torstai 19. huhtikuuta 2012

Passiivisesta turvallisuudesta aktiiviseen turvallisuuteen

Tietoturvallisuusajattelu on tähän asti seurannut hyvin keskiaikaisia menetelmiä. Jopa työkalujen nimet ovat suoraan siltä ajalta; palomuurihan kaipaa enää vallihautaa ympärille ja jousiampujia torneihin. Näkökulma on siis se, että puolustaudutaan, kun hyökätään. Mutta miltä puolustaudutaan? Ja mitä ylipäätään puolustetaan ja miten se onnistuu tehokkaimmin. Mutta joka tapauksessa ollaan jo pahasti myöhässä, jos puolustus aktivoituu, kun vihollinen kiipeilee muureilla.

Samaan aikaan organisaatioiden johto tuskailee aiheen vaikeuden ja monimutkaisuuden edessä. Maailma on täynnä uhkia, mutta kannattaa muistaa, että kaikki piiput eivät osoita itseen. Niinpä kaikkeen ei edes pidä varautua. Kun asioita mietitään ja tutkitaan ennalta tarkemmin, aika usein kunnollisen analyysin jälkeen onkin riskikartta yllättäen hyvinkin selvä ja yksinkertainen. Jopa mitattava ja kohtuullisen helposti seurattava ja kehitettävä. Ja johdettavissa ilman sen syvempää teknistä asiantuntemusta.

Kumpaankin ongelmaan on sama lääke. Eikä sitä varten tarvitse edes ostaa uusia laitteita tai ohjelmistoja. Ennakoiva uhkien tunnistaminen, tiedon keruu uhista ja riskienhallintakeinojen suunnittelu havaittuihin uhkiin yksinkertaistaa ja helpottaa turvallisuuden hallintaa.

Lähde: I. Amit, Sexy Defense, 2012
Jos hyökkääjä on uhkatilanteessa askeleen edellä, hän myös sanelee säännöt. Jos kummallakin puolella ollaan ajan tasalla, on tasaväkisessä tilanteessa etu puolustajalla. Hänen puolellaan ovat kuitenkin kaikki lainsäädännöstä alkaen. Toimet on tietenkin mitoitettava ja suunniteltava organisaation kokoon nähden - pienemmän organisaation uhkien hallinta on ihan erilaista kuin suurten kansainvälisten yritysten tai kunnallisten ja valtion hallinnon toimijoiden varautuminen. Tärkeää on miettiä tavoite ja mitä siihen pääsyllä saavutetaan ja sitä kautta saadaan kuva siitä, mitä toimenpiteet voivat maksaa. Vanha viisaus tässäkin; riskin kontrolloinnista ei kannata maksaa enempää kuin mitä sen toteutuminen maksaa.


Tietorikollisuuskin on kuitenkin rikollisuutta


Mikko Hyppönen (F-Secure) luennoi tänään IT Expo 2012 messuilla mobiiliuhista. Mikon esitys sisälsi mieleenpainuvan tarinan ilmeisesti venäläistä alkuperää olleiden rikollisten toimista Tanskassa. Tarinassa suuressa roolissa oli haittaohjelman tartuttaminen tanskalaisten tietokoneisiin ja sitä kautta luottokorttinumeroiden varastaminen ja tavaroiden hankinta. Yhtä suuressa roolissa olivat myös perinteiset rikollisuuden keinot kuten muulien käyttäminen, ihmisten huijaaminen ja jälkien peittely.

Mielestäni Mikko esitti hyvin miten tietorikollisuus on toimii apuvälineenä perinteisen rikollisuuden suorituksessa. Kuten mikä tahansa väline, sen tehokkaaseen hyödyntämiseen tarvitaan osaamista ja parhaimmat (=pahimmat) suoritukset tuntuvat nerokkailta. Sama pätee myös tietorikollisuuden ennaltaehkäisyyn, tietoisuus uhista ja terve järki auttavat pitkälle.

- Mika Lindberg / Opsec

torstai 12. huhtikuuta 2012

Teilnahmebescheinigung...

Sain otsikon mukaisen todistuksen ollessani helmi - maaliskuun vaihteessa Saksassa paikallisen poliisiviranomaisen järjestämässä forensiikkakoulutuksessa. Olin paikalla ainoana Pohjoismaista ja ainoana yksityisen turvallisuusalan edustajana.

Koulutus oli erittäin antoisaa ja sitä tulee varmasti hyödynnettyä omassa työssään. Koko viikon kestäneessä koulutuksessa käytiin läpi erilaisia tapoja ja keinoja löytää rikosepäilyyn liittyvää todistusaineistoa tietokoneelta. Opittuja taitoja testattiin päivittäin esimerkki todistusaineistoilla ja tehtävillä. Kurssilla käytiin läpi muun muassa salattujen tiedostojen avaaminen, salasanojen murtaminen, poistettujen internet keskustelujen etsiminen koneen kiintolevyltä, koneesta poistettujen ohjelmistojen tarkistusta  ja tehokkaiden hakumenetelmien käyttöä.

Kouluttajat olivat pitkän linjan forensiikkatutkijoita, joilta löytyi kokemusta tutkimustyöstä 90-luvulta alkaen. Heikko saksankielen taitoni ei vaikuttanut matkan onnistumiseen, koska koulutus käytiin kansainvälisesti englanniksi. Paikalliset huolehtivat myös hyvin vierailijoistaan ja että käytännön järjestelyt olivat kunnossa. Matka oli siis koulutuksen ja kontaktien hankinnan osalta erittäin onnistunut. Ja ennen kaikkea saimme tuliaisina paljon ajantasaista tietoa IT-tutkinnan alueelta.

-Jukka Törmä @ Opsec.fi