tiistai 20. marraskuuta 2012

Tietoturvaisku 7.11.2012


Etelä-Pohjanmaan kauppakamari järjesti tietoturvaiskun 7.11.2012. Iltapäivän ohjelmaan kuului 3 luentoa, joissa pureuduttiin yritysten ja organisaatioiden uhkakuviin tietoturvan ja järjestäytyneen rikollisuuden suunnalta. Tietoturvan osalta tarjoiltiin myös työkaluja uhkien torjuntaan.

Opsec Oy:stä paikalla oli puhumassa allekirjoittanut ja otsikoksi oli annettu mielenkiintoinen


Mitä nykypäivän uhkakuvat tarkoittavat yritysten tietoturvallisuuden kannalta, mitä voidaan tehdä uhkien torjumiseksi.

Lupauksista huolimatta en toimita esitykseni "kalvoja" jakoon, sillä uskon ettei niistä ole juurikaan hyötyä teille ilman minua puhumassa ja heilumassa valkokankaan edessä. Siksi kirjaan tähän esitykseni tärkeimmät kohdat, hieman kalvoja laajemmalla tekstillä.

Nykypäivän uhkakuvat

Lähes kaikki meistä osaavat nimetä yhden ja jopa useammakin tietoturvauhan. Kattavan listan tekeminen sisältäisi paljon rivejä mutta sen kauhistelu ei auta juurikaan kehittämään oman organisaatiomme tietoturvaa. Tärkeämpää on tiedostaa mitä uhkia on olemassa, mihin eri laitteisiin ja järjestelmiin ne kohdistuvat ja mitä niistä yleisesti seuraa.

Uhkien osalta kannattaa tututustua tutkimuksiin ja raportteihin, joita löytyy niin ensimmäisellä kuin kolmannellakin kotimaisella kielellä. Tietonsa päivittämällä voi niiden osalta tehdä oikeita arvioita sen sijaan että perustaa päätöksensä arvailuihin ja uskomuksiin Viimeissimmät raportit murtavat  kadunmiehen totuuden Microsoftin turvattomuudesta. Hyviä ja suhteellisen tuoreita raportteja löytyy oheisista linkeistä 

Haavoittuvuudet ja haittaohjelmat: IT Threat Evolution Q3 2012 Kaspersky Labs
Mobiililaitteiden turvallisuus: F-Secure Mobile Threat Report Q3 2012

Raportteja lukiessa on kuitenkin tärkeää muistaa ettei omaa organisaatiotamme uhkaa 24/7 kaikki mahdolliset hakkerit ja haittaohjelmat. Uhkia arvioidessa tulee toki olla realistinen ja kenties jopa hieman pessimistinen, mutta epätoivoon on turha vaipua.

Ratkaisuja uhkakuviin

Tietoturvauhkiin vastataan usein tietoteknisillä ratkaisuilla kuten palomuurit ja virustorjunnat. Niitä ostetaan ja asennetaan pohtimatta sen tarkemmin miksi. Useimmiten vielä otetaan puolittain käyttöön ja unohdetaan kaappiin ihan samoin kuin pelastussuunnitelman toimintaohjeet hätätilanteessa. Uhkiin on vastattu ja voidaan olla tyytyväisiä, vai voidaanko.

Ratkaisu uhkiin on ennen yhdenkään teknisen järjestelmän käyttöönottoa tai politiikan kirjoittamista on kysyä mitä suojaamme ja mikä sitä uhkaa. Vasta tämän jälkeen voimme reagoida oikeilla keinoilla, jotka eivät missään tapauksessa ole vain teknisiä. Hyvin tehdyn työn päätteeksi usein havaitaan että tekniikan osuus on lopulta kohtuullisen pieni ja useimmiten sitä löytyy jo riittävästi. Tärkeämpää oli luoda turvallisuuskulttuuri, toimintatavat ja seuranta sekä kehitys.

Blogistamme löytyykin jo valmiina aiheeseen liittyen muutamia kirjoituksia, joihin kannattaa tutustua:

http://blog.opsec.fi/2012/09/tietoturvallisuus-henkilonsuojauksessa.html
http://blog.opsec.fi/2012/06/tietoturva-kunnossa-kun-vastuu-oikeassa.html

- Mika Lindberg

tiistai 30. lokakuuta 2012

Tilaturvallisuus ja tietoturva

Uusimmassa tietoturvallisuuskatsauksessaan (2/2012) Viestintävirasto nosti esiin varmenteisiin kohdistuvat tietoturvallisuusloukkaukset (mm. CRIME, BEAST), joissa hyödynnetään mm. salaukseen käytettävien SSL/TLS protokollien heikkouksia. Kuulostaa tekniseltä, mutta eräs hyvin olennainen suojautumiskeino ei vaadi propellihattua ollenkaan. Potentiaalisesti em. uhat eivät ole suuria tai päivitetyissä ympäristöissä edes todennäköisiä, mutta muistuttivat minua asiasta, johon törmäämme joka viikko.

Menetelmissä olennaista on nimittäin se, että hyökkääjä pääsee kuuntelemaan ja muokkaamaan kohteen verkkoliikennettä. Ensimmäisenä tulee tietenkin mieleen langattomat verkot ja niiden suojaus, mutta omissa haavoittuvuustestauksissa kerta toisensa jälkeen toistuu paljon tavallisempi ongelma. Langattomat verkot nimittäin tiedetään turvattomiksi ja niihin suhtaudutaan siksi asian vaatimalla vakavuudella jo pystytysvaiheessa. Sen sijaan perusinfrastruktuurin suojaaminen on usein asia, josta ei ole huolehdittu tai sitten sitä ei ole vaan kukaan tullut ajatelleeksi.

Varsinkin suurissa organisaatioissa, joissa tiloja ja toimipisteitä on paljon, ihmisiä liikkuu enemmän ja turvallisuuspäällikkö sekä tietohallintopäällikkö istuvat liian kaukana toisistaan, on ongelma tavallinen. Haitantekoon tai jopa hyökkäykseen ei tarvita kuin pääsy asiakastiloihin tai muuhun edes puolijulkiseen tilaan, verkkopiuha kiinni pistorasiaan ja sisällä ollaan. Pahimmassa tapauksessa asia on tehty niinkin helpoksi, että jopa talo- tai kerrosjakamoihin tai muihin sähkö- ja teletiloihin on pääsy kenellä tahansa. Tai pääsy on ainakin heikosti valvottua. Tietoverkojen suojaamisen ja suunnittelun yhteydessä on muistettava myös se, missä johdot fyysiessä maailmassa kulkevat. Voidaanko aina tehdä oletus, että ne sijaitsevat omien seinien sisällä? Ja vaikka olisivatkin, onko mahdollista suojata niitä ovien lukituksella? Ja ellei ole, niin mitä verkkoja kannattaa ulottaa ihan jokaiseen asiakastilaan asti?

Kannattaa muistaa, että tietoturvallisuuden suunnittelu organisaatioissa on aina sen paremmalla pohjalla, mitä enemmän siihen osallistuu organisaatioista näkemystä ja kokemusta!

tiistai 16. lokakuuta 2012

Vuoden 2012 pahimmat tietoturvauhat


Vuosi lähenee loppuaan ja organisaatiomme äänesti tämän vuoden kaksi vaarallisinta ja tuhoisinta asiaa organisaatioiden turvallisuudelle. Vuosi oli tietoturvapuolella rankka ja etenkin kahden kärkinimen osalta. Voittajaa oli niin vaikea selvittää, että ne jakavat nyt ensimmäistä sijaa. Toinen on tietoturvapolitiikka ja toinen on tietoturvasuunnitelma. Jos organisaatiostanne löytyvät nämä, tuhotkaa ne välittömästi ja jäljittäkää se troijan hevonen, jonka mukana nämä madot ovat organisaatioonne kulkeutuneet.

Nyt joku asiaan perehtymätön voi ihmetellä, että eikös nämä ole juuri ne pelastajat? Ja niin kuin aina menestyvät troijalaiset – ilmaiset virustorjuntaohjelmat, rekisterien siivoustyökalut ja muut vastaavat - ne vaikuttavat jopa ystäviltä. Tarkempi tarkastelu paljastaa ne kuitenkin turvallisuusuhiksi. Aloitetaan vaikka luomisprosessista, jolla ne syntyvät. Alkuideaa ei yleensä edes kukaan osaa jäljittää – joskus se on innokas johtohenkilö, joka osallistui vahingossa aikataulumuutosten vuoksi väärään koulutukseen tai sitten asiakas tai päämies, joka haluaa vaan antaa vaikutelman muille, että oma homma olisi kunnossa. Todellisuus alkaa kuitenkin siitä kun joku onneton keskijohtoon kuuluva saa työn pöydälleen.

