maanantai 30. elokuuta 2010

Kuka saa selvittää tietorikoksia?

Ympäristön valvonta on oltava sillä tasolla, että tietorikos havaitaan ja tunnistetaan rikokseksi. Aina näin ei ole. Ja kuka sen lain mukaan saa varmistaa niin, että materiaali on laillisesti hankittu ja sillä on tarvittava painoarvo oikeudessa?

Tietorikosten hankaluus verrattuna omaisuusrikollisuuteen on usein sen varmistaminen, että onko mitään todella tapahtunut. Kun organisaatiolta katoaa omaisuutta, sen käyttö tuotannossa estyy ja rikos paljastuu. Kun yrityksestä katoaa tietoa, ei sitä voi havaita pelkästään seuraamalla omaa toimintaa. Tiedon abstraktius, kopiointimahdollisuus ja monet siirtotavat tekevät koko asiasta yleensä erittäin vaikeasti lähestyttävän asian. Tämä on usein syynä myös siihen, miksi tietorikokset eivät usein tule viranomaisten tietoon. Tämä puolestaan vaikeuttaa rikollisuuden ennaltaehkäisyä.

Yhteistyö viranomaisten kanssa on erittäin tärkeää. Poliisin tehtävä on oikeus- ja yhteiskuntajärjestyksen turvaaminen ja parhaiten se onnistuu yhteiskunnan toimijoiden kanssa yhteistyössä. Ei ole kenenkään etu, jos organisaatioissa esimerkiksi yritysvakoilu, tietovarkaudet, luvaton resurssien käyttö ja muu rikollisuus jää havaitsematta. Tällöin myös ennaltaehkäisevä työ hankaloituu. Viranomainen selvittää tapauksia, jotka tunnistetaan rikoksiksi tai on syytä epäillä rikoksen tapahtuneen. Syy siihen, miksi ilmoitukset jäävät usein tekemättä, on epäily siitä onko mitään edes tapahtunut. Organisaatiolla itselläänkin on tiettyjä oikeuksia tehdä selvityksiä, edellyttäen, että ympäristö täyttää lain vaatimukset kaikilta osin. Organisaation ulkopuolelta ostettuna taas rikosten paljastamiseen liittyvästä työstä on Suomen lainsäädännössä yksielitteinen ohjeistus.

Tietorikoksia ei voi selvittää kuka tahansa tilauksen perusteella. Laki yksityisistä turvallisuuspalveluista (2002/282) määrittelee rikosten paljastamisen luvanvaraiseksi toiminnaksi. Käytännössä se tarkoittaa sitä, että rikosten paljastamista tekevä organisaatio on oltava sisäasiainministeriön hyväksymä ja tarkastama liike, jolla vartioimisliikelupa ja jonka henkilöstö on koulutettu ministeriön ohjeiden mukaan. Myös toimijan käyttämien alihankkijoiden on täytettävä nämä vaatimukset.

OpSec Oy sai poliisihallitukselta oikeudet tietorikosten paljastamiseen johtavaan tutkintaan 21.6.2010. Henkilöstömme on nyt kokonaan koulutettu; viimeisten osalta sisäasiainministeriön määrittelemät tentit suoritettiin viime viikolla ja koko henkilöstömme on valmiina palvelemaan asiakkaitamme. Toimintamme perustuu ehdottomaan luottamuksellisuuteen toimeksiantajamme ja meidän välillä. Mieluiten teemme kanssanne ennaltaehkäisevää työtä, mutta nyt olemme käytettävissänne myös silloin, kun jotain epäillään jo tapahtuneen.

Pilvipalvelut ja turvallisuus - osa 1

Pilvipalveluista, saati niiden turvallisuudesta, kirjoitetaan suomeksi vielä hyvin vähän. Vielä vähemmän siitä kirjoitetaan ymmärrettävällä suomen kielellä. Pilvipalvelut ovat vasta hakemassa muotoaan, eivätkä kaikki palveluntarjoajat puhu samasta asiasta, vaikka käytetyt termit olisivat samoja.

