Ads 468x60px

torstai 31. joulukuuta 2015

Ennustuksia vuodelle 2016

Vielä ehtii kirjoittaa ennustuksia vuodelle 2016, onneksi ei jäänyt viime tippaan :-)

Useat tietoturva-alalla toimijat julkaisivat kirjoituksiaan ensi vuoden ennustuksista, tässä lyhyt katsaus niihin ja muutama muukin poiminta.

Linkkejä ennustuksiin, joita käytetty tämän blogin lähteenä. Niissä on tietysti kerrottu kattavammin tulevaisuuden näkymistä ja sisältävät paljon asioita, mistä en tässä blogissa kirjoita.
Hyökkäykset kotireitittimiä vastaan
  • Vuonna 2015 nähtiin hyökkäyksiä kotireitittimiä vastaan enemmän kuin koskaan aiemmin. Operaattori ei laitteita kovin hanakasti päivitä ja asiakkaat eivät ole asiasta tietoisia, eivät omaa taitoja päivitysten tekemiseen tai eivät tiedä päivitystarpeesta. Jatkossa kun IoT yleistyy ja kotona Internetiin yhteydessä olevien laitteiden määrä moninkertaistuu nykyiseen verrattuna, olisi syytä parantaa myös kotiverkkojen tietoturvaa. Ikäjakauma kun vielä levenee yläpäästä, niin jonkun kannattaisi kehittää kotikäyttäjille tietoturvasta palvelua - tulevaisuudessa sille voisi olla entistä enemmän kysyntää.
Mobiililaitteita vasten hyökätään enemmän ja niitä hyödynnetään hyökkäyksissä, enimmäkseen Andoidia, mutta myös iOSia.
  • Kännyköillä, tableteilla yms. käsitellään ja säilytetään yritysten dataa, joten niiden suojaukseen tulisi kiinnittää aiempaa enemmän huomiota, siis keskitetty mobile device management ja haittaohjelmasuojaus kuntoon!
Mobiilimaksaminen ja mobiililompakot yleistyvät
  • Näin tullee tapahtumaan jos ei nyt vielä 2016, niin väistämättä kuitenkin. Tämä lisää entisestään tarvetta mobiililaitteiden suojausten suhteen.
 Selainten mainoksia estävät liitännäiset "tappavat" malvertisement hyökkäykset
  • Mainoksia hyödyntäviä hyökkäyksiä nähtiin viime vuonna enemmän kuin koskaan aiemmin. Tietoisuus hyökkäyksistä on lisääntynyt ja siten myös niiden estäminen yleistynyt. Itsekin käytän mainosten ja skriptien rajoittamiseen tarkoitettuja lisäosia paitsi tietoisena siitä, että mainokset voivat olla haitallisia - myös siksi, että minusta ei kerättäisi niin paljoa tietoa, sivut latautuvat nopeammin ja kaistaakin säästyy.
Yrityksissä tietoturvatietoisuuden lisäämiseen panostetaan enemmän
  • Tämä on toivottava kehitys. Mikäs se olikaan se heikoin lenkki? Käyttäjien koulutus maksaa itsensä takaisin!
Lainsäädäntö kehittyy ja ottaa kyberuhat entistä paremmin huomioon
  • Lainsäädäntö ei monessa maassa ole ihan nykypäivän tasalla ja syytä uudistamiseen on. Kehitys on siis toivottava. Lainsäädännön myötä voi tulla nykyistä enemmän velvoitteita. Tietoturva-ammattilaisten rooli korostuu jatkossa.
Tietoturvauhkilta puolustautumiseen tulee lisää resursseja ja budjettia, kun tietomurrot lisääntyvät
  • Osaaville tietoturva-ammattilaisille on jatkossa töitä. Tietoturva nähdään monissa yrityksissä entistä tärkeämmässä roolissa. Onkin ennustettu, että vuoteen 2018 mennessä tietoturva-ammattilaisten tarve kasvaa 53%.
DDoS kiristykset yleistyvät
  • Vaaditaan maksua bitcoineissa tms. ja jos ei suostuta, niin tehdään vaikka palvelunestohyökkäys tai jatketaan ja voimistetaan käynnissä olevaa hyökkäystä. Tätä on nähty jo aiemmin ja kiinnikin on jääty. Näitä tullaan näkemään varmasti jatkossakin. Kannattaa pysähtyä miettimään, miten teillä on varauduttu.
