Kategorian ‘Blogi’ artikkelit

Mitä tehdä tuotteella, joka tuntuu liian monipuoliselta? Microsoftin Unified Access Gatewayn ominaisuusskaala on häkellyttävän laaja. Käyttötarkoituksissa tuntuu olevan rajaton määrä vaihtoehtoja, eikä roolinjako ole yhtä selkeä kuin monessa kilpailijan tuotteessa. Extranet käytössä UAG:lle voidaan ajatella kaksi selkeästi erilistä käyttötapausta. Vaikka jako ei ole missään nimessä näin mustavalkoinen, on ajatusmallin helpottamiseksi syytä yksinkertaistaa molemmat vaihtoehdot.

Ensimmäinen käyttötapaus on extranet-sovelluksen julkaiseminen suoraan UAG:n läpi. Suoralla julkaisulla voidaan hyödyntää UAG:n laajoja tietoturvaominaisuuksia, ja mahdollistaa monipuolisemmat autentikointimallit. Käyttötapauksen hyötynä on kevyet asennus- ja kustoimointivaatimukset. UAG näkyy loppukäyttäjälle mahdollisesti lomakeautentikointina tai haluttaessa se voidaan piilottaa täysin. Julkaistaessa esimerkiksi sharepoint, voidaan hyötyä suoraan laajasta tuesta ja sharepoint-pakettien natiivikäsittelystä (http://technet.microsoft.com/en-us/library/dd857299.aspx). Vahvalle pohjalle rakentaminen mahdollistaa käytön laajentamisen helposti myöhemmässä vaiheessa.

Toisena käyttötapauksena voidaan eritellä UAG:n käyttö portaalina extranet-palveluihin. Tämä mahdollistaa useiden palveluiden julkaisemisen yhdestä näkymästä. Palveluiden keskittäminen ja julkaiseminen ei vielä muodosta merkittävää uutta innovaatiota, mutta mahdollisuudet palvelun hallintaan ja mukauttamiseen ovat huimat. Portaalin muokkaamiseen on käytössä enemmän mahdollisuuksia kuin koskaan aikaisemmin ja merkittäviä osia SharePoint toiminnallisuudesta voidaan toteuttaa UAG:n portaalissa. Tämä mahdollistaa luovien ja kiinnostavien portaalien kehittämisen, jossa voidaan hyödyntää aplikaatiokohtaiset autentikointi-/tietoturvavaatimukset. UAG:n vahvuus onkin nimenomaan liiallinen monipuollisuus. Tämä asettaa projektin suunnittelussa haasteen asioiden tuottamisen oikeassa kohtaa hierarkiaa. Merkittävät vaatimukset monimutkaisista landin page -kombinaatioista voidaankin toteuttaa UAG:n sisällä, joka on tietoturvan kannalta merkittävä kehitysaskel. Sanomattakin lienee selvää että loppukäyttä arvostaa työtä, joka on portaalin kehittämiseen käytetty. Perinteisen tylstän portaalinäkymän sijaan saadaan saumaton käyttökokemus koko extranetin laajuudelta.

Entä ne muut UAG:n ominaisuudet? Direct Access? No se onkin sitten toinen tarina, johon liittyy olennaisesti sama kiusallinen liiallinen monipuolisuus. Sisäverkon käyttäjien päästäminen yrityksien resursseihin eroaa merkittävästi extranet vaateista. Tämän takia onkin suositeltavaa miettiä onko järkevämpää ajatella extranet käytössä UAG kokonaan itsenäisenä kokonaisuutena.

Ei muuta kuin Dream BIG with UAG

”ICT 2010 / Internet Expo -messut olivat yleisömenestys” uutisoi Tietoviikko eilen verkkosivuillaan.  Näinköhän?

Vierailin messuilla kumpanakin tapahtumapäivänä 13.-14.4.2010, ja myönnettäköön, että väkeä oli paikalla kiitettävästi.  Tapahtuman mediaseksikkäät teemat aina sosiaalisesta mediasta pilvipalveluihin olivat olivat vetäneet kansan messukeskukseen. Siitäkin huolimatta että aiheena ne alkavat olla jo läpikoluttuja. Facebookia,  hakukonemarkkinointia, Cloudia ja virtualisointia on käsitelty kuluneen vuoden aikana lähestulkoon kaikissa mahdollisissa medioissa, seminaareissa ja tapahtumissa, joten on vaikea löytää niistä enää mitään uutta ja jännittävää. Eikä sellaista messuilla löytynytkään.