Tässä kirjoituksessa en käsittele sitä, mitä pilvipalvelut ovat. Pilvipalveluiden perusperiaatteesta löytyy kansankielinen kirjoitus esimerkiksi Louhen uudesta Pilvi.com –blogista. Pilvipalveluissa on yritysturvallisuuden näkökulmasta muutamia hyviä puolia, mutta myös ansoja, joiden mahdollisuus ostajan on tunnettava.

Positiivinen asia pilvipalveluissa yrityksen turvallisuusnäkökulmasta on ensisijaisesti rahallinen säästö. Oman ympäristön investointien sijasta maksetaan vain siitä, mitä käytetään. Toimialasta riippuen vaadittava skaalautuvuus voi tulla hyvinkin kalliiksi ja tuottamattomaan pääomaan rahan sitominen on aina riski. Etenkin kun oman infrastruktuurin kustannukset ovat aina suuria saavutettuun etuun nähden varsinkin PK-sektorilla. Pilvipalveluiden skaalautuvuus on myös teknisistä näkökulmista ehkä merkittävin päätösperuste. Kun resursseja tarvitaan, niitä löytyy, mutta vararesurssista ei tarvitse maksaa aikana, jolloin sitä ei tarvita ja kun tarvetta on, resursseja myös saadaan. Teknisiä hyötynäkökulmia on myös ympäristön hajautuneisuus. Hajautettua ja ”epäsymmetristä” ympäristöä vastaan on vaikeampaa kohdistaa minkäänlaisia koottuja hyökkäyksiä. Tällaisen ympäristön tiedustelu ulkopuolisena ja ympäristöstä kokonaiskuvan muodostaminen on myös hankalampaa.

Negatiivisiakin puolia on. Suurin on se, että palveluiden vasta kehittyessä ne eivät monellakaan palveluntarjoajalla ole vielä sitä mitä myyntimateriaalissa luvataan. Investointeja ei ole uskallettu tehdä, kun kysynnästä ei ole varmuutta. Tämä johtaa siihen, että esimerkiksi edullinen levytila on kahdennettu, mutta kaikki on silti yhden kytkimen takana. Fyysisiä tilojakin voi olla kaksi erillistä, mutta jos ne ovat samassa kiinteistössä saman varavoimakoneen takana, onko se todellinen kahdennus? Lisäksi pelkkä kahdennus ei ole sitä, mitä pilvipalveluilla tarkoitetaan, vaikka monet myyvätkin pilveä taustalla vain pari tuotantoympäristöä. Ja hallitseeko palveluntarjoaja todella kaiken kapasiteettinsa, vai voiko iso vika aiheuttaa sen, että muutamaan paikkaan keskittyvä kuorma kaataa loputkin palvelun tuotantolaitteet? Pahimmillaan tavoiteltu skaalautuvuuskaan ei ole välitöntä ja automaattista, vaan saattaa tapahtua hyvinkin pitkällä viiveellä henkilötyönä. Pilvipalveluissa ostajan on myös mahdoton tuntea ”naapureitaan” – riskianalyysiin vaikuttaa melkoisesti kohteen houkuttelevuus, mutta pilvestä ostettaessa ei ostaja salassapitovelvoitteiden vuoksi saa tarvittavaa tietoa analyysin tekemiseksi.

Kaikkein suurin ongelma on kuitenkin auditoitavuus; ostajan on lähestulkoon mahdotonta selvittää mitä hän todella ostaa. Etenkin ilman teknistä tietotaitoa on myyntikalvojen taustat todella vaikea selvittää. Aidosta pilvestä kannattaa hyötyjen puolesta maksaa enemmän, mutta jos palvelu ei ole aito, menevät rahat hukkaan. Myös turvallisuussertifiointeja varten tehtävissä tarkastuksissa joudutaan luottamaan usein vain palveluntarjoajan sanaan. Näin ollen riskit on kyettävä hallitsemaan enemmän ja enemmän sopimustasolla, mikä taas vaatii hyvää IT-alan osaamista.

