötä voi tulla nykyistä enemmän velvoitteita. Tietoturva-ammattilaisten rooli korostuu jatkossa.
Tietoturvauhkilta puolustautumiseen tulee lisää resursseja ja budjettia, kun tietomurrot lisääntyvät
  • Osaaville tietoturva-ammattilaisille on jatkossa töitä. Tietoturva nähdään monissa yrityksissä entistä tärkeämmässä roolissa. Onkin ennustettu, että vuoteen 2018 mennessä tietoturva-ammattilaisten tarve kasvaa 53%.
DDoS kiristykset yleistyvät
  • Vaaditaan maksua bitcoineissa tms. ja jos ei suostuta, niin tehdään vaikka palvelunestohyökkäys tai jatketaan ja voimistetaan käynnissä olevaa hyökkäystä. Tätä on nähty jo aiemmin ja kiinnikin on jääty. Näitä tullaan näkemään varmasti jatkossakin. Kannattaa pysähtyä miettimään, miten teillä on varauduttu.
Suuria tietomurtoja tapahtuu
  • Turha väittää vastaan, mihinkäs tämä tilanne tästä muuttuisi - ei ainakaan parempaan suuntaan. Isoja otsikkoja on ensi vuonnakin luvassa. Tänä vuonnakin suuria tietomurtoja oli paljon ja niistä läheskään kaikki eivät päätyneet otsikoihin.
Digitalisaatio kasvaa tietoturvaa nopeammin
  • Kaikkea ei pystytä hallitsemaan ja se on tosiasia. Kruununjalokivistä tulee kuitenkin pitää hyvä huoli ja keskittyä tärkeimmän tieto-omaisuuden suojaamiseen ja varmistamiseen.
IoT yleistyy ja laajentaa hyökkäysmahdollisuuksia, uudentyyppiset laitteet, sovellukset ja käyttöjärjestelmät/OS-versiot – uusia mahdollisuuksia hyökkääjille
  • Puettavat laitteet, älykellot, älytelevisiot, jääkaapit, valaistus, valvontakamerat, älysensorit, autot, lukot, terveystuotteet, you name it! ... näitähän löytyy ja tulee koko ajan lisää - Internetissä olevien laitteiden määrä lisääntyy huimaa vauhtia. Kiire tuoda uusia laitteita markkinoille on kova ja aina ei varmastikaan tietoturvaa oteta huomioon kehityksessä siinä määrin kuin kuuluisi. Uusista laitteista saa aikaan aika messevän bottiverkon ...
Pilvipalvelut jatkavat yleistymistään, mutta myös pilvitietoturvan käyttö lisääntyy
  • Pilvitietoturva laahaa vähän jäljessä, mutta viimeisen vuoden aikana on ollut nähtävissä muutosta parempaan suuntaan. Pilvipalveluiden käyttö kuitenkin lisääntyy jatkossa; ovat halvempia, nopeita ottaa käyttöön ja helppokäyttöisiä. Tulisi kuitenkin kiinnittää huomiota siihen missä se data sijaitsee, mitä tietoa pilveen tallennetaan ja mitä niissä sopimuksissa sanotaan. Kaikkea ei kannata pistää pilvipalveluiden päälle. Jos verkkoyhteyksissä tahmaa tai ovat jonkin aikaa kokonaan pois käytöstä, niin pahimmassa tapauksessa liiketoiminta seisoo.
Incident Response yleistyy ja siihen panostetaan enemmän
  • IR rooli korostuu jatkossa. Suojauksista huolimatta voidaan tulla läpi ja sen jälkeen on osaamiselle kysyntää. Lokitus keskitettyyn järjestelmään, joka on kykeneväinen eri lähteistä saadun datan korrelaatioon - on syytä olla kunnossa, jotta on todistusaineistoa mitä tutkia. 24/7 SOC / NSOC toiminnan ja tilannekuvan soisi yleistyvän.
Salauksen käyttö lisääntyy entisestään (on ollut nähtävissä jo since Snowden …)
  • Aihepiiriin liittyen kirjoitin tästä blogin taannoin, tosin salatun liikenteen purkamisesta. Riippuen siitä miltä kantilta asiaa tarkastelee, salauksen käyttö on joko hyvä asia tai sitten vaikeuttaa tietoturvan toteutumista, kun dataa ei voida tarkistaa haittaohjelmien varalta.
Virtuaaliympäristöjen tietoturva kehittyy
  • Samalla kun pilvipalveluiden käyttö lisääntyy ja ympäristöt toimivat entistä enemmän virtualisoituina, on tietoturvaliiketoiminta asian tiimoilta lisääntynyt ja uusia ratkaisuja turvaamiseen tulee jatkuvasti. Tämä kehitys jatkuu ensi vuonna ja oli jo tänä ja viime vuonna voimakkaasti nähtävissä.
 Riskit hyökkäyksistä kriittisiä infrastruktuureja vastaan kasvavat
  • Varsin pelottava uhkakuva. Näitä esimerkkejä on nähty viime vuosina; ydinvoimaloita, patoja, SCADA-ympäristöjä (Supervisory Control And Data Acquisition), ICS-ympäristöjä (Industrial Contol System), liikenteen ohjausta, lentokoneita, Suomessa ulkoministeriö, jne. Pahimmassa tapauksessa hyökkäyksen seurauksena voi olla ihmishenkien menetys. Kriittisten infrastruktuurien suojaamiseen tulisi jatkossa panostaa huomattavasti nykyistä enemmän, työkaluja ja keinoja kuitenkin löytyy.
Biometrinen tunnistus yleistyy
  • Tätä on odotettu tapahtuvaksi jo monta vuotta, we'll see. Kyllä biometrisen tunnistuksen kiertämiseenkin keinot löytyy, joskin varmasti lisää vaikeuskerrointa - ja voihan sen yhdistää toiseen tunnistautumistapaan, jolloin saadaa 2FA, two-factor-authentication (what you have, what you know)
Ransomware jatkaa yleistymistään
  • Helppo olla samaa mieltä tämän ennustuksen kanssa. Viheliäinen haittaohjelma. Sääntö nro.1 - huolehdi datan varmistuksista. Sääntö nro.2 - älä maksa rikollisille mitään. Lisäksi ilmoita viranomaisille. Sääntö numero 1 unohtuu liian usein loppukäyttäjiltä. Tiedostot ovat omalla kannettavalla ja siitä ei mene automaattisesti varmuuskopioita, VIRHE. Joko organisaatiossa tulisi olla ratkaisu käytössä, joka varmistaa myös kannettavan tiedot tai data tulisi tallentaa verkkolevylle tai muualle kuin kannettavan omalle levylle.
Vaikeasti tunnistettavat kyberhyökkäykset yleistyvät
  • Ennustus osuu aika varmasti oikeaan. Haittaohjelma voi olla ympäristössäsi hyvinkin pitkiä aikoja huomaamatta. Siinä vaiheessa kun havainto tehdään, hyökkääjän päämäärä on jo luultavimmin saavutettu ja arkaluontoista tietoa, yrityssalaisuuksia tms. voinut vuotaa ulkopuolisille. Edistyneitä ratkaisuja havainnointiin on saatavilla, mutta niitä hyödynnetään vielä valitettavan vähän. Edelleenkin liian monissa ympäristöissä luotetaan pelkästään perinteiseen palomuuriin, työasemien ja palvelinten virustorjuntaan ja roskapostisuodatukseen ja muut edistyksellisemmät keinot loistavat poissaolollaan. Toki pelkkien uusien ratkaisujen hankkiminen ei takaa, etteikö ympäristöä korkata, mutta pienentävät mahdollisuutta - huomattavaa myös on, että ratkaisujen ylläpito ja seuranta tulee olla asianmukaisesti ja ammattimaisesti järjestetty, niin että niistä saadaan täysi hyöty irti.
Kybervakuutusten ottaminen lisääntyy
  • Varmastikin näin. Täytyy myöntää, että en tiedä vakuutusten ehdoista, mutta voisin kuvitella niiden vaativan tietyn tietoturvatason ja kontrollien olemassaoloa tällä hetkellä, joten tietty baseline tullee olla kunnossa, jotta vakuutus voidaan myöntää.
Tunnistamattomia, odottamattomia asioita voi tapahtua, joita et ole osannut edes ajatella
  • Voi tietysti heittää vastapalloon, että miten puolustautua siltä mitä ei tiedä ...? Puolustautua ei välttämättä voikaan, mutta jatkuvuussuunnittelua ja riskienhallintaa voi silti toteuttaa. Onko sinulla suunnitelma, miten rakentaa uudelleen koko verkkopalvelut? Entä jos joku on ottanut koko verkon haltuunsa? Prosessit, menettelytavat on syytä olla etukäteen mietittynä, jos jotain ennustamatonta tapahtuu. Me tietysti voimme auttaa nykytilan kartoittamisessa ja varautumissuunnitelmien laadinnassa.
Lopuksi, tiedätkö mitä verkoissasi liikkuu? - jos et tiedä tai olet epävarma - ota meihin yhteyttä. Voimme selvittää, onko mahdollista tietomurtoa tapahtunut tai peräti käynnissä.

