TigerTeam - suomalainen tietoturvablogi

Suomi osallistui hiljattain merkittävään kyberturvallisuusharjoitukseen (kybersotaharjoitukseen) – NATO:n CCDCOE-osaamiskeskuksen (Cooperative Cyber Defence Centre of Excellence) Cyber Defence Exercise CDX-12:een, joka puolestaan tuki MNE7-harjoitusta.

Tässä yhteydessä ei voi olla palaamatta Ylen maaliskuiseen nettiartikkeliin Tässä on Suomen pahin uhkakuva: Viiden minuutin sota. Uhkaskenaariossa Suomi voitaisiin lamauttaa pysäyttämällä minuutin portain maksuliikenne, suurin osa julkisesta liikenteestä, elintarviketoimitusten käyttämät logistiikkajärjestelmät, tärkeimmät tietoliikenneyhteydet ja lopulta sähkönsiirron kantaverkko, jolla aiheutettaisiin valtakunnallinen sähkökatko.

Kirjoittajalla oli tilaisuus tutustua harjoitukseen Viestintävirastoon perustetussa tilannehuoneeseessa osana sidosryhmäyhdistysten vierailua. Ilahduttavaa oli kuulla, että harjoitusympäristöön kuului myös pienimuotoinen SCADA-laitteisto.

Tilannehuoneen kalusto muodostui kuitenkin hyvin tavanomaisesta kuluttajaelektroniikasta. Se, kuinka perusteellisesti pidempiin sähkökatkoihin, infran lamautumiseen tai vaikkapa sabotaasi-iskuihin oli varauduttu, jäi osittain epäselväksi.

Suomi on monen muun valtion tavoin hyvin riippuvainen häiriöttömästä tietoliikenteestä ja sähkönjakelusta. Vuodenvaihteen sähkökatkot ovat omaa luokkaansa, mutta jo paikallinen sähkökatko tai tietoliikennehäiriö esimerkiksi supermarketin ympäristössä pääsiäispyhien alla sekoittaisi tuhansien ja tuhansien kansalaisten arjen. Hyvin suurella todennäköisyydellä koko liike suljettaisiin ja täydet ostoskärryt pakasteineen jäisivät sulamaan pimeään markethalliin.

Tällaisia uhkia on hyvä pysähtyvä miettimään ihan oman perheenkin näkökulmasta. Oletko muuten huomannut, että rekisteriotteen kääntöpuolelle on painettu valmis ruudukko mahdollista polttoaineen säännöstelyä varten. Ja oletko kuullut kotivarasta, jonka jauhovarastoa voi muuten hyödyntää kätevästi yllätysvieraiden saapuessa ja taskulamppua käyttää sähkökatkon osuessa kohdalle.

Kyberuhka on yhteiskunnassamme siis paljon muutakin kuin vain sotilaallinen uhka.

Turvallista pääsiäisviikonloppua!

Viime marraskuun tietovuotoryppäästä on nyt kulunut reilut pari kuukautta. Moni saattaa miettiä huojentuneena onnekkuuttaan – eipä ollut oma organisaatio tietomurron kohteena tuolla kertaa.

Tietoturvamaailmassa tällainen ajattelutapa ei kuitenkaan toimi. Valitettava fakta on, että kymmeniä ja kymmeniä web-palveluita murrettiin Suomessa muun muassa juuri marraskuussa. Kaikkia näissä murroissa saatuja tietoja ei kuitenkaan lähdetty julkaisemaan.

Tietoturvakenttä tulee kuluvana vuonna muuttumaan paljonkin. Vuonna 2012 tulemme näkemään uusia ei-teknisiä uhkia ja tietotekniikan kasvava arkipäiväistyminen laajentaa kenttää, johon yrityksen tietoturvavastaavien on otettava kantaa. Esimerkkinä voisi nostaa sen, että viimeistään tänä vuonna organisaatiot kohtaavat tilanteen, jossa Facebookin estämisen sijaan onkin ryhdyttävä rajaaviin toimenpiteisiin.

Tietohallinnon tulee varautua tilanteeseen, jossa työntekijät vain ovat päättäneet käyttää tarvitsemiaan sivustoja ja palveluja tableteilla, olivat ne sitten henkilökohtaisia tai työnantajan hankkimia.

Vuodoista tulee pysyvä trendi

Uusia niin sanottuja vuotosivustoja tullaan avaamaan lukuisia. Vuotosivustojen kautta vuodetut tiedot tulevat myös jäämään verkkoon ja ihmisten kovalevyille – siksi onkin keskityttävä reagoimiseen vuototilanteessa.