Suuria tietomurtoja tapahtuu
  • Turha väittää vastaan, mihinkäs tämä tilanne tästä muuttuisi - ei ainakaan parempaan suuntaan. Isoja otsikkoja on ensi vuonnakin luvassa. Tänä vuonnakin suuria tietomurtoja oli paljon ja niistä läheskään kaikki eivät päätyneet otsikoihin.
Digitalisaatio kasvaa tietoturvaa nopeammin
  • Kaikkea ei pystytä hallitsemaan ja se on tosiasia. Kruununjalokivistä tulee kuitenkin pitää hyvä huoli ja keskittyä tärkeimmän tieto-omaisuuden suojaamiseen ja varmistamiseen.
IoT yleistyy ja laajentaa hyökkäysmahdollisuuksia, uudentyyppiset laitteet, sovellukset ja käyttöjärjestelmät/OS-versiot – uusia mahdollisuuksia hyökkääjille
  • Puettavat laitteet, älykellot, älytelevisiot, jääkaapit, valaistus, valvontakamerat, älysensorit, autot, lukot, terveystuotteet, you name it! ... näitähän löytyy ja tulee koko ajan lisää - Internetissä olevien laitteiden määrä lisääntyy huimaa vauhtia. Kiire tuoda uusia laitteita markkinoille on kova ja aina ei varmastikaan tietoturvaa oteta huomioon kehityksessä siinä määrin kuin kuuluisi. Uusista laitteista saa aikaan aika messevän bottiverkon ...
Pilvipalvelut jatkavat yleistymistään, mutta myös pilvitietoturvan käyttö lisääntyy
  • Pilvitietoturva laahaa vähän jäljessä, mutta viimeisen vuoden aikana on ollut nähtävissä muutosta parempaan suuntaan. Pilvipalveluiden käyttö kuitenkin lisääntyy jatkossa; ovat halvempia, nopeita ottaa käyttöön ja helppokäyttöisiä. Tulisi kuitenkin kiinnittää huomiota siihen missä se data sijaitsee, mitä tietoa pilveen tallennetaan ja mitä niissä sopimuksissa sanotaan. Kaikkea ei kannata pistää pilvipalveluiden päälle. Jos verkkoyhteyksissä tahmaa tai ovat jonkin aikaa kokonaan pois käytöstä, niin pahimmassa tapauksessa liiketoiminta seisoo.
Incident Response yleistyy ja siihen panostetaan enemmän
  • IR rooli korostuu jatkossa. Suojauksista huolimatta voidaan tulla läpi ja sen jälkeen on osaamiselle kysyntää. Lokitus keskitettyyn järjestelmään, joka on kykeneväinen eri lähteistä saadun datan korrelaatioon - on syytä olla kunnossa, jotta on todistusaineistoa mitä tutkia. 24/7 SOC / NSOC toiminnan ja tilannekuvan soisi yleistyvän.
Salauksen käyttö lisääntyy entisestään (on ollut nähtävissä jo since Snowden …)
  • Aihepiiriin liittyen kirjoitin tästä blogin taannoin, tosin salatun liikenteen purkamisesta. Riippuen siitä miltä kantilta asiaa tarkastelee, salauksen käyttö on joko hyvä asia tai sitten vaikeuttaa tietoturvan toteutumista, kun dataa ei voida tarkistaa haittaohjelmien varalta.
Virtuaaliympäristöjen tietoturva kehittyy
  • Samalla kun pilvipalveluiden käyttö lisääntyy ja ympäristöt toimivat entistä enemmän virtualisoituina, on tietoturvaliiketoiminta asian tiimoilta lisääntynyt ja uusia ratkaisuja turvaamiseen tulee jatkuvasti. Tämä kehitys jatkuu ensi vuonna ja oli jo tänä ja viime vuonna voimakkaasti nähtävissä.
 Riskit hyökkäyksistä kriittisiä infrastruktuureja vastaan kasvavat
