torstai 8. syyskuuta 2016

Salasana on helppo vaihtaa, verkkokalvo onkin hankalampi...

Käyttäjätunnusten ja salasanojen määrä kasvaa edelleen vaikka sen hillitsemiksesi on pyritty keksimään monenlaisia tekniikoita. Yleisimpiä ovat apuohjelmat, joiden tarkoituksen on tallentaa salasanat yhden "kuningasavaimen" taakse ovat käteviä mutta niissä nousee huoli kaiken purkavasta salasanasta ja itse ohjelman turvallisuudesta.

Salasanojen korvaajiksi on ehdotettu myös biometrisiä tunnisteita. Tunnistusmenetelmiä on kehitetty erilaisiin  fyysisiin ominaisuuksiin perustuen, kuten sormenjälkiin ja verkkokalvoihin.
Uusimpana tällä listalla on sydämen syke, minkä jotkin asiantuntijat sanovat olevan vieläkin tarkempi tunniste.

Biomteristen tunnisteiden haasteista puhutaan, mutta mielikuvat liikkuvat usein melkein elokuvien tunnelmissa. "Mitäpä jos kyberkriminaali katkaisee sormeni ja murtautuu koneelleni?". Mielestäni tärkeämpi seikka piilee vaihdettavuudessa. Salasanan voi aina vaihtaa, sormenjälkeä tai verkkokalvoa ei niin helposti! Mitäpä jos massiivinen tietomurto paljastaa miljoonia verkkokalvojen tunnisteita? Pyytääkö palveluntarjoaja sinua kohteliaasti vaihtamaan takaisin salasanaan? Ja pahoittelee, ettet voi enää ikinä luottaa siihen, ettei juuri sinun iiriksen kuvaa käytettäisi identiteettivarkauteen?

Tämä herättääkin minulla ajatuksen, olisiko meidän nähtävä nyt inhokin ja kaikenlaisen halveksinnan kohteena olevat salasanat uudessa valossa. Niiden tarkoituksena on tarjota meille turvaa ja yksityisyyttä, mutta niiden luonteesta johtuen ne voidaan vaihtaa uuteen koska tahansa. Ja useimmiten selvitään vieläpä kohtuullisen pienellä harmilla. Salasanojen heikkouksia paikkaamaan voidaan sitten käyttää tilanteeseen soveltuen muita tekniikoita, kuten USB-avaimia ja kertakäyttöisiä koodeja.

Niiden käyttöön ja muihin tunnistamisen haasteisiin pystymme Opseciltä antamaan käytännön elämää helpottavia ja turvaavia ratkaisuja.

tiistai 9. elokuuta 2016

Hyvää palautumissuunnitelmaa rakentaa koko henkilöstö


Meiltä tilataan usein jatkuvuus- ja palautumissuunnitelmia erilaisten organisaatioiden käyttöön. Lähes aina tilaaja hämmästyy projektin aloituksessa, kun alamme kysellä muidenkin kuin IT-osaston yhteystietoja.
Jatkuvuussuunnitelmia ja palautumissuunnitelmia tehdään kahdesta syystä. Ensinnäkin tietenkin koko organisaation mahdollisimman häiriöttömän toiminnan varmistamiseksi. Toinen syy on tärkeämpi ja useimmiten unohtuu. Vaikka jatkuvuussuunnitelma olisi miten hyvä tahansa, jotain sattuu aina. Palautuminen vika-, onnettomuus- tai muista poikkeustilanteista on syytä suunnitelma etukäteen. Näin kaikki tapahtuu mahdollisimman nopeasti.