On erittäin hyvä asia havahtua yrityksen tietoturvan tasoon tietovuototapausten jälkeen. Se auttaa kartoittamaan missä ovat niin sanotut isot reiät, joista tietovaras voi “kävellä sisään”. Aivan eri vakavuudella tulisi kuitenkin suhtautua uhkaan, jossa hyökkääjällä on huipputason taidot käytössään ja resursseja varattuna kuukausikaupalla. Tällainen on tilanne usein kohdistetuissa hyökkäyksissä ja APTeissa.

Näissä mainituissa esimerkkitapauksissa ensisijaisen tärkeää on tiedon luokittelu. Se luo pohjan myös päätöksille siitä, ryhdytäänkö tiettyjen yritysjärjestelmien käyttöä tai pääsyä some-sivustoille estämään vai rajoittamaan.

Tähän kysymysviidakkoon pyrimme vastaamaan laatimalla trendikarttatyyppisen asiantuntija-artikkelin, jota luotaessa on kuunneltu keskeisten suomalaisyritysten liiketoiminta- ja it-vaikuttajia. Artikkeli on luettavissa sivuillamme täällä.

Mielenkiintoisen tietoturvavuoden alkutaipaleella vietetään tänään Tietoturvapäivää ja koko kuluva viikko on Tietoturvaviikko. Osana sitä nixulaisia on luennoitsijoina sekä kanavan puheenjohtajana ja tavattavissa keskiviikon 8.2. Tietoturvatapahtuma 2012:ssa Finlandia-talolla.

CIA. Kolme kirjainta, jotka useimmat liittävät erään suurvallan tiedustelupalveluun. Samalla nuo kirjaimet kuitenkin muodostavat myös tietoturvan perustan: Confidentiality, Integrity, Availability. Eli luottamuksellisuus, eheys ja saatavuus.

Tiedon on siis pysyttävä vain niiden hallussa joilla on siihen oikeus, sen on oltava yhtenäistä, eli tiedosta ei saa puuttua osia ja sen lisäksi tiedon on pysyttävä saatavilla. Siinä tiedon turvaamisen perusvaatimukset.

Tässä kirjoituksessa otan kantaa tiedon saatavuuteen, sillä se on juuri tähän aikaan vuodesta monen yrityksen ongelma. Eikä ainakaan lähitulevaisuus ole tuomassa siihen parannusta.

Kun kirjoitin tätä yöllä itsenäisyyspäivän tienoilla, kattopelti paukkui tuulessa, nurkissa humisi ja valot räpsyivät. Niin, sähkön saanti oli jälleen kerran veitsen terällä, näin oli jo kolmas kerta viikon sisällä. Ja se on tietoturvaongelma – tiedon saatavuus on jatkuvan uhan alla. Ilman sähköä en pääse käsiksi mihinkään mikä on verkossa, en sen enempää henkilökohtaisiin sähköposteihini kuin työpaikkani järjestelmiin etäyhteyksien avulla.

Hieno tavoite teoriassa, mutta…

Valtioneuvosto asetti vuonna 2008 tavoitteeksi, että käytännössä kaikki vakinaiset asunnot, mikä kattaa yli 99 % väestöstä, sekä yritysten että julkishallinnon organisaatioiden vakinaiset toimipaikat ovat vuoden 2015 loppuun mennessä enintään kahden kilometrin etäisyydellä 100 megabitin yhteyden mahdollistavasta valokuitu- tai kaapeliverkosta.

Hieno tavoite, mutta tässä Suomen valtio lähti aivan väärästä kohtaa liikkeelle. Eihän taloakaan yleensä rakenneta, ennen kuin tontille on vedetty tarpeellinen kunnallistekniikka.

Ilman sähköä ei se kaikenkattava 100 megabitin verkkokaan toimi, ei sitten millään. Sen ovat huomanneet varmasti monet näin syksyisin erityisesti isojen kaupunkien ulkopuolella. Sähkökatkokset vaikeuttavat yhtälailla yritysten toimintaa, kuin kolauttavat monen nuoren nettinatiivin maailmaa World of Warcraftin, Facebookin, Messengerin tai jonkin muun pelin tai palvelun ollessa poissa pahimmillaan vuorokausia. Tämä on siis erityisesti pienten kaupunkien ja haja-asutusalueiden arkipäivää – iso osa nettiyhteyskatkoksista johtuu huonosti toimivista sähköverkoista. Jopa täällä yli 20 000 asukkaan Valkeakoskella sähköt pätkivät taajama-alueella aina kun hieman kovemmin tuulee tai puiden oksille kertyy lunta.