  • Varsin pelottava uhkakuva. Näitä esimerkkejä on nähty viime vuosina; ydinvoimaloita, patoja, SCADA-ympäristöjä (Supervisory Control And Data Acquisition), ICS-ympäristöjä (Industrial Contol System), liikenteen ohjausta, lentokoneita, Suomessa ulkoministeriö, jne. Pahimmassa tapauksessa hyökkäyksen seurauksena voi olla ihmishenkien menetys. Kriittisten infrastruktuurien suojaamiseen tulisi jatkossa panostaa huomattavasti nykyistä enemmän, työkaluja ja keinoja kuitenkin löytyy.
Biometrinen tunnistus yleistyy
  • Tätä on odotettu tapahtuvaksi jo monta vuotta, we'll see. Kyllä biometrisen tunnistuksen kiertämiseenkin keinot löytyy, joskin varmasti lisää vaikeuskerrointa - ja voihan sen yhdistää toiseen tunnistautumistapaan, jolloin saadaa 2FA, two-factor-authentication (what you have, what you know)
Ransomware jatkaa yleistymistään
  • Helppo olla samaa mieltä tämän ennustuksen kanssa. Viheliäinen haittaohjelma. Sääntö nro.1 - huolehdi datan varmistuksista. Sääntö nro.2 - älä maksa rikollisille mitään. Lisäksi ilmoita viranomaisille. Sääntö numero 1 unohtuu liian usein loppukäyttäjiltä. Tiedostot ovat omalla kannettavalla ja siitä ei mene automaattisesti varmuuskopioita, VIRHE. Joko organisaatiossa tulisi olla ratkaisu käytössä, joka varmistaa myös kannettavan tiedot tai data tulisi tallentaa verkkolevylle tai muualle kuin kannettavan omalle levylle.
Vaikeasti tunnistettavat kyberhyökkäykset yleistyvät
  • Ennustus osuu aika varmasti oikeaan. Haittaohjelma voi olla ympäristössäsi hyvinkin pitkiä aikoja huomaamatta. Siinä vaiheessa kun havainto tehdään, hyökkääjän päämäärä on jo luultavimmin saavutettu ja arkaluontoista tietoa, yrityssalaisuuksia tms. voinut vuotaa ulkopuolisille. Edistyneitä ratkaisuja havainnointiin on saatavilla, mutta niitä hyödynnetään vielä valitettavan vähän. Edelleenkin liian monissa ympäristöissä luotetaan pelkästään perinteiseen palomuuriin, työasemien ja palvelinten virustorjuntaan ja roskapostisuodatukseen ja muut edistyksellisemmät keinot loistavat poissaolollaan. Toki pelkkien uusien ratkaisujen hankkiminen ei takaa, etteikö ympäristöä korkata, mutta pienentävät mahdollisuutta - huomattavaa myös on, että ratkaisujen ylläpito ja seuranta tulee olla asianmukaisesti ja ammattimaisesti järjestetty, niin että niistä saadaan täysi hyöty irti.
Kybervakuutusten ottaminen lisääntyy
  • Varmastikin näin. Täytyy myöntää, että en tiedä vakuutusten ehdoista, mutta voisin kuvitella niiden vaativan tietyn tietoturvatason ja kontrollien olemassaoloa tällä hetkellä, joten tietty baseline tullee olla kunnossa, jotta vakuutus voidaan myöntää.
Tunnistamattomia, odottamattomia asioita voi tapahtua, joita et ole osannut edes ajatella
  • Voi tietysti heittää vastapalloon, että miten puolustautua siltä mitä ei tiedä ...? Puolustautua ei välttämättä voikaan, mutta jatkuvuussuunnittelua ja riskienhallintaa voi silti toteuttaa. Onko sinulla suunnitelma, miten rakentaa uudelleen koko verkkopalvelut? Entä jos joku on ottanut koko verkon haltuunsa? Prosessit, menettelytavat on syytä olla etukäteen mietittynä, jos jotain ennustamatonta tapahtuu. Me tietysti voimme auttaa nykytilan kartoittamisessa ja varautumissuunnitelmien laadinnassa.
Lopuksi, tiedätkö mitä verkoissasi liikkuu? - jos et tiedä tai olet epävarma - ota meihin yhteyttä. Voimme selvittää, onko mahdollista tietomurtoa tapahtunut tai peräti käynnissä.