Homma menee siitä eteenpäin ihan kuin jo tutun pelastussuunnitelman kanssa.

1.     Hikoilet
2.     Yrität välttää aihetta
3.     Pakon edessä soitat tutulle naapuriyhtiöön ja kopioit paperin (ehkä jopa maksat siitä vahingossa konsultille, tuplavirhepisteet!)

Tätä paperia sitten ihastellaan johtoryhmissä, siitä luennoidaan linjajohdolle ja ainakin yksi keskijohtoon kuuluva saa bonuksia ensi jouluna, elleivät ne kuluneet tuplavirhepisteisiin. Henkilöstö haukottelee itsensä unille ja kukaan ei tajua koko paperin syvintä olemusta niin millään. Kaikki ovat ymmärtävinään, onhan se sellaista ”bisnes-hottia” jossa on oltava mukana, vähän kuin erikoiskahvien suodatuksen sielunelämässä. Ja kuten työpaikkaruokalan kahvilaadut vaihtuvat, vaihtuvat nämäkin paperit tärkeämpiin. Papereihin liittyviä suunnitelmia ei koskaan laiteta käytäntöön, niitä ei koskaan mitata, eikä kellään oikein ole aavistustakaan, miten sitä tehtäisiin, koska…

…Siitä se työ olisi vasta alkanut! Tänä päivänä näiden kahden paperin saapuminen painosta on usein turvallisuustyön loppu. Edelleenkään  kukaan ei tiedä mikä on pielessä, millä tasolla olemme ja millaisia riskejä se tarkoittaa toimintamme kannalta. Suurimmaksi osaksi siksi, että suunnitelmat ja politiikat ovat täynnä yleismaailmallista höttöä ja höpinää, koska niitä ei ole alunperinkään suunniteltu juuri oman organisaation käyttöön. Henkilöstö ei tajua niitä, koska ne ovat kuitenkin joko Joensuun tai Tampereen yliopiston suunnitelmien kopioita. Mitä ihmettä niillä tehdasoloissa tehtäisiinkään? Onko se niin ihme, että koko turvallisuustyö pysähtyy siihen.

Turvallisuutta ei voi kopioida. Eikä sitä voi ostaa. Se pitää itse tehdä. Omaan ympäristöön pitää porautua konkreettisella tasolla. Kaivaa se data, johon turvallisuusolettamuksemme perustamme, suunnitella ja panna toimeen ne kontrollit, joilla kuvittelemme väittävämme karikot. Kontrolleja on seurattava, tulokset on tallennettava ja mittareja pitää kehittää niiden perusteella. Ja niin kuin aina, maailmassa menestyvät ne, jotka ovat valmiit pelkäämättä tarttumaan työhön. Kun olet valmis tekemään oikeaa turvallisuutta, soittele!


lauantai 15. syyskuuta 2012

Tietoturvallisuus henkilönsuojauksessa



Tietoturvallisuus ei ehkä ensimmäisenä tule mieleen, kun suunnitellaan henkilösuojausta. Henkilön suojauksella tarkoitetaan asiakkaan koskemattomuuden - hengen ja terveyden suojaamista erilaisissa uhkatilanteissa. Riitaisat avioerot, perheväkivalta, suuryrityksen henkilöstöjohto YT-neuvottelujen alla tai vain häiriintynyt ahdistelija, joka jostain henkilökohtaisesta tai muusta syystä on ottanut kohteekseen yksityishenkilön. Tämä hahmotelma on osittain syntynyt Kerberos Turvallisuuspalveluiden henkilösuojauskoulutuksessa ja siten suunniteltu turvallisuusalan ammattilaiselle – omaksi muistilistaksi tästä ei ihan jokaiselle ole. Tiettyjen asioiden osalta oletetaan suorittavalla henkilöstöllä jo olevan tietty pohjatieto ja rutiinit. Jos yksityishenkilönä kohtaat verkkohäirintää tai sinulla on tarve suojautua ahdistelulta tai häirinnältä, ota meihin yhteyttä. Nämä ohjeet eivät ole yksityishenkilön muistilista!

Mutta mihin ihmeeseen turvallisuusalan ammattilaiset henkilönsuojauksessa tietoturvallisuutta tarvitsevat? Omallakin kohdalla asia oli mielessäni vähän keskeneräinen, ennen kuin päädyin kouluttamaan henkilösuojauksen ammattilaisia siitä, mitä heidän tulisi tietää tietoturvallisuudesta. Osa ajatuksista oli jo ennalta mielessä, mutta tiettyjä oivalluksia tuli myös itse koulutuksessa. Yhdessä todettiin, että tietoturvallisuus on tarpeen huomioida jo siksikin, että suojattavaa asiakasta on kyettävä myös neuvomaan ja opastamaan. Ja tänä päivänä, sähköisen viestinnän maailmassa, riskit ovat hiukan erilaisia.

Se mitä jäimme pohtimaan, oli jonkinlainen muistilista, miten suunnittelu etenee ja mitä pitää muistaa, joten hahmottelen perusteita tässä. Lista ei siis ole missään nimessä täydellinen, vaan enemmänkin työpohja jatkokehitystä varten. Hahmottelen sitä tähän, jatkokehitys on sallittua ja toivottavasti jaat, mitä keksit tämän pohjalta myös meidän kanssamme!

Aluksi tärkeintä on muistaa, että tietoturvallisuus EI OLE tietotekniikkaa. Tietoja pitää kyetä suojaamaan kaikissa olomuodoissa. Esimerkiksi johtajan luottokorttinumero on yleensä yhtä aikaa:
  • Muistilapulla sihteerin työpöydällä lentomatkoja varatessa, tiedostossa työasemalla matkavahvistuksissa, kassakaapissa, palvelimella, varmistuslevyllä, taskussa, auton kojelaudalla, tulostinjonossa, myyntimatkalla Zaireen, roskiksessa… ja missä lie. Pelkkä tietotekninen suojaus ei tässäkään riitä.
Muista myös, että:

”Turvallisuus ei ole tuote, vaan prosessi”
Bruce Schneier

”Turvallisuus ei ole tekninen ongelma, vaan ihmisiin ja johtamiseen liittyvä ongelma”
Kevin Mitnick

Seuraavaksi kuitenkin sitä, mitä tietoturvallisuuden perusperiaatteet voivat tarkoittaa tässä tilanteessa. Alla oleva perustuu Tampereen teknillisen korkeakoulun julkiseen verkkokoulutusmateriaaliin, mutta höystettynä omilla lisäyksillä. Pohjana on vanha jaottelu, mutta toimiva myös tässä.

·      Luottamuksellisuus: Tiedot ja järjestelmät ovat vain niiden käyttöön oikeutettujen käytettävissä. Tietoja ei paljasteta sivullisille eikä heille anneta mahdollisuutta muuttaa tai tuhota tietoja.
o   Reitit, sijainnit, resurssitiedot, rutiinit ja suunniteltu toiminta kiinnostavat vastapuolta.
o   Luottamuksellisuus on myös osa luottamusta. Esim. jos viestiliikennevälineeksi on sovittu radio, luotetaanko puhelimeen, vai voidaanko olettaa jotain tapahtuneen?
o   Luottamuksellisuuteen vaikuttaa myös asiakas – onko hän ohjeistettu ja tietoinen siitä, mitä palveluita tilanteessa saa käyttää?
·      Eheys: Tiedot ja järjestelmät ovat luotettavia, oikeellisia ja ajantasaisia, eivätkä ne ole hallitsemattomasti muuttuneet tai muutettavissa laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai inhimillisen toiminnan seurauksena.
o   Käytetty välineistö on suojattava myös kentällä
o   Mistä hankitaan tilannetieto ja millaiseen tietoon luotetaan?
o   Mikä on riittävä eheyden oikeellisuuden varmennus ja kenellä on oikeus varmentaa tieto?
·      Saatavuus: Tiedot ja palvelut ovat niihin oikeutettujen käytettävissä etukäteen määritellyn vasteajan puitteissa. Tiedot eivät ole tuhoutuneet tai tuhottavissa vikojen, onnettomuuksien tai muun toiminnan seurauksena.
o   Viestivälineistön huolto kenttäolosuhteissa – akut, paristot, latausmahdollisuudet
o   Miltä suojaudutaan? Onko suurin riski fyysinen hyökkäys vai vesisade? Varustautuminen olosuhteiden mukaan
o   Varalaite- ja viestijärjestelyt.

