Ads 468x60px

keskiviikko 22. huhtikuuta 2015

Tuntematon uhka tanskassa

KPMG Suomi julkaisi loppuvuodesta 2013 Tuntematon uhka suomessa tutkimuksen. KPMG Ruotsi seurasi perässä ja julkaisi oman tutkimuksensa Ruotsin tilanteesta elokuussa 2014. Nyt vuorossa on KPMG Tanska, joka esitteli Unknown Threat in Denmark tutkimuksensa 21.4.2015 ISACA Nordic konfrenssissa (Tutkimusmateriaalia ei ole 22.4.2015 julkaistu vapaasti ladattavaksi).

Tuntematon Uhka tanskassa tutkimuksessa oli mukana 18 organisaatiota niin julkiselta kuin yksityiseltä sektorilta. Mukana olleiden organisaatioiden toimialat vaihtelivat, eikä niitä anonymiteetin takia ole julkaistu. Tutkittavat organisaatiot olivat kooltaan yli 500 henkilön tai niissä oli käytössä suuri määrä päätelaitteita. Tutkimusdata kerättiin helmikuun 2015 aikana.

Tuntematon uhka tutkimuksien tulosten vertailu
Tanskan tutkimuksen tulokset ovat ehkä jopa huolestuttavampia kuin mitä Suomessa ja Ruotsissa toteutettujen tutkimusten tulokset ovat. Kaikkien tutkimusten tuloksista löytyy selkeitä yhtäläisyyksiä: yli puolesta (Tanskassa kaikista) tutkimuksessa mukana olleista organisaatioista pystyttiin tunnistamaan haittaohjelmaliikennettä sisäverkosta, havaitusta haittaohjelmaliikenteestä merkittävä osa on ns. tuntemattomien uhkien aiheuttamaa (perinteiset AV-ohjelmistot eivät tunnista niitä) ja että lähes kaikista tutkituista organisaatioista siirtyi yrityksen dataa hyökkääjälle tutkimusdatan keräyshetkellä.

Merkittävimpänä erona aikaisempiin Tuntematon Uhka tutkimuksiin nähden voidaan pitää mobiililaitteisiin kohdistettujen haittaohjelmien määrän lisääntymistä. Tutkimuksen aikana havaituista mobiilihaittaohjelmista 93% toimi Android-alustalla ja loput 7% iOS-alustalla. Aiemmin toteutetuissa tutkimuksissa mobiililaitteisiin kohdennettujen haittaohjelmien aiheuttama liikenne on ollut vähäistä, eikä sitä ole merkittävästi tunnistettu. Tämä saattaa myös johtua siitä, että Suomessa organisaatioiden mobiilikäyttäjät ovat usein eriytetty sisäverkosta ja että mobiililaitteisiin hyökkäävien haittaohjelmien määrä on kasvanut viimeisen 1.5 vuoden aikana.Toinen Tanskan tutkimuksen merkittävä huomio on, että 94 % kaikista havainnoista aiheutui kontrolloimattomista päätelaittesta (päätelaitteista joiden tietoturva-asetuksia ei ole vahvistettu tai ne ovat loppukäyttäjän vastuulla). Toisaalta, 74 % havainnoista, jotka syntyivät kontrolloiduista päätelaitteista olivat riskiltään merkittäviä tai kriittisiä.

Päätelaitteeseen asetettujen tietoturvakontrollien merkitys
Tuntematon Uhka Tanskassa tutkimuksen perusteella mobiililaitteisiin kohdistettujen haittaohjelmien määrä on lisääntynyt aikaisempiin Suomessa ja Ruotsissa toteutettuihin tutkimuksiin nähden. Havaitut hyökkääjät olivat myös entistä motivoituneempia tavoittelemaan rahallista hyötyä toimistaan. Tutkimuksessa selviää, että jo perustason tietoturvakontrollit vähentävät huomattavasti haittaohjelmatartuntojen määrää - on parempi toteuttaa edes perustason suojausmekanismit kuin olla tekemättä mitään.Tutkimuksen aikana havaittiin, että osa organisaatioista kärsii edelleen ylimmän johdon tuen puutteesta tietoturvan suhteen (tämä ei kuitenkaan tarkoita, että ylintä johtoa ei kiinnosta).

