torstai 27. tammikuuta 2011

Rahat tai henki? Vai molemmat?

Tietoturvallisuusuhat mielletään yleensä liittyvän vain rahallisiin riskeihin tai kohdistuvan omaisuuteen, jonka vahingoittuminen tai katoaminen aiheuttaa vain rahallisia menetyksiä. Tietoturvallisuusuhat voivat kohdistua kuitenkin suoraan henkeen ja terveyteen. Tämä on erinomaisen hyvä muistaa etenkin teknologiaympäristöissä, jotka liittyvät lääketieteeseen ja terveydenhuoltoon.

Yhä useammin ihmisen terveydentilan ylläpito tai häiriöiden korjaaminen on teknologiakysymys. Esimerkiksi defibrillattorit ja sydämentahdistimet ovat tällaisia laitteita. Yleistymässä ovat myös erilaiset hermostollisia toimintoja ohjaavat ja korjaavat tahdistimet ja lähettimet, joita sijoitetaan esimerkiksi aivoihin tai muualle hermokudokseen. Tällaiset laitteet ovat olleet jo vuosikymmeniä ohjelmoitavissa radiolinkin yli. Tällaiset radiolinkit ovat yleensä RFID:n kaltaisia lyhyen kantaman päästä toimivia ratkaisuja.

Jo 2008 DEF CON ja Blackhat -konferenseissa esiteltiin tutkijoiden suorittama "tietomurto" sydämentahdistimeen. Kyseessä oli vain yksi malli, mutta selvitystyön yhteydessä kävi ilmi, että esimerkiksi kyseisen mallin radioliikenne oli täysin salaamatonta. Tällaisia laitteita ei ole välttämättä suunniteltu alun perin tietoturvanäkökulmista. Siitä huolimatta ne ohjelmistoineen ovat ihan yhtä haavoittuvia kuin mikä tahansa tietokone. Kyseinen toimenpide on suoritettu vieläpä täysin kaupan hyllyltä saatavilla, muutamia satoja euroja maksavilla laitteilla (esimerkiksi Kevin Fu, Daniel Halperin, jne).

Tämä antaa varmasti ajattelemisen aihetta muillekin kuin dekkarikirjailijoille. Skenaario, jossa hakkeri murtautuu toiselta puolelta maapalloa Internetin välityksellä matkapuhelimeesi, asentaa haittaohjelman lähietäisyydeltä sydämentahdistimeesi ja kiristää rahaa sillä, on siis täysin mahdollinen. Mikäli hän ei luota yhteistyökykyysi, tahdistimen voi uudelleenohjelmoida ja pyyhkiä rauhassa murron jäljet järjestelmistä, kun olet matkalla sairaalaan. Tahdistimen virtahan ei lopu samalla kun sydämenlyönnit.

keskiviikko 26. tammikuuta 2011

Tilaisuus tekee varkaan

Vanha sanonta hyvän tilaisuuden rötöstelyyn altistavasta vaikutuksesta pitää edelleen paikkansa. Tietovarkauden helppous yllättää jopa tekijänsä ja usein kohteena oleva ei valitettavasti edes tiedä joutuneensa uhriksi - ainakaan ennen kuin on liian myöhäistä.

Yrityksissä käsiteltävän tiedon määrä kasvaa koko ajan ja yhä useammat toiminnot on jollain tavalla "sähköistetty". Kehityksessä on useita haasteita, joiden edessä turvallisuus usein on lakaistu maton alle. Tekniset ongelmat ja projektien tiukka aikataulu ovat toimineet tekosyynä huonolle turvallisuuden määrittelylle ja väljä käyttöoikeuksien jakamisen kulttuuri on muodostunut maan tavaksi. Lopputuloksena on syntynyt joukko järjestelmiä ja käytäntöjä missä kokonaisten yritysten tietoihin päästään käsiksi sieltä kaikken pimeimmästäkin varaston nurkasta kenenkään tietämättä.

Ei siis pidäkään ihmetellä tietovuotojen ja -varkauksien lisääntyvää määrä. Tilaisuus tekee varkaan ja rehellisemmänkin kansalaisen itsekuria koetellaan kun tilaisuuksia on paljon. Motiivit voivat olla monenlaisia ja sitä myöten myös vahinkojen laajuus vaihtelee. Kaikki tiedon väärinkäyttöön liittyvät tapahtumat eivät tietenkään ole toiminnan kannalta katastrofaalisia, mutta on niillä vähintäänkin mainetta tahraava vaikutus. Verkkolevyllä sijaitsevat henkilökohtaiset lomalla napsitut kuvat kun eivät välttämättä ole tarkoitettu kaikkien kollegoiden nähtäväksi tai julkisessa verkossa julkaistavaksi. Tälläisiä pienempiä tapahtumia ei pidä kuitenkaan painaa villaisella, sillä ne ovat merkki vakavammasta häiriöstä, minkä lähteet tulisi selvittää perinpohjaisesti.