Tiedolla voidaan vaikuttaa monella tavalla ja monella eri tasolla. Alla pääpiirteissään Martin C. Libickin jako:


Turvallisuussuunnittelu on myös aina aikaan, paikkaan, tilanteeseen ja uhkatekijöihin sidottu. Tälläkin alueella kyse on riskienhallinnasta, koska kaikelta ei voida suojautua. Oman toiminnan kannalta kriittinen tieto on kyettävä tunnistamaan, siihen kohdistuvat uhat on määriteltävä ja suojauskeinot suunnitellaan ja toimeenpannaan vastaamaan nimenomaan kriittiseen tietoon kohdistuviin uhkiin. Etenkään näissä tilanteissa ei ole loppumattomasti aikaa, rahaa ja muita resursseja käytössä.

Eräs runko suunnitteluun voisi olla:

Oma tehtävä
Mitä lukee toimeksiantosopimuksessa? Mitä me itse asiassa suojaamme? Onko todellinen kohde vieressä kävelevä henkilö vaiko salkku tai tietokone jota hän kantaa? Tämä on viime kädessä sopimusasia, mutta tulkinnoille ei saa olla tilaa.

Yleistilanne
Kuvataan, millaisessa toimintaympäristössä toimimme. Onko tilanne ympäristössä vakaa, vai liittyykö tehtävään ilmiöitä tai vaikuttavia tekijöitä, jotka voivat kiihdyttää konflikteja tai vaikuttaa suunnitteluun aiheuttamalla ennalta arvaamattomia tekijöitä. Tietoturvallisuuden osalta on huomioitava yleisesti yhteiskunnalliseen infrastruktuuriin kohdistuvat uhat, koska esim. ulkomailla kaikissa lainsäädännöissä tai epävakaissa tilanteissa ei voida ehkä luottaa vaikkapa operaattoreihin. 

Uhka
Mikä on todennäköisin uhka? Entä toiseksi suurin? Millaisia hyökkäystapoja ja reittejä näissä voidaan käyttää. Mitkä ovat toiminnan riskit ja miten ne arvotetaan?
Todennäköisimpien uhkien tunnistamisen jälkeen on myös muodostettava profiilit uhkaajista. Se antaa ennakkokuvan siitä, millaisin tiedoin tai resurssein uhkatekijät ovat varustettuja.

Tiedustelu
Mitä meistä ja kohteesta ehkä jo tiedetään ennalta? Millaisia keinoja tietojen hankkimiseksi voidaan käyttää? Tämä edellyttää myös omaa tiedusteluharjoitusta itseä ja omaa suojattavaa kohdetta vastaan. Helpoiten saatavilla oleva tieto, esimerkiksi verkosta ja julkisista lähteistä, ennustaa myös todennäköisimpiä lähestymistapoja.
Millaiselle tiedustelulle oma toiminta altistaa? Mitä me sallimme, miten tiukkaa valvonta on ja mihin suojattavan kohteemme on kyettävä suojaustilanteessa? Mahdollinen omaan toimintaan kohdistuva tiedustelu on arvioitava kaikissa niissä ympäristöissä, joissa toimimme; työpaikat, koti, matkustaminen, jne.
Tiedustelulle paljastava toiminta on harkittava. Onko Facebook –profiilin käyttö kiellettävä, vai voidaanko esim. Foursquare –loggauksia käyttää jopa oman toiminnan eduksi? Tai harhauttamiseen? On harkittava, missä määrin itse voidaan käyttää disinformaatiota hyödyksi ja milloin se alkaa olla epäuskottavaa.
Onko uhka jopa niin suuri ja välitön, että kaikenlaiset paikantamiseen liittyvät tiedot on salattava. Mukaan lukien Flickriin tai muuhun verkkopalveluun siirrettävät valokuvat paikkatietoineen.
Käyttääkö uhka ehkä tiedustelumenetelmiä, joita voidaan havainnoida? Aktiivinen tiedustelu jättää jälkiä ja avainkohtien tunnistaminen auttaa tilannekuvan muodostamisessa tehtävän edetessä. Ovatko niitä yrityksen asiakaspalveluun tulevat tiedustelut, perheen lähipiiriin kuuluvaksi tekeytyvä ”uusi päiväkotiharjoittelija” vai ehkä yllättävät puhelimitse tapahtuvat telemarkkinointiyhteydenotot?
Kun itse käytetään aktiivisia tiedustelukeinoja, muistetaan kirjata ne ylös ja ilmoittaa omalle organisaatiolle.

Huolto
Etenkin jos toiminta jatkuu 24/7, miten huolehditaan jatkuvista viestiyhteyksistä, vuoronvaihdoista ja muiden jatkuvien rutiinien ylläpidosta.
Miten hankinnat tehdään? Luottokorttikuiteissa on usein omistajan nimi ja laskutusosoitteen käyttö voi jättää vihjeitä. Käteinen on usein paras tapa, sitä vaan pitää muistaa varata.

Toiminnan suojaaminen
Viestien salaaminen, tietovälineiden ja informaation salaaminen, peitetoiminta.
Kenen vastuulla on ohjeistaa suojattava kohde? Onko hyväksyttyä käyttää jatkossa sosiaalisia medioita, entä millaisia toimia olisi hyvä tehdä kohteen kanssa heti aluksi? Jos epäillään, että luottamuksellista tietoa on jo joutunut ulkopuolelle, on kohteen käyttämät palvelut kartoitettava ja suunniteltava, mitä käytetään jatkossa ja mihin riittää salasanojen vaihto? Ei voida olettaa, että kohde on tietoturvakoulutettu, vaan myös hänelle on kerrottava, millaisia asioita hänen on huomioitava. Tai millaisia liitteitä kannattaa avata ja miten erilaisiin tiedusteluihin voi vastata.
Tietoturvallisuuden ja Internetin, sekä siihen kytkeytyvien laitteiden ja ohjelmistojen osalta hyvä muistilista löytyy esimerkiksi Catharina Candolinin blogista. Blogissa puhutaan kyberturvallisuudesta, mutta älä anna sen hämätä. Kyseessä on ehkä jopa parempi nimi hiukan vanhahtavalle "tietoturvallisuus" -termille, kun puhutaan sähköisestä maailmasta ja siellä toimimisesta.
Tehtävissä joudutaan joskus improvisoimaan jotain, mikä on elokuvissa arkipäivää. Ja koska Hollywood –budjetteja ei ole, on joskus käytettävä esimerkiksi suunnistamiseen ja paikantamiseen sekä tiedonvälitykseen liittyen ohjelmistoja tai laitteita, joita ei ole ehkä suunniteltu toiminnan suojaamisen huomioon ottaen. Kukaanhan ei estä Foursquaren käyttöä vaikkapa tiedustelupartion paikkatietojen ilmoittamiseen muulle ryhmälle. Etukäteen on kuitenkin varmistuttava, että ei käytetä henkilökohtaisia tilejä tai nimikkeistöä, joka viittaa tehtävän antajaan tai kohteeseen (yritysten nimet, henkilöt, alueet, paikkakunnat). 
Internet-pohjaisten palveluiden huomiointi ei kuitenkaan vielä riitä tietoturvallisuuden osalta. Tehtävissä käytetään joskus joko salaamattomia tai heikosti salattuja radioyhteyksiä. Yllämainitun peitteistön osalta suunnittelu pitää olla sellaista, että mahdollisesti salattuakin liikennettä kuunteleva ei erota sitä ”paikallisen hirvijahtiporukan” keskustelusta.
Jos kohteelle haetaan esimerkiksi turvakieltoa, on ohjeistettava kuitenkin se, että viime kädessä oma toiminta on se, joka paljastaa mahdollisesta turvakiellosta huolimatta. 
Tehtävät eivät ole työvuoroja, jotka on sidottu kelloon, vaan myös paikkaan. Omien henkilökohtaisten viestinten käyttö on ohjeistettava suojaavalle henkilöstölle. 