Yksi tärkeä syy koko henkilöstön osallistamiseen on tuotannon automatisoituminen. Tuotantotyössä on nykyään yhä enemmän tietotekniikkaa, jota käyttää ja ylläpitää suoraan tuotantotyöntekijät. IT-osasto ei välttämättä edes tunne kaikkia suoraan tuotantoon tilattuja järjestelmiä. Niiden kriittisyyden ja toiminnan osaa arvioida parhaiten niitä käyttävä henkilöstö. Tuotantotyötä tekevät osaavat myös määritellä kriittisen tiedon arvon paremmin. IT-henkilöstö on enemmän kiinnostunut laitteiden ja alustojen toiminnasta, ei niinkään niiden sisällöstä. Kun taas tuotantotyöntekijät ovat kiinnostuneita juuri sisällöstä enemmän kuin laitteiden ja järjestelmien toiminnasta. Ja järjestelmien sisältämä tieto on organisaatiolle se arvokkain asia.


Koulutettu henkilöstö paras sensori häiriötilanteiden ennaltaehkäisyssä. Tästä syystä IT-osaston on syytä kuunnella käyttäjiä hyvin tarkkaan. Kattava valvontajärjestelmä on tietenkin syytä olla. Mutta sen kautta ei nähdä kuin yksittäisiä tapahtumia. Henkilöstö auttaa näkemään kokonaisuuden. Jos IT-osasto huomaa yhtäkkiä kielletyn yhteysyrityksen työasemalta jollekin serverille, se ei ole heille ongelma. Yhteysyritys oli kielletty ja se terminoitiin. Jos lisäksi käytössä olisi tieto henkilöstöltä, että samaan aikaan joku yritti avata sähköpostissa ollutta toimimatonta liitettä, olisi juttu toinen. Ongelmaa tutkittaisiin haittaohjelman leviämisenä, eikä todettaisi vain yhden kielletyn yhteysyrityksen ongelmaa ratkaistuksi. Yhteyden terminointihan ei tuhoa haittaohjelmaa, vaan se jää ympäristöön odottamaan uutta mahdollisuutta.


Henkilöstö on hyvä arvioimaan myös toiminnan kannalta poikkeavia hiljaisia merkkejä. Miksi joku kone takkuilee vaan tiettynä aikana, minkä vuoksi joku rutiiniajo vie liian kauan, miksi tiettyä tietoa ei löydy sieltä, missä se on aina sijainnut? Usein nämä hiljaiset merkit ovat ensimmäisiä viestejä siitä, että jotain on pielessä. Siksi koulutetun työntekijän intuitio on parempi poikkeamien havainnointi- ja ennaltaehkäisytyöväline kuin yksikään tähän tarkoitukseen rakennettu automaattinen järjestelmä.


Viimeisimpänä koko henkilöstön osallistamisen puolesta puhujana nostan esiin kriisiviestinnän. Kun jotain poikkeavaa tapahtuu, on kaikkien kuitenkin tiedettävä, miten asioista viestitään ja kenelle. Tähän liittyy niin organisaation sisäinen viestintä kuin organisaation ulkoinenkin viestintä. Palautumistilanteessa tarvitaan usein henkilöstöhallintoa, viestintää, verkkosivuylläpitoa ja esimerkiksi myyntiedustajia isomman tuotannollisen ongelman ratkaisun aikana.

maanantai 18. huhtikuuta 2016

Kybervakuutukset


Monenlaiset kyber- ja IT-vakuutukset ovat alkaneet yleistyä maailmalla. Ne voivat olla hyvä täydentäjä organisaation riskienhallinnalle. Mutta yksistään vakuutus ei riitä. Tässä muutama huomioitava asia.  

Tärkeää niistä on ensinnäkin selvittää, mitä ne kattavat ja mitä eivät. Harva kattaa esimerkiksi toiminnan keskeytymisestä aiheutuneen tuotantokatkon vuoksi saamatta jäänyttä liikevaihtoa. Lisäksi IPR-oikeuksien menetys tai joutuminen kolmansille osapuolille on erittäin vaikeasti mitattava vahinko ja usein korvausten ulkopuolella. Korvausluokissa voi olla kattoja, jotka on syytä tarkistaa. Esimerkiksi viestintä- tai tutkintakustannukset voivat olla vaikkapa tietomurtotapauksissa hyvinkin suuria.