Ja se varasuunnitelma, sen varalle, kun jotain tapahtuu. Edes pilvi ei pelasta jatkuvuussuunnittelulta, koska varmaa ei ole tässäkään trendissä mikään.

lauantai 28. elokuuta 2010

Tietorikosten ennaltaehkäisy

Fyysinen turvallisuus, toimitilaturvallisuus ja omaisuuden suojaaminen on pääsääntöisesti hyvin hoidettu joka organisaatiossa. Tiedon abstraktius vaikuttaa usein siihen, että vaikka halua suojaukseen olisi, on asian lähestyminen usein monimutkaista.

Tehokkain tapa on kehittää tietojärjestelmiin ja infrastruktuuriin selkeä ja kattava omavalvontajärjestelmä, joka ei vain seuraa normalitoimintaa, vaan ottaa huomioon myös poikkeukset. Ne ovat niitä, joista rikokset usein helpoiten tunnistaa. Tärkeää on myös järjestelmäympäristön luominen sellaiseksi, että mahdollisissa epäilyissä voidaan pureutua syvemmälle omaan toimintaan. Perustasolla ennaltaehkäisy alkaa kolmivaiheisella prosessilla – tietenkin edellyttäen, että riskianalyysit on tehty ja suojattava tieto tunnistettu. Tästä enemmän Riskienhallintaa PK-yrityksissä -jutussani. 

1. Esimerkiksi kysymykset kuten tuotetaanko lokitiedostoja, mistä, kauanko niitä säilytetään ja mitä niihin kerätään, ovat lähtökohtaisia kysymyksiä seurannan toteuttamiseksi. Tässä usein myös tarkennetaan sitä, mitä kaikkea organisaation loogisessa ympäristössä todella on. 

2. Seuraava kysymys on lainmukaisuus. Organisaatioilla ei ole oikeutta kerätä mitä tahansa tietoa mistä tahansa. Myös säilytysvelvollisuudet sekä käsittelyvelvollisuudet ovat lakiin kirjattuja asioita. Henkilöstön ja asiakkaiden turvallisuus sekä heidän tietosuojansa ovat perusoikeuksia, joiden osalta laki on ehdoton. Seurannan on oltava tarkkaa, mutta käyttökelpoisuutensa vuoksi myös lainmukaista, että rikoksen tapahduttua syytetyn penkillä on oikea taho. 

3. Kolmanneksi pohditaan tiedon analysointia. Se ei saa olla kuormittavaa eikä saa syödä resursseja enempää kuin mitä sillä saavutettava hyöty on. Missä käytetään automatiikkaa, missä jätetään manuaalisen haun varaan ja millaisia analyyseja halutaan? Esimerkiksi kulunvalvontajärjestelmän ja verkkokirjautumisten vertailu voi olla jossain hedelmällistä. Myös analyysitietoihin pääsy on mietittävä tarkkaan; kuka, miten, millä oikeuksilla ja missä tilanteissa. 

Avoin viestintä ei ole vain vastuullisesti toimivan organisaation merkki, vaan hyvin toteutettuna myös ennaltaehkäisee rikollisuutta ja sitouttaa henkilöstöä. Kukapa meistä ei haluaisi työskennellä turvallisessa ympäristössä?

lauantai 21. elokuuta 2010

Sosiaalinen hakkerointi – oletko sinä kohde?

Monet julkaisuistamme sivuavat yleistyvää ilmiötä nimeltä sosiaalinen hakkerointi (social engineering). Jos ilmiö ei ole tuttu, tarjoamme tässä lyhyesti johdannon aiheeseen ja muutamaan perusasian, joista voit epäillä olevasi kohteena.