Johtaminen
Etenkin johtamiseen tiukasti liittyvä viestitoiminta. Mitä ovat luotetut viestivälineet. Entä jos yhteydenotto tulee epäluotettua kanavaa pitkin, miten siihen suhtaudutaan ja mitä toimintoja se ehkä käynnistää?
Mistä johto tavoitetaan ja miten?
Miten johto välittää tilannekuvaa ja millä perustella sitä tietoa jaetaan ja kenelle?
Entä kun viestitys ei toimi? Mitä varajärjestelyitä tai toimintoja on suunniteltu sen varalle, että suojaava ryhmä joutuu eristyksiin esimerkiksi tiedusteluryhmästä, reserviryhmästä tai johdosta?
Ylläpidetään selkeää ”tilannekeskusta” ja tapahtumalokia. Mieluiten kronologisessa järjestyksessä tai muulla mahdollisimman loogisella tavalla, etenkin jos tiedon käsittelyyn ja jalostamiseen ei ole aikaa.
Havaintojen keruu on ohjeistettava. Samaten se, mitä tietoa halutaan ilmoitettavan missäkin kiireellisyysjärjestyksessä. Tämä edellyttää myös tiedon luokittelua perustuen operatiiviseen merkityksellisyyteen – ei vain tiedon salauksen näkökulmasta, vaikka sekin on huomioitava.

Ja ehkä tärkein: Kenen vastuulla mikäkin asia on? Kenen on huolehdittava salaamisesta, peitteistöstä ja mistä tiedetään, että siihen voidaan luottaa? Kuka tarvittaessa on oikea taho varmentamaan toimenpiteet, tiedot ja niiden oikeellisuus. Se pitää myös kirjata, tiedottaa ja kouluttaa!

Tämän monimutkaisempaa laitteistoa ei tarvita radioliikenteen kuunteluun. Kulkee näppärästi mukana ja helppo piilottaa esimerkiksi ajoneuvoon.  
-Jari Latvala, Opsec, 2012

perjantai 14. syyskuuta 2012

Field note #1 - case Kerberos


Turvamiehet poimivat minut kyytiin 22:21 Lappeenrannan rautatieasemalta. Tiimissä on henkilön suojaukseen erikoistuneita miehiä, joilla on huolestunut asiakas. Ristiriitaisessa työsuhteen päättämisessä on esiintynyt uhkailua, päällekarkaus ja painostusta omasta mielestään väärin kohdelluksi tulleen entisen työntekijän toimesta. Asiakas on hyvässä valvonnassa ja tässä vaiheessa jo itse epäilty uhkaajakin. Keinovalikoimaa mietitään ja asioiden pelätään kärjistyvän ikävä kyllä vakavampaan yhteenottoon.

Tiimi on hyvin valmennettu. Koulutus käsittää asioita henkilön suojauksesta aina henkeä pelastavaan ensiapuun asti - siltä varalta, että jotain menisi pieleen. Vielä iltapalalla 22:50 mietitään vaihtoehtoja ja parhaita taktiikoita. Kyseessä on kahden ihmisen välille henkilöitynyt ongelma, mutta sivullisetkin on huomioitava. Turvallisuus on pääasia. 

Huomenna koulutus jatkuu näkökulmasta, josta tänä päivänä on myös huolehdittava. Tietoturvauhat, kyberuhat, miksikä niitä halutaankaan kutsua, ovat reitti monen ihmisen kotiovelle. Jopa ihan kirjaimellisesti. Uskon, että tämän porukan kanssa saan kuitenkin ainakin ensi yön vielä nukkua rauhassa...

Koulutuksen järjestäjä Kerberos Turvallisuuspalvelut.


Tarpeellinen lisä sinunkin tiimiisi?

lauantai 18. elokuuta 2012

Yrittäjyydestä ja yritys(turvallisuus?)kulttuureista

Osallistuin yritysten kansainvälistymisseminaariin 17.8.2012 Seinäjoella. Seminaarista kirjoitin henkilökohtaisessa blogissani jo aiemmin, mutta mieleen jäi Yhdysvaltain Suomen suurlähettilään, Bruce J. Oreckin esityksestä pari asiaa, joita on ehkä suomalaisessa yrityskulttuurissa syytä miettiä.

Suurlähettiläs heitti suomalaisille yrityksille muutaman ajatuksen tulevaisuudesta ja millaista liiketoiminta silloin on. Mielestäni tässä on hyviä asioita mietittäväksi kenelle tahansa yritystoimintaa pohtivalle. Kulttuurisiakin eroja löytyy ja mielenkiintoista on etenkin se, miten ne  ehkä liittyvät myös turvallisuusajatteluun ja turvallisuuskulttuuriimme.



"Mitä tahansa ajattelette siitä, millainen maailma on 10 vuoden kuluttua, olette todennäköisesti väärässä." 

Tämä ei varmasti selittelyjä kaipaa. 10 vuotta taaksepäin en kirjoittaisi tätä blogiin, padilla, eikä sitä kukaan ainakaan twiittaisi kenellekään. Tiedon kulku, saatavuus, merkitys ja uudet viestintäkanavat tulivat ilman kristallipalloa. Nyt meillä on pilvipalveluita ja sosiaalista mediaa, ilmiöitä kuten varjo-IT ja tiedon sähköistyminen sekä siirtyminen verkkoihin. Eikä vain liiketoiminnassa, vaan terveystiedot, verotustiedot, kiinteistöjen ohjaus, energian saatavuus ja vaikka liikenteen ohjaus tapahtuu sähköisesti verkkojen välityksellä.

"Yhdysvaltalainen yrityskulttuuri on joka hetki hyppäämistä katolta ja toivomista, että oppii lentämään, ennenkuin osuu maahan. Riskit kuuluvat elämään." 

Tässä on varmasti se suurin syy siihen, miksi yrittäminen ei Suomessa ole kovin suosittua. Meidäthän kasvatetaan lapsesta asti pyrkimään kohti turvallista ja varmaa elämää. Koko yhteiskuntamme on täynnä turvaverkkoja kansaneläkejärjestelmistä valmiiksi neuvoteltuihin työsopimusehtoihin ja terveydenhuolto sekä sosiaalihuolto ovat koko ajan valmiina reagoimaan, jos emme jostain syystä pysy vauhdissa. Tämä on varmasti syy myös siihen, miksi meillä ei ole tervettä turvallisuuskulttuuria.

Turvallisuus ja riskit ovat asioita, jotka "joku muu" hoitaa. Viime kädessä soitamme viranomaiselle. Riskejä ei osata huomioida, turvallisuutta ei pidetä osana normaalia työntekoa ja liiketoimintaa, ellei sitä ole vaikkapa työturvallisuuslainsäädäntö tai viranomainen kertomassa ja tarkistamassa. Ja silloinkin tavoite on saada asiakirjaan leima - aina ei todellisuudessa välitetä, onko asia käytännön tasolla hoidossa. Olemme oppineet vastaamaan lainsäädännön pakotteisiin, emme hallitsemaan riskejä. Riskit eivät kuulu meillä elämäämme, joten emme osaa tulla toimeen niiden kanssa?

"Ikävä kyllä emme enää koskaan elä maailmassa, jossa on näin paljon resursseja saatavilla. Suhteemme energian saatavuuteen ja väheneviin resursseihin tulevat muokkaamaan tulevaisuuden liiketoimintaa."

Lyhyesti, kilpailu kovenee. Riskien hallinta, oman turvallisuuden varmistaminen, oman itsemääräämisoikeuden säilyttäminen ja toimintavapauksien varmistaminen tulevat olemaan tulevaisuudessa markkinoilla pärjäämiseen ehto. Yrittäjyys ei tule helpottumaan. Turvallisuus ei ole jatkossa enää perusoikeus, se pitää itse luoda.

Ja viimeisenä: "Miksi suomalaiset kysyvät aina, mitä mieltä muut ovat heistä? Mitä väliä sillä on? Facebookia ei keksinyt Yhdysvallat, vaan 19 vuotias opiskelija ja Microsoftin loi collegen kesken jättänyt Bill Gates kahden kaverinsa kanssa. Ja Edison taas sanoi, että hän tietää vain yhden tavan tehdä hehkulamppu, mutta 10 000 tapaa, miten sitä ei saa palamaan."