Voimme auttaa myös mm. forensiikassa, tietoturvan haasteissa ja kysymyksissä sekä lainsäädäntöön ja YT-menettelyyn liittyvissä kysymyksissä - asioissa, joita vaaditaan, kun suunnitellaan ratkaisujen käyttöönottoja. Voimme myös tulla tarkastamaan missä kunnossa tietoturva yrityksessänne tällä hetkellä on ja mitä tulee tehdä, jotta sen taso paranisi.

Hyvää ja turvallista Uutta Vuotta 2016 !

Pitäkää suojauksesta huolta - lasit päähän kun ammutte raketteja !

Ensi vuonna sitten nähdään mitkä ennustuksista lopulta pitivät paikkansa.

Update 4.1.2016. Viestintävirasto julkaisi hyvän kirjoituksen, Tee kyberlupaus vuodelle 2016! Kirjoituksessa on varsin hyviä pointteja, joita noudattamalla tietoturva toteutuisi astetta paremmin.

maanantai 14. joulukuuta 2015

Esineiden internetin ekosysteemin turvallisuus

Ole innovatiivinen ja rohkea sekä tee se turvallisesti!

KPMG:n esineiden internetin ekosysteemin turvallisuustutkimuksen mukaan esineiden internetin teknologiayrityksien tulee olla nopeita, huolellisia ja päättäväisiä ratkaistakseen esineiden internetin luottamukseen, yksityisyyteen ja turvallisuuteen liittyvät kysymykset jo ennen kuin ne törmäävät ongelmiin:
  • Kuinka saadaan asiakkaiden luottamus?
  • Kuinka luottamuksellinen tieto suojataan?
  • Kuinka esineet ja infrastruktuuri suojataan ja varmennetaan?
Yritykset, jotka eivät näitä ratkaise, tulevat kohtaamaan haasteita liiketoimintansa kasvattamisessa.

KPMG määrittelee esineiden internetin älykkääksi ympäristöksi, joka on teknologian, verkkojen, datan, analytiikan ja pilven palveluiden yhdistelmä, jossa arkipäivän esineiden ominaisuudet ja toiminnot paranevat interaktiivisuuden ja verkottumisen avulla.

Uskomme, että esineiden internetin teknologiaratkaisujen infrastruktuuri- ja palveluyrityksien tulee yhdessä luoda yhteiset esineiden internetin suojaamisen ja varmentamisen hyvät käytännöt ja standardit, joiden mukaan kaikki voivat elää ja kasvaa. Nykyhetken pirstaleiset ja kilpailevat käytännöt ovat käyttäjille monimutkaisia ja vaikeita sekä ja hidastavat esineiden internetin kasvua.

KPMG:n esineiden internetin ekosysteemin turvallisuustutkimuksessa
  • käsitellään sekä luottamuksen, yksityisyyden suojaamisen ja turvallisuuden varmentamisen haasteita, jotka vaikuttavat esineiden internetin ekosysteemiin,
  • joitakin alalle syntyviä malleja ja mahdollisuuksia, ja
  • annetaan käytännönläheisiä neuvoja esineiden internetin pelureille.

Suurimmat haasteet

Tutkimuksen mukaan suurimpia haasteita luottamuksen, suojaamisen ja varmentamisen saralla ovat mm.
  • Suurin osa tutkimukseen vastaajista myöntävät etteivät täysin ymmärrä mitä kyberturvallisuuden uhkia ja riskejä teknologia tuo mukanaan. Parhaimmat alan yritykset ovat ottaneet integroidun turvallisuuden yhdeksi kriittiseksi menestystekijäksi.
  • Vaikka asiakkaat eivät ole halukkaita maksamaan lisää luotettavasta esineiden internetin suojauksista, toteutuneet esineiden internetin ratkaisujen häiriöt ja hyökkäykset niitä vastaan ovat aiheuttaneet asiakkaiden luottamuksen menettämisen ja asianmukaisesti suojaamattomien esineiden internetin ratkaisujen käyttämisen välttelemisen.
  • Suurin osa käyttäjistä ja alan yrityksien hallituksen jäsenistä on hyvin huolissaan kyberhyökkäyksen uhata esineiden internetin ratkaisuja vastaan.
  • Sensorien, datan, infrastruktuurin ja pilven turvamekanismit tulee suunnitella esineiden internetin ratkaisujen osaksi jo alusta lähtien.

Hyvät käytännöt ja niiden yhdenmukaistuminen kilpailuvalttina

Massiivisen kasvun ja alati uusien esille nousevien esineiden internetin ratkaisujen villissä lännessä kultasuoneen iskeviä pioneereja ei säädellä juuri lainkaan. Alan teknologiayrityksien, käyttäjien ja säätelyviranomaisten on muodostettava yhdessä alan ekosysteemin hyvät käytännöt ja standardit. Useimmiten vasta yleisesti hyväksyttyjen standardien asettamisen jälkeen uudet innovaatiot voivat saavuttaa valtavirran massojen hyväksynnän. Esineiden internetin yritykset ovat muodostaneet jo toistakymmentä yhteenliittymää luodakseen ja kaupallistaakseen alalle standardeja mikä on johtanut kiristyvään kilpailuun alalla. Kaikki yhteenliittymät ovat miettimässä samaan aikaan luottamuksen, turvallisuuden ja yksityisyydenhallinnan käytäntöjä ja standardeja alalle. Tästä huolimatta useimmat pienet alan yritykset ovat odottavalla kannalla asiakkaidensa lailla, mikä käytäntö tai standardi tulee vallitsevaksi. Yrityksien pitäisi kuitenkin pyrkiä yhteistyöhön mukaan päästäkseen vaikuttamaan käytäntöjen ja standardien sisältöön.

Luottamus, yksityisyys ja turvallisuus

KPMG:n tutkimuksen mukaan parhaiten menestyvät esineiden internetin ratkaisujen toimittajat ovat todennäköisimmin ne yritykset, jotka ovat ottaneet asiakkaiden luottamuksen, tiedon suojaamisen ja toimintojen varmistamisen yhdeksi tärkeimmistä tavoitteistaan. Harva alan yritys on kuitenkaan ottanut sensorien ja infrastruktuurin suojaamisen lisäksi painopistealueekseen asiakkaiden luottamuksen ja henkilötietojen suojaamisen.