Yhtä vaikeaa kuin IPR-oikeuksien arvon mittaaminen on myös brändivahinkojen mittaaminen. Organisaation julkisuuskuvalle aiheutunut vahinko voi olla hyvin suuri, mutta aina vakuutusten ulkopuolella. Kaikki eivät myöskään korvaa fyysisiä vahinkoja, vaikka ne aiheutuisivatkin esimerkiksi SCADA:n tai muun tietoteknisen ympäristön ohjauksen ongelmista. Valtioiden välinen tai sellaiseksi luokiteltava toiminta on usein myös korvausten ulkopuolella. Tämä kannattaa huomioida, jos organisaatio on toimittajana tai kumppanina mukana verkostossa, joka voisi edes välillisesti vetää puoleensa valtiolähtöisiksi luokiteltavia toimijoita. Julkisuudessa näkee tämän tästä erilaisten hyökkäysten alkuperän arviointia - mielenkiintoista on myös se, millä perusteella vakuutuksen antaja luokittelee tapahtuman alkuperää.

Tahallisesti tai huolimattomuudella aiheutettu vahinko on myös lähes aina kaikenlaisen vakuuttamisen ulkopuolella. Niin myös näissä vakuutuksissa. Tahallisesti aiheutetulle vahingolle ei tietoteknisissä ympäristöissä ole aina yksinkertaista löytää korvaajaa. Ja vaikka se olisi mahdollista, on ICT-ympäristöjen luonteen ja niiden sisältämän tietomäärän vuoksi tutkinta usein aikaavievää.

Mutta tärkein huomioitava kohta on huolimattomuudella aiheutettu vahinko. Vakuutukset sisältävät usein tiettyjä velvoitteita, jotka yrityksen on hoidettava vakuutuksen voimassaolon edellytyksenä. Niiden tulkinta voi olla joskus organisaatioissa hyvin vaikeaa. Ja kokemuksesta tiedän, että vakuutuksen antajakaan ei osaa aina tyhjentävästi kertoa, millainen ratkaisu heillä täyttää vakuutuksen huolehtimisvelvoitteen vaatimukset. Vaikka huolehtimisvelvoitteet ovatkin paperilla usein helppoja "rasti ruutuun" -tehtäviä, kannattaa niiden toteutumisesta olla varma. Ihan yksinkertaiset toimet eivät aina riitä täyttämään niiden vaatimuksia. Joidenkin vakuutusten tietoturvavaatimukset ovat myös niin korkeita, että on syytä epäillä vakuutukselle jäävän mitään tarvetta enää sen vaatimusten toteuttamisen jälkeen.

Mikään ei ole organisaation kannalta pahempaa kuin riskikontrolli, joka ei riskin toteutuessa toimi. Mikään kybervakuutus ei siis korvaa orgnisaation omaa huolellista tietoturvatyötä ja varautumissuunnittelua. Mutta täydentäjänä ne voivat olla hyviä.


keskiviikko 20. tammikuuta 2016

Kenelle varmuuskopioit?

Eräs yleinen organisaatioiden turvallisuuteen liittyvistä puutteista liittyy varmuuskopiointiin. Hyvin monessa organisaatiossa ne jo löytyvät, mutta se miten näitä tietokokoelmia säilytetään, vaihtelee suuresti.

Lähtökohtaisesti varmuuskopioilla on koottuna kaikki organisaation tieto yhteen paikkaan. Joskus jopa kaikki sellainenkin tieto, jota ei ole varsinaisesti tarkoitettu sinne. Esimerkiksi työntekijöiden henkilökohtaiseenkin viestintään liittyvää tietoa voi päätyä organisaation varmuskopioille. Esimerkiksi silloin, jos joku työntekijöistä varmuuskopioi vaikka kännykkänsä työkoneelle, joka varmuuskopioidaan yrityksen omaan järjestelmään. Näin varmuuskopiot voivat sisältää tekstiviestejä, puhelutietoja ja muuta henkilöiden viestintäkäyttäytymiseen ja verkostoihin liittyvää tietoa. Varmuuskopioiden sisältämä tieto on joskus paljon enemmän, kuin organisatiosta haluttaisiin edes kertoa ulos. Eikä ihme, että ne siksi kiinnostavat ulkopuolisia.