Tätähän se yrittäjyys tarvitsee. Selkä suorassa, itseen uskoen ja avoimesti eteenpäin. Epäonnistua pitää, riskejä tulee toteutumaan ja elämä jatkuu silti. Jokainen meistä, yksilönä, on se muutoksen mahdollisuus. Mutta jokaisen meistä on luotava itse se menestys; hankittava resurssit, markkinoitava itsemme, pidettävä huolta yrityksestämme, kumppaneistamme ja itsestämme. Mitään ei tule valmiina.

keskiviikko 20. kesäkuuta 2012

Kyberpuolustuskeskus - ketä varten?


Heti alkuun pieni varoitus kirjoituksen tyylistä. Puhun tässä yrittäjän näkökulmasta ja lähinnä sen tavallisimman suomalaisen yrittäjän, eli PK-yrittäjän, näkövinkkelistä. Väkisinkin – kuten lyhyissä kirjoituksissa on pakko – tulee mukaan yksinkertaistamista ja kärjistämistä. Mutta tällaista se yrittäjän elämä on, johonkin on vaan keskityttävä. Kaikkea ei voi tehdä, vaikka haluaisi...

Palaan taannoiseen uutiseen, jossa Erka Koivunen, Viestintäviraston tietoturvallisuusyksikön päällikkö, nosti esiin kyberpuolustuskeskuksen eräänä vaihtoehtona valtion organisaatioiden tietoturvallisuuden tason parantamiseksi. Vaihtoehto se toki onkin, mutta mielestäni ei hyvä. Tällainen ratkaisu olisi viimeinen isku sen lopunkin tietoturvallisuusajattelun katoamiselle Suomesta. Ehdotus on kaikessa ihanassa ja hunajaisessa houkuttelevuudessaan vastustamaton. Saisimme lopultakin ulkoistettua sen vaikean asian jollekulle muulle. Tietoturva –termistäkään ei ole kukaan tässä maassa samaa mieltä. Osalle se on virustorjunta, toiselle lakisääteinen pakko ja melko monen mielestä se vaan mahdollistaa nörttien kansanryhmän ylivallan rehellisestä työntekijästä. Ja onhan se nimi kyllä raflaava. Kyberturvallisuuskeskus.

En lähde siihen keskusteluun, että tarvitsemmeko me moista valtiollisen turvallisuuden nimissä. Julkisuuslain periaatteiden mukaan virkamiesten ja viranhaltijoiden verovaroin tekemien päätösten ja niiden perusteiden viestintään olisi hyvä saada rahaa. Samoin organisaatioiden viestintään, tiedonkulkuun ja järjestelmien yhteensovittamiseen. Ei ehkä ensimmäiseksi suojaamiseen, salaamiseen ja eriyttämiseen. Mitä taas johonkin sodanuhkaan tulee, niin suosittelen vaikkapa Puoustusvoimien tietoverkkopuolustussektorin johtajan, Catharina Candolinin blogikirjoitusta viiden minuutin sodasta. 

Mutta kun me Suomessa, esimerkillisesti julkishallinto edellä, ulkoistamme koko tietoturvan tuohon teräksisen lujaan lasipalatsiin ja sen kellarien luolissa sijaitseviin laitesaleihin jossain Etelä-Suomessa, ei sitä sitten enää kenenkään tarvitse miettiä. Eihän? Ja kyllähän siihen verorahojakin menisi. Todennäköisesti pitkään. 

En usko, että maan tasolla toimivat ”tietoturvakeskukset” olisivat tehokkaita niihin yleisimpiin tietoturvauhkiin. Suurimmat uhat organisaatiossa ovat kuitenkin ihan tavallisia. Tietoa häviää laiterikkojen, katoamisten ja joskus jopa varkauksienkin kautta. Kilpailija – siis ihan suomalainen, naapurikorttelin Pate – on kiinnostunut asiakasrekisteristä ja myyntijohtaja Jormasta sekä Jorman kontakteista... Ja tuotekehityksen osalta pitää tietenkin olla tosissaan: Siinähän on firman hinta ja samalla yrittäjän eläke kiinni. Ja se kilpailijafirman Kake, se on nyt sitä aateekoota opiskellut kanssa; se saattaa päästä tuon tietoverkon kautta meille tietämättämme... Ja tietysti siitä pitää huolehtia, että tieto ylipäätään kulkee. Ja siitä pitää olla jopa useammin huolissaan kuin siitä, että se ei kulje! Ja olisihan se mukava saada työntekijöilleen turvallinen ja viihtyisä työpaikka.

Siinä ne tietoturvan käytännön ongelmat. Viruksista ja verkkomadoista puhutaan, kun ei ole parempaa tekemistä tai kun joku facebook-mato vaivaa profiilia. Tai kun kravattikaulainen konsultti on käynyt pelottelemassa maailmalla riehuvasta Loch Nessin hirviöstä, joka syö luottokorttitietoja, taseita ja verkkopankkitunnuksia. Tai Iranin ydinvoimaloita vaivaavan flunssan alkuperän spekuloinnista – sehän on kuin vertailisi viime viikolla leffaan tulleen huippujännärin katselukokemusta naapurin kanssa!

Tietoturvaa pitäisi arkipäiväistää, viedä käytännölliselle tasolle ja tuoda toimintaan niitä ratkaisuja, jotka ovat vastaus niihin yritysten todellisiin ongelmiin. Tietoturvauhat ovat hyvin arkipäiväisiä. Ne jokapäiväiset köhät – mihin ihan tavallinen särkylääke auttaisi – ovat ne suurin ongelma. Ihmisten kouluttaminen ja ymmärryksen lisääminen on alkanut ja yhä useampi organisaatio on huolehtinut siitä. Aika tekee tehtäväänsä siellä. Yrittäjät ja johto tarvitsevat todellisen tilannekuvan turvallisuustilanteesta. Miten sitä kannattaa kerätä, mistä ja miten se on järkevintä? Entä jatkuvuus; mitä tehdään kun viestit eivät kulje tai kun laitteet hajoavat? Turvallisuustoiminnalle olisi hyvä miettiä tavoitteita ja mittareita - mihin me pyrimme ja mitä siitä ollaan valmiita maksamaan? Organisointi on myös tärkeää: Miten kaikki on suunniteltu ja kuka vastaa?... Näitä asioita olisi hyvä miettiä ihan joka organisaatiossa.

Kun tätä tehdään jokaisessa suomalaisessa organisaatiossa, turvallisuuskulttuurin ja ymmärryksen lisääntyminen tapahtuu kaikkialla. Kun tuotettu tieto, ymmärrys ja osaaminen ovat laajasti kaikkien käytössä ja hyödynnettävissä, nostaa se myös valtion turvallisuuden tasoa. Päätän tämän blogin samaan lauseeseen kuin edellisenkin. "Kaikki teknologia, osaaminen ja keinot tietojen turvallisuuden varmistamiseksi ovat jo nyt olemassa. Kyse on vaan siitä, miten ne sijoitetaan tehokkaasti."

tiistai 12. kesäkuuta 2012

Tietoturva kunnossa, kun vastuu oikeassa paikassa


Nelosen uutiset uutisoi eilen Viestintäviraston tietoturvayksikön päällikön Erka Koivusen arvioita valtion virastojen ja laitosten tietoturvasta. Uutisessa käytettiin termejä, kuten lepsu ja leväperäinen. Omaan korvaani lepsu luo kuvan laiskasta ja leväperäinen jopa hiukan vastuuttomasta turvallisuuden hallinnasta. En itse tunnista omien asiakkaidemme kautta kumpaakaan noista mielikuvista, vaikka osin turvallisuuden tasosta olen samaa mieltä. Onneksi sekin on kuitenkin vaan yleensä se lähtöruutu, johon ei ole kovin monella tarkoitusta eikä halua jäädä. Ei sen kummemmin julkishallinnossa kuin etenkään yrityspuolella, jossa kilpailu ja menestyminen tänä päivänä alkaa edellyttää jo tämänkin osa-alueen hoitamista.