Tässä nouseekin esiin Fingridin ja alueellisten sähkölaitosten merkitys koko maamme nettiyhteyksille. Miten saisimme sähköverkoista luotettavampia ja sen kautta myös nettiyhteyksistä toimivampia? Luonnollisesti kaivamalla kaapelit maahan. Nykyisillä laitteilla jotka samaan aikaan kaivavat kaapeliuraa ja laskevat kaapelia maahan, työ käy juoheasti. Mutta se edellyttäisi isoja investointeja sähköyhtiöiltä.

Tässä pitäisi valtion tulla apuun – ennemmin tavoitteena tulisi olla sähkön saanti maamme yrityksiin ja talouksiin 24/7, vuoteen 2015 mennessä, kuin 100 megan laajakaista.

Yritysten onkin syytä panostaa myös mobiiliverkon käyttömahdollisuuksiin, yhtä lailla kuin yksityisten, sillä sähkökatkon sattuessa mobiiliverkko usein toimii vielä tuntikausia kiinteän verkon ollessa nurin.

Mutta näin ei voi jatkua. Henkilökohtaisesti olen valmis maksamaan sähköstä hieman enemmän, jos saan sitä asuntoomme katkotta 24/7. Tämänhetkinen tilanne kun on se, että joudun hankkimaan muutaman UPS-laitteen sähkökatkosten varalta. Jos olisin yrittäjä, hankkisin UPSien lisäksi mahdollisesti peräkärrygeneraattorin millä varmistaisin sähköntuotannon yhtiölleni kriittisessä tilanteessa.

Niin, kumpi on sinulle tai yhtiöllesi tärkeämpi, 100 megan laajakaista vai varmuus sähkön saannista?

Kirjoittaja Olli Haukkovaara toimii vanhempana tietoturvakonsulttina Nixun Advise-yksikössä.

PCI-tietoturvastandardi sai heti ilmestymisensä jälkeen kritiikkiä siitä, että se ei tue riskipohjaista lähestymistapaa. Organisaatio joko noudattaa tai on noudattamatta PCI-standardia, mitään välimuotoja ei ole standardissa määritelty. Lisäksi jokainen vaatimus on yhtä tärkeä: mikäli yksikin kohta on ”punaisella” (esim. puutteellinen dokumentointi) niin organisaatio ei ole vaatimuksenmukainen.

PCI Council on huomioinut kritiikin, ja PCI-standardiin on myöhemmin lisätty riskipohjaista lähestymistapaa tukevia vaatimuksia. Tällainen on esimerkiksi 1.2-päivityksen yhteydessä muuttunut tietoturvapäivitysvaatimus, joka nykyisin sallii tietoturvapäivitysten priorisoinnin niiden kriittisyyden mukaan.

Uusin parannus riskipohjaisella lähestymistavalla on vastikään julkaistu PCI Councilin dokumentti ja työkalu Prioritized Approach for DSS 1.2. Menetelmän ideana on jakaa vaatimukset kuuteen vaiheeseen (milestone) niiden kriittisyyden mukaan. Näin organisaatio, joka ei vielä täytä PCI-vaatimuksia, voi omassa projektissaan keskittyä aluksi tärkeimpiin vaatimuksiin (Milestone 1) ja jättää vähiten kriittiset vaatimukset (Milestone 6) toteutettavaksi viimeiseksi. On kuitenkin syytä huomioida, että PCI-standardin noudattaminen edellyttää edelleen jokaisen vaatimuksen saamista ”vihreäksi”.

Nixun saamien tietojen mukaan jatkossa korttiyhtiöt alkavat seurata kauppiaiden ja palveluntarjoajien edistymistä näiden kuuden tason mukaan. Yleisen tietoturvallisuuden ja korttiyhtiöiden seurannan takia organisaatioiden, jotka eivät vielä ole PCI:n mukaisia, kannattaakin varmistua, että vähintään Milestone 1 -tason vaatimukset ovat kunnossa. Lisäksi tulee varmistaa, että Milestone 2 - ja 3-tasolla vaatimukset tulevat kuntoon mahdollisimman nopeasti.

Nixun lähestymistapa PCI-projekteille ja roadmapeille on aina ollut riskipohjainen, joten PCI Councilin ehdottama malli sopii hyvin yhteen Nixun työmenetelmien ja suositusten kanssa.