Voimme auttaa myös mm. forensiikassa, tietoturvan haasteissa ja kysymyksissä sekä lainsäädäntöön ja YT-menettelyyn liittyvissä kysymyksissä - asioissa, joita vaaditaan, kun suunnitellaan ratkaisujen käyttöönottoja. Voimme myös tulla tarkastamaan missä kunnossa tietoturva yrityksessänne tällä hetkellä on ja mitä tulee tehdä, jotta sen taso paranisi.

Hyvää ja turvallista Uutta Vuotta 2016 !

Pitäkää suojauksesta huolta - lasit päähän kun ammutte raketteja !

Ensi vuonna sitten nähdään mitkä ennustuksista lopulta pitivät paikkansa.

Update 4.1.2016. Viestintävirasto julkaisi hyvän kirjoituksen, Tee kyberlupaus vuodelle 2016! Kirjoituksessa on varsin hyviä pointteja, joita noudattamalla tietoturva toteutuisi astetta paremmin.

maanantai 14. joulukuuta 2015

Esineiden internetin ekosysteemin turvallisuus

Ole innovatiivinen ja rohkea sekä tee se turvallisesti!

KPMG:n esineiden internetin ekosysteemin turvallisuustutkimuksen mukaan esineiden internetin teknologiayrityksien tulee olla nopeita, huolellisia ja päättäväisiä ratkaistakseen esineiden internetin luottamukseen, yksityisyyteen ja turvallisuuteen liittyvät kysymykset jo ennen kuin ne törmäävät ongelmiin:
  • Kuinka saadaan asiakkaiden luottamus?
  • Kuinka luottamuksellinen tieto suojataan?
  • Kuinka esineet ja infrastruktuuri suojataan ja varmennetaan?
Yritykset, jotka eivät näitä ratkaise, tulevat kohtaamaan haasteita liiketoimintansa kasvattamisessa.

KPMG määrittelee esineiden internetin älykkääksi ympäristöksi, joka on teknologian, verkkojen, datan, analytiikan ja pilven palveluiden yhdistelmä, jossa arkipäivän esineiden ominaisuudet ja toiminnot paranevat interaktiivisuuden ja verkottumisen avulla.

Uskomme, että esineiden internetin teknologiaratkaisujen infrastruktuuri- ja palveluyrityksien tulee yhdessä luoda yhteiset esineiden internetin suojaamisen ja varmentamisen hyvät käytännöt ja standardit, joiden mukaan kaikki voivat elää ja kasvaa. Nykyhetken pirstaleiset ja kilpailevat käytännöt ovat käyttäjille monimutkaisia ja vaikeita sekä ja hidastavat esineiden internetin kasvua.

KPMG:n esineiden internetin ekosysteemin turvallisuustutkimuksessa
  • käsitellään sekä luottamuksen, yksityisyyden suojaamisen ja turvallisuuden varmentamisen haasteita, jotka vaikuttavat esineiden internetin ekosysteemiin,
  • joitakin alalle syntyviä malleja ja mahdollisuuksia, ja
  • annetaan käytännönläheisiä neuvoja esineiden internetin pelureille.

Suurimmat haasteet

Tutkimuksen mukaan suurimpia haasteita luottamuksen, suojaamisen ja varmentamisen saralla ovat mm.
  • Suurin osa tutkimukseen vastaajista myöntävät etteivät täysin ymmärrä mitä kyberturvallisuuden uhkia ja riskejä teknologia tuo mukanaan. Parhaimmat alan yritykset ovat ottaneet integroidun turvallisuuden yhdeksi kriittiseksi menestystekijäksi.
  • Vaikka asiakkaat eivät ole halukkaita maksamaan lisää luotettavasta esineiden internetin suojauksista, toteutuneet esineiden internetin ratkaisujen häiriöt ja hyökkäykset niitä vastaan ovat aiheuttaneet asiakkaiden luottamuksen menettämisen ja asianmukaisesti suojaamattomien esineiden internetin ratkaisujen käyttämisen välttelemisen.
  • Suurin osa käyttäjistä ja alan yrityksien hallituksen jäsenistä on hyvin huolissaan kyberhyökkäyksen uhata esineiden internetin ratkaisuja vastaan.
  • Sensorien, datan, infrastruktuurin ja pilven turvamekanismit tulee suunnitella esineiden internetin ratkaisujen osaksi jo alusta lähtien.

Hyvät käytännöt ja niiden yhdenmukaistuminen kilpailuvalttina

Massiivisen kasvun ja alati uusien esille nousevien esineiden internetin ratkaisujen villissä lännessä kultasuoneen iskeviä pioneereja ei säädellä juuri lainkaan. Alan teknologiayrityksien, käyttäjien ja säätelyviranomaisten on muodostettava yhdessä alan ekosysteemin hyvät käytännöt ja standardit. Useimmiten vasta yleisesti hyväksyttyjen standardien asettamisen jälkeen uudet innovaatiot voivat saavuttaa valtavirran massojen hyväksynnän. Esineiden internetin yritykset ovat muodostaneet jo toistakymmentä yhteenliittymää luodakseen ja kaupallistaakseen alalle standardeja mikä on johtanut kiristyvään kilpailuun alalla. Kaikki yhteenliittymät ovat miettimässä samaan aikaan luottamuksen, turvallisuuden ja yksityisyydenhallinnan käytäntöjä ja standardeja alalle. Tästä huolimatta useimmat pienet alan yritykset ovat odottavalla kannalla asiakkaidensa lailla, mikä käytäntö tai standardi tulee vallitsevaksi. Yrityksien pitäisi kuitenkin pyrkiä yhteistyöhön mukaan päästäkseen vaikuttamaan käytäntöjen ja standardien sisältöön.