Usein ongelmakohtana on se, että ei ole osattu aloittaa tietoturvallisuuden (tai yleisemminkään turvallisuuden) tason pitkäjänteistä korjaustyötä ja kehittämistä. Ei ehkä ole tiedetty, mistä aloittaa tai sitten on kuviteltu, että asialle on jotain tehty, mutta todellisuudessa toimien vaikuttavuus on olematon. Vielä kun osaajat, tietoturvallisuuden ja tietotekniikan ammattilaiset, ja osaamisen tarvitsijat, yritysten johto ja vastuuhenkilöt, eivät puhu läheskään aina samaa kieltä, on moni ongelma vaan näennäisesti selvitetty. Tai organisaation eri tasoilla on jopa ihan erilainen käsitys tietoturvallisuuden tavoitteista. Kuten monesti olemme huomanneet, palomuuri on hankittu, mutta johdolla on ihan eri näkemys siitä mitä se tekee ja miten se todellisuudessa on asennettu. Tilanne, jossa johto ei voi päättää, kuka yrityksessä vierailee ja kuka ei! Mutta tarkoittaako tämä yhdessä eilisen uutisen kanssa, että organisaatioissa on laiska ja moraaliton johto?

Ei tietenkään. Yksi perusongelmista on mm. se, että tietoturvallisuus on vastuutettu väärään paikkaan. Tietoturva ei ole tietoteknisten asiantuntijoiden tai tietohallinnon vastuulla. Heillä on joskus – vaikka ei joka toimialalla! – isompi rooli tietoturvallisuuden käytännön tason toteuttamisesta, mutta hallinta ja johto on oltava muualla kuin IT-osastolla. Järjestelmäasiantuntijoilla, mikrotuella ja muilla teknisillä henkilöillä on erittäin harvoin osaamista, kokemusta tai edes näkemystä organisaation liiketoiminnallisista tavoitteista ja sitä vartenhan tietoturva on suunniteltava. Tietoturvaa ei suunnitella tietotekniikkaa varten, vaan liiketoimintaa ja sen jatkuvuutta varten. Ja peruslähtökohtana on siis oltava – kuten muussakin turvallisuustyössä – liiketoimintasuunnitelma, sen tavoitteet ja riskienhallinnan menetelmät. Vasta sen jälkeen tulee itse keinot.

Yksinkertainen esimerkikki:

  • Johto
    • Kerää liiketoiminnan riskiarviosta tietoon liittyvät turvallisuusriskit sekä toimintaan liittyvät lakisääteiset velvoitteet
      • Riskien arviointi – mikä pysäyttää toiminnan, minkä kanssa voidaan elää, mitä toteutuminen tarkoittaa rahassa…?
      • Riskien kontrollien suunnittelu – mikä on saatava ehdottomasti pois, paljonko riskin pienentäminen saa maksaa, mitä voidaan sietää…?
    • Valvoo – mitä uhkia organisaatioon kohdistuu, mitä poikkeamia toiminnassa on ollut, onko meidän tiedot varmistettu, mistä se todennetaan, missä on sen raportti, milloin se on viimeksi päivitetty…?
    • Tarkistaa tavoitteita liiketoiminnan muutostilanteissa 
  • Keskijohto
    • Valvoo oman vastuualueensa osalta toimintaa asetettuihin tavoitteisiin nähden.
    • Koostaa vaadittavat raportit
    • Tekee esitykset keinoista ja hankinnoista, joilla nykytilaa voidaan parantaa määriteltyjen painopisteiden mukaan
    • Huolehtii tarpeista, kuten koulutus, työvälineet, ohjeistukset…
    • Hoitaa viestintää molempiin suuntiin organisaatiossa
  • Operatiivinen taso
    • Täyttää vaaditut raportit ja huolehtii siitä, että tarvittava tieto kerätään
    • Käyttää osoitettuja työvälineitä ohjeistuksen mukaan
    • Esittää parannus- ja muutosehdotuksia toimintaan
    • Osallistuu oman vastuualueensa turvallisuustyön kehittämiseen
    • Kouluttautuu


Pienemmällä organisaatiolla tehtäviä jaetaan harvempien kesken, mutta usein toimintakin on keskittyneempää, jolloin tietoturvan hallinnasta ei tule liian raskasta tai kallista. Isommalla organisaatiolla tekijöitä on enemmän, mutta silti kuvio on pidettävä kokonaisuudessaan hallittavana ja johdonmukaisena.

Tietoturvallisuuden hallinta normaalitoiminnassa ei ole raskasta eikä kuormittavaa. Eikä saa olla sitä. Se varmistetaan sillä, että kaikki toiminta ja keinot suhteutetaan organisaation toimintaan ja tavoitteisiin ja varaudutaan vain siihen, mitä riskejä omassa toiminnassa on. Jos jokaisesta organisaatiosta löytyisi ylläkuvattu perustoiminnallisuus ja sille omavalvontasuunnitelma, olisivatko asiat paremmin? Koska kaikki teknologia, osaaminen ja keinot tietojen turvallisuuden varmistamiseksi ovat olemassa. Kyse on vaan siitä, miten ne sijoitetaan tehokkaasti. 

perjantai 25. toukokuuta 2012

Pilvipalveluiden hankintaan helpotusta!

Tulossa on muutama vaikea sana, mutta lupaan, että tämän luettuasi tiedät, mistä apu löytyy. Pilvipalvelut, Saas, Iaas, tietoturva, riskit… kaikki nämä aiheuttavat yrittäjille, yrityksen johdolle ja tietohallinnolle harmaita hiuksia. Pilvipalveluista ei oikein kukaan ole vielä perillä, eikä riskienhallintakaan pitkästä historiasta ja hyvistä kehyksistä huolimatta ole aina se helpoin asia. Sitten kun nuo asiat vielä yhdistetään – pilvipalvelut, tietoturvallisuus ja riskienarviointi -  ollaan alueella, joka ei ole ammattilaisellekaan aina mukavaa. Ei siksi, että nuo asiat olisivat ongelmallisia, vaan siksi, että ne ovat usein hyvin epäselviä ja niistä tehdään vaikeita.

Ilahduin suuresti ollessani seuraamassa muutama viikko sitten Laurean turvallisuusalalta valmistuvien opinnäytetyöseminaaria ja saadessani tutustua Anssi Kaipion opinnäytetyöhön Kesko –konsernille. Opinnäytetyössä on tartuttu kumpaankin vaikeista aiheista ja tuotettu juuri sitä, mitä etenkin yrittäjät ja hankinnoista vastuullinen johto tarvitsee. Anssi on tutkinut pilvipalveluihin liittyviä riskejä ja laatinut arviointityökalun, jolla voidaan arvioida sekä palveluihin liittyviä riskejä, että myös hankintavaiheessa vertailla eri palveluntarjoajia. Samalla myös palveluiden hankinnan yhdenmukaistaminen mahdollistuu.

”Vaikka työkalua ei ohjeiden mukaan rakentaisikaan, saa työstä paljon irti jo tulostamalla tietoperustaosuuden - käsitteet ja riskit - ja kysymyslistan. Näiden avulla voi tarkistuslista –tyyppisesti käydä kysymyksiä keskustellen läpi palveluntarjoajien kanssa.” kertoo Anssi Kaipio. Työn hyvä puoli on myös se, että se ei ole insinöörikieltä ja käy ymmärrettävästi ja selkeästi läpi, mitä pilvipalveluilla tarkoitetaan. Tämä alue, jos mikä tarvitsee käytännönläheistä ja selkeää lähestymistapaa. Työ on erinomainen esimerkki siitä, millaista todellista hyötyä ammattikorkeakoulujen ja työelämän yhteistyö tuottaa kaikille osapuolille.

Työ on ladattavissa pdf -muodossa Theseuksesta (ammattikorkeakoulujen julkaisuarkisto).

perjantai 11. toukokuuta 2012

Testaa, testaa, testaa...

Tekemään oppii vain tekemällä. Riippumatta siitä, missä ympäristössä ja millä lainalaisuuksilla toimitaan. Mallit, ohjeet ja kehykset ovat hyviä olemassa, mutta ne jäävät vajaaksi, kun mukana on inhimillisiä tekijöitä ja elävä tilanne. Ihannetilanteessa - mallien maailmassa - kaikki tapahtuu paperilla, hitaasti ja aikaa on rajattomasti. Todellisuudessa näin ei ole. Siksi Opsec tekee toistoja toistojen perään, kunnes ollaan tasolla, jossa jokainen tuntee ja tietää roolinsa. Siksi testaus on meille tärkeää.

