Ads 468x60px

torstai 24. syyskuuta 2015

Ajatuksia Verizonin DBIR 2015-raportista

Verizon julkaisi huhtikuussa Data Breach Investigation Report:n (DBIR) vuoden 2015 version. DBIR on saavuttanut jo vakiintuneen aseman tietoturvapiireissä. Viime vuosina raportin tulokset ovat nousset yhä keskeisimmiksi aiheiksi myös organisaatioiden ylemmän johdon keskuudessa. Tiivistelmä viime vuoden raportista löytyy myös blogistamme. Tällä kertaa tutkimuksessa oli mukana 70 organisaatiota 61 maasta ja aineistoa oli noin 80 000 poikkeamasta, joista 2 122 oli varmistettuja tietomurtoja.

Raportissa todetaan, että viimeisen kolmen vuoden aikana haittaohjelmien käyttämät menetelmät ovat muuttuneet merkittävästi. Vielä vuoden 2012 raportissa käyttäjätunnusten väärinkäytön osuus oli noin 60% kaikista poikkeamista. Viimeisen kahden vuoden aikana nk. RAM Scrapperit (ohjelmat, jotka lukevat esimerkiksi luottokorttidatan muistista ennen sen salaamista) ja tietojen kalastelu (phishing) ovat kasvattaneet osuutensa kaikista aiheutuneista tietoturvapoikkeamista jo yli kolmannekseen. Lisäksi samana aikana keyloggereiden osuus on tippunut huomattavasti. Haittaohjelmat ovat siis muuttaneet muotoaan. Tämän voidaan olettaa johtuvan esimerkiksi PCI DSS vaatimuksien tiukentumisesta tai leviämisestä laajemmalle, jolloin sensitiivistä tietoa säilytetään paremmin salattuna ja näin verkkorikolliset ovat joutuneet muuttamaan keinoja mistä he pyrkivät tietoa saamaan.

Raportin perusteella haittaohjelmatartunnan tapahtumisen vaatima aika on pienentynyt viimeisen kymmenen vuoden aikana huomattavasti. Samaan aikaan organisaatioiden kyky havaita tapahtuneita hyökkäyksiä ei kuitenkaan ole kehittynyt läheskään samaa vauhtia. On siis päädytty tilanteeseen jossa hyökkääjä pääsee aikaisempaa nopeammin murtautumaan organisaatioiden järjestelmiin, kun taas yrityksellä itsellään kestää havaita tämä tapahtuma lähes yhtä kauan kuin 10 vuotta sitten. Tämä asetelma kuvaa hyvin tilannetta, että nk. perinteinen estämiseen (prevention) perustuvat tietoturvakontrollit eivät yksinään ole riittäviä. Myös KPMG:n kokemusten perusteella voidaan todeta, että estämiseen käytettävien resurssien vähäinen kasvattaminen ei useinkaan tuota tietoturvan näkökulmasta sen parempaa tulosta. Usein tehokkaimpana keinona parantaa tietoturvaa voidaankin pitää perusasioiden kunnollista hoitamista sekä oman havainnointikyvyn kehittämistä.

Ei DBIR-raportti sentään pelkkiä synkkiä kuvia maalannut seinille. Raportissa todetaan, että 99,9% hyväksikäytetyistä (exploited) haavoittuvuuksista (vulnerability) on sellaisia, joille on myönnetty
CVE-numero yli vuosi ennen haavoittuvuuden hyväksikäyttöä. Käytännössä tämä siis tarkoittaa sitä, että haavoittuvuus on tiedossa ja sille luultavimmin on olemassa korjaus. Ongelmana organisaatioissa onkin siis päivitysprosessien hitaus. Raportin perustella voidaan siis arvioida, että jo pelkästään päivitystenhallinnan kuntoon saattaminen olisi estävistä tietoturvatoimista kaikkein keskeisin ja tehokkain.

Raportin yhteenvedossa Verizon pyrkii yhdistämään tutkimuksen tulokset ja arvioimaan miten hyvin Council of Cyber Securityn Critical Security kontrollien (CSCs) toteuttaminen vastaisi uhkiin. Tästä voidaan nähdä, että tekemällä edes tietoturvan perusasiat kunnolla, voidaan suurin osa uhista torjua onnistuneesti.

