tiistai 30. lokakuuta 2012

Tilaturvallisuus ja tietoturva

Uusimmassa tietoturvallisuuskatsauksessaan (2/2012) Viestintävirasto nosti esiin varmenteisiin kohdistuvat tietoturvallisuusloukkaukset (mm. CRIME, BEAST), joissa hyödynnetään mm. salaukseen käytettävien SSL/TLS protokollien heikkouksia. Kuulostaa tekniseltä, mutta eräs hyvin olennainen suojautumiskeino ei vaadi propellihattua ollenkaan. Potentiaalisesti em. uhat eivät ole suuria tai päivitetyissä ympäristöissä edes todennäköisiä, mutta muistuttivat minua asiasta, johon törmäämme joka viikko.

Menetelmissä olennaista on nimittäin se, että hyökkääjä pääsee kuuntelemaan ja muokkaamaan kohteen verkkoliikennettä. Ensimmäisenä tulee tietenkin mieleen langattomat verkot ja niiden suojaus, mutta omissa haavoittuvuustestauksissa kerta toisensa jälkeen toistuu paljon tavallisempi ongelma. Langattomat verkot nimittäin tiedetään turvattomiksi ja niihin suhtaudutaan siksi asian vaatimalla vakavuudella jo pystytysvaiheessa. Sen sijaan perusinfrastruktuurin suojaaminen on usein asia, josta ei ole huolehdittu tai sitten sitä ei ole vaan kukaan tullut ajatelleeksi.

Varsinkin suurissa organisaatioissa, joissa tiloja ja toimipisteitä on paljon, ihmisiä liikkuu enemmän ja turvallisuuspäällikkö sekä tietohallintopäällikkö istuvat liian kaukana toisistaan, on ongelma tavallinen. Haitantekoon tai jopa hyökkäykseen ei tarvita kuin pääsy asiakastiloihin tai muuhun edes puolijulkiseen tilaan, verkkopiuha kiinni pistorasiaan ja sisällä ollaan. Pahimmassa tapauksessa asia on tehty niinkin helpoksi, että jopa talo- tai kerrosjakamoihin tai muihin sähkö- ja teletiloihin on pääsy kenellä tahansa. Tai pääsy on ainakin heikosti valvottua. Tietoverkojen suojaamisen ja suunnittelun yhteydessä on muistettava myös se, missä johdot fyysiessä maailmassa kulkevat. Voidaanko aina tehdä oletus, että ne sijaitsevat omien seinien sisällä? Ja vaikka olisivatkin, onko mahdollista suojata niitä ovien lukituksella? Ja ellei ole, niin mitä verkkoja kannattaa ulottaa ihan jokaiseen asiakastilaan asti?

Kannattaa muistaa, että tietoturvallisuuden suunnittelu organisaatioissa on aina sen paremmalla pohjalla, mitä enemmän siihen osallistuu organisaatioista näkemystä ja kokemusta!

tiistai 16. lokakuuta 2012

Vuoden 2012 pahimmat tietoturvauhat


Vuosi lähenee loppuaan ja organisaatiomme äänesti tämän vuoden kaksi vaarallisinta ja tuhoisinta asiaa organisaatioiden turvallisuudelle. Vuosi oli tietoturvapuolella rankka ja etenkin kahden kärkinimen osalta. Voittajaa oli niin vaikea selvittää, että ne jakavat nyt ensimmäistä sijaa. Toinen on tietoturvapolitiikka ja toinen on tietoturvasuunnitelma. Jos organisaatiostanne löytyvät nämä, tuhotkaa ne välittömästi ja jäljittäkää se troijan hevonen, jonka mukana nämä madot ovat organisaatioonne kulkeutuneet.

Nyt joku asiaan perehtymätön voi ihmetellä, että eikös nämä ole juuri ne pelastajat? Ja niin kuin aina menestyvät troijalaiset – ilmaiset virustorjuntaohjelmat, rekisterien siivoustyökalut ja muut vastaavat - ne vaikuttavat jopa ystäviltä. Tarkempi tarkastelu paljastaa ne kuitenkin turvallisuusuhiksi. Aloitetaan vaikka luomisprosessista, jolla ne syntyvät. Alkuideaa ei yleensä edes kukaan osaa jäljittää – joskus se on innokas johtohenkilö, joka osallistui vahingossa aikataulumuutosten vuoksi väärään koulutukseen tai sitten asiakas tai päämies, joka haluaa vaan antaa vaikutelman muille, että oma homma olisi kunnossa. Todellisuus alkaa kuitenkin siitä kun joku onneton keskijohtoon kuuluva saa työn pöydälleen.

Homma menee siitä eteenpäin ihan kuin jo tutun pelastussuunnitelman kanssa.

1.     Hikoilet
2.     Yrität välttää aihetta
3.     Pakon edessä soitat tutulle naapuriyhtiöön ja kopioit paperin (ehkä jopa maksat siitä vahingossa konsultille, tuplavirhepisteet!)

Tätä paperia sitten ihastellaan johtoryhmissä, siitä luennoidaan linjajohdolle ja ainakin yksi keskijohtoon kuuluva saa bonuksia ensi jouluna, elleivät ne kuluneet tuplavirhepisteisiin. Henkilöstö haukottelee itsensä unille ja kukaan ei tajua koko paperin syvintä olemusta niin millään. Kaikki ovat ymmärtävinään, onhan se sellaista ”bisnes-hottia” jossa on oltava mukana, vähän kuin erikoiskahvien suodatuksen sielunelämässä. Ja kuten työpaikkaruokalan kahvilaadut vaihtuvat, vaihtuvat nämäkin paperit tärkeämpiin. Papereihin liittyviä suunnitelmia ei koskaan laiteta käytäntöön, niitä ei koskaan mitata, eikä kellään oikein ole aavistustakaan, miten sitä tehtäisiin, koska…

…Siitä se työ olisi vasta alkanut! Tänä päivänä näiden kahden paperin saapuminen painosta on usein turvallisuustyön loppu. Edelleenkään  kukaan ei tiedä mikä on pielessä, millä tasolla olemme ja millaisia riskejä se tarkoittaa toimintamme kannalta. Suurimmaksi osaksi siksi, että suunnitelmat ja politiikat ovat täynnä yleismaailmallista höttöä ja höpinää, koska niitä ei ole alunperinkään suunniteltu juuri oman organisaation käyttöön. Henkilöstö ei tajua niitä, koska ne ovat kuitenkin joko Joensuun tai Tampereen yliopiston suunnitelmien kopioita. Mitä ihmettä niillä tehdasoloissa tehtäisiinkään? Onko se niin ihme, että koko turvallisuustyö pysähtyy siihen.

Turvallisuutta ei voi kopioida. Eikä sitä voi ostaa. Se pitää itse tehdä. Omaan ympäristöön pitää porautua konkreettisella tasolla. Kaivaa se data, johon turvallisuusolettamuksemme perustamme, suunnitella ja panna toimeen ne kontrollit, joilla kuvittelemme väittävämme karikot. Kontrolleja on seurattava, tulokset on tallennettava ja mittareja pitää kehittää niiden perusteella. Ja niin kuin aina, maailmassa menestyvät ne, jotka ovat valmiit pelkäämättä tarttumaan työhön. Kun olet valmis tekemään oikeaa turvallisuutta, soittele!