Varmuuskopioihin liittyy myös hiukan psykologinenkin ongelma. Niitä kerätään itse ja niitä harvoin tarvitaan. Pahimmassa tapauksessa ei aina pidetä edes tarkasti kirjaa siitä, mihin tietoja on varmuuskopioitu. Niiden säilytyksen aikaiseen suojaamiseenkaan ei välttämättä muisteta panostaa yhtä paljon kuin organisaation operatiivisessa käytössä olevan tiedon suojaamiseen. Varmuuskopiot tosin kiinnostavat uteliasta usein todella paljon jo edellisessä kappaleessakin mainittujen seikkojen takia. Lähtökohtaisesti varmuuskopiot pitää suojata aina samalla tavoin kuin niiden sisältämä arkaluontoisin tieto suojattaisiin.

Jos varmuuskopiot ovat helposti saatavilla, avaavat ne myös hyökkäysvektorin organisaation sisään. Maailmalta löytyy esimerkkejä siitä, että varmuuskopiot on ensin saastutettu haittaohjelmilla ja kun niiltä palautetaan tuotantoon aineistoa, päätyvät haittaohjelmat tuotantoympäristöihin. Koska varmuuskopioilla on organisaation kaikki tieto, on hyökkääjällä mahdollisuus sovittaa ja valita haittaohjelmat siten, että niiden havaitsemisen todennäköisyys on todella pieni. Varmuuskopioiden suojaaminen pitäisi siis olla suunnittelupöydällä heti siitä hetkestä alkaen, kun niitä aletaan organisaatioissa tekemään.


perjantai 2. lokakuuta 2015

Mainos voi tuoda haittaohjelman koneellesi – vaikka et edes klikkaisi mitään

Muistatko päivittää käyttämäsi ohjelmistot ? Vai kannattaako päivittämistä edes jättää muistin varaan ?

Luotettavaksi tunnetun verkkomainostajan mainos voi ohjata selaimen haittaohjelmia levittävälle palvelimelle, joka tartuttaa selaimeen haittaohjelmia. Haittakoodin levittäjät esiintyvät luotettavina mainostajina. He rekisteröityvät tunnettuihin mainosverkkoihin, joiden mainoksia on esillä niinikään luotettavina pidetyillä verkkosivuilla.

Haittaohjelmien levittäjät käyttävät myös murrettuja www-sivuja, jotka ulkoisesti muistuttavat luotettavana pidettyä sivustoa. Haittaohjelmat voivat levitä myös luotetuilla sivustoilla näytettävien
mainosten yhteydessä ilman, että sivustoa on murrettu. Nämä ”malvertising- (= malware + arvertising) kampanjoiden luojat ovat onnistuneet liittämään tunnettuihin mainosalustoihin omia, haitallista sisältöä levittäviä palvelimiaan.

Haittaohjelma voi tarttua ilman, että käyttäjä edes klikkaa mitään epäilyttävää. Yksittäisen laitteen puhdistaminen on vielä kohtuullisen vaivatonta ja edullista. Mutta haittaohjelmien mahdollisesti tuhoamien tiedostojen menetys voi olla isompi ongelma.


Tilanne on vakavampi, jos useita yrityskäytössä olevia työasemia saastuu. Haittaohjelmat voivat aiheuttaa liiketoiminnan kannalta kriittisen tiedon häviämistä tai sen joutumista vääriin käsiin. Tämä saattaa pahimmassa tapauksessa vaarantaa toiminnan jatkuvuuden ja johtaa suuriinkin kustannuksiin.