Työ turvallisuuden parantamiseen alkaa tässäkin tapauksessa tarpeiden tunnistamisella ja toiminnan kuvaamisella. Vain niiden avulla voidaan ryhtyä luomaan suunnitelmaa toimivalle ja samalla turvalliselle käyttövaltuuksien hallinnalle. Suunnittelutyön tuloksena syntynyt käyttövaltuuksien hallintamalli kytketään osaksi organisaation henkilöstöhallintoa, minkä tueksi tietohallinto tuottaa soveltuvat järjestelmät ja valvoo niiden toimintaa.

perjantai 21. tammikuuta 2011

Mitä itse asiassa pitää kouluttaa?

Olemme puhuneet aikaisemmin blogissamme paljon siitä, miten pelkkä teknologia ei riitä tietoturvallisuuden hallinnassa. Useassa yhteydessä olemme painottaneet koulutuksen tärkeyttä ja osaamisen vahvistamista. Tärkeää on kuitenkin se, mitä itse asiassa koulutetaan.

Kun kouluttaja aloittaa tietoturvallisuuskoulutuksensa määrittelemällä tietoturvallisuuden osa-alueita, ulottuvuuksia ja tavoitteita, on suurin osa henkilöstöstä joko päiväunelmissaan ja ne jotka eivät ole, yrittävät epätoivoisesti keksiä tekosyytä paikalta poistumiseen. Melko usein koulutukset on järjestetty nimenomaan turvallisuus- tai tietohallintoihmisten näkökulmasta. Mikä on paitsi uusi, niin myös aika vaika näkökulma käyttäjälle. Tällä tavalla koulutuksesta saadaan myös itsestään tavoite, ei sen sisällöstä. Ihmiset pyrkivät vain pysymään hereillä koulutuksen ajan, että pääsisivät jatkamaan päivittäisiä töitään.

Koulutus on järjestettävä siitä näkökulmasta, mihin halutaan vaikuttaa. Kun koulutuksen tavoitteena on käsitellä sitä, mitä sosiaalisessa mediassa saa yrityksestä kertoa, on kyse viestintäkoulutuksesta. Kun halutaan parantaa käyttäjien osaamistasoa on kysymys käyttökoulutuksesta. Turvallisuusnäkökohdat konkretisoidaan koulutuksiin päivittäiseksi toiminnaksi. Näin koulutukseen osallistuvat liittävät näkökohdat jo mielessään oikeisiin viitekehyksiin ja asia jäävät paremmin myös mieleen.

Koulutusten kohdentaminen tällä tavoin saa myös aikaan sen, että käyttäjiä ei rasiteta sillä tiedolla, mitä käyttäjät eivät tarvitse. Välillä täytyy muistutella itseäänkin, että tietoturvasta ei ole kiinnostunut oikeastaan kukaan muu kuin tietoturvallisuuden ammattilaiset. Eikä pidäkään. Kun koulutus on oikein suunniteltu, tietoturvallisuus on kiinteä osa normaalia toimintaa.

keskiviikko 12. tammikuuta 2011

Mitä sitten kun...

Näin vuoden alussa on hyvä palauttaa mieliin vuosisuunnitelmat ja uhrata hetki sille, miten turvalliseksi vuoden 2011 teemme. Tässä vuoden toisessa blogissa keskitymme aiheeseen, joka suunnitelmista yleensä puuttuu.
Joulukuussa Jim Romenesko (Poynter) kirjoitti Gawker Mediassa tapahtuneesta palvelinmurrosta ja sitä kautta 1.4 miljoonan oman yhtiön, asiakkaan ja kumppanin käyttäjätilien vaarantumisesta. Tapahtumasta on kirjoiteltu hyvin paljon ja kuten yhtiön teknologiapäällikön memosta käy ilmi, oli ongelmia jo perustason suojautumisessa. Suurimpana ongelmana teknologiasta vastaava päällikkö Thomas Plunkett pitää kuitenkin yrityksen nopeaa kasvua. Nopean kasvun aiheuttamaa riskien ja uhkakuvien muuttumista ei missään vaiheessa huomioitu, eikä suunitelmia oltu päivitetty vastaamaan uutta tilannetta.

Suuri ongelma oli myös se, että yhtiöllä ei ollut mitään suunnitelmia, miten tällaisen riskin toteutuessa toimitaan. Tästä johtuen Thomas Plunkett kirjoittaakin, että yhtiössä tehtiin todella paljon virheitä tapahtuman paljastuessa, sillä kenelläkään ei ollut kuvaa siitä, miten pitäisi toimia.