Luottamus, yksityisyys ja turvallisuus

KPMG:n tutkimuksen mukaan parhaiten menestyvät esineiden internetin ratkaisujen toimittajat ovat todennäköisimmin ne yritykset, jotka ovat ottaneet asiakkaiden luottamuksen, tiedon suojaamisen ja toimintojen varmistamisen yhdeksi tärkeimmistä tavoitteistaan. Harva alan yritys on kuitenkaan ottanut sensorien ja infrastruktuurin suojaamisen lisäksi painopistealueekseen asiakkaiden luottamuksen ja henkilötietojen suojaamisen.

Luottamuksen välttämättömyys
Esineiden internet syventää tuotteiden ja palveluiden integraatiota ja lisää tarvetta laadukkaille, intuitiivisille ja kokonaisvaltaisillekäyttäjäkokemuksille. Tämä vaatii asiakkaiden luottamuksen saavuttamista ja säilyttämistä ennen kaikkea pitkällä tähtäimellä. Myös brändi tulee tiiviimmin liittymään suoraan asiakkaan kokemukseen ja laatuun. Luottamus syntyy ja pysyy ensisijaisesti yrityksen kyvystä varmentaa esineiden internetin ratkaisut ja suojata niissä käsiteltävä asiakkaiden tieto. Jotkut alan yritykset voivat saavuttaa luottamusta välittävän luottopelurin roolin omassa ekosysteemissään omalla brändillään.

Yksityisyyden mahdollisuudet
Esineiden internetin yrityksillä on erinomainen tilaisuus neuvotella ja keskustella asiakkaidensa kanssa henkilötietojen käsittelyn suojauksista, jos kytkevät keskusteluun selviä hyötyjä asiakkaillensa. Yrityksillä on siten ainutlaatuinen mahdollisuus luoda asiakkaillensa hyödyllisiä palveluja ja samaan aikaan käsitellä asiakkaiden sensitiivisiä henkilötietoja luuotettavasti ja huolellisesti. Esineiden internetin asiakkaat ovat huomanneet, ei vain henkilödatansa, vaan myös käyttäytymisensä liittyvän datansa arvon. Luotettavasti ja huolellisesti anonymisoitu asiakasdata asiakkaidensa myötävaikuttamana on esineiden internetin yrityksille arvokas kauppatavara kunhan tekevät kristallinkirkkaaksi miten ja minkälaista dataa jaetaan kenenkin kanssa.

Turvallisuuden sisäänrakentaminen
Olemassa olevien teknisten tietoturvaratkaisujen hyödyntämisen lisäksi esineiden internetin laitteiden, infrastruktuurin ja pilven suojaaminen tulisi tehdä mahdollisimman lähellä osana esineiden internetin komponenttia riippumattomasti muiden komponenttien suojauksista: sensoreihin ja laitteisiin sisäänrakennetut suojamekanismit, jotka toimivat vaikka laitteet olisivat irti verkosta. Ohjelmakoodissa pitäisi olla sisäänrakennettuna turvallisuuteen liittyvät toiminnollisuudet. Keskitettyjä turvallisuusratkaisuja ei välttämättä ole mahdollista saada tehokkaiksi ja toimiviksi.

Ekosysteemin murros

Lopuksi, yksikään esineiden internetin yrityksistä ei voi ratkaista kaikkea itse, menestyminen alalla vaatii yrityksiä ja organisaatioita tekemään läheistä yhteistyötä ja solmimaan useita kumppanuussiteitä. Esineiden internetin ratkaisut vaativat keskimäärin useampia kumppaneita kokonaisvaltaisten ratkaisujen toimittamiseen kuin aikaisemmin. Teknologiaekosysteemien tyypillinen lineaarinen malli palvelutoimittajasta teknologiaratkaisutoimittajan, luottopelurien ja maksukanavien kautta asiakkaalle on muuttunut asiakaskeskeiseksi ekosysteemiksi, jossa asiakas on jokaisen esineiden internetin toimijan ympäröimänä. Esineiden internetin asiakas päättää valitsemalla toimijan, jolla on toimivin, helppokäyttöisin ja luotettavin ratkaisu. Pienillä aloittelevilla yrityksillä on mahdollisuus ansaita luotettavilla ratkaisuilla oikein verkostoituneina asiakkaiden luottamus hyvinkin nopeasti.

Lataa KPMG:n esineiden internetin ekosysteemin turvallisuuden tutkimus tästä.