Suojautuminen

Haittaohjelma saattaa tarttua todella huomaamattomasti aivan arkisessa käytössä, käyttäjälle tämä ei juuri näy ja tähän haittaohjelmien levittäjät pyrkivätkin. Virusten leviäminen voidaan kuitenkin helpoiten estää päivittämällä käyttöjärjestelmä ja sen ohjelmistot sekä selaimet ja niiden liitännäiset uusimpiin ohjelmistoversioihin. Myös virustorjuntaohjelmistot on pidettävä ajan tasalla. Työasemilta ja verkkolevyiltä on myös syytä ottaa säännöllisin väliajoin varmuuskopiot ja siirtää ne erilliseen paikkaan.

Arjen kiireessä nämä ennaltaehkäisevät toimet usein unohtuvat ellei yrityksen käyttöön ole hankittu järjestelmän päivitys- ja ylläpitopalvelua, joka automaattisesti päivittää ohjelmistot uusimpiin
saatavilla oleviin versioihin. Tällainen automatiikka on käytössä muun muassa kaikilla Opsecin IT-päällikkö -asiakkailla. Jos tarvitset apua ohjelmistojesi ylläpidossa, valvonnassa tai muissa tietoturvaan liittyvissä asioissa, ota yhteyttä !

-Mika Kuusisaari, Opsec Oy
mika.kuusisaari@opsec.fi
020 198 6697

Lähde:
https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2015/09/ttn201509171541.html

 
Aiheesta lisää:

keskiviikko 30. syyskuuta 2015

Opsec Ketterä teollisuus – hankkeen aloitusseminaarissa


Ketterä teollisuus – hanke starttasi eilen aloitusseminaarilla Seinäjoella. Hankkeen tarkoituksena on lisätä tietoisuutta digitalisoinnin ja teollisen internetin hyödyntämisen mahdollisuuksista PK-teollisuudessa. Hankkeen toteutuksesta vastaavat yhteistyössä Seinäjoen ammattikorkeakoulu, Tampereen teknillinen yliopisto ja Etelä-Pohjanmaan liitto.

Pk-teollisuus digiaikaan

Nykypäivän PK-teollisuudessa tuotannon ohjaus ja tuotannon ”ketteryys” on nousemassa kriittiseksi menestystekijäksi. Teollinen tuotanto tänä päivänä rakentuu usein pitkistäkin alihankintaketjuista. Teollinen lopputuote on lähes aina alihankintaketjun tulos. Lisäksi PK-teollisuudessa entistä tärkeämpää on pystyä ketterästi reagoimaan markkinoilla tapahtuviin muutoksiin; kysynnän kausivaihteluihin, ansaintalogiikan muutoksiin jne. Tuotannonohjauksella ja tuotannon optimoinnilla on tässä keskeinen merkitys.

Perinteisesti PK-teollisuuden tuotannon ict -järjestelmiä on toteutettu ja ylläpidetty suljetuissa ympäristöissä. Nykyään kuitenkin tuotantoa ohjataan erilaisten internetin yli toimivien järjestelmien avulla ja järjestelmien tarvitsema tieto on pilvipalvelimilla. Näin siitä syystä, että digitalisaatioon perustuvat järjestelmät oikein käyttettyinä tuottavat kustannussäästöjä ja mahdollistavat reaaliaikaisen tiedon saannin esim. tuotannon vaiheista, koneiden huoltoväleistä, tuotannon vika- tai häiriötilanteista ym. Nykypäivän tuotantopäällikkö tietää lähes reaaliaikaisesti mitä 100m pitkällä tuotantolinjalla kulloisessakin vaiheessa tapahtuu, tieto kriittisistä poikkeamista välittyy heti ja häiriötilanteiden vahingot pystytään minimoimaan.

Digitalisaation avulla tuotantoa pystytään entistä joustavammin muokkaamaan asiakkaan toivomusten mukaan. Tämä on varsin tärkeä menestystekijä kilpailluilla markkinoilla.

Tietoa liikkuu yhä enemmän verkon välityksellä

Kriittinen menestystekijä on myös se miten oman liiketoiminnan kannalta tärkeä tieto suojataan ja varmistetaan toiminnan jatkuvuus myös tilanteissa, joissa toiminnan kannalta tärkeää tietoa katoaa tai se joutuu vääriin käsiin.