Tällaisten suunnitelmien puuttuminen on hyvin yleistä. Melko usein tietohallinnolta vaaditaan perustasolla vain teknisten suojausratkaisujen käyttöönottoa. Virusturva pitää olla, palomuurit ovat käytössä ja yrityksen verkossa on edes jonkinlaisia pääsynhallintaan liittyviä menetelmiä käytössä. Kuitenkin se dokumentti, jossa on kriisiviestintäsuunnitelmat, toimenpideluettelot, varajärjestelmät ja ohjeet siihen, miten toteutuneisiin riskeihin reagoidaan, puuttuu todella usein.

Paitsi nopean uhan eliminoinnin takia, tällaiset suunnitelmat ovat muutenkin elintärkeitä. Ellei yrityksessä ole tiedossa, miten uhkatilanteissa tai niitä epäillessä toimitaan, aiheutetaan haparoinnilla siinä kohtaa vain lisäkertoimia vahingoille. Oikea henkilöt eivät saa aina oikeaa tietoa tarvittaessa, väärät henkilöt - esimerkiksi media - saa ennenaikaisesti ja usein väärää, yritystä vahingoittavaa tietoa, rikostapauksessa todisteita tuhotaan omalla toiminnalla tai saatetaan aiheutaa jopa lisävahinkoja omalle ympäristölle.

Jokaisessa yrityksessä pitää olla suunnitelma tietoriskien toteutumisen varalta. Suunnitelma pitää myös joka vuosi tarkistaa, päivittää ja tietyin väliajoin suunnitelma on myös testattava ainakin kriittisiltä osin. Se on myös koulutettava, sen esittely johtoryhmälle ei vielä tee siitä toimivaa.

tiistai 4. tammikuuta 2011

Tulevaisuuden taskuvarkaat

Taskuvarkaat ovat suosituimpien lomakohteiden turistien reisana. Heidän erilaiset hämäykseen ja huijaukseen perustuvat temppunsa voivat aiheuttaa arvoesineiden menetyksiä myös tavallista valppaammalle kansalaiselle. Tulevaisuudessa nämä kaidan tien kulkijat saavat tovereikseen virtuaaliset taskuvarkaat, joiden kohteena ovat lompakon sijaan puhelimet ja muut sähköiset maksuvälineet.

Taskuvarkaiden unelma on lokoisasti lomailemassa oleva isäntä, jonka lompakko keikkuu takataskusta pitkällään. Tähän on helppo tarttua nopealla kädenliikkeellä ja tienata sievoinen summa rahaa. Samanlaiset tarkoitusperät ovat myös tulevilla taskuvarkailla, kohde vain vaihtuu. Mobiililaitteiden kehitys kohti tietokonetta on edennyt huimin harppauksien viimeisen parin vuoden aikana. Iphonen ja sen kaltaisten laitteiden räjähdysmäinen yleistyminen on tuonut myös erilaiset mobiilin maksamisen sovellukset tietokoneista älypuhelimiin. Takataskusta pilkottava lompakko on vaihtunut avoinna oleviin yhteyksiin ja turvattomiin sovelluksiin. Käyttäjän kannalta tilanteen tekee ongelmalliseksi taustalla olevat järjestelmät. Älypuhelinten käyttöjärjestelmät ja sovellukset tuntuvat noudattavan tietokoneiden kehityskaarta. Alkuvaiheessa innostus uusista ominaisuuksista peittää alleen turvallisuuden perusperiaatteet. Haittaohjelmien kirjoittajat ovatkin kaivaneet vanhat konstinsa naftaliinista ja kääntäneet ne uuteen suuntaan, puhelimiin. Mitä käyttäjälle jää vaihtoehtoja, vaihtaa vanha kapula takaisin tietojen ja rahojen menettämisen pelossa? Muutamalla keinolla pystyy jo asettamaan ensimmäiset suojamuurit niin yrityksensä käytössä oleviin kuin henkilökohtaisiin päätelaitteisiin. Vesa Muhonen kirjoitti viime kesänä jo muutaman vinkin, mitkä voit tarkistaa täältä. Niiden lisäksi uusia uhkia vastaan kehoitan miettimään - mitä sovelluksia puhelimeen asentaa - mitä yhteyksiä ja www-palveluita puhelimella käyttää ja tietenkin tärkeimpänä - mitä tietoa puhelimeen tallentaa Kun näihin kysymyksiin on etsinyt vastaukset ja pohtinut vielä niissä piileviä riskejä, on jo hyvällä matkalla