ICT-alan ammatilaisille messuilla ei mielestäni ollut paljoa uutta tarjottavaa, mutta suurelle yleisölle tapahtuma toimi toki mukavana tapana paeta työpöydän äärestä ihmisten pariin. Harmi vain että suuri osa seminaarivieraista, etenkin Internet Expo –tapahtumssa, joutuivat seuraamaan luentoja ja paneelikeskusteluja seisaaltaan tai lattialta käsin, koska istumapaikkoja oli varattu vain muutamalle kymmenelle. Ehkäpä tässä on kehityksen paikka seuraavia messuja ajatellen.

Tietoturvan, erityisesti identiteetin ja pääsynhallinnan osalta näkyvyys messuilla oli pieni.  Kaikki tärkeimmät IAM-asiantuntijatalot Accenturesta Secproofiin ja Fujitsusta Nixuun loistivat poissaolollaan.  Kyllä, myös Trusteq. Lieneekö syynä ollut juuri tapahtuman yleisluontoisuus, sillä ottaen huomioon viimeaikaiset tietoturvamurrot esim.  Suomi24 –palveluun, olisi aihe ollut enemmän kuin ajankohtainen. Toisaalta toimivan identiteetin ja pääsynhallinnan sekä Web –tietoturvan pohtiminen ei kuulu kuluttajan tai työntekijän harteille, vaan yritysjohdon, ennen kaikkea HR:n ja tietohallinnon vastuulle. Ja tätä porukkaa varten on olemassa ihan omat messut.

Listätietoa IAM-alan tapahtumista löydät mm. Tapahtumat –sivuiltamme.

Uskottava se on. Kasvu on lääke kansantalouden velkakurjuuden parantamiseksi. Ja miksemme uskoisi. Nyt kun ammattiyhdistysliikkeen korkeimmat dirikatkin myöntävät olevansa samaa mieltä Björn Wahlroosin kanssa asiasta. Nallen kanssa on kyllä turvallista olla samaa mieltä – ainakin sen luontoisissa asioissa, joista hänellä on vakuuttavat näytöt. Tosin hän on heittänyt taas vähän muitakin tyylilleen uskollisia heittoja viimeaikoina. Hyvä että syntyy keskustelua.

Suomen kasvun veturia on nyt postNokia aikana etsitty kissojen ja koirien kanssa. Perusteollisuudella ei oikein taideta nostetta enää aikaansaada. Jossain vaiheessa biolääketieteen tuli pelastaa Suomi, sitten taas palvelusektorin ja nyt energia- ja ympäristöteknologian. Yhtä kaikki, tomialalla ei kai niin väliä, kunhan homma perustuu osaamiseen. Kännykänkuoria maalamalla emme ole enää pitkään aikaan pärjänneet itämaisille ystävillemme. Onneksi Ohjelmistoyrittäjät ovat ryhdikkäästi lähteneet suomalaisten ohjelmistoalan kasvuyritysten äänitorveksi. Vaikuttamista tarvitaan.

Meidän IAM-toimialamme kasvu näyttäisi varsin tasaiselta. Intialaiset kolleegamme ovat tehneet napakan yhteenvedon Gartnerin tuoreesta markkinakatsauksesta. Sen mukaan IAM-markkina tulee tänä vuonna kasvamaan 8% maailman laajuisesti. Itse uskon Euroopassa ja etenkin pohjoismaissa paljon kovempiin lukuihin. Jenkkien kasvupyrähdys oli jo vuosi pari sitten Enronien ja SOXien seurauksena. Meillä aletaan vasta nyt näkemään liiketoiminnalliset vaatimukset käyttäjähallinnalle. Näistä etunenässä säädösten mukaisuus, auditoitavuus ja toiminnan tehostaminen ovat selkeitä tietoturvaan ja jatkuvuuteen liittyviä liiketoimintahyötyjä.

Trusteq kasvoi viime vuonna 51%. Teimme sen vielä erittäin kannattavasti. Olimme Talouselämän Menestyjät listalla Suomen 10. paras tietojenkäsittelypalveluyritys viidellä tähdellä (*****). Sen lisäksi melkein tuplasimme henkilökuntamme.