Jokaisen organisaation onkin syytä miettiä :
  • Mitä suojataan ?
  • Mikä uhkaa toiminnan jatkuvuuden kannalta kriittisiä tietovarastoja ?
  • Millä keinoin päästään hyväksyttävään riskitasoon ?

Jari Latvala Opsec Oy:stä piti Ketterä teollisuus – hankkeen aloitusseminaarissa esityksen kyberturvallisuudesta ja uhkiin varautumisesta. Jarin esitys on nähtävissä alla olevan linkin kautta.

https://prezi.com/mbjrne9bfyxe/mita-on-kyberturvallisuus/

Lähes jokaisessa organisaatiossa on toiminnan jatkuvuuden kannalta kriittistä tietoa ja lähes yhtä varmaa on, että tuo tieto on jonkinasteisesti tai jollain tavalla uhattuna. Miten sinun organisaatiosi on varautunut tietoturvauhkiin? Jos tarvitset apua tietoturvallisuuden hallinnassa, suunnittelussa tai tason todentamisessa, ota yhteyttä!

-Mika Kuusisaari, Opsec Oy
 mika.kuusisaari@opsec.fi
 020 198 6697 

torstai 10. syyskuuta 2015

Identiteettivarkaus on oikea rikos


Identiteettivarkaus eli toisen henkilötietojen oikeudeton käyttö ei sellaisenaan ole aiemmin ollut rikos, ellei siihen ole liittynyt esimerkiksi toisen kunnian loukkaamista tai petosta.

Nettipoliisi Marko Forssin mukaan teko olisi pitänyt kriminalisoida jo vuosia sitten. Nyt ihmisillä on jo vahva mielikuva siitä, että somen valeprofiilit eivät ole rikollisia.

Nyt rangaistavaa on periaatteessa myös pelkän valeprofiilin tekeminen, jos laissa säädetyt edellytykset täyttyvät. Toisen nimissä esiintymisestä tulee asianomistajarikos eli poliisi tutkii juttua vain, jos uhri vaatii tekijälle rangaistusta.

Lakiteksti on muotoiltu siten, että identiteettivarkaudesta voidaan tuomita:
  • jos erehdyttääkseen kolmatta osapuolta käyttää oikeudettomasti toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa ja aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa.
  • Laki koskee yksityishenkilöiden lisäksi myös esimerkiksi yrityksiä.
Laissa mainitun haitan tulee siis olla vähäistä suurempi. Käytännössä esimerkiksi tilanteet, joissa varastetulla identiteetillä on tehty petos, jonka seurauksena syntyneiden aiheettomien laskujen selvittäminen vie aikaa ja vaivaa. Myös toisen henkilötiedoilla luodun valeprofiilin poistaminen saattaa olla hyvinkin hankalaa ja aikaa vievää. Tällaiset tilanteet voivat esimerkiksi johtaa lain mainitsemaan vähäistä suurempaan haittaan.

Some-rikokset arkipäiväistyvät mutta keinot niiden estämiseen eivät

Sisäministeriön poliisitarkastaja Antti Simanainen kritisoi, sitä, että juttujen selvittämiseksi tarvittavien tunnistamistietojen hankinta voi osoittautua ongelmalliseksi. Identiteettivarkaus ei nimittäin mahdollista televalvonnan käyttöä pakkokeinona.

Edelleen parhaimpana mahdollisuutena säilyy se, että asianomainen itse ilmoittaa omalla oikealla profiilillaan asiasta palvelun ylläpitoon, jolloin väärä profiili usein poistuu parhaiten. Nähtäväksi jää antaako lainsäätäjä viranomaisille riittävät työkalut identiteettivarkauksien tehokkaaseen tutkintaan.

Sosiaalisen median käyttö kasvaa ja sen tarjoamat palvelut ja sovellukset monipuolistuvat entisestään. Voi hyvin olettaa, että sosiaalista mediaa hyväksi käyttävä rikollisuus kasvaa vähintäänkin samassa tahdissa.

-Mika Kuusisaari, Opsec Oy

Lähde: