Kategorian ‘Blogi’ artikkelit

Lainalupauksen saanti on tänä päivänä helppoa, mutta en olisi ikinä
uskonut sen olevan näin helppoa ja vielä toisen henkilön
identiteetillä.

Eräs ystäväni kilpailutti vaimonsa kanssa asuntolainoja pankkien
www-sivujen kautta. Nimeltä mainitsemattoman pankin kanssa neuvottelut
etenivät mallikkaasti sähköpostin välityksellä, pankki halusi
lisätietoina palkkakuitteja ja isännöitsijän todistuksen. Muutamassa
päivässä hoitui lainalupaus vielä erittäin kilpailukykyisellä
marginaalilla. Pankin mukaan laina oli nostettavissa, mutta ehtojen
neuvottelun vuoksi ystäväni päätti mennä tapaamaan lainaneuvojaa
henkilökohtaisesti.

Neuvottelut etenivät hyvin ja asioista päästiin yhteisymmärrykseen
alle puolessa tunnissa. Ystäväni ei ollut pankin asiakas, hänellä oli
ainoastaan yhteinen tili vaimonsa kanssa kyseisessä pankissa.
Pankkivirkailijan mukaan ystäväni pitäisi luonnollisesti siirtää
palkkatilinsä uuteen pankkiin.

Pankkivirkailija alkoi neuvotteluiden päätteeksi tarkistamaan ystäväni
tilejä. Virkailijan mukaan ystävälläni oli pankissa osakesijoituksia
ja muutama tili. Tämä ei kuitenkaan pitänyt paikkaansa.

Lähemmin lainahakemusta tarkasteltaessa selvisi, että lainahakemus oli
tehty toisen samannimisen henkilön identiteetillä. Lainahakemuksessa
oli väärä sosiaaliturvatunnus, ammatti, tulot, osoite jne. Ainoastaan
hakijan nimi oli oikein ja kaikki muut tiedot olivat vääriä.
Todennäköisesti www-pohjainen lainahakemus- järjestelmä oli mäpännyt
käyttäjän väärälle identiteetille ja ylikirjoittanut kaikki oikeaan
hakemuksessa syötetyt tiedot. Pankki oli kuitenkin antanut
lainalupauksen henkilölle, arvioinut hänen luottokelpoisuutensa ja
maksukykynsä tarkistamatta hakijan oikeaa identiteettiä.

Tapahtumasta herää kysymys erilaisten sovellusten tietoturvasta ja
identiteetin hallinnan tasosta. Pitäisiköhän pankkien järjestelmissä
tunnistaa käyttäjät sosiaaliturvatunnuksen perusteella? Miten huonosti
käyttäjien identiteettiä käsitellään sovelluksissa, jotka ovat
vähemmän kriittisiä?

Markkinoiden kuumin muoti-ilmiö tällä hetkellä on pilvipalvelut.  Käsite pilvipalvelu tarkoittaa yrityksille verkossa tarjottavaa, yleensä selaimella käytettävää ohjelmaa tai sovellusta, joka tuotetaan palveluna yhdestä paikasta monen tahon käyttöön. Verkossa käytettävä palvelu luo omat haasteensa yrityksille tietoturvallisuuden kannalta jotka tulee ottaa huomioon palvelun käyttöönotossa.

Tämän on huomannut myös Websense,  joka on tuonut perinteisten Appliance-ratkaisujen rinnalle SaaS (Security-as- a-Service) –ratkaisut . Websensen pilvistäkkiin kuuluu tällä hetkellä Hosted Web Security sekä Hosted Email Security, jotka tarvittaessa integroituvat keskenään. Myöhemmin tänä vuonna Websense tuo SaaS-alustalleen ennennäkemättömiä uudistuksia, joista ei tässä vaiheessa voi valitettavasti vielä puhua. Toimikoon tämä siis teaserina, allekirjoittanut lupaa palata aiheeseen myöhemmin tänä keväänä. Stay tuned!

Miten kilpailija on saanut selville liikesalaisuuden? Miksi näin oikein on tapahtunut? Olisiko tämä voitu estää? Miten tieto on joutunut kilpailijan haltuun?