Kuten edellisessä artikkelissa totesin, Sosiaalisella hakkeroinnilla tarkoitetaan sitä, kun teknisten järjestelmien sijasta pyritään manipuloimaan ihmisiä toimimaan halutulla tavalla. Tekniset suojaukset ovat monessa yrityksessä jo ajan tasalla ja useimmat ovat suojanneet jo yrityksensä teknisesti riittävällä tasolla. Tämä on pakottanut epärehellisissä aikeissa toimivat ihmiset miettimään uusia keinoja. Teknisten suojausjärjestelmien ansiosta täsmäiskujen tekeminen, jonkin ennalta määritellyn tiedon hankkiminen, on myös vaikeutunut. Arvokkaammat, siis myös kiinnostavimmat, osat on jo yleensä melko tehokkaasti suojattu. Mutta järjestelmäpäivitysten lisäksi olisi hyvä päivittää myös henkilöstön osaaminen

Sosiaalinen hakkerointi voi tapahtua puhelimitse, verkossa, yrityksen tiloissa tai jopa vapaa-ajallasi, mikäli työsuhteesi ja harrastuksesi voidaan päätellä julkisista lähteistä. Ja julkisista lähteistähän löytyy sinusta lähes kaikki tarpeellinen tieto, niin kuin Taloussanomien artikkelissahuhtikuussa todettiin. Siihen voit aina luottaa, että epärehellisissä aikeissa lähestyvä henkilö on aina tehnyt kotiläksynsä hyvin. Puhelimitse lähestyessä käytetään näennäisesti rehellisiä tekosyitä. Henkilö esittelee soittavansa oikealta yhteistyökumppanilta tai asiakkaalta, hänen tarinansa on uskottava ja hän näyttää pintapuolisen keskustelun perusteella tuntevan organisaatiosi ja sen toimintatavat hyvin. Yrityksen tiloihin saapuva vaikuttaa olevan oikealla asialla; sähkömiehellä on haalarit ja atk-huollon kaveri vaikuttaa varmasti nörtiltä ja hänellä on vähintään jonkin suuren IT-brändin paita päällään. Vapaa-ajalla peitetarina voi olla melkein mitä tahansa, mutta jotain piirteitä siitäkin on tunnistettavissa. Kohdehenkilön valinnassa hakkeri pyrkii välttämään päättävässä asemassa olevia tai erityisvastuussa olevia henkilöitä, joilla on eniten menetettävää.

Sosiaalinen hakkeri on aina kohtelias. Hän hoitaa asiansa jämäkästi, vaikuttaa itsevarmalta ja tuntuu tietävän mitä haluaa, mutta esiintyy nöyrästi ja mahdollisesti käyttää jopa imartelua apunaan. Hän tarjoaa sinulle aina jotain. Jos hän arvioi, ettei kehuminen riitä, se voi olla jokin pieni lahja joko sinulle tai yrityksellesi – ylimääräinen ateriakuponki, kilpailun voittopalkinto tai mikä tahansa muu asia, joka asettaa sinut kiitollisuuden velkaan. Hän haluaa sinulta jotain, mahdollisesti jopa hyvin pientä palvelusta. Varmaa on se, että selitys tälle hänellä on aina valmiina. Hänen pyyntönsä suostumatta jättäminen ei vaikuttaisi haittaavan muuten, mutta saattaisi esimerkiksi johtaa sosiaalisesti epämiellyttävään tilanteeseen joko sinun tai hänen näkökulmastaan. Hän vetoaa lähes aina tunteisiin. Painostaminen tai uhkailu on harvinaista, vaikka sitäkin voi esiintyä.

Kaikille tilanteille yhteistä on kuitenkin se, että yksityiskohdat eivät täsmää. Henkilökortti puuttuu, jokin tieto puuttuu, jokin on eri tavalla kuin yleensä, kyseessä on ”vakituisen työntekijän sijainen”, tai mikä tahansa muu syy sille, että jokin oleellinen tieto tai pääsyoikeus puuttuu. Yleensä kannattaa luottaa omiin vaistoihinsa, sillä vaikka syytä ei heti tunnista, ihminen yleensä vaistoaa poikkeavat tilanteet. Uskalla käyttää aikaa ja kysyä itseltäsi: ”Mikä minua tässä tilanteessa vaivaa?”

keskiviikko 18. elokuuta 2010

Haavoittuvuus yritysjohdossa?

Viimeksi esittelemämme turvallisuusmalli toi esiin, että suurin osa turvallisuusongelmista ja yrityksen haavoittuvuuksista johtuu välinpitämättömyydestä, tietämättömyydestä tai kuvitelmasta, että mitään ei satu minulle. Jokaisessa yrityksessä on lisäksi eräs henkilöstöryhmä, joka on erityisen haavoittuva näille.