Viime viikonloppuna Opsecin henkilöstöä oli kouluttamassa kohteen suojausta hiukan erilaisessa tilanteessa, normaalista poikkeavalla uhkakuvalla. Mutta tässäkin painottuu harjoittelun ja tilanteeseen eläytymisen tärkeys. Oppaiden, standardien, mallien ja ohjeiden maailmassa kaikki on aina niin selvää, mutta inhimillinen tekijä, tilanteen kulku ja ympäristötekijät vaihtelevat. Tälläkin "haittaohjelmalla" oli hetkensä, mutta asiaa oli jo harjoiteltu ja testattu. Roolit pitivät, toiminta tunnettiin ja uhka torjuttiin - harhautuksesta huolimatta.

Haittaohjelma pyrkii harhauttamaan suojaavia kontrolleja.
Harjoittelun ansiosta huomio pysyy siellä, missä pitääkin.
(kuva: Jari Latvala)

Lue lisää Opsecin turvallisuustestauksesta.




torstai 19. huhtikuuta 2012

Passiivisesta turvallisuudesta aktiiviseen turvallisuuteen

Tietoturvallisuusajattelu on tähän asti seurannut hyvin keskiaikaisia menetelmiä. Jopa työkalujen nimet ovat suoraan siltä ajalta; palomuurihan kaipaa enää vallihautaa ympärille ja jousiampujia torneihin. Näkökulma on siis se, että puolustaudutaan, kun hyökätään. Mutta miltä puolustaudutaan? Ja mitä ylipäätään puolustetaan ja miten se onnistuu tehokkaimmin. Mutta joka tapauksessa ollaan jo pahasti myöhässä, jos puolustus aktivoituu, kun vihollinen kiipeilee muureilla.

Samaan aikaan organisaatioiden johto tuskailee aiheen vaikeuden ja monimutkaisuuden edessä. Maailma on täynnä uhkia, mutta kannattaa muistaa, että kaikki piiput eivät osoita itseen. Niinpä kaikkeen ei edes pidä varautua. Kun asioita mietitään ja tutkitaan ennalta tarkemmin, aika usein kunnollisen analyysin jälkeen onkin riskikartta yllättäen hyvinkin selvä ja yksinkertainen. Jopa mitattava ja kohtuullisen helposti seurattava ja kehitettävä. Ja johdettavissa ilman sen syvempää teknistä asiantuntemusta.

Kumpaankin ongelmaan on sama lääke. Eikä sitä varten tarvitse edes ostaa uusia laitteita tai ohjelmistoja. Ennakoiva uhkien tunnistaminen, tiedon keruu uhista ja riskienhallintakeinojen suunnittelu havaittuihin uhkiin yksinkertaistaa ja helpottaa turvallisuuden hallintaa.

Lähde: I. Amit, Sexy Defense, 2012
Jos hyökkääjä on uhkatilanteessa askeleen edellä, hän myös sanelee säännöt. Jos kummallakin puolella ollaan ajan tasalla, on tasaväkisessä tilanteessa etu puolustajalla. Hänen puolellaan ovat kuitenkin kaikki lainsäädännöstä alkaen. Toimet on tietenkin mitoitettava ja suunniteltava organisaation kokoon nähden - pienemmän organisaation uhkien hallinta on ihan erilaista kuin suurten kansainvälisten yritysten tai kunnallisten ja valtion hallinnon toimijoiden varautuminen. Tärkeää on miettiä tavoite ja mitä siihen pääsyllä saavutetaan ja sitä kautta saadaan kuva siitä, mitä toimenpiteet voivat maksaa. Vanha viisaus tässäkin; riskin kontrolloinnista ei kannata maksaa enempää kuin mitä sen toteutuminen maksaa.


Tietorikollisuuskin on kuitenkin rikollisuutta


Mikko Hyppönen (F-Secure) luennoi tänään IT Expo 2012 messuilla mobiiliuhista. Mikon esitys sisälsi mieleenpainuvan tarinan ilmeisesti venäläistä alkuperää olleiden rikollisten toimista Tanskassa. Tarinassa suuressa roolissa oli haittaohjelman tartuttaminen tanskalaisten tietokoneisiin ja sitä kautta luottokorttinumeroiden varastaminen ja tavaroiden hankinta. Yhtä suuressa roolissa olivat myös perinteiset rikollisuuden keinot kuten muulien käyttäminen, ihmisten huijaaminen ja jälkien peittely.

Mielestäni Mikko esitti hyvin miten tietorikollisuus on toimii apuvälineenä perinteisen rikollisuuden suorituksessa. Kuten mikä tahansa väline, sen tehokkaaseen hyödyntämiseen tarvitaan osaamista ja parhaimmat (=pahimmat) suoritukset tuntuvat nerokkailta. Sama pätee myös tietorikollisuuden ennaltaehkäisyyn, tietoisuus uhista ja terve järki auttavat pitkälle.

- Mika Lindberg / Opsec

torstai 12. huhtikuuta 2012

Teilnahmebescheinigung...

Sain otsikon mukaisen todistuksen ollessani helmi - maaliskuun vaihteessa Saksassa paikallisen poliisiviranomaisen järjestämässä forensiikkakoulutuksessa. Olin paikalla ainoana Pohjoismaista ja ainoana yksityisen turvallisuusalan edustajana.

Koulutus oli erittäin antoisaa ja sitä tulee varmasti hyödynnettyä omassa työssään. Koko viikon kestäneessä koulutuksessa käytiin läpi erilaisia tapoja ja keinoja löytää rikosepäilyyn liittyvää todistusaineistoa tietokoneelta. Opittuja taitoja testattiin päivittäin esimerkki todistusaineistoilla ja tehtävillä. Kurssilla käytiin läpi muun muassa salattujen tiedostojen avaaminen, salasanojen murtaminen, poistettujen internet keskustelujen etsiminen koneen kiintolevyltä, koneesta poistettujen ohjelmistojen tarkistusta  ja tehokkaiden hakumenetelmien käyttöä.

Kouluttajat olivat pitkän linjan forensiikkatutkijoita, joilta löytyi kokemusta tutkimustyöstä 90-luvulta alkaen. Heikko saksankielen taitoni ei vaikuttanut matkan onnistumiseen, koska koulutus käytiin kansainvälisesti englanniksi. Paikalliset huolehtivat myös hyvin vierailijoistaan ja että käytännön järjestelyt olivat kunnossa. Matka oli siis koulutuksen ja kontaktien hankinnan osalta erittäin onnistunut. Ja ennen kaikkea saimme tuliaisina paljon ajantasaista tietoa IT-tutkinnan alueelta.

-Jukka Törmä @ Opsec.fi

tiistai 27. maaliskuuta 2012

MNE7 kybersodankäynnin harjoitus Suomessa

Suomi osallistuu 26.-28.3 yhtenä yhdeksästä puolustavasta joukkueesta seitsemänteen MNE (Multinational Experimentation) kybersodankäynnin kokeiluharjoitukseen. Harjoitus on osa NATO:n kyberosaamiskeskuksen (Cooperative Cyber Defence Center of Excellence, CCDCOE) harjoitusta. Harjoituksen tämänkertaisena aiheena on Access to Global Commons. Keskeistä on siis yhteiskuntien toimivuuden kannalta kriittisten toimintaympäristöjen käytettävyyden ja saatavuuden turvaaminen. Viestintäviraston alustuksessa Yrjö Benson kertoi Suomelle tärkeää olevan etenkin kansainväliset merialueet. ”Suomihan on logistisesti saari, 80-90% viennistä ja tuonnista kulkee laivoilla.” Muita tällaisia ympäristöjä ovat esimerkiksi lähi-ilmakehä, avaruus ja kybertoimintaympäristö tietoverkkoineen.

