Kategorian ‘Blogi’ artikkelit

Erilaiset seminaarit, konferenssit ja asiantuntijatapahtumat ovat nykyään lähes arkipäivää tietohallinnon ja tietoturvan parissa työskenteleville. Kutsuja jos jonkinlaisiin kokoontumisajoihin ja kissanristiäisiin tipahtelee tietohallintojohtajien ja asiantuntijoiden sähköpostilaatikkoon tasaisin väliajoin, mutta mistä tietää mihin kannattaa osallistua ja mihin ei?

Kannatettavien tapahtumien listalle nostaisin ainakin seuraavat tapahtumat:(Aiheena kaikissa enemmän tai vähemmän tietoturva sekä identiteetin ja pääsynhallinta)

IT Security Expo, ICT, Internet Expo 13.-14.2010, Helsingin messukeskus

Information Security 20.4.2010, Crowne Plaza, Helsinki

Identity & Access Management 27.-28.4.2010, Crowne Plaza, Helsinki

Cloud Computing 8.-9.6.2010, Crowne Plaza, Helsinki

Identity & Access Management 15.9.2010, Crowne Plaza, Helsinki

EMC Forum, Lokakuu 2010

Kansainvälisellä tasolla hyviä ja mielenkiintoisia tapahtumia järjestävät mm.

Gartner

Burton Group

TechEd

CA World

Tietoturva-alan yritykset järjestävät usein myös omatoimisesti pienempiä seminaareja ja tilaisuuksia, joihin osallistuminen on maksutonta. Pientä propagandaa vastaan saattaa näissä tilaisuuksissa saada hyvinkin hyödyllistä ja ajankohtaista tietoa juuri tietyn aihealueen ratkaisuista. Tietoa tällaisista pienimuotoisista tapahtumista löytyy parhaiten yritysten omilta nettisivuilta.

Microsoft -tuotteissa korostuu jatkuvasti varmennesuunnittelun keskeisyys. Hyviä esimerkkejä teknologioista, joissa olennaista on hallita varmenne-elinikää ja toiminnallisuutta ovat Direct Access ja Right Management Services. Näissä korostuu koko varmennesuunnittelun moninaisuus.

Keskustelin varmennesuunnittelusta tostaina 11.2.2010 Tietoturvatapahtumassa messukeskuksessa, ja huomasin että varmenteiden toiminnallisuus tunnetaan. Mikä on jäänyt merkittävästi vähemmälle keskustelulle, on mitä asioita pitää ottaa huomioon suunniteltaessa varmenteiden käyttöönottoa. Jos yritykselläsi on prosessi varmenteiden julkaisuun ja suunniteltuna sulkulistojen julkaisupaikat varmennekäyttötarkoituksen mukaan, tai varmenteita myöntävät palvelimet ovat luokiteltu myönntettyjen varmenteiden turvallisuusvaatimusten mukaan, olet selvästi paremmassa asemassa kuin suurin osa varmenteita käyttävistä yrityksistä.

Varmenteiden käyttöönotossa lähtökohta on tietoturvan kasvattaminen ja hallitseminen. Tämä asettaa suunnittelulle melkoisen vaateen. Varmenteet tulevat jatkossa muodostamaan merkittävän osan yrityksen tietoturvasta. Asiaa ei siis pidä ottaa kevyesti ja antaa asennusvelhon tehdä valintoja.

Varmennehierarkian toteutus ja suunnittelu on kuuma peruna, joka ei tunnu mukavalta paljaassa kädessä. Ratkaisukin löytyy. Patalapun sijaan suosittelen perusteiden haltuunottoa. Ainakin seuraavat peruskäsitteet tulisi olla näpeissä: varmenteiden käyttötarkoituksen kuvaaminen, hierarkiatasot varmennepalveluissa sekä sulkulistojen julkaisu. Tämän lisäksi on hyvä kuvata esimerkiksi valmiita pohjia hyödyntäen varmenteiden hallinta, ja varmenteiden myöntämisperusteet.