Mukavaa CSC-kontrollien toteuttamista syksyyn!
Jesse

perjantai 18. syyskuuta 2015

Salatun liikenteen purkaminen ja tarkastaminen

Kirjoitan aiheesta, joka varmasti herättää monissa lukijoissa tunteita. Salattuun liikenteeseen puuttuminen on monesti nähty tabuna. Uskallan silti ottaa tämän aiheeksi, lisääntyneen kiinnostuksen ja saavutettavissa olevien hyötyjen vuoksi. Suomalaisissa yrityksissä aika harva taho purkaa SSL/TLS salattua liikennettä. Tämä johtunee yksityisyydensuojaan ja lainsäädäntöön liittyvistä kysymyksistä, epätietoisuudesta menettelyjen suhteen, pelko työntekijöiden palautteesta ja työviihtyvyydestä sekä salatun liikenteen purkamiseen liittyvistä teknisistä haasteista.

Tarkastellaan ensimmäisenä lainsäädäntöä. Lainsäädännön näkökulmasta asiaa määrittelee laki yksityisyyden suojasta työelämässä ja sen kohta 21 §, yhteistoiminta teknisin menetelmin toteutetun valvonnan ja tietoverkon käytön järjestämisessä. Laissa määritellään, että työntekijöihin kohdistuvan teknisin menetelmin toteutetun valvonnan tarkoitus, käyttöönotto ja valvonnassa käytettävät menetelmät ja tietoverkon käyttö sekä muuta sähköistä viestintää koskevien tietojen käsittely kuuluvat yhteistoimintamenettelyn piiriin. Muissa kuin yhteistoimintalainsäädännön piiriin kuuluvissa yrityksissä ja julkisoikeudellisissa yhteisöissä työnantajan on ennen päätöksentekoa varattava työntekijöille tai heidän edustajilleen tilaisuus tulla kuulluiksi. Yhteistoiminta- tai kuulemismenettelyn jälkeen työnantajan on määriteltävä työntekijöihin kohdistuvan teknisin menetelmin toteutetun valvonnan käyttötarkoitus ja siinä käytettävät menetelmät sekä tiedotettava työntekijöille valvonnan tarkoituksesta, käyttöönotosta ja siinä käytettävistä menetelmistä. Laki tulee lisäksi olla työntekijöiden nähtävissä, 23 § mukaan. Myös tietoyhteiskuntakaaressa on kohtia, joissa määritellään sallittavia toimenpiteitä tietoturvan toteuttamiseksi (110 §, 243 §, 272 §, 273 §). Tämän lisäksi on hyvä vielä varmistaa organisaation omilta lakimiehiltä ja HR-osastolta, että kaikki tarvittavat seikat on huomioitu.

maanantai 14. syyskuuta 2015

Potilastiedot alttiina hakkereille


Potilastiedot ovat nykyisin huomattavasti arvokkaampia tietomurtojen tekijöille kuin pankki- ja luottokorttitiedot sillä henkilötietojen muuttaminen ei ole yhtä yksinkertaista kuin luottokortin kuolettaminen. Tästä syystä kiinnostus potilastietojen anastamiselle on kasvanut eksponentiaalisesti, mutta sosiaali- ja terveydenhuollon palveluntarjoajien kyky tietojen suojaamiseen ei välttämättä ole kasvanut samaa tahtia.
 
KPMG:n (US) julkaiseman ”2015 KPMG Healthcare Cybersecurity” –tutkimuksen mukaan 80 prosenttia terveydenhuollon johtajista kertoo, että heidän organisaation tietoturva on vaarantunut haittaohjelman, palvelunestohyökkäyksen tai muun kyberhyökkäyksen seurauksena viimeisen kahden vuoden aikana.


keskiviikko 2. syyskuuta 2015

Käyttäjien manipulointi

Luin hiljattain hyvän artikkelin käyttäjien manipuloinnista (Cybersecurity on the World of Social Engineering, Reg Harnish). Harnish käsitteli aihetta erittäin hyvin ja toi esiin hyviä pointteja koskien juuri ihmisiin kohdistuvia tietoturvahyökkäyksiä, jotka toteutetaan käyttäjän manipulointia hyväksikäyttäen (Social Engineering).

Käyttäjän manipulointi on yksi tämän hetken suurimmista uhista liiketoiminnalle, yksityishenkilöille ja valtioille. Ihmiset joutuvat yhä useammin tietoturvahyökkäyksien kohteeksi, inhimillisten heikkouksien sekä kognitiivisen ajattelun puutteiden vuoksi. Tästä johtuen käyttäjän manipulointi tehoaa ja tulee menemään pitkään, ennen kuin ihmiset oppivat väistämään vaarat, jotka he kohtaavat.