Meillä kasvu merkitsee liikettä. Aika usein se on myös synonyymi muutokselle, jonka hallitseminen on aina haastavaa. Kasvun tekijöille eli henkilökunnallemme se tuo mahdollisuuksia kehittyä, ottaa vastaan uusia haasteita ja vastuuta, saada lisää ammatillista pätevyyttä ja joskus myös urakehitystä uuden tyyppisiin tehtäviin. Eli sitä todellista PÄÄomaa. Ilman kasvua tämä ei olisi mahdollista. Ja rohkeutta.

Näitä rohkeita miehiä ja naisia on taas haussa trusteq.kasvaa.fi.

Jos systeemityön johtamisesta kirjoitetut kirjat laitettaisiin pinoon, arvelen, että siihen törmäilisivät useimmat matkustajajetit. Jos tähän pinoon lisättäisiin ne kirjat, missä johtamisesta siirrytään laajempaan liiketoiminnalliseen kontekstiin ja systeemityön tuotoksena syntyvien järjestelmien arvon maksimoimiseen, pystyisi tätä pinoa kiiveten viemään kaljat kansainvälisen avaruusaseman lauantai-iltaa piristämään.

Vaikka esitetty vertaus ei pitäisikään sataprosenttisesti paikkaansa, kaikki jotka ovat olleet mukana käynnistämässä ja muotoilemassa keskivertoa suurempia IT-hankkeita voivat varmasti allekirjoittaa havainnon siitä, että organisaation rakenteen ja organisaatiossa työskentelevien ihmisten välisen dynamiikan ymmärtäminen on yksi hankkeen tärkeimpiä menestystekijöitä. Ihmisiä ei vaan voi sokeasti laittaa lokeroihin ja toivoa, että homma toimii. Muita tällaisia menestystekijöitä ovat luonnollisesti budjetin, kalenteriajan ja työn oikean rajauksen realistinen suhde ja johdon sitoutuminen hankkeeseen. Kirjoitetun tiedon määrä siitä, miten näiden ja muiden vastaavien muuttujien paineessa synnytetään hanke, joka onnistuu, on valtava.

En millään muotoa väheksy kirjatietoa ja jokaisella pitää olla perusymmärrys koulutuksen kautta työhönsä, mutta väitän, että meissä kaikissa on sisäänrakennettuna muutamia ominaisuuksia, joita emme saisi koulutuksemme ja kokemuksemme myötä unohtaa. Kun opiskelemme joko työn tai koulutuksen kautta jotain asiaa, vaikkapa projektin suunnittelua, käy usein niin, että näitä viimeisimpänä opittuja asioita aletaan preferoimaan toimintamalleina vain siksi, että ne ovat uusimpina ja tuoreimpina aivoissamme.

Kykyjä, joita olemme monesti saaneet jo lapsena hiekkalaatikolla usein väheksytään, sillä niitä ei voi kirjoittaa kovin eksaktisti CV:hen ja toisaalta monet C-luokan julkkikset ovat tehokkaasti mustamaalanneet näitä ominaisuuksia. Esimerkiksi eduskuntaan pyritään pitkästyttävän usein peruskoulun jälkeen (pahimmassa tapauksessa reality-tv:ssä) hankitulla “tunneälyllä, positiivisuudella ja ihmisläheisyydellä”.

Hienoimmat menestystarinat mitä olen asiakasorganisaatioissa nähnyt, on rakennettu yhdistämällä määrätietoisesti oikeaan tiimiin, oikeissa ihmisissä ja oikeassa suhteessa rooliin nähden, sekä näitä pehmeitä kykyjä, että toisaalta kovan luokan substanssiosaamista. Niinikään poikkeuksetta ison hankkeen osatavoitteiden saavuttamiseen ei riitä vain kommunikaation tai esimerkiksi tekniikan painottaminen.