Mitä tämä kaikki käytännössä tarkoittaa? Tärkeintä olisi muuttaa työntekijöiden ajatusmaailmaa - tietoturvan ei tarvitse olla toimintaa vaikeuttava taakka, vaan se voi olla kilpailuetu, jonka johdosta asiakkaat valitsevat teidät. Hyvin toteutettu tietoturva myös tukee liiketoimintaa paremmin, jolloin esimerkiksi IT-järjestelmien vioista ja onnistuneista hyökkäyksistä aiheutuvat kustannukset ovat pienemmät. Usein tämä myös tarkoittaa parempaa mahdollisuutta siirtyä käyttämään uusia digitaalisia palveluita ja kykyä tehostaa omaa liiketoimintaa.

-Jesse

maanantai 20. huhtikuuta 2015

Tietoturvatasot – Arvioidaanko yksi, neljä vai kahdeksan Vahti-ohjetta?

Tietoturvatasot, ah  tuo meille monelle niin rakas ja tuttu aihe. Kukapa ei olisi kuullut "legendaarisesta" Vahti 2/2010 ohjeesta ja sisältämistä kontrolleista?  Noh, siitä huolimatta, että tietoturvatasot ovat niin tuttu juttu, niin silti ajattelin kirjoittaa niistä mutaman sanasen.

1. heinäkuuta 2010 annettiin Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa [1]. Tämä asetus on siinä mielessä erittäin merkityksellinen, että kyseisessä asetuksessa säädetään ”valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista”. Asetuksen 5 §, tietoturvallisuuden perustason toteuttaminen, määrittää 10 kohtaa, jotka organisaatioiden tulee toteuttaa tietoturvallisuuden perustasolla. Tämän lisäksi asetuksessa on lukuisia muita vaatimuksia, jotka tulee huomioida eri suojaustasojen käsittelysäännöissä. Tietoturvallisuusasetus tuli voimaan 1.10.2010. Asetukseen sisältyi siirtymäaika, jonka mukaisesti organisaatioiden tuli saavuttaa asetuksen 5 §:ssä säädetty perustason 30.9.2013 mennessä.

Koska asetus määrittää perustason vaatimukset vain ja ainoastaan ylätasolla, niin tämä aiheutti merkittävän määrän kysymyksiä kuinka asetuksen vaatimukset tulee täyttää. Tätä ongelmaa poistamaan laadittiin Vahti-ohje 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta. Erityisen vahvan aseman on saanut ohjeen liite 5, jossa määritellään erilaisia vaatimuksia perustasolle, korotetulle tasolle ja korkealle tasolle. Tästä liitteestä onkin tullut synonyymi tietoturvatasojen vaatimuksille. Osin tämä johtuu siitä, että ohjeen julkaisun jälkeen suurin osa tietoturvatasoauditoinnesta on toteutettu vain kyseisen liitteen 5 kontrolleja vastaan.

Hämmentävää kyllä, mutta käsitykseni mukaan tietoturvatasojen korotettua tasoa tai korkeaa tasoa ei ole virallisesti määritelty missään. Perustason vaatimukset löytyvät siis asetuksesta, mutta korotetun tai korkean tason vaatimuksia ei ole määritelty. Tämän johdosto on yleisesti katsottu, että Vahti 2/2010 Liite 5:n vaatimukset *ovat* korotetun ja korkean tason vaatimukset.

Tietoturvatasot - auditointinäkökulma 

Mielenkiintoiseksi kysymys menee siinä vaiheessa, kun pohdimme mitä kriteeristöä vastaa organisaatio tulee auditoida tietoturvatasoauditoinnissa. Klassinen tulkinta on, että tällöin käytetään vain Vahti 2/2010 liitteen 5 vaatimuksia. Kuitenkin, mikäli organisaatio auditoidaan tietoturvatasoja vastaan viranomaisauditointina, niin tällöin auditoinnissa tulee arvioida 2/2010 lisäksi seuraavien Vahti-ohjeiden täyttyminen [2]:
  • Sisäverkko-ohje (VAHTI 3/2010), 
  • Teknisen ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012) ja 
  • Valtionhallinnon toimitilojen tietoturvaohje (VAHTI 2/2013). 
(Kannattaa myös huomata, että tällöin korotetun tai korkean tason ympäristö ei saa olla suoraa yhdessä internettiin [3].)