Sosiaalinen hakkerointi on tänä päivänä varmin tapa hankkia luottamuksellisia tietoja tai saada käyttöönsä jonkun muun resursseja. Sosiaalisella hakkeroinnilla tarkoitetaan sitä, kun teknisten järjestelmien sijasta pyritään manipuloimaan ihmisiä toimimaan halutulla tavalla. Tekniset tavat ovat usein volyymiperusteisia, epävarmoja ja hyökkääjän on usein mahdoton ennalta tietää, mitä hän saa käsiinsä. Vaikka tarkkuus ja tehokkuus kasvaa, sosiaalisessa hakkeroinnissa on kuitenkin isompi kiinnijäämisen riski. Tämän vuoksi siihen liittyy usein ihmisen luontaisten toimintamallien tai vaistokäyttäytymisen hyväksikäyttö, mutta mukaan voi tulla myös pelottelu, painostus tai jopa uhkailu. Useimmiten meistä suurin osa menee kuitenkin siihen helpoimpaan – imarteluun ja kehumiseen.

Yrityksen johto on erityisen ongelmallinen ryhmä sosiaalisen hakkeroinnin uhreina. Näin sanoo Stratagem 1 Solutionsin tietohallintopäällikkö Jayson Street viime kuussa haastattelussaan. Hän esittelee neljä syytä, miksi johtajat ovat erityisen hedelmällinen kohde.

1. Johtajat kuvittelevat, että säännöt ovat muita varten
2. Johtajat uskovat, että tekniikka ja tietohallinto suojelevat heitä
3. Johtajat käyttävät usein viimeisintä teknologiaa
4. Johtajilla on perhe, joka ei tiedä, että voivat olla kohteita

Erivapaudet ja poikeamat tietohallinnossa ovat aina ongelmia. Useiden poikkeamien salliminen, erilaisten menetelmien ylläpito ja erilaiset käyttäjäryhmät vaikeuttavat kaikki ympäristön seurantaa ja valvontaa. Kaikkea sähköpostia ei vieläkään voida suodattaa täysin varmasti, vaikka viesti saapuisi yrityksen tärkeimmälle henkilölle. Viimeisin teknologia on usein kokemusten ja testauksen puutteen vuoksi suurin mahdollinen riski yrityksen tietohallinnolle. Ja jos yrityksen suojausjärjestelmät ehkä kestävätkin hyökkäykset, onko johtajan kotona oleva verkko samalla tasolla?

Johtajat ovat myös avainasemassa tuloksellisessa ja vaikuttavassa turvallisuustyössä organisaatioissa. Esimerkkinä oleminen on tärkeää, sillä henkilöstö omaksuu arvostukset ja työympäristön kulttuurin esimiehiltään ja ylemmiltään. Ja kun säännöt ja kulttuuri ovat ristiriidassa, kulttuuri voittaa aina. Mitä ei itse ole valmis tekemään, ei tule saamaan muiltakaan. Vaikka ohjeissa lukisi mitä.

torstai 12. elokuuta 2010

Koirankuola -turvallisuusmalli

Roger G. Johnston esitteli USENIX 2010 turvallisuussymposiumissa Washingtonissa turvallisuusmallin, joka useimmissa organisaatioissa on vielä käytössä. Kyseessä on malli, jossa on älykkyyttä ja maalaisjärkeä, mutta jossa niitä ei käytetä.

Dog snot security model –nimi tuli siitä, kun Johnston seurasi omia koiriaan, jotka lähtevät ulkona juoksevan oravan perään ja törmäävät kuistilla lasioveen kerta toisensa jälkeen. Tästä seuraa, että ikkuna on ennen pitkää koiran kuolassa. Kyse on siis toisin sanoen pään seinään lyömisestä kerta toisensa jälkeen. Useimmiten turvallisuuden osalta tapahtuneissa laiminlyöneissä on kyse samasta asiasta. Tietoa tai taitoa olisi ollut saatavilla, mutta jostain syystä sitä ei ole käytetty. Tämä ilmiö on meillä kotosuomessa myös hyvin tuttu.