Edellä on muutamia kysymyksiä, jotka varmasti tulevat mieleen kun käy ilmi, että jotain tärkeää tai vähemmän tärkeää, mutta luottamuksellista tietoa on joutunut vieraisiin käsiin. Ulkopuolelta tulevia uhkia on helppo torjua. Palomuurit, virustorjunta, erilaiset verkkoliikennettä analysoivat ohjelmistot ja laitteet auttavat pitkälle torjumaan ulkopäinä tulevia uhkia. Lisäksi ulkopuolelle näkyvät palvelimet on helppo rajata ja valvoa mitä tietoa niissä on. Ovella seisova vartija, kulunvalvonta ja kamerat suojaavat ulkoa tulevilta fyysisiltä uhilta. Edellä mainitut asiat ovat osa tietoturvaa. Usein kuitenkin unohdetaan jotain oleellista; ohjelmistoihin ja laitteisiin on helppo investoida lisää ja luoda sitä kautta turvallisuuden tuntua, mutta monesti teknologian ja termien sekaan unohdetaan tietoturvan tärkein osa.

Päivittäin saamme lukea, kuinka miljoonia luottokorttien numeroita on varastettu, tai miten on saatu haltuun tietoja salaisista ohjuksista. Yrityksen työntekijä on tärkein tietoturvan osa ja samalla sen heikoin lenkki. Miksi kilpailijan kannattaisia yrittää edes murtautua kaliiden palomuurien läpi, jos tieto on saatavilla helpomminkin. Yksinkertaisimmillaan puhelinsoitto sopivalle henkilölle riittää, hyvällä tuurilla keskus ohjaa suoraan oikealle henkilölle ja tiedon voi saada kysymällä tai henkilön nimi on löytynyt yrityksen internet sivuilta. Käyttäjäntunnistuksen parissa työskennellessäni myös minulle on lähetetty ongelmatilateissa sähköpostilla käyttäjätunnuksia ja salasanoja yhdellä sähköpostilla jopa minun niitä pyytämättä. Enkä siis ole ollut kyseisten henkilöiden kanssa missään tekemisissä aikaisemmin. Ulkopuolinenkin voi tärkempia tietoja voi hankkia kysymällä käyttäjän salasanan tai vaikka huijaamalla henkilö lähettämään tiedot. Pienemmissäkään yrityksissä kaikki työntekijät eivät tunne toisiaan. Salasanojen huijaaminen onnistuu todistettavasti jopa tietoturvan ammattilaisilta kongressin aikana johon he osallistuivat suklaapatukkaa vasten. He ovat henkilöitä jotka ovat valveentuneita ja joiden pitäisi tuntea nämä asiat. Normaalilta käyttäjältä tämä siis todennäköisesti onnistuu vielä helpommin. Normaali käyttäjä voi myös vahingossa lähettää tietoja ulkopuolelle tai väärille henkilöille. Tai epähuomiossa julkaista jotain tietoa jossain. Mahdollisesti hän voi säilyttää tietoa kotikoneellaan ja tietämättömyyttään myydä sen kaikkine luottamuksellisine tietoineen eteenpäin. Myös IT-henkilöstö voi epähuomiossa jättää kovalevyjä tyhjentämättä koneista, jotka ovat menossa kierrätykseen tai kaatopaikalle.

Tämä ei koske ainoastaan isoja yrityksiä vaan myös pienempiä. Isolle yritykselle yhden dokumentin hukkaaminen ei välttämättä ole kohtalokasta, mutta pienelle patentoitavan keksinnön piirustusten joutuminen kilpailijalle voi muodostua kohtalokkaaksi koko yrityksen tulevaisuutta ajatellen.

Tilannetta voidaan parantaa hankkimalla ohjelmistoja, jotka esimerkiksi estävät dokumenttien siirtämisen palvelimelta muistikortille tai liittämästä sitä sähköpostiin. Nämä eivät kuitenkaan itsessään ratkaise ongelmaa. Dokumentin tuottajan on osattava määritellä riittävä suojaustaso dokumentin sisältämän tiedon perusteella. Hänen on osattava käyttää ohjelmistoa oikeen ja käyttäjien oikeudet on oltava määriteltynä. Tällaiset ohjelmat on tarkoitettu ennemmin suojaamaan vahingoilta ja käyttäjän virheiltä, kuin estämään pahantahtoisen käyttäjän toimia (toki ne hankaloittavat sitä). SIEM -teknologialla voidaan tunnistaa hyökkäyksiä ja tietovuotoja. Jopa estää niitä, jos järjestelmä huomaa ongelman ajoissa ainakin uhkan tullessa ulkoa päin. Dokumentin sisällän voi esimerkiksi edelleen lukea puhelimessa toiselle, sitä ei voi estää toistaiseksi millään ohjelmalla. Tai jos loppukäyttäjä haluaa julkistaa sen kaikille Facebook:ssa, sen estäminen on hankalaa.

Tietoturva alkaa siis käyttäjästä ja käyttäjän toimia ohjaa yrityksen tietoturvapolitiikka. Ulkopuolelta tulevia uhkia vastaan ja tietovuotojen havaitsemista vasten paras apu tulee tekniikasta.

Viime vuosina tietomurrot ovat yleistyneet räjähdysmäisesti. Tänään uutisoitiin, että jopa 100000 suomalaisen korttitiedot ovat vuotaneet ulkomaille helsinkiläisen liikkeen maksujärjestelmään suoritetun hyökkäyksen yhteydessä. Kävi ilmi, että magneettijuovallisten maksukorttien tiedot lähetettiin salaamattomina maksuliikennettä hoitaneelle palvelimelle.

Miten tämä sitten olisi voitu estää? Valitettava tosiasia on, että harvoin tietoturvallisuuden puutteisiin reagoidaan ennen kuin on liian myöhäistä. Jos tietoturvamielessä heikkoon järjestelmään olisi suoritettu puolueeton auditointi, näin ei olisi päässyt tapahtumaan.

Miten sitten kriittiset järjestelmät tulisi suojata uhkia vastaan? Ratkaisuja on useita, niin myös niistä syntyviä tapahtumia eli lokeja. Jokainen järjestelmä tuottaa lokeja omalla tavalla ja kielellään. Kymmenien järjestelmien valvominen on erittäin aikaa vievää ja hankalaa.

Security Information and Event Management (SIEM) mahdollistaa alustariippumattoman tavan kerätä eri järjestelmistä tapahtumat sekä yhdistää ne yhden järjestelmän alle, jolla saadaan valvottua kaikkia verkon komponentteja reaaliaikaisesti sekä vaivattomasti. Epäilyttävistä toiminnoista verkossa järjestelmä voidaan asettaa lähettämään hälytyksen ylläpidolle, jolloin vahinko ei vielä välttämättä ole päässyt tapahtumaan.

Selvennettäköön, että SIEM ei ole tuote, SIEM on ratkaisu. Markkinoilla on olemassa hyviä työkaluja SIEM:n käyttöönottoon, mutta ilman sopivaa tarvetta ja sitoutumista prosessiin SIEM:in ominaisuudet jäävät auttamattomasti hyödyntämättä.  Ainoastaan hyvin suunniteltuna SIEM toimii organisaation tietoturvaprosessia tukevana ratkaisuna.

Syvennytään SIEM:n maailmaan myöhemmissä blogikirjoituksissa.

Helsingin Sanomat uutisoi tänään tietomurrosta helsinkiläisessä kivijalkaliikkeessä, josta varastettiin yli 100.000 maksukortin tiedot. Uutisen mukaan yrityksessä oli korttitiedot tallennettu sellaiseen paikkaan, josta konnat pääsivät niihin internetistä käsiksi.

Korttitiedot eivät varmasti (ja toivottavasti) ole olleet kenen tahansa ohikulkijan luettavissa netissä, mutta jollain hyökkäyspolulla tiedot ovat olleet saatavilla. Oletettavasti polku on ollut liian lyhyt ja tietojen salauksessa on ollut puutteita. Kuten Luottokuntakin arvioi, kyseessä tuskin on yksittäistapaus, vaan vastaavia ongelmia on odotettavissa jatkossakin.

Maksukorttitietojen vuotaminen pitkäkyntisille on vähittäiskauppaa harjoittavalle yritykselle varmasti yksi kiusallisimmista tietoturvallisuuteen liittyvistä riskeistä. Miten vuoto voidaan välttää? Vastaus on yksinkertaisesti alan tietoturvastandardin noudattaminen.

Maksukorttialan itse luoma standardi PCI DSS (payment card industry data security standard) määrittelee vaatimukset, joita noudattamalla riski korttitietojen vuotamisesta pienennetään alan vaatimalle tasolle. PCI DSS antaa keppiä ja porkkanaa. Keppi on se, että standardia noudattamaton yritys voidaan sulkea maksunvälityksen ulkopuolelle, jos substanssi osuu tuulettimeen. Vuonna 2005 maksunvälitykseen erikoistunut yritys Cardsystems Solutions menetti 40 miljoonan luottokortin tiedot rosvoille. Yhtiö ei noudattanut PCI DSS:ää, joten Visa ja American Express lopetti korttimaksujen vastaanottamisen yhtiöltä. Cardsystems meni konkurssiin. Porkkana puolestaan on mahdollisuus pienempiin komissioihin.

PCI DSS asettaa laajasti vaatimuksia tietoturvan hallinnalle kaikilla osa-alueilla. IAM:n näkökulmasta PCI DSS:a tullaan käsittelemään tuonnempana Trusteqin blogissa. Stay tuned!

Muistatko vielä ajan ennen internetiä? Ennen sähköpostia, kotisivuja ja matoja?

Kun kaikki oli helppoa ja yksikertaista.

Valitettavasti tuo aika tuskin koskaan enää palaa. Sähköinen viestintä, verkkokommunikointi, ja internet ylipäänsä,  ovat siirtyneet syntymänsä jälkeen jo niin kauas lähtökuopistaan, että ajatus sähköisesti verkottumattomasta maailmasta tuntuu lähes mahdottomalta.

Kenellekään ei siis liene enää epäselvää, että elämme Web 2.0 –aikakautta, jonka keskeisin termi on sosiaalinen media. Ihmiset pelaavat verkossa, kommunikoivat verkossa, juhlivat verkossa, tekevät ostoksia verkossa ja jopa äänestävät verkossa. He tekevät työtä verkossa ja viettävät vapaa-aikaansa verkossa. Toisin sanoen, elämä verkossa on vähintään yhtä vuorovaikutteista ja avointa kuin todellisessa elämässäkin, ellei jopa avoimempaa. Mikä asettaakin kovat vaatimukset tietoturvalle.

Luottamuksellista tietoa on vaarallisen helppo vuotaa tietämättään verkkoon. Sosiaalisen median lonkerot, kuten Facebook, Twitter ja Youtube ovat täynnä ohjelmia, joiden tarkoitus on onkia ja tallentaa tietoja käyttäjistään ja hyödyntää sitä kaikella mahdollisella tavalla. Toisaalta, oikeanlaisilla toimenpiteillä näistä yhteisöpalveluista saadaan suhteellisen turvallisia käyttää, jolloin niiden luomia mahdollisuuksia ja ominaisuuksia päästään hyödyntämään myös liike-elämässä. Sosiaalisen media voimaa ei nimittäin kannata väheksyä, edes tietoturva-alalla.

Lisätietoa Web 2.0:sta ja sosiaalisesta mediasta löytyy mm. Wikipediasta, mikä toimii itsessään hyvänä esimerkkinä Web 2.0:n luonteesta: käyttäjät luovat sinne tietoa, jakavat sitä, kommentoivat ja korjaavat sen sisältöä ja linkittävät sitä toisilleen.

Erilaiset seminaarit, konferenssit ja asiantuntijatapahtumat ovat nykyään lähes arkipäivää tietohallinnon ja tietoturvan parissa työskenteleville. Kutsuja jos jonkinlaisiin kokoontumisajoihin ja kissanristiäisiin tipahtelee tietohallintojohtajien ja asiantuntijoiden sähköpostilaatikkoon tasaisin väliajoin, mutta mistä tietää mihin kannattaa osallistua ja mihin ei?

Kannatettavien tapahtumien listalle nostaisin ainakin seuraavat tapahtumat:(Aiheena kaikissa enemmän tai vähemmän tietoturva sekä identiteetin ja pääsynhallinta)

IT Security Expo, ICT, Internet Expo 13.-14.2010, Helsingin messukeskus

Information Security 20.4.2010, Crowne Plaza, Helsinki

Identity & Access Management 27.-28.4.2010, Crowne Plaza, Helsinki

Cloud Computing 8.-9.6.2010, Crowne Plaza, Helsinki

Identity & Access Management 15.9.2010, Crowne Plaza, Helsinki

EMC Forum, Lokakuu 2010

Kansainvälisellä tasolla hyviä ja mielenkiintoisia tapahtumia järjestävät mm.

Gartner

Burton Group

TechEd

CA World

Tietoturva-alan yritykset järjestävät usein myös omatoimisesti pienempiä seminaareja ja tilaisuuksia, joihin osallistuminen on maksutonta. Pientä propagandaa vastaan saattaa näissä tilaisuuksissa saada hyvinkin hyödyllistä ja ajankohtaista tietoa juuri tietyn aihealueen ratkaisuista. Tietoa tällaisista pienimuotoisista tapahtumista löytyy parhaiten yritysten omilta nettisivuilta.

Microsoft -tuotteissa korostuu jatkuvasti varmennesuunnittelun keskeisyys. Hyviä esimerkkejä teknologioista, joissa olennaista on hallita varmenne-elinikää ja toiminnallisuutta ovat Direct Access ja Right Management Services. Näissä korostuu koko varmennesuunnittelun moninaisuus.

Keskustelin varmennesuunnittelusta tostaina 11.2.2010 Tietoturvatapahtumassa messukeskuksessa, ja huomasin että varmenteiden toiminnallisuus tunnetaan. Mikä on jäänyt merkittävästi vähemmälle keskustelulle, on mitä asioita pitää ottaa huomioon suunniteltaessa varmenteiden käyttöönottoa. Jos yritykselläsi on prosessi varmenteiden julkaisuun ja suunniteltuna sulkulistojen julkaisupaikat varmennekäyttötarkoituksen mukaan, tai varmenteita myöntävät palvelimet ovat luokiteltu myönntettyjen varmenteiden turvallisuusvaatimusten mukaan, olet selvästi paremmassa asemassa kuin suurin osa varmenteita käyttävistä yrityksistä.

Varmenteiden käyttöönotossa lähtökohta on tietoturvan kasvattaminen ja hallitseminen. Tämä asettaa suunnittelulle melkoisen vaateen. Varmenteet tulevat jatkossa muodostamaan merkittävän osan yrityksen tietoturvasta. Asiaa ei siis pidä ottaa kevyesti ja antaa asennusvelhon tehdä valintoja.

Varmennehierarkian toteutus ja suunnittelu on kuuma peruna, joka ei tunnu mukavalta paljaassa kädessä. Ratkaisukin löytyy. Patalapun sijaan suosittelen perusteiden haltuunottoa. Ainakin seuraavat peruskäsitteet tulisi olla näpeissä: varmenteiden käyttötarkoituksen kuvaaminen, hierarkiatasot varmennepalveluissa sekä sulkulistojen julkaisu. Tämän lisäksi on hyvä kuvata esimerkiksi valmiita pohjia hyödyntäen varmenteiden hallinta, ja varmenteiden myöntämisperusteet.

Hyvänä yleiskatsauksena toimii esim:
Designing a Public Key Infrastructure

Hiukan kevyempi kalvo show:
Tell me how PKI works in Plain English

Ja ei muuta kuin varmentamaan

Helsingin messukeskuksen kongressisiipi täyttyi jälleen kerran Suomen tietoturvakermasta, kun alan toimijat aina F-Securesta Microsoftiin kokoontuivat jakamaan tietouttaan vuosittaisessa Tietoturvatapahtumassa, torstaina 11.2.2010.

Tapahtuma järjestettiin osana valtakunnallista tietoturvaviikkoa jonka takana on mm. viestintävirasto Ficora. Siinä missä tietoturvaviikko keskittyy enemmänkin kansalaisten ja pk-yritysten ohjeistamiseen turvallisesta netin käytöstä, pureutui Tietoturvatapahtuma yritysten ja organisaatioiden tietoturvastrategioihin.
Ja niistähän riitti puhuttavaa. Kun lasketaan yhteen kaikki 28 ohjelmapuheenvuoroa, vieraiden ja asiantuntijoiden väliset henkilökohtaiset tapaamiset sekä keskustelut tietoturvaständeillä, vaihdettiin tietoturvasta ajatuksia päivän aikana valtava määrä. Haasteena onkin saada nuo ajatukset käytäntöön.

Amazon Kindle –lukulaite, jota aiemmassa blogikirjoituksessamme ”mainostimme” osoittautui tapahtuman, tai ainakin Trusteqin ständin, vetonaulaksi. Samoin Federoijan pikaopas, jota jaoimme tapahtumavieraille. Federointi on aiheena ajankohtainen monessa organisaatiossa, ja tämä näkyi suoraan myös oppaan menekissä.
Jatkoa oppaalle seuraa myöhemmin keväällä, IAM-kirjan muodossa, joten jos aihe kiinnostaa, kannatta pitää silmät auki. Tulevassa opuksessa on tarkoitus syventyä identiteetin ja pääsynhallinnan maailmaan niin teknisestä kuin business –näkökulmasta. Kirja tulee tilattavaksi nettisivuillemme, ja ilmoittelemme siitä tarkemmin blogissamme.

Tutustu Lead Architectimme Juha Kervisen pitämään puheenvuoroon tästä.

Viime vuoden lopussa Microsoft julkaisi uusimman sukupolven vanhasta ISA (Internet Security and Acceleration server) -palvelusta, ja nimesi sen uudelleen TMG:ksi (Threat Management Gateway). Nimenmuutos kuvastaa hyvin siirtymää painopisteessä. TMG ottaa tukevan askeleen kohti UTM ratkaisua. Microsoftin uudesta paletista löytyy ”tuottavuuden tehostaminen”(liikenteen kategorisointi), Internetistä ladattavien tiedostojen virustarkistukset, ja verkkotarkistukset (Network Inspection), joka tunnetaan myös virtual patchinginä. Tehostusta on tullut myös klusterointiin, ja mahdollisuus hallita tietoturvaa keskitetysti Forefront Protection Management -tuotteella.

TMG:stä ei voi järkevästi puhua ilman sen sisartuotetta UMG:tä (Unified Management Gateway). Tämä tuote on perinyt ISA:lta ja IAG:lta roolit palveluiden julkaisijana. Samoin UAG on taikajauhetta Direct access julkaisuissa, monelle ajankohtaisissa Sharepoint julkaisuissa. Kuriositeettina mainittakoon että UAG julkaistiin 24.12.2009. Jatkossa Microsoft kehittää palveluiden turvallisessa julkaisemisessa UAG:ta.

Mitä muuta kaikesta tästä karkista jää kuin makea suu ja kipeät hampaat? Ei huolta. Ksylitolia on tarjolla. Tärkeintä on hahmottaa teknologioiden henkisten roolien erot. Käyttäjille näkyvät ratkaisut tarjotaan jatkossa UAG:lla ja näkymättömät TMG:llä. Molemmat tuovat uusia etäkäyttöratkaisuita: TMG tuo mukanaan Vista ja Windows 7 -käyttöjärjestelmille sstp VPN:n rakaisun, joka kuljetetaan https -protokollaa pitkin. Tämä helpottaa reititystä ja käytettävyyttä vanhempiin PPTP ja L2TP protokolliin verrattuna. UAG taas keskittää Direct Access -liikenteen, ja muodostaa tunnelin yrityksen sisäverkkoon. TMG suojaa käyttäjiä estämällä liikenteen ei-toivotuille web -sivuille, tarkastamalla verkosta ladatut tiedostot malwaresta ja viruksista, ja suorittamalla virtual patchingiä verkkoliikenteelle. UAG taas tarjoaa portaalin, jonka kautta voidaan julkaista sekä sisäisiä että extranet -sivustoja ja -sovelluksia.

Sukelletaan kiinnostavaan Forefront -maailmaan lisää seuraavissa blogeissa.