Ja jotta asiaa saataisiin vielä hämmennettyä, niin uusi Vahti 2/2014 Tietoturvallisuuden arviointiohje määrittää [4], että tietoturvatasovaatimuksia toteutettaessa ja arvioitaessa on huomioitava VAHTI 2/2010 -ohjeen lisäksi erityisesti seuraavat ohjeet:
  • VAHTI 3/2010 Sisäverkko-ohje,
  • VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje, 
  • VAHTI 3/2012 Teknisen ympäristön tietoturvataso-ohje, 
  • VAHTI 1/2013 Sovelluskehityksen tietoturvaohje, 
  • VAHTI 2/2013 Toimitilojen tietoturvaohje,
  • VAHTI 4/2013 Henkilöstön tietoturvaohje ja 
  • VAHTI 5/2013 Päätelaitteiden tietoturvaohje.
Vahti 2/2014 ohjeesta tulee huomata, että "arviointioh­jeen tavoitteena on tukea,kehittää ja lisätä valtionhallinnon tietoturvalli­suuden arviointeja. Ohje on valtionhallinnon tietoturvallisuuden arviointien yleisohje ja se korvaa aikaisernmat ohjeet Tietoturvallisuuden arviointi val­tionhallinnossa, VAHTI 8/2006 sekä Tietoturvallisuuden hallintajärjestelmien arviointisuositus,VAHTI 3/2003".
Jos siis olen menossa auditoimaan tietoturvatasoa vastaan, niin montako kontrollia minun tulee katsoa ja mistä ohjeista???


Edellisen pohjalta olen kerännyt oheiseen taulukkoon yhteenvedon eri auditointivaatimuksista.

(Kiitokset Kari Saarelaiselle taulukkoajatuksesta)

Taulukkoa tulkintaan niin, että rivillä 1 on ”perinteinen” tietoturvatasoauditointi. Rivillä 2 on tietoturvatasoauditointi, jolla tähdätään viranomaishyväksyntään tietoturvatasojen mukaisesti. Rivillä 3 on tietoturvatasoauditointi Vahti 2/2014 mukaisesti. Vastaavasti taulukon sarakkeet osoittavat mitkä Vahti-ohjeista tulee missäkin auditoinnissa huomioida. Taulukkoa on myös yksinkertaistettu sen verran, että taulukosta ei näy miten uudet Vahti-ohjeet korvaavat vanhempia ohjeita (Esimerkiksi Vahti 5/2013 korvaa osittain Vahti 3/2010 vaatimuksia päätelaitteiden osalta).

Bonuksena taulukkoon on merkitty myös KATAKRI-auditoinnit. Kuten taulukosta havaitaan, niin KATAKRI-kriteeristöjä ei sovelleta missään tietoturvataso-auditoinnissa.


Näin ollen, jos organisaatio on arvioitu tietoturvatasoja vastaan ennen vuotta 2015, niin tällöin organisaatio on hyvin todennäköisesti arviotu pelkästään Vahti 2/2010 liite 5 ohjetta vastaan. Mikäli organisaatio haluaa, että se arvoidaan tietoturvatasoja vastaan 2015 tai tämän jälkeen, niin arvioinnissa tulee ensin määrittää halutaanko viranomaishyväksyntä tietoturvatasojen mukaisesti vai riittääkö pelkkä "tietoturvatasoauditointi". Jos päädytään, että viranomaishyväksyntää ei tarvita, niin tällöin tulee määrittää mitkä Vahti-ohjeet arvioinnissa tulee huomioida (tai ainakin määrittää toteutetaanko  auditointi Vahti 2/2010 vai 4/2014 mukaisesti).

Entäs korotettu taso? 

Laki ei määritä suoraan, mitkä velvoitteet organisaation tulee täyttää, mikäli se haluaa täyttää korotetun tason (tai korkean tason) vaatimukset. Näin ollen jokaisen tietoturvatasoaudioinnin yhteydessä on äärimmäisen tärkeää määrittää yksikäsitteisesti, mitkä Vahti-ohjeet tulee ottaa mukaan ja minkä tason vaatimuksia tulee tarkastella. Samoin, mikäli olet hankkimassa palveluja ja haluat palvelun olevan jonkun ”tietoturvatasojen” mukainen, niin sinun tulee muistaa huomioida yllä mainitut vaihtoehdot.

Terveisin
Antti