Kirjapinon korkeus on oire tästä. Ihmismielen ja motivaation monimutkaisuutta yritetään sovittaa johonkin tiedetyillä muuttujilla ennustettavasti käyttäytyvään kehykseen, joka voidaan yksinkertaistaa lukijalle niin, että lukija kokee oppineensa jotain. Toisaalta taas koulutusinvestointi ei kanna oikeasti hedelmää sen jälkeen kun kirja on luettu tai kurssi käyty, vaan hyöty syntyy vasta siinä vaiheessa kun opittua päästään rauhassa soveltamaan oikeassa hankkeessa, ja tällä aikavälillä tieto jäsentyy ja osittain unohtuu ihmisen päässä. Tämä vaikuttaa siihen mitä valintoja jokapäiväisessä työssä preferoidaan.

Kaikki IAM-alueen ohjelmistotuotteet esimerkiksi toimivat aina jonkin kehysajatuksen mukaan. Jos tuotetta käytetään tätä ajatusta vastaan, tästä seuraa perustavaa laatua olevaa tehottomuutta. Tuotteet itsessään pyritään kouluttamaan niin, että niiden käyttäjät seuraisivat työssään tuotteen ajattelumallia. Tätä kuitenkaan harvoin sanotaan koulutuksessa ääneen, ja tämä johtaa siihen, että koulutetut asiantuntijat soveltavat tietämättään tuotteen toimintamallia IAM-hankkessaan ja levittävät sitä ympärilleen ainoana totuutena. Tämä malli on harvoin, jos koskaan, yksi yhteen sen kanssa, miten IAM-hankkeen ympärillä toimiva organisaatio toimii ja tuottaa tietoa. Jonkun täytyy siis muuttua, jotta tehottomuudelta vältytään ja homma saadaan pakettiin.

Organisaation toimintamallia pystytään muuttamaan, kunhan tämä muutos ymmärretään ja sitä osataan johtaa. Ymmärrys yksittäisen organisaation toiminnasta on puolestaan tyypillisesti jotain sellaista mitä opitaan etupäässä hiekkalaatikolla hankituilla pehmeillä kyvyillä ja pitämällä silmät ja korvat auki. On harvoin niin, että se henkilö, joka tuntee IAM-tuotteen ja sen ajattelumallin, on se henkilö joka on kovin kiinnostunut johtamaan organisaatiomuutosta (muuten kuin ehkä teknisestä näkökulmasta). Tämä varsin triviaali havainto selittää hyvin usein sen miksi IAM-hankkeissa monesti aletaan joko kustomoimaan identiteetinhallintatuotetta vastaamaan organisaatiota tavalla joka luo tehottomuutta tai vaihtoehtoisesti ei vaan yksinkertaisesti päästä mihinkään.

IAM-hanke on organisaation toiminnan muutos, etenkin jos identiteetinhallinta ja pääsynvalvonta ei ole ollut aikaisemmin kovin kypsällä tasolla. Tällä blogikirjoituksella haluaisin vaan muistuttaa, että sitä pitää johtaa sellaisena.

Aina silloin tällöin julkaistaan lehdistössä tietoja tietomurron kohteeksi joutuneista tietojärjestelmistä. Niissä kuitenkaan harvoin kerrotaan juuri mitään tietomurron anatomiasta, hyökkäysten estämisestä tai havainnoinnista. Tietomurroista liikkuu paljon enemmän tai vähemmän hyviä arveluja ja mielipiteitä. Esimerkiksi verkon turvaamista pidetään yhtenä merkittävimmistä tietoturvan tekijöistä.

Verizonin Business Risk Team on julkaissut raportin vuonnna 2009 käsittelemistään tietomurroista  Tuossa tutkimuksessa käsitellään 90 tietomurron joukkoa. Tuossa joukossa yllättävän pieni osa hyökkäyksistä kohdistui verkkolaitteisiin (kytkimet, reitittimet jne) Esimerkiksi WLANiin kohdistunutta hyökkäistä käytettiin vain yhdessä raportoidussa tapauksessa.

Yli kolmannes hyökkäyksistä kohdistui käyttäjätietoihin, niiden varastamiseen ja väärinkäyttöön. Arvatenkin osa hyökkäyksistä tehtiin varastettujen tunnusten avulla. Hälyttävän suuri osa hyökkäyksistä tehtiin kuitenkin jaettujen tunnusten tai järjestelmien oletustunnusten avulla. Toinen esille noussut hyökkäyskeino oli huonosti toteutetut pääsynhallintalistat (ACL), jotka käytännössä antoivat vapaan pääsyn kaikille käyttäjille. Molemmat hyökkäystyypit olisi kuitenkin erittäin helppo estää hyvin suunnitellulla ja toteutetulla IAM politiikalla. Jos tietomurtoa varten tarvitsi saada haltuun tunnuksia, useimmiten käytetiin hyväksi sovellusten haavoittuvuuksia. Yksinkertaisemmillaan käytettiin SQL injektiota, jossa toivotaan, että kohdesovellus ei tarkista saamaansa syötettä riittävän hyvin.

No, mitä teki kohdeyritys tietomurron jälkeen? Raportin mukaan ei mitään, viikkoon tai kuukausiin. 75% tietomurroista nimittäin havaittiin vasta viikkojen tai kuukausien päästä tietomurron tapahtumisesta. Tietomurtoja ei edes havaittu yrityksessä, vaan 70% tietomurroista havaitiin yrityksen ulkopuolisten henkilöiden toimesta. 13% tapauksista havaittiin muiden työtehtävien ohessa ja ainoastaan 19% tietojärjestemien toiminnan heikkenemisen, auditoinnin tai lokien avulla. Onneksi tietomurtojen havainnointiin on parempiakin keinoja kuin luottaa satunnaisten ohikulkijoiden hyväsydämisyyteen.

Karkeasti ottaen kaikesta mitä tietojärjestelmissä tapahtuu jää (tai ainakin pitäisi jäädä) merkintä lokeihin. Juuri noiden lokimerkintöjen avulla Verizonin raportin 90 tapausta on tutkittu ja selvitetty. Useissa tapauksissa lokeihin jää merkkejä tulevasta tietomurrosta, kun rikollinen vasta valmistelee varsinaista hyökkäystä, tutustuu järjestelmään ja kerää tarvittavia tietoja.

Security Information and Event Management (SIEM) ratkaisu tarjoaa apua tietomurtojen sekä niiden valmistelujen havainnointiin. Ensimmäinen tehtävä on tietysti määritellä mitä on järjestelmän normaali käyttö sekä millainen käyttö on epäilyttävää tai virheellistä. SIEM ei tietenkään pysty yksinään ratkaisemaan koko ongelmaa. SIEM ratkaisun tulisi teitää millaisia käyttäjärooleja järjestelmässä on, kenellä on oikeus mihinkin rooliin ja mitä kyseisellä roolilla on oikeus tehdä. Parhaimmillaan SIEM ratkaisu saadaankin integroitua käyttäjätietojen- ja roolienhallintajärjestelmiin. Esimerkiksi sovelluskehittäjällä ja tietokantaadministraattorilla voi olla hyvinkin erilaiset oikeudet käsitellä tietokannan tietoja ja tämän tulisi heijastua SIEM järjestelmän sääntöihin.

Todellisessa maailmassa kaikki järjestelmät eivät integroidu toisiinsa, yrityksessä ei ole tehty roolipohjaista pääsyn hallintaa yms. Lokien automaattisella analysoinnilla voidaan tällaisissakin tapauksissa saada hyviä tuloksia. Tunnus saattaa ottaa yhteyttä oudosta IP osoitteesta ei tuettuihin portteihin, käy läpi järjestelmän hakemistoja ja asentaa haittaohjelmistoja. Tunnuksella saatetaan tallentaa huomattavia määriä tietoja ja tietoa siirretään käyttäen erikoisia portteja. Kun nämä tiedot saada kerättyä yhteen paikkaan ja tulkittua oikeiden sääntöjen mukaan tietomurron havainnointiin on huomattavasti paremmat mahdollisuudet kuin raportin antamat luvut: 70% hyökkäyksistä havaitaan ulkopuolisten toimesta ja havainnot 75% tapauksissa viikojen tai kuukausien kuluttua. Parhaassa tapauksessa havaitaan jo tietomurron valmistelu ennen kuin arvokasta tietoa päätyy rikollisten käsiin.

Markkinoiden kuumin muoti-ilmiö tällä hetkellä on pilvipalvelut.  Käsite pilvipalvelu tarkoittaa yrityksille verkossa tarjottavaa, yleensä selaimella käytettävää ohjelmaa tai sovellusta, joka tuotetaan palveluna yhdestä paikasta monen tahon käyttöön. Verkossa käytettävä palvelu luo omat haasteensa yrityksille tietoturvallisuuden kannalta jotka tulee ottaa huomioon palvelun käyttöönotossa.

Tämän on huomannut myös Websense,  joka on tuonut perinteisten Appliance-ratkaisujen rinnalle SaaS (Security-as- a-Service) –ratkaisut . Websensen pilvistäkkiin kuuluu tällä hetkellä Hosted Web Security sekä Hosted Email Security, jotka tarvittaessa integroituvat keskenään. Myöhemmin tänä vuonna Websense tuo SaaS-alustalleen ennennäkemättömiä uudistuksia, joista ei tässä vaiheessa voi valitettavasti vielä puhua. Toimikoon tämä siis teaserina, allekirjoittanut lupaa palata aiheeseen myöhemmin tänä keväänä. Stay tuned!

Miten kilpailija on saanut selville liikesalaisuuden? Miksi näin oikein on tapahtunut? Olisiko tämä voitu estää? Miten tieto on joutunut kilpailijan haltuun?

Edellä on muutamia kysymyksiä, jotka varmasti tulevat mieleen kun käy ilmi, että jotain tärkeää tai vähemmän tärkeää, mutta luottamuksellista tietoa on joutunut vieraisiin käsiin. Ulkopuolelta tulevia uhkia on helppo torjua. Palomuurit, virustorjunta, erilaiset verkkoliikennettä analysoivat ohjelmistot ja laitteet auttavat pitkälle torjumaan ulkopäinä tulevia uhkia. Lisäksi ulkopuolelle näkyvät palvelimet on helppo rajata ja valvoa mitä tietoa niissä on. Ovella seisova vartija, kulunvalvonta ja kamerat suojaavat ulkoa tulevilta fyysisiltä uhilta. Edellä mainitut asiat ovat osa tietoturvaa. Usein kuitenkin unohdetaan jotain oleellista; ohjelmistoihin ja laitteisiin on helppo investoida lisää ja luoda sitä kautta turvallisuuden tuntua, mutta monesti teknologian ja termien sekaan unohdetaan tietoturvan tärkein osa.

Päivittäin saamme lukea, kuinka miljoonia luottokorttien numeroita on varastettu, tai miten on saatu haltuun tietoja salaisista ohjuksista. Yrityksen työntekijä on tärkein tietoturvan osa ja samalla sen heikoin lenkki. Miksi kilpailijan kannattaisia yrittää edes murtautua kaliiden palomuurien läpi, jos tieto on saatavilla helpomminkin. Yksinkertaisimmillaan puhelinsoitto sopivalle henkilölle riittää, hyvällä tuurilla keskus ohjaa suoraan oikealle henkilölle ja tiedon voi saada kysymällä tai henkilön nimi on löytynyt yrityksen internet sivuilta. Käyttäjäntunnistuksen parissa työskennellessäni myös minulle on lähetetty ongelmatilateissa sähköpostilla käyttäjätunnuksia ja salasanoja yhdellä sähköpostilla jopa minun niitä pyytämättä. Enkä siis ole ollut kyseisten henkilöiden kanssa missään tekemisissä aikaisemmin. Ulkopuolinenkin voi tärkempia tietoja voi hankkia kysymällä käyttäjän salasanan tai vaikka huijaamalla henkilö lähettämään tiedot. Pienemmissäkään yrityksissä kaikki työntekijät eivät tunne toisiaan. Salasanojen huijaaminen onnistuu todistettavasti jopa tietoturvan ammattilaisilta kongressin aikana johon he osallistuivat suklaapatukkaa vasten. He ovat henkilöitä jotka ovat valveentuneita ja joiden pitäisi tuntea nämä asiat. Normaalilta käyttäjältä tämä siis todennäköisesti onnistuu vielä helpommin. Normaali käyttäjä voi myös vahingossa lähettää tietoja ulkopuolelle tai väärille henkilöille. Tai epähuomiossa julkaista jotain tietoa jossain. Mahdollisesti hän voi säilyttää tietoa kotikoneellaan ja tietämättömyyttään myydä sen kaikkine luottamuksellisine tietoineen eteenpäin. Myös IT-henkilöstö voi epähuomiossa jättää kovalevyjä tyhjentämättä koneista, jotka ovat menossa kierrätykseen tai kaatopaikalle.

Tämä ei koske ainoastaan isoja yrityksiä vaan myös pienempiä. Isolle yritykselle yhden dokumentin hukkaaminen ei välttämättä ole kohtalokasta, mutta pienelle patentoitavan keksinnön piirustusten joutuminen kilpailijalle voi muodostua kohtalokkaaksi koko yrityksen tulevaisuutta ajatellen.

Tilannetta voidaan parantaa hankkimalla ohjelmistoja, jotka esimerkiksi estävät dokumenttien siirtämisen palvelimelta muistikortille tai liittämästä sitä sähköpostiin. Nämä eivät kuitenkaan itsessään ratkaise ongelmaa. Dokumentin tuottajan on osattava määritellä riittävä suojaustaso dokumentin sisältämän tiedon perusteella. Hänen on osattava käyttää ohjelmistoa oikeen ja käyttäjien oikeudet on oltava määriteltynä. Tällaiset ohjelmat on tarkoitettu ennemmin suojaamaan vahingoilta ja käyttäjän virheiltä, kuin estämään pahantahtoisen käyttäjän toimia (toki ne hankaloittavat sitä). SIEM -teknologialla voidaan tunnistaa hyökkäyksiä ja tietovuotoja. Jopa estää niitä, jos järjestelmä huomaa ongelman ajoissa ainakin uhkan tullessa ulkoa päin. Dokumentin sisällän voi esimerkiksi edelleen lukea puhelimessa toiselle, sitä ei voi estää toistaiseksi millään ohjelmalla. Tai jos loppukäyttäjä haluaa julkistaa sen kaikille Facebook:ssa, sen estäminen on hankalaa.

Tietoturva alkaa siis käyttäjästä ja käyttäjän toimia ohjaa yrityksen tietoturvapolitiikka. Ulkopuolelta tulevia uhkia vastaan ja tietovuotojen havaitsemista vasten paras apu tulee tekniikasta.

Viime vuosina tietomurrot ovat yleistyneet räjähdysmäisesti. Tänään uutisoitiin, että jopa 100000 suomalaisen korttitiedot ovat vuotaneet ulkomaille helsinkiläisen liikkeen maksujärjestelmään suoritetun hyökkäyksen yhteydessä. Kävi ilmi, että magneettijuovallisten maksukorttien tiedot lähetettiin salaamattomina maksuliikennettä hoitaneelle palvelimelle.

Miten tämä sitten olisi voitu estää? Valitettava tosiasia on, että harvoin tietoturvallisuuden puutteisiin reagoidaan ennen kuin on liian myöhäistä. Jos tietoturvamielessä heikkoon järjestelmään olisi suoritettu puolueeton auditointi, näin ei olisi päässyt tapahtumaan.

Miten sitten kriittiset järjestelmät tulisi suojata uhkia vastaan? Ratkaisuja on useita, niin myös niistä syntyviä tapahtumia eli lokeja. Jokainen järjestelmä tuottaa lokeja omalla tavalla ja kielellään. Kymmenien järjestelmien valvominen on erittäin aikaa vievää ja hankalaa.

Security Information and Event Management (SIEM) mahdollistaa alustariippumattoman tavan kerätä eri järjestelmistä tapahtumat sekä yhdistää ne yhden järjestelmän alle, jolla saadaan valvottua kaikkia verkon komponentteja reaaliaikaisesti sekä vaivattomasti. Epäilyttävistä toiminnoista verkossa järjestelmä voidaan asettaa lähettämään hälytyksen ylläpidolle, jolloin vahinko ei vielä välttämättä ole päässyt tapahtumaan.

Selvennettäköön, että SIEM ei ole tuote, SIEM on ratkaisu. Markkinoilla on olemassa hyviä työkaluja SIEM:n käyttöönottoon, mutta ilman sopivaa tarvetta ja sitoutumista prosessiin SIEM:in ominaisuudet jäävät auttamattomasti hyödyntämättä.  Ainoastaan hyvin suunniteltuna SIEM toimii organisaation tietoturvaprosessia tukevana ratkaisuna.

Syvennytään SIEM:n maailmaan myöhemmissä blogikirjoituksissa.

Helsingin Sanomat uutisoi tänään tietomurrosta helsinkiläisessä kivijalkaliikkeessä, josta varastettiin yli 100.000 maksukortin tiedot. Uutisen mukaan yrityksessä oli korttitiedot tallennettu sellaiseen paikkaan, josta konnat pääsivät niihin internetistä käsiksi.

Korttitiedot eivät varmasti (ja toivottavasti) ole olleet kenen tahansa ohikulkijan luettavissa netissä, mutta jollain hyökkäyspolulla tiedot ovat olleet saatavilla. Oletettavasti polku on ollut liian lyhyt ja tietojen salauksessa on ollut puutteita. Kuten Luottokuntakin arvioi, kyseessä tuskin on yksittäistapaus, vaan vastaavia ongelmia on odotettavissa jatkossakin.

Maksukorttitietojen vuotaminen pitkäkyntisille on vähittäiskauppaa harjoittavalle yritykselle varmasti yksi kiusallisimmista tietoturvallisuuteen liittyvistä riskeistä. Miten vuoto voidaan välttää? Vastaus on yksinkertaisesti alan tietoturvastandardin noudattaminen.

Maksukorttialan itse luoma standardi PCI DSS (payment card industry data security standard) määrittelee vaatimukset, joita noudattamalla riski korttitietojen vuotamisesta pienennetään alan vaatimalle tasolle. PCI DSS antaa keppiä ja porkkanaa. Keppi on se, että standardia noudattamaton yritys voidaan sulkea maksunvälityksen ulkopuolelle, jos substanssi osuu tuulettimeen. Vuonna 2005 maksunvälitykseen erikoistunut yritys Cardsystems Solutions menetti 40 miljoonan luottokortin tiedot rosvoille. Yhtiö ei noudattanut PCI DSS:ää, joten Visa ja American Express lopetti korttimaksujen vastaanottamisen yhtiöltä. Cardsystems meni konkurssiin. Porkkana puolestaan on mahdollisuus pienempiin komissioihin.

PCI DSS asettaa laajasti vaatimuksia tietoturvan hallinnalle kaikilla osa-alueilla. IAM:n näkökulmasta PCI DSS:a tullaan käsittelemään tuonnempana Trusteqin blogissa. Stay tuned!

Muistatko vielä ajan ennen internetiä? Ennen sähköpostia, kotisivuja ja matoja?

Kun kaikki oli helppoa ja yksikertaista.

Valitettavasti tuo aika tuskin koskaan enää palaa. Sähköinen viestintä, verkkokommunikointi, ja internet ylipäänsä,  ovat siirtyneet syntymänsä jälkeen jo niin kauas lähtökuopistaan, että ajatus sähköisesti verkottumattomasta maailmasta tuntuu lähes mahdottomalta.

Kenellekään ei siis liene enää epäselvää, että elämme Web 2.0 –aikakautta, jonka keskeisin termi on sosiaalinen media. Ihmiset pelaavat verkossa, kommunikoivat verkossa, juhlivat verkossa, tekevät ostoksia verkossa ja jopa äänestävät verkossa. He tekevät työtä verkossa ja viettävät vapaa-aikaansa verkossa. Toisin sanoen, elämä verkossa on vähintään yhtä vuorovaikutteista ja avointa kuin todellisessa elämässäkin, ellei jopa avoimempaa. Mikä asettaakin kovat vaatimukset tietoturvalle.

Luottamuksellista tietoa on vaarallisen helppo vuotaa tietämättään verkkoon. Sosiaalisen median lonkerot, kuten Facebook, Twitter ja Youtube ovat täynnä ohjelmia, joiden tarkoitus on onkia ja tallentaa tietoja käyttäjistään ja hyödyntää sitä kaikella mahdollisella tavalla. Toisaalta, oikeanlaisilla toimenpiteillä näistä yhteisöpalveluista saadaan suhteellisen turvallisia käyttää, jolloin niiden luomia mahdollisuuksia ja ominaisuuksia päästään hyödyntämään myös liike-elämässä. Sosiaalisen media voimaa ei nimittäin kannata väheksyä, edes tietoturva-alalla.

Lisätietoa Web 2.0:sta ja sosiaalisesta mediasta löytyy mm. Wikipediasta, mikä toimii itsessään hyvänä esimerkkinä Web 2.0:n luonteesta: käyttäjät luovat sinne tietoa, jakavat sitä, kommentoivat ja korjaavat sen sisältöä ja linkittävät sitä toisilleen.