Uhan todennäköisyys
Pääministeri Kataiselta kysyttiin tiedotustilaisuudessa kyberuhan todennäköisyydestä. Tähän Katainen totesi, että tilannekartalla vilkkuu Suomenkin kohdalla tämän tästä jostain meneillään olevasta uhasta kertova valo. ”Se on jokapäiväistä.” Tilaisuudessa oli mukana kysymyksiin vastaamassa myös viestintäministeri Krista Kiuru sekä Puolustusministeriön kansliapäällikkö Arto Räty. Heidän mukaansa Suomessa fokus on nimenomaan päätöksentekoon tarvittavan tiedon saatavuuden ja käytettävyyden varmistamisessa. Tärkeää on myös tiedon kiistämättömyys. Pääroolissa on siis tieto ja siihen käsiksi pääsy myös poikkeusoloissa, ei pelkästään sen välittämiseen käytettävä infrastruktuuri. Viestintäministerin mukaan tietoverkot ja niiden tietoturvallisuus on kuitenkin eräs keskeinen asia.
Harjoituksen tiedotustilaisuuudesta.
Oikealta pääministeri Jyrki Katainen, 
viestintäministeri Krista Kiuru 
ja puolustusministeriön kansliapäällikkö Arto Räty.
Yksityinen vai julkinen tehtävä?
Arto Räty toi esiin, että Suomessa yhteiskunnan jatkuvuuteen ja toimintaan liittyvistä toiminnoista 80% on yksityisen sektorin hallinnassa. Sähköyhtiöt, teleyhtiöt ja logistiikka esimerkiksi ovat yksityisessä hallinnassa ja vain noin 20% toiminnoista on yhteiskunnan harteilla. Katainen toi esiin, että tämän vuoksi Suomelle luonnollisempi suunta olisi integroidun, verkostomaisen yhteistyön kehittämisen kuin erillisten ”kyberpuolustusvoimien” perustamisen ja ylläpidon. Pääministerin mukaan myös Suomessa yksityissektorilla oleva kansainvälisestikin erittäin korkeatasoinen osaaminen on syytä käyttää hyväksi.
Suomessa on pitkä historia jo muunkin puolustuksen osalta yhteistyöstä yksityisten toimijoiden kanssa. Tätä toimintaa koordinoi mm. Huoltovarmuuskeskus Suomessa. Niinpä on luonnollista että myös kyberpuolustuksen osalta toimintamalli on samantapainen. Tämä tietenkin tarkoittaa myös sitä, että sähköisen infrastruktuurin laadun ja toiminnan on oltava korkeatasoista myös normaalioloissa. Niinpä vastuu korkeasta laadusta on ensisijaisesti yksityisillä toimijoilla.
Uhan alkuperän havaitseminen vaikeaa
Kun lehdistö tiedusteli pahinta toteutunutta uhkaa, totesi Viestintäministeriöltä Timo Lehtimäki, että mitä enemmän asioista kirjoitetaan julkisuudessa, sen pienempiä uhkia ne ovat. Suurimmista toteutuneista uhista ei löydy välttämättä mitään julkisista lähteistä. Lehtimäki kertoi vakavampien uhkien yleensä liittyvän kirjastohaavoittuvuuksiin ja erilaisten ohjelmistokomponenttien toimintaan. On kuitenkin usein vaikea sanoa, mikä liittyy valtiolliseen toimintaan ja mikä järjestäytyneeseen rikollisuuteen, kuten Arto Räty tilaisuudessa painotti. Hyökkääjän tunnistaminen on tällä hetkellä vielä lapsenkengissä. Sisäasianministeriön lakiasiantuntijoista Tiina Ferm kertoi, että kun asioidaan tietoverkkorikollisuussopimuksen ratifioineiden maiden kanssa, on hyökkäysten alkuperän selvittäminen helppoa. Mutta käytännössä lähes kaikki haitallinen kiinnostus on kuitenkin peräisin maista, jotka eivät sopimusta ole ratifioineet. Niinpä rajanveto valtiollisen kiinnostuksen ja rikollisuuden välillä on käytännössä mahdotonta nykytilanteessa.
Puolustusvoimien tietoverkkopuolustussektorin johtaja
Catharina Candolin esittelemässä harjoituksen tilannehuonetta.
Harjoituksesta
Harjoitusta varten oli rakennettu oma suljettu infrastruktuuri, jossa oli yhdeksän puolustavaa ”sinistä” joukkuetta ja yksi ”punainen”, hyökkäävä joukkue. Suomi tarjosi harjoitukseen tilannekuvapalvelut ja Sveitsi teknisen harjoitusinfrastruktuurin. Suomessa harjoituksen johti Puolustusvoimat. Puolustusvoimien tietoverkkopuolustussektorin johtaja Catharina Candolin oli esittelemässä harjoituksen tilannehuonetta. Niinpä Suomella oli pelissä mukana tilannekuvahuoneessa ”keltainen” joukkue, joka harjoitteli ja testasi harjoituksen kuluessa raportointia, viestintää ja hyökkäyksen etenemisen havainnollistamiseen liittyviä työkaluja. Hyökkäyksen tilannetta pystyi seuraamaan koko ajan sekä kartalta, että samaan kuvaan yhdistetyn teknisen infrastruktuurin kuvasta. Myös puolustavien joukkueiden viestinnän kuvaamista ja toteuttamista harjoiteltiin sosiaalisesta mediastakin tutun näköisillä käyttöliittymillä.
Punaisen joukkueen hyökkäykset näkyvät sekä kartalla,
että puolustavien joukkueiden infrastruktuuri-
kuvassa reaaliajassa.
Samaan aikaan koottiin yhdelle näytölle erilaisia hyökkäyksessä käytettyjä trendejä ja pyrittiin havainnollistamaan hyökkääjän keinovalikoimaa. Viestintää varten oli omat näyttönsä ja koko ajan päivittyvä pelitilannekuva antoi reaaliaikaista tietoa tilanteesta. Pistetilanne oli myös seurannassa. Joukkueet saivat pisteitä esimerkiksi raportoinnista ja keskinäisestä tiedon vaihdosta. Harjoituksessa oli siis useita tavoitteita pelkän hyökkäyksen torjunnan lisäksi.
Keltaisen joukkueen kanssa tilannekuvahuoneessa harjoitteli myös puoli huoneellista juristeja. Heidän tehtävänään oli ratkoa erilaisia harjoitukseen liittyviä lainopillisia asioita. Mitä siis juridisesti voi tehdä ja mitä ei ja millaisia erityiskysymyksiä tilanteisiin liittyy. Esimerkiksi vaikkapa verkossa käyttäjän tunnistamiseen liittyvän IP-osoitteen jäljittäminen ei ole luvallista joka maassa. Ryhmän tehtävä on ottaa kantaa tämänkaltaisiin ongelmiin ja siihen, miten ne voidaan kansainvälisten ja kansallisten sopimusten puitteissa ratkoa.
Havaintokuvia pelin etenemisestä.
Johtopäätöksiä
Suomalaisen yhteiskunnan varautumisen ja puolustuskyvyn ylläpito on siis myös kyberturvallisuuden osalta yhteinen asiamme. Erityisesti tämä tulee vaatimaan hyvää ja aktiivista yhteistyötä yksityissektorin ja viranomaisten välillä. Mikäli viranomaispuolella lukkiudutaan omiin ympyröihin ja yksityispuolen osallistaminen jää vaillinaiseksi, on vaara, että puolustuskykymme ja häiriönsietokykymme on pelkkä illuusio. Yritykset toimivat hyvin erilaisessa toimintakentässä kuin julkishallinto ja esimerkiksi toimitusketjujen hallinta on jotain, johon myös tietoturvallisuuspuolella olisi viranomaisten syytä tutustua käytännössä tarkemmin. Ei ehkä riitä, että jalostusasteen valmiimmassa päässä on muutaman suuryrityksen kanssa käyty varautumiseen liittyvät harjoitukset, vaan koko ketju yhteiskunnan toimintojen ylläpidon osalta on oltava mukana. Tietoturvallisuus ja keskeinen tiedon saatavuuden ja kiistämättömyyden varmistaminen suomalaisissa toimitusketjuissa on esimerkiksi jotain, johon vain harvat ovat perehtyneet.
Näen kuitenkin itse verkostoituneen mallin erittäin hyvänä. Pääasiassa siksi, että kuitenkin suurin osa tietoturvallisuusuhista on järjestäytynyttä rikollisuutta, joka on myös normaalioloissa yritysten uhkana. Yhteistyö ja yhdessä varautuminen vahvistaa suomalaisia yrityksiä ja organisaatioita myös tätä vastaan. Se parantaa kilpailukykyämme ja palveluidemme sekä tuotteidemme laatua ja tuo kaikille jatkuvia hyötyjä koko ajan, ei vain poikkeusoloissa.
Jari Latvala / Opsec.fi