Varsin tavallinen on myös ilmiö, jossa yritys ei tee minkäänlaista riskikartoitusta tai auditointia omasta turvallisuusympäristöstään ennakolta. Kun jotain tapahtuu, suoritetaan nopeasti täysin ylimitoitettuja ja riskiin nähden turhan kalliita toimia. Miltä kuulostavat turvakamerat, joista ei huonon resoluution vuoksi voi tunnistaa ihmistä? Tai erinomainen ja kallis palomuuri, jonka on konfiguroija ei ymmärrä yritysturvallisuudesta edes perusteita? Tai yrityksen pääkäyttäjätunnusten luovuttaminen henkilölle, joka ”vähän sivutoimenaan korjailee näitä tietokoneita”? Tyypillistä on myös, että alihankkijoiden, toimittajien tai omien suorittavan tason työntekijöiden taustoista ei olla millään tavalla kiinnostuneita.

Tyypillisimmät toteutuneet turvallisuusriskit liittyvät epäkohtiin, jotka jokaisessa yrityksessä osataan korjata. Lukitsemattomat ovet, salasanojen väärä säilytystapa, kokoustiloihin tavaroiden unohtaminen ja puhelinten hukkaamiset ovat edelleen niitä kaikkein yleisimpiä ongelmia. Ja varmasti jokaisessa yrityksessä näihin osattaisiin myös puuttua. Mistä sitten johtuu, että tämä malli on edelleen niitä käytetyimpiä, vaikka parempiakin olisi tarjolla?

torstai 5. elokuuta 2010

Myrskyn jälkeen

Suomalaisen pk-yrityksen riskianalyysissa eivät luonnonilmiöt useinkaan nouse kovin suureen rooliin. Viime aikaiset myrskyjen aiheuttaneet laajat sähkönjakelun ja tietoliikenneyhteyksien katkokset ovat kuitenkin herättäneet useammankin pohtimaan niitä uudestaan. 

Parin viikon aikana on luonto näyttänyt voimansa. Asta ja Veera myrskyt ovat katkoneet puita sekä heitelleet asuntovaunuja. Iltapäivälehtien lööpit ovat täyttyneet kauhukertomuksista, joiden kuvituksen perusteella voi vain ihmetellä ettei henkilövahinkoja ole tullut enempää. Kirjoitus hetkellä on viimeisimmästä myrkystä kulunut vajaa vuorokausi ja edelleen itäisessä Suomessa on yli 10000 taloutta ilman sähköä. Samalla ovat tietoliikenneyhteydet ja matkapuhelinverkot hiljentyneet. Näiden 10000 joukossa lienee myös yrityksiä ja yritysten toiminta on riippuvaista sähköstä. Tuotantolaitteiden lisäksi merkittävässä roolissa ovat tietotekniset järjestemät ja tietoliikenneyhteydet. 

Tekniset ratkaisut eivät ensi kädessä auta näin mittavien katkosten yhteydessä. Tietotekniikan sähkönsyötön ongelmia ehkäistään UPS-laitteilla mutta niiden kestävyys on kymmenistä minuuteista muutamaan tuntiin. UPSien pääasiallinen käyttökohde on kriittisen laitteiden suojaaminen lyhyt aikaisilta katkoksilta tai virtapiikeiltä. Seuraava aste on varavoimakoneet mutta niiden hankinta on harvalle pk-yritykselle järkevää. Pelkästään teknisten ratkaisujen sijaan tulisikin tarkastella yrityksen toimintoja laajemmin sillä IT-osasto tai laitetoimittaja ei sitä todennäköisesti ole tehnyt. Riskienhallintaa tehtäessä tulee määritellä yrityksen kriittisimmät toiminnot ja tietojärjestelmät sekä niihin kohdistuvat uhat. Tämän jälkeen voidaan pohtia miten niiden toimivuus voidaan järjestää myös poikkeustilanteissa. Riskienhallinnasta PK-yrityksissä voit lukea lisää Jari Latvalan kirjoituksesta