Luottamuksen välttämättömyys
Esineiden internet syventää tuotteiden ja palveluiden integraatiota ja lisää tarvetta laadukkaille, intuitiivisille ja kokonaisvaltaisillekäyttäjäkokemuksille. Tämä vaatii asiakkaiden luottamuksen saavuttamista ja säilyttämistä ennen kaikkea pitkällä tähtäimellä. Myös brändi tulee tiiviimmin liittymään suoraan asiakkaan kokemukseen ja laatuun. Luottamus syntyy ja pysyy ensisijaisesti yrityksen kyvystä varmentaa esineiden internetin ratkaisut ja suojata niissä käsiteltävä asiakkaiden tieto. Jotkut alan yritykset voivat saavuttaa luottamusta välittävän luottopelurin roolin omassa ekosysteemissään omalla brändillään.

Yksityisyyden mahdollisuudet
Esineiden internetin yrityksillä on erinomainen tilaisuus neuvotella ja keskustella asiakkaidensa kanssa henkilötietojen käsittelyn suojauksista, jos kytkevät keskusteluun selviä hyötyjä asiakkaillensa. Yrityksillä on siten ainutlaatuinen mahdollisuus luoda asiakkaillensa hyödyllisiä palveluja ja samaan aikaan käsitellä asiakkaiden sensitiivisiä henkilötietoja luuotettavasti ja huolellisesti. Esineiden internetin asiakkaat ovat huomanneet, ei vain henkilödatansa, vaan myös käyttäytymisensä liittyvän datansa arvon. Luotettavasti ja huolellisesti anonymisoitu asiakasdata asiakkaidensa myötävaikuttamana on esineiden internetin yrityksille arvokas kauppatavara kunhan tekevät kristallinkirkkaaksi miten ja minkälaista dataa jaetaan kenenkin kanssa.

Turvallisuuden sisäänrakentaminen
Olemassa olevien teknisten tietoturvaratkaisujen hyödyntämisen lisäksi esineiden internetin laitteiden, infrastruktuurin ja pilven suojaaminen tulisi tehdä mahdollisimman lähellä osana esineiden internetin komponenttia riippumattomasti muiden komponenttien suojauksista: sensoreihin ja laitteisiin sisäänrakennetut suojamekanismit, jotka toimivat vaikka laitteet olisivat irti verkosta. Ohjelmakoodissa pitäisi olla sisäänrakennettuna turvallisuuteen liittyvät toiminnollisuudet. Keskitettyjä turvallisuusratkaisuja ei välttämättä ole mahdollista saada tehokkaiksi ja toimiviksi.

Ekosysteemin murros

Lopuksi, yksikään esineiden internetin yrityksistä ei voi ratkaista kaikkea itse, menestyminen alalla vaatii yrityksiä ja organisaatioita tekemään läheistä yhteistyötä ja solmimaan useita kumppanuussiteitä. Esineiden internetin ratkaisut vaativat keskimäärin useampia kumppaneita kokonaisvaltaisten ratkaisujen toimittamiseen kuin aikaisemmin. Teknologiaekosysteemien tyypillinen lineaarinen malli palvelutoimittajasta teknologiaratkaisutoimittajan, luottopelurien ja maksukanavien kautta asiakkaalle on muuttunut asiakaskeskeiseksi ekosysteemiksi, jossa asiakas on jokaisen esineiden internetin toimijan ympäröimänä. Esineiden internetin asiakas päättää valitsemalla toimijan, jolla on toimivin, helppokäyttöisin ja luotettavin ratkaisu. Pienillä aloittelevilla yrityksillä on mahdollisuus ansaita luotettavilla ratkaisuilla oikein verkostoituneina asiakkaiden luottamus hyvinkin nopeasti.

Lataa KPMG:n esineiden internetin ekosysteemin turvallisuuden tutkimus tästä.

maanantai 23. marraskuuta 2015

Safe Harbor kaatui – mitä seuraavaksi?


Euroopan unionin Schrems-ratkaisun implikaatiot alkavat hiljalleen valjeta alan asiaan vihkiytyneille, mutta näyttäisi siltä, että ennen kuin EU:n komissio ja Yhdysvaltain viranomaiset saavat neuvoteltua ”Safe Harbor 2.0:n” tai muun korvaavan järjestelyn, yhtään juridisesti ongelmatonta tapaa siirtää henkilötietoja Yhdysvaltoihin käsiteltäviksi ei ole. Epätietoisuus ja huoli on suuri suomalaistenkin rekisterinpitäjien keskuudessa, kun toisaalta toiminnan jatkuvuus täytyisi taata, ja toisaalta viime aikoina on siirrytty suuressa mittakaavassa esimerkiksi erilaisten pilvipalvelujen käyttöön, jotka siirtävät rutiininomaisesti henkilötietoja käsiteltäväksi myös ison veden toiselle puolen.
Seuraavassa hieman pohdintaa siitä, mitä vaihtoehtoja tällä hetkellä on käytettävissä henkilötietojen siirtoon Yhdysvaltoihin, sekä riskeistä, jotka näihin keinoihin liittyvät. Näkökulmana on suomalainen rekisterinpitäjä, jonka tarkoituksena on ulkoistaa toimintaansa liittyvää henkilötietojen käsittelyä Yhdysvaltoihin, esimerkiksi erilaisiin pilvipalveluihin.
Sopimusten analysointi
Ennen vaihtoehtojen punnintaa on syytä joka tapauksessa käydä läpi henkilötietojen käsittelyn ulkoistamiseen ja pilvipalvelujen käyttöön liittyvät voimassa olevat sopimukset – mitkä sopimukset ovat sellaisia, joiden piirissä henkilötietoja saattaa siirtyä myös Yhdysvaltoihin? Mihin henkilötietolain kohtaan siirto perustuu – tukeudutaanko yksin Safe Harboriin riittävänä perusteena vai onko käytetty esimerkiksi EU:n komission hyväksymiä mallisopimuslausekkeita sopimuksen liitteenä? Jos siirtoperusteena on ainoastaan se, että Yhdysvalloissa on todettu olevan riittävä tietosuojan taso Safe Harbor -järjestelmän kautta, täytyy analysoida vaihtoehtoiset toimintatavat ja ryhtyä toimiin, sillä Safe Harbor ei enää ole pätevä siirtoperuste (ks. esimerkiksi EU:n komission tiedonanto 6.11.2015 sekä Tietosuojavaltuutetun linjaus 20.10.2015). On myös hyvä huomata, että kansallisilla tietosuojaviranomaisilla on Schrems-ratkaisun mukaan toimivalta tutkia yksittäisten henkilötietojen siirtojen hyväksyttävyys.
Käytettävissä olevat vaihtoehtoiset toimintatavat
Rekisteröidyn suostumukseen perustuva siirto
Henkilötietolain 23 § 1 momentin 1 kohdan mukaan henkilötietojen siirto EU:n ulkopuolelle, esimerkiksi Yhdysvaltoihin, on sallittua rekisteröidyn yksiselitteisellä suostumuksella. Vaikka kaikkien rekisteröityjen suostumuksen saaminen tällaista tiedonsiirtoa varten ei välttämättä ole käytännöllistä tai edes mahdollista, on sitä punnittava vaihtoehtona epävarmassa tilanteessa.
Ongelmaksi suostumuksen käytössä saattaa muodostua ensinnäkin se, että henkilötietolain vaatimuksia suostumukselle ei pystytä täyttämään asianmukaisesti. Henkilötietolain 3 §:n määritelmän mukaan rekisteröidyn suostumuksen on oltava vapaaehtoinen, yksilöity ja tietoinen tahdon ilmaisu. Jotta suostumus olisi pätevästi annettu, tulee rekisteröidyn siis mm. olla tietoinen siitä, mihin suostumuksensa antaa. Tämä tarkoittaa rekisterinpitäjän kannalta sitä, että rekisteröityjä olisi informoitava kaikista niistä käsittelytarkoituksista, joihin hän suostumuksensa antaa. Tilanteessa, jossa ei ole varmuutta siitä, milloin ja missä määrin yhdysvaltalaisten yritysten tulee luovuttaa henkilötietoja maansa tiedusteluviranomaisille, informoidun suostumuksen saaminen voi monesti olla käytännössä mahdotonta.
Toisaalta EU-tuomioistuimen keskeisenä perusteena Safe Harbor -järjestelmän pätemättömäksi julistamiselle Schrems-ratkaisussa oli nimenomaan se, että henkilötietojen päätyminen tiedonsiirron seurauksena myös Yhdysvaltojen tiedusteluviranomaisten massavalvonnan kohteeksi on EU:ssa turvattujen perusoikeuksien kannalta kestämätöntä. Rekisteröidyn suostumuksellakaan ei voida poistaa tätä todettua perusoikeuskonfliktia, koska rekisteröity ei voi pätevästi luopua omista perusoikeuksistaan. Tältä osin suostumuksen käytettävyys jäänee siis hyvin rajatuksi.
Mallisopimuslausekkeet
Vaikka mallisopimuslausekkeiden käyttö lienee Safe Harborin jälkeisenä aikana yleisimmin käytetty siirtoperuste ennen kuin tilannetta selkiytetään esim. Safe Harbor 2.0:n muodossa, piilee siinä sama perusongelma kuin itse Safe Harboriin tukeutumisessa.
Mallisopimuslausekkeinkaan ei nimittäin pystytä sivuuttamaan Yhdysvaltain lainsäädäntöä, joka velvoittaa luovuttamaan henkilötietoja massatiedustelutarkoituksiin. Mallisopimuslausekkeiden teho jää siis kiinni siitä, joutuuko siirronsaaja osallistumaan Yhdysvaltain nk. massatiedusteluohjelmaan. Mikäli ei osallistu, lienee mallisopimuslausekkeet keskimäärin hyvä valinta näissä tapauksissa.
Vaikka siirronsaaja osallistuisikin massatiedusteluohjelmaan, ei sopimuslausekkeiden käyttö jää täysin vaikutuksettomaksi verrattuna ainoastaan Safe Harboriin tukeutumiseen siirtoperusteena, sillä siirronsaaja sitoutuu toteuttamaan riittävää tietosuojaa suoraan suhteessa tiedonsiirtäjään, ja myös informoimaan tiedonsiirtäjää, mikäli siirronsaajaa koskeviin velvoitteisiin tulee muutoksia.[1] Mallisopimuslausekkein solmittu sopimus voidaan mallisopimuslausekkeiden 5 kohdan mukaisesti jopa irtisanoa, jos tiedonsiirtäjän tietoon tulee, että henkilötiedoilla ei olisikaan EU:n tietosuojadirektiivin edellyttämää riittävää suojaa. Tämän kaltainen tilanne voisi EU-tuomioistuimen viimeaikainen oikeuskäytäntö huomioiden olla esimerkiksi se, että käy ilmi, että tiedonsiirron saaja osallistuu Yhdysvaltain massatiedusteluohjelmaan.
Lisäksi mallisopimuslausekkeilla luodaan oikeuksia kolmansille osapuolille, tässä tapauksessa rekisteröidylle. Niiden tehokkuus jää kuitenkin epävarmaksi, esimerkiksi mahdollisesti sovellettavan pakottavan lainsäädännön vuoksi.
Muut siirtoperusteet
Henkilötietolaissa on myös muita siirtoperusteita, mutta jätämme ne tässä kohtaa käsittelemättä, niiden rajoitetun soveltuvuuden takia (BCR:t, sopimuslausekkein annetut takeet).
Miinakentän väistäminen
Vaihtoehtoinen, monessa tapauksessa potentiaalinen toimintatapa on rajoittua käyttämään sellaista palveluntarjoajaa, joka vakuuttaa käsittelevänsä sen ylläpidettäväksi siirrettyjä henkilötietoja vain EU:n alueella. Monet suuret, myös yhdysvaltalaiset palveluntarjoajat ovat jo aktivoituneet tarjoamaan tämän kaltaista palvelua EU:sta käsin toimiville rekisterinpitäjille. Näin voidaan lähtökohtaisesti välttää koko tässä käsitelty problematiikka. Aina näin ei kuitenkaan voida toimia ainakaan lyhyellä aikavälillä, käytännön syistä, taloudellisista syistä tai sopimusvelvoitteiden takia.
­­­­­­­­­­­­­­Summa summarum
  1. Analysoi tiedonsiirtosopimukset – siirretäänkö henkilötietoja Yhdysvaltoihin Safe Harboriin tukeutuen
  2. Analysoi vaihtoehtoiset toimintatavat ja siirry niistä tapauskohtaisesti soveltuvimpaan
  3. Tiedota asianosaisia muutoksista
  4. Seuraa EU:n komission tiedonantoja Safe Harborin korvaavasta järjestelystä
  5. Vaihtoehtoisesti siirry Euroopassa henkilötietoja käsitteleviin palveluntarjoajiin.


Salha Hanna
Mikko Viemerö


[1] 2010/87/EU: Komission päätös, annettu 5 päivänä helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille – lauseke 5(b)

perjantai 20. marraskuuta 2015

Mitkä toimialat seuraavaksi murroksessa? Missä seuraava Piilaakso?

KPMG teki globaalin tutkimuksen otsikolla ”The changing landscape of disruptive technologies”, jossa tutkittiin murrosaloja ja uusia teknologioita. Tutkimuksen tavoitteena oli tunnistaa merkittävimmät disruptiiviset teknologiat ja niiden mahdollisuudet eri aloilla sekä arvioida mihin syntyy seuraavia teknologiakeskittymiä. Tutkimukseen osallistui satoja C-tason päättäjiä eri puolilta maailmaa ja se tarjoaa mielenkiintoista tietoa mm. IoT:sta ja digivaluutoista.

Tutkimukseen osallistuneiden mukaan murrosta tullaan näkemään seuraavan kolmen vuoden aikana varsinkin teknologia-, kuluttajatuote-, ja telekommunikaatioaloilla. Eri alueiden välillä on mielenkiintoisia eroja; mm. Euroopassa ja Japanissa arvioitiin energia ja liikenne merkittäviksi muutosta kokeviksi aloiksi laajemmin kuin muilla alueilla. Toisaalta Euroopassa harvemmat näkivät kuluttajatuotteiden alan olevan muutoksessa.

Disruptiivisten teknologioiden vaikutukset vaihtelevat luonnollisesti aloittain. Digivaluutat muuttavat varsinkin finanssialaa, kun taas kognitiivinen tietojenkäsittely teknologia-alaa ja IoT vahvasti kuluttajatuotteiden alaa. Pilviteknologiat tosin arvioitiin kestosuosikkina suurimmaksi muutosajuriksi alasta riippumatta.

Uusien teknologioiden hyödyntäminen ei toki ole vaivatonta. Teknologiaosaamisen puute nähtiin suurimpana esteenä, kuten myös kokemuksen puute uusista liiketoimintamalleista.

Teknologisten innovaatioiden kaupallistamisen suurimpana hidasteena nähtiin kyberturvaan liittyvät uhat ja haasteet. Kyberturvan merkitys arvioitiin huomattavasti suuremmaksi kuin kaupallisten ja myynnillisten seikkojen. Uusien innovatiivisten ratkaisujen kehittämisen esteenä nähtiin puolestaan perässä laahaavat säännökset ja regulaatiot.

Missä teknologisia innovaatioita tehdään tulevaisuudessa? Piilaakson rinnalle arvioitiin syntyvän useita keskittymiä. Näistä merkittävimmiksi arvioitiin Tokio ja New York, Euroopassa Lontoo. Näistä löytyy riittävästi osaajia ja rahoittajia sekä hyvä teknologinen infrastruktuuri kehittämistä varten.

Mikäli haluat tarkempia tietoja tutkimuksen tuloksista, ota yhteyttä!

keskiviikko 21. lokakuuta 2015

Kyberriskien ymmärtäminen – tiedätkö mitä verkossasi liikkuu?

Kirjoitukseni käsittelee tällä kertaa varsin ajankohtaista aihetta, kyberriskejä ja kehittyneitä tietoturvauhkia.

KPMG teki Sveitsissä kyselytutkimuksen 64 kybertietoturva-ammattilaiselle, heidän organisaatioidensa valmistautumisesta ja vastaamisesta kyberuhkiin. Kartoituksen perusteella monissa organisaatioissa on tekemistä asian suhteen, toisilla toimialoilla enemmän. Käyn tässä kirjoituksessa läpi tutkimuksen tuloksia ja avainlöydöksiä.

Ihmisten, prosessien ja teknologian tulee olla tasapainossa
  • 63 % piti yritystään kiinnostavana kyberuhkien kohteena.
  • 53 % mukaan hallitus ajattelee kybertuvallisuuden teknisenä ongelmana.
  • 44 % mukaan hallituksella ei ole keinoja arvioida kyberriskien vaikutuksia liiketoiminnalle.
  • 36 % uskoi työntekijöiden olevan riittävän valveutuneita kyberriskeistä.
  • 45 % vastaajista sanoi, että heillä ei ole suunnitelmia kybertapahtumien varalle. 
  • 31 % yritti ymmärtää, kuinka hakkerit voisivat päästä heidän tietoonsa käsiksi.
  • 50 % isoista yrityksistä ei ole käsitystä kyberuhkien vahingoista.
  • 15 % ei finanssialan toimijoista ja 25 % finanssialan toimijoista tunsivat, että ulkoistus on vähentänyt heidän ymmärrystään, näkyvyyttään ja hallintaansa kyberturvaan.
  • 59 % ei tiedä ymmärtävätkö heidän palveluntarjoajansa kuinka suojautua kyberhyökkäyksiltä.
  • 53 % uskoi pystyvänsä tunnistamaan meneillään olevan kyberhyökkäyksen.
  • 51 % uskoi, että kyberhyökkäyksiä ei voida täysin estää.
  • 14 % oli testannut heidän suunnitelmansa vastata kybertapahtumiin.
  • 76 % uskoi, että kyberturvallisuus ei ole hypetystä, joka tulee laantumaan.
    • 75 % mukaan suurin tekijä kontrollien tehostamisessa on häiriöiden esiintyminen.
    • 95 % mukaan yrityksellä tulisi olla enemmän yhteistyötä ulkopuolisten toimijoiden kanssa, jotta voitaisiin menestyksellisesti taistella kyberrikollisuutta vastaan.
    Haasteita ja huolia asiakasnäkökulmasta

    Asiakkaiden huolena oli yhä kehittyneemmät kohdistetut hyökkäykset. Hyökkääjien kyky yhdistellä erilaisia tekniikoita ja uudistaa strategiaansa. "Meidän pitäisi tiedostaa, että meidät on jo luultavasti murrettu - kuinka hoidamme sen ja minimoimme seuraukset?"

    "Meidän pitäisi keskittyä saamaan kyberturvan perusteet kuntoon, helppokäyttöisyyteen ja havaitsemiseen."

    "Jotkin tietoturvan toimijat myyvät ominaisuuksia sen sijaan, että myisivät ratkaisuja. Sen seurauksena, monet kyberturvan ohjelmat keskittyvät työkalujen toteuttamiseen ja unohdetaan mikä on tarpeellista – muuntaa nämä työkalut ratkaisuiksi."

    "Meidän täytyy keskittyä paremmin uhkatietoon ja älykkyyteen, ei tiukempaan vaatimustenmukaisuuteen. Meidän täytyy parantaa näkemystämme yhdistelemällä tietoa eri lähteistä ja tutkimalla historiatietoa."

    Yritykset näyttävät hapuilevan pimeässä mitä tulee tietoturvainvestoinnin tuottoprosentin arviointiin. 39 % vastaajista ei tarkkaile kyberhyökkäysten kokonaisvahinkoja. Tällainen tiedon puute ei olisi hyväksyttävää monen muun investoinnin suhteen, missä investoinnin tuottoprosentti on avainmittareita päätöksentekijöille. Suurten yritysten keskuudessa luku on jopa korkeampi, 50 % vastaajista ei ole näkemystä vahingoista. Monilta organisaatioilta puuttuu kunnon näkemys pystyäkseen tekemään asiantuntevia päätöksiä kyberturvan suhteen. Jos tehokkaan kyberturvallisuuden puutteen riskit ja vakavat seuraukset pystyttäisiin esittämään rahallisesti – kyberturvallisuuteen panostettaisiin enemmän. Pohjimmiltaan kyberturvallisuus tarkoittaa riskiarvion tekemistä organisaation kuin myös hyökkääjän näkökulmasta, tunnistamalla ja analysoimalla kriittiset kilpailutekijät ja toteuttamalla häiriöihin vastaavan organisaation (Incident Response).
    • 58 % vastaajista sanoi, että IT tietoturva ei raportoi suoraan hallitukselle.
    • 51 % ei pysty tunnistamaan meneillään olevia hyökkäyksiä.
    • 44 % hallituksista ei ole riittävän tietoisia kyberrikollisuuden riskeistä.
    Tietoturvan taso riippuu organisaation heikoimmasta lenkistä. Kyberturva koskettaa kaikkia organisaation työntekijöitä. Kyberturva on asenne, ei osasto. Yritysjohto voi vaikuttaa yleiseen asenteeseen omalla esimerkillään.
    • 48 % sanoi, että työntekijät eivät ole riittävän tietoisia kyberriskeistä.
    • 61 % ilmaisi, että kyberturva on liian teknologiaan keskittynyttä.
    • 31 % sanoi, että ammattilaiset eivät osaa puhua kieltä, jota liiketoiminta ymmärtäisi.
    "Tietoturvabudjettiin tulee yleensä rahaa vasta sitten, kun jotain suurempaa vahinkoa tapahtuu. Silloin kysytään, miksi et tehnyt mitään estääksesi tietomurtoa?”.

    Valitettavasti kyberturvan suhteen häiriöt ovat yhä päätekijä investoinneille (75 % vastaajista oli samaa mieltä). Tämä on selvä merkki siitä, että monet kybertuvallisuusstrategiat ovat reaktiivisia.

    Vaatimustenmukaisuus (Compliance) näyttäisi olevan vallitseva tekijä kyberturvaan investoimisessa. Yli puolet vastaajista (55 %) sanoivat, että vaatimustenmukaisuus ohjaa heidän toimintaansa enemmän kuin tietoturva – sitä tosin käytettiin myös hyödyksi tietoturvatavoitteiden saavuttamiseksi.

    Suurimmat haasteet ja alueet, joista on huolissaan kyberturvan osalta?
    • Kohdistettujen ja ammattitaitoisten hyökkäysten lisääntyneet määrät.
    • Hyökkäysten tunnistaminen, rikollisten löytäminen ja saaminen vastuuseen.
    Useimmat hyökkääjät haluavat saada taloudellista hyötyä, mm. varastamalla luottokorttitietoa, tekemällä hyökkäyksiä verkkopankkien asiakkaisiin tai tekemällä tuottavaa vakoilua kalastelulla.

    Hyökkäyksillä kriittisiin infrastruktuureihin voi olla vakavat seuraukset. Monien yritysten tietoisuus on riittämätön.

    Yhteistyö ja tiedon jakaminen ja vaihtaminen muiden yritysten ja valtion kanssa nähdään tärkeänä. Ilman yhteistyötä on äärimmäisen hankalaa puolustautua yksin uusimmilta hyökkäyksiltä. Sveitsissä suurimpien organisaatioiden kesken järjestetään asian tiimoilta pari kertaa vuodessa työpajoja (workshop). Osallistujat ovat enimmäkseen finanssi, telekommunikaatio ja energiasektorilta. Aiemmin moni ei tohtinut keskustella avoimesti hyökkäyksistä. Nykyään yrittäjät ovat avoimempia ja jopa yhteistyössä suorien kilpailijoidensa kanssa, minkä yritykset näkevät positiivisena kehityksenä.

    Monet yritykset eivät aloita investoimaan kunnes heihin on kohdistettu hyökkäys

    Johto aliarvioi usein kyberaiheen niin pitkään kun häiriöitä ei esiinny. Lisäksi suunnitelmat, esimerkiksi jatkuvuussuunnittelun suhteen, ovat usein riittämättömiä. Sitten ei ole aikaa valmistautua kun hyökkäys tapahtuu. Katastrofisuunnitelmat, tiedostussuunnitelmat yms. täytyy tehdä etukäteen.

    Johtopäätöksiä, ajatuksia tutkimuksen pohjalta ja rinnastusta Suomalaiseen yhteiskuntaan
    • Tiedon ja näkemyksen puute. Uutisia ja alan julkaisuja seuraavien pitäisi olla tietoisia kyberuhkista ja niiden mahdollisuudesta oman organisaation suhteen. Monet kuitenkin ajattelevat, että ei koske meitä – emme ole tarpeeksi kiinnostava kohde. Kuitenkin, jokaisessa organisaatiossa on jotain kiinnostavaa tietoa, mistä voidaan hyötyä taloudellisesti, imagollisesti, saada liikesalaisuuksia, tietoa millä voidaan kiristää, jne. Tarvitaan tietoisuuden lisäämistä koko organisaatiossa ja johdon sparrausta. Säännöllisiä tietoturvakoulutuksia, tietoiskuja, materiaaleja. Ihminen on edelleen se heikoin lenkki. Liian moni lankeaa esim. sähköpostin välityksillä tapahtuviin kohdistettuihin hyökkäyksiin (kuten Spear Phishing), joiden vaikutusten määrää voitaisiin vähentää paremmalla tietoisuudella.
    • Osaaminen ja resurssointi. Vaikka monet nykyajan järjestelmät ovatkin hyviä, ei niihin voida yksin tukeutua, vaan vaaditaan osaamista ja asiaan perehtynyttä henkilöstöä. Riittävästä resurssoinnista tulee pitää huoli. Ensisijaisille asiantuntijoille tulee olla myös varahenkilöt riittävin tiedoin, taidoin ja pääsyin varustettuna - ympäristöt eivät saa olla yhden henkilön varassa. Ympäristöjä ylläpitävien ja kehittävien riittävästä ammattitaidosta on pidettävä huolta jatkuvalla kouluttautumisella, seminaareihin osallistumisella ja alan päivittäistä uutisointia seuraamalla. Automaatiota voidaan ja tietyissä asioissa pitääkin rakentaa, mutta tietoturvaa ei voida täysin automatisoida - kunnon asiantuntevaa tietoturva-ammattilaista ei voida koneilla korvata.
    • Havainnoinnin puute. Mantra, mikä tulee mitatuksi, tulee hallittavaksi, ansaitsee enemmän huomiota. Tutkimukseen vastanneista, joku sanoi, että "meidät on luultavasti jo murrettu" - asia tiedostetaan, mutta varmaksi ei voida sanoa, kun asianmukaiset mittarit puuttuvat. Oman näkemykseni mukaan monissa Suomalaisissa organisaatioissa käytetään pitkälti vielä perinteisiä tietoturvaratkaisuja. Kehittyneiden uhkien havainnointikykyä tulisi parantaa. Markkinoilla on havainnointiin ja reagointiin monia kehittyneitä ja monipuolisia ratkaisuja, joita saa myös palveluna. Löytyy esim. DDoS-suojauksia, verkkotason APT-skannausratkaisuja, haavoittuvuusskannauksia, murtotestauksia, jne. Uuden ajan palomuurituotteissakin on moniin yrityksiin soveltuvia riittäviä ominaisuuksia.
    • Tilannekuva ja lokitus. Omia järjestelmiä ja verkkoja tulee valvoa aktiivisesti ja reagoida havaittuihin löydöksiin välittömästi, niistä yrityksen johtoa asianmukaisesti tiedottaen ja ajan tasalla pitäen. Monilta yrityksiltä puuttuu tietoturvan tilannekuva ja näkymä, jonka avulla voitaisiin nähdä yrityksen tietoturvan tämänhetkinen tila ja pystyttäisiin paremmin reagoimaan ja kehittämään toimintaa. Joillakin palveluntarjoajilla voi olla (ja toivottavasti onkin) oma näkymänsä tapahtumiin, mutta myös asiakkailla olisi tarve saada oma, ymmärrettävä asiakasnäkymä reaaliaikaisena. Jotta tilannekuvan muodostamiselle olisi edellytykset, järjestelmien tulisi kirjoittaa lokia keskitettyyn paikkaan (esim. SIEM) ja tulisi olla ratkaisu, joka kykenee tekemään kaikesta tiedosta korrelaatiota. Lokit tulisi myös säilöä tarpeeksi kauan, jotta jo mahdollisesti tapahtuneita tietomurtoja voidaan jälkikäteen tehtyjen havaintojen pohjalta tutkia.
    • Valmistautumisen puute. Monilta yrityksiltä puuttuvat prosessit, suunnitelmat ja ohjeet eri poikkeus -ja häiriötilanteisiin - saati, että oltaisiin testattu niiden toimivuutta. Prosessit ja toimintatavat tulisivat olla valmiina mietittynä ja sovellettavissa kulloiseenkin tilanteeseen. Kun ongelmat ja paniikki on päällä, ei ole aikaa miettiä, miten tulisi menetellä. Ennalta tarkkaan mietityt ja käytössä olevat menetelmät auttavat selkeyttämään tilannetta ja mahdollistavat tehokkaan, kontrolloidun toiminnan. Tämä on tärkeää myös siksi, että ei tuhota mahdollista todistusaineistoa, eikä paljasteta vastapuolelle, että heidät on huomattu. Toiminnan parantamisessa, häiriötilanteiden ja niihin reagoimisen testaamisessa kannattaa miettiä myös ulkopuolisen arviointilaitoksen käyttämistä, joka voi testata ja arvioida yrityksen kyberturvaan varautumisen tasoa auditoinneilla ja testeillä (esim. Red teaming).
    • Strategia ja riskiarvio. Kyberriskit tulisi ottaa huomioon jatkuvuuden hallintaa, riskiarviota ja strategiaa tehtäessä ja tunnistettava kyberriskien merkitys organisaation toiminnalle. Uhkien vaikutusta on arvioitava yrityksen palveluiden ja järjestelmien toimintakykyyn. Tietoturva tulee saada lähemmäksi yrityksen johtoa, jotta siihen ollaan sitoutuneita, kiinnitetään asiaan enemmän huomiota ja se on tehokasta. Liian monissa organisaatioissa tehdään ainoastaan se, mikä on välttämätöntä, jotta saavutettaisiin vaatimustenmukaisuus (Compliance) - kyberriskien suhteen tämä taso ei riitä.
    • Yhteistyö ja tiedon jakaminen. Kuten tutkimuksen vastauksista kävi ilmi, yritysten mielestä pitäisi olla enemmän oman yrityksen ulkopuolista yhteistyötä, jotta voidaan menestyksellisesti taistella kyberrikollisuutta vastaan. Olen täysin samaa mieltä. Tietoturvan suhteen tiedon pimittäminen ei ainakaan edistä yhteistä hyvää. Uskoisin kaikkien yritysten hyötyvän rajat ylittävästä yhteistyöstä, uhkatiedon jakamisesta ja saamisesta sekä tiedon jakamisesta yritysten kesken, hyväksi havaittujen menetelmien ja käytäntöjen suhteen.
    • IRT (Incident Response Team). Organisaatioiden tulisi tiedostaa, että mitkään tekniset menetelmät eivät ole täysin aukottomia, jokaisesta suojauksesta voidaan tulla läpi. Yrityksellä tai palvelun tarjoajalla ei välttämättä ole omaa koulutettua henkilöstöä tai osaamista häiriötilanteisiin vastaamiseen, forensiikan ammattilaisia. Kyberhyökkäyksen tapahtuessa myös niihin vastaamiseen tulisi olla valmiudet ja asia tulisi huomioida suunnitelmia tehtäessä. Tietovuodon tai rikoksen tapahtuessa on monia kysymyksiä vailla vastausta, esim.
      • mistä hyökkäys tuli ja mitä hyökkääjästä tiedetään
      • miksi hyökkäys kohdistettiin meihin
      • miten hyökkäys tehtiin
      • mitä tietoa on kadonnut ja minne
      • onko joitain tietoja muutettu
      • onko tietoa hävinnyt lopullisesti vai saadaanko sitä palautettua
      • minne kaikkialle hyökkääjä on liikennöinyt, onko muita murrettuja/saastuneita koneita
      • onko hyökkäys ohi vai onko se vielä meneillään
      • onko tapahtuneesta todistusaineisto
      • miten tapahtunutta voidaan tutkia hyökkääjän huomaamatta
      • miten tilanteesta toivutaan ja palaudutaan normaaliin tilaan
      • miten voimme jatkossa välttyä vastaavalta
    Yksi asia on varma, kyberuhat tulevat lisääntymään tulevaisuudessa merkittävästi. IoT (Internet of Things) myötä yhä useampi laite on yhteydessä julkiseen verkkoon. Reaktiivisuus ei riitä, proaktiivisuus ja ennustettavuus ovat päivän sanoja.

    Jos Suomessa tehtäisiin vastaava tutkimus, niin uskoisin vastausten olevan aika samansuuntaisia. Moni yritys sanoisi tietävänsä mitä yrityksen verkossa liikkuu, mutta jos asian todellinen laita selvitettäisiin kehittyneillä ratkaisuilla - olen 100% varma, että todellisuus olisi toinen suurimmassa osassa organisaatioita - kokemus voisi olla valaiseva.

    Aiheeseen liittyen - KPMG on ostanut osuuden cyberturvallisuuden uhka analyyseja ja live feedejä tuottavasta Norse Corpista. Hankinta mahdollistaa KPMG:n asiakkaille erilaisten kyberuhkien paremman torjumisen jo etukäteen. Hankinta täydentää KPMG:n olemassa olevia kyberturvallisuuden palveluita, jotka tähän mennessä ovat keskittyneet lähinnä erilaisten kyberturvallisuuden ongelmien löytämiseen ja korjaamiseen sekä hyvän kyberturvallisuuden ylläpitoon. Nyt tähän palveluvalikoimaan tulee komponentti, joka täydentää kokonaisuutta mahdollistamalla myös predikatiivisen varautumisen.

    maanantai 19. lokakuuta 2015

    Hakkerit tekivät 100 miljoonan dollarin tuotot vakoilemalla uutispalveluita Wall Streetillä


    Keväällä 2015 paljastui, että hakkerit olivat tunkeutuneet maailman suurimpien pörssiuutissivustojen tietojärjestelmiin ja saivat käsiinsä sisäpiiritiedoksi luokiteltavaa materiaalia, kuten tulosilmoituksia ja -varoituksia, ennen tiedon virallista julkistamista. Tietojen avulla oli mahdollista ennustaa osakekursseja ja näitä tietoja hakkerit joko myivät eteenpäin tai käyttivät suoraan hyväksi arvopaperikaupassa. Tämä toi asianomaisille 100 miljoonan dollarin tuotot globaalisti.

    perjantai 16. lokakuuta 2015

    Unohdin salasanani ja kuinkas kävikään...

    Ajattelin mennä kokeilemaan tänään uutta liikuntalajia. Ajatus on ollut mielessäni jo pidemmän aikaa, ja olin rekisteröityt käyttäjäksi jo keväällä. Tunnille ilmoittautuminen edellytti sisäänkirjautumista ja olin jo ehtinyt unohtaa salasanani. Syötin sähköpostiosoitteeni unohtuiko salasanasi -kenttään ja hetken kuluttua sainkin sähköpostia, jossa minulle ilmoitettiin salasanani. Siis salasana, jonka olin keväällä järjestelmään syöttänyt ja johon pitäisi olla vain minulla pääsy.

    torstai 15. lokakuuta 2015

    KPMG on ostanut osuuden cyberturvallisuuden uhka-analyyseja ja live feedejä tuottavasta Norse Corpista



    KPMG on ostanut osuuden cyberturvallisuuden uhka analyyseja ja live feedejä tuottavasta Norse Corpista.

     Hankinta mahdollistaa KPMG:n asiakkaille erilaisten kyberuhkien paremman torjumisen jo etukäteen. Hankinta täydentää merkittävällä tavalla KPMG:n olemassa olevia kyberturvallisuuden palveluita, jotka tähän mennessä ovat keskittyneet lähinnä erilaisten kyberturvallisuuden ongelmien löytämiseen ja korjaamiseen sekä hyvän kyberturvallisuuden ylläpitoon. Nyt tähän palveluvalikoimaan tulee komponentti, joka täydentää kokonaisuutta mahdollistamalla myös predikatiivisen varautumisen.

     Norse serves the world’s largest financial, government and technology organizations to help them block the threats other systems miss and improve the performance, catch-rate and return on investment of their security infrastructure.

    We now have a turnkey “early-warning-as-a-service” that helps large financial services firms and government agencies quickly identify compromised systems, spot malicious activity and track attacks while they’re underway. Norse solutions are enabled by the Norse Intelligence Network, a proprietary live-threat network composed of more than 16 million Norse-owned IP addresses housed in more than 200 data centers across 50 countries.

    perjantai 9. lokakuuta 2015

    Euroopan unionin tuomioistuimen Schrems-ratkaisu ravistelee henkilötietojen siirtojen perusteita EU:n ja Yhdysvaltojen välillä


    Euroopan unionin tuomioistuin (EUT) antoi henkilötietojen siirtoa Yhdysvaltoihin koskevan mullistavan ratkaisun 6. lokakuuta 2015 tapauksessa Schrems (C-362/14). Ratkaisussaan EUT totesi, että Yhdysvaltojen ja EU:n sopimukseen perustuva Safe Harbor -järjestelmä, jonka puitteissa on tähän asti voitu siirtää henkilötietoja EU:n alueelta Yhdysvaltoihin, ei takaa riittävää tietosuojan tasoa. EUT totesi myös pätemättömäksi Euroopan komission aiemman päätöksen, jossa katsottiin tietosuojan tason olevan riittävä silloin, kun henkilötiedot siirretään Safe Harbor -järjestelmän puitteissa. Tuomioistuimen ratkaisun vaikutukset ovat vielä osin epäselvät, mutta on selvää, että EUT:n uusi tulkinta vaikuttaa kaikkien niiden toimijoiden toimintaan, jotka siirtävät henkilötietoja EU:sta Yhdysvaltoihin. Uuden tulkinnan seurauksena sopimukset, käytänteet ja vaatimus henkilötietojen käsittelyn huolellisesta suunnittelusta korostuvat entistä enemmän. 

    Henkilötietojen siirto EU:sta Yhdysvaltoihin on aiemmin perustunut Safe Harbor -menettelyyn
    Henkilötietojen siirtäminen EU:n alueelta Yhdysvaltoihin on tähän EUT:n ratkaisuun asti ollut mahdollista Euroopan komission päätöksen 2000/520 nojalla. Tässä päätöksessään komissio totesi, mitkä EU:n tai ETA:n ulkopuoliset valtiot takaavat riittävän tietosuojan tason siten, että niihin voidaan siirtää henkilötietoja EU:n alueelta ilman erillisiä takeita. Henkilötietojen siirto Yhdysvaltoihin on komission päätöksen mukaan ollut mahdollista silloin, kun tietoja vastaanottava yhtiö on sitoutunut ns. Safe Harbor -järjestelmän puitteissa noudattamaan tämän järjestelmän periaatteita. Vuonna 2013 Edward Snowdenin paljastusten jälkeen kävi kuitenkin ilmi, että mm. myös Safe Harboriin rekisteröityneet yhtiöt ovat olleet osallisina Yhdysvaltain viranomaisten harjoittamassa laajamittaisessa tiedustelutoiminnassa ja siten myös niihin EU:sta siirretyt henkilötiedot ovat olleet Yhdysvaltain PRISM-tiedusteluohjelman kohteina. EUT:n tutkittavaksi tulikin Schremsin valituksen kautta, takaako Safe Harbor näiden uusien tietojen valossa EU:n tietosuojadirektiivissä (95/46/EY) tarkoitettua riittävää tietosuojan tasoa silloin, kun EU:n alueelta siirretään henkilötietoja Yhdysvaltoihin.

    Euroopan unionin tuomioistuimen ratkaisu muuttaa tilanteen henkilötietojen siirroissa
    EUT katsoi nyt antamassaan ratkaisussa ensinnäkin, että aiempi komission päätös, jossa henkilötietoja saatiin siirtää Safe Harbor -järjestelmän puitteissa Yhdysvaltoihin, ei ole pätevä. Perusteluissa EUT toteaa mm., että komission päätös mahdollisti sellaisen Yhdysvaltain viranomaisten puuttumisen henkilötietojen siirron kohteena olevien ihmisten EU:n oikeudessa turvattuihin perusoikeuksiin tavalla, joka ylitti sen, mikä olisi ollut oikeutettu kansallisen turvallisuuden suojelemisen intressissä. EUT katsoi edelleen, että EU:n jäsenvaltion kansallisella tietosuojaviranomaisella on komission päätöksestä huolimatta yhä itsenäinen oikeus tutkia, toteutuuko riittävä tietosuojan taso sellaisessa kohdemaassa, johon siirretään tietoja EU:n alueelta. Näin ollen EUT:n antaman ratkaisun seurauksena Irlannin tietosuojaviranomaisen on tutkittava Schremsin Facebookia kohtaan esittämä väite siitä, että hänen henkilötietonsa eivät ole riittävällä tavalla suojatut Facebookin siirtäessä hänen tietojaan EU:n alueelta Yhdysvaltoihin.

    Ratkaisun merkitys suomalaisille organisaatioille
    EU:n alueella toimii useita yhdysvaltalaisia internet-yhtiöitä, jotka siirtävät jatkuvasti suuria massoja eurooppalaisten henkilötietoja käsiteltäväksi niiden Yhdysvalloissa sijaitseville palvelimille Safe Harbor-järjestelmän puitteissa. Koska henkilötietojen siirto nykymuotoisen Safe Harbor -järjestelmän puitteissa ei enää Schrems-ratkaisun johdosta näytä olevan mahdollista, riittävä tietosuojan taso on saavutettava muilla keinoin, jotta siirto voidaan toteuttaa. Vaikka EUT:n arvioitavana oleva tapaus koskee nimenomaan Facebookia, ratkaisun merkitys kohdistuu myös muihin EU:n alueelta Yhdysvaltoihin henkilötietoja siirtäviin yhtiöihin, kuten esimerkiksi Googleen, Microsoftiin, Appleen ja muihin yhdysvaltalaisiin palveluntarjoajiin.

    Schrems-ratkaisulla on yksittäisten internetpalvelujen käyttäjien lisäksi vaikutusta myös suomalaisiin yrityksiin, jotka siirtävät henkilötietoja Yhdysvaltoihin esimerkiksi yhdysvaltalaisen alihankkijan käsiteltäväksi. Kuten todettu, EUT totesi ratkaisussaan, ettei tietojen siirtäminen EU:sta Yhdysvaltoihin enää ole mahdollista Safe Harbor -järjestelmän puitteissa eli nojautuen komission päätökseen 2000/520, johon viitataan myös henkilötietolain 22a §:ssa. Siksi ratkaisun jälkeen riittävä tietosuojan taso on taattava muilla direktiivissä ja henkilötietolaissa säädetyillä keinoilla. Tällaisista poikkeusperusteista on säädetty henkilötietolain 23 §:ssä ja niihin kuuluvat mm. komission vahvistamien ennalta määrättyjen mallisopimuslausekkeiden käyttäminen tai riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta takaavien sopimuslausekkeet käyttäminen rekisterinpitäjän ja siirronsaajan välillä.

    Henkilötietojen siirto ns. kolmanteen maahan on näiden poikkeusperusteiden mukaisesti yhä mahdollista myös silloin, jos kaikki rekisteröidyt antavat yksiselitteisen ja informoidun suostumuksensa henkilötietojensa siirtoon. Näyttää siltä, että tällainen kvalifioitu rekisteröidyn suostumus on EUT:n ratkaisun seurauksena käytännössä toistaiseksi varmin keino varmistaa tiedonsiirron laillisuus. Koska suostumusten kerääminen voi kuitenkin käytännössä osoittautua hankalaksi, yritysten olisikin suositeltavaa tarkistaa henkilötietojen siirtoa koskevat sopimusehtonsa yhdysvaltalaisten palveluntarjoajien kanssa ja tarvittaessa ryhtyä neuvotteluihin ja muihin toimiin riittävän tietosuojan takaamiseksi. 

    Salha Hanna
    Mikko Viemerö
    Ilkka Vuorenmaa