Hyvänä yleiskatsauksena toimii esim:
Designing a Public Key Infrastructure

Hiukan kevyempi kalvo show:
Tell me how PKI works in Plain English

Ja ei muuta kuin varmentamaan

Helsingin messukeskuksen kongressisiipi täyttyi jälleen kerran Suomen tietoturvakermasta, kun alan toimijat aina F-Securesta Microsoftiin kokoontuivat jakamaan tietouttaan vuosittaisessa Tietoturvatapahtumassa, torstaina 11.2.2010.

Tapahtuma järjestettiin osana valtakunnallista tietoturvaviikkoa jonka takana on mm. viestintävirasto Ficora. Siinä missä tietoturvaviikko keskittyy enemmänkin kansalaisten ja pk-yritysten ohjeistamiseen turvallisesta netin käytöstä, pureutui Tietoturvatapahtuma yritysten ja organisaatioiden tietoturvastrategioihin.
Ja niistähän riitti puhuttavaa. Kun lasketaan yhteen kaikki 28 ohjelmapuheenvuoroa, vieraiden ja asiantuntijoiden väliset henkilökohtaiset tapaamiset sekä keskustelut tietoturvaständeillä, vaihdettiin tietoturvasta ajatuksia päivän aikana valtava määrä. Haasteena onkin saada nuo ajatukset käytäntöön.

Amazon Kindle –lukulaite, jota aiemmassa blogikirjoituksessamme ”mainostimme” osoittautui tapahtuman, tai ainakin Trusteqin ständin, vetonaulaksi. Samoin Federoijan pikaopas, jota jaoimme tapahtumavieraille. Federointi on aiheena ajankohtainen monessa organisaatiossa, ja tämä näkyi suoraan myös oppaan menekissä.
Jatkoa oppaalle seuraa myöhemmin keväällä, IAM-kirjan muodossa, joten jos aihe kiinnostaa, kannatta pitää silmät auki. Tulevassa opuksessa on tarkoitus syventyä identiteetin ja pääsynhallinnan maailmaan niin teknisestä kuin business –näkökulmasta. Kirja tulee tilattavaksi nettisivuillemme, ja ilmoittelemme siitä tarkemmin blogissamme.

Tutustu Lead Architectimme Juha Kervisen pitämään puheenvuoroon tästä.

Viime vuoden lopussa Microsoft julkaisi uusimman sukupolven vanhasta ISA (Internet Security and Acceleration server) -palvelusta, ja nimesi sen uudelleen TMG:ksi (Threat Management Gateway). Nimenmuutos kuvastaa hyvin siirtymää painopisteessä. TMG ottaa tukevan askeleen kohti UTM ratkaisua. Microsoftin uudesta paletista löytyy ”tuottavuuden tehostaminen”(liikenteen kategorisointi), Internetistä ladattavien tiedostojen virustarkistukset, ja verkkotarkistukset (Network Inspection), joka tunnetaan myös virtual patchinginä. Tehostusta on tullut myös klusterointiin, ja mahdollisuus hallita tietoturvaa keskitetysti Forefront Protection Management -tuotteella.

TMG:stä ei voi järkevästi puhua ilman sen sisartuotetta UMG:tä (Unified Management Gateway). Tämä tuote on perinyt ISA:lta ja IAG:lta roolit palveluiden julkaisijana. Samoin UAG on taikajauhetta Direct access julkaisuissa, monelle ajankohtaisissa Sharepoint julkaisuissa. Kuriositeettina mainittakoon että UAG julkaistiin 24.12.2009. Jatkossa Microsoft kehittää palveluiden turvallisessa julkaisemisessa UAG:ta.

Mitä muuta kaikesta tästä karkista jää kuin makea suu ja kipeät hampaat? Ei huolta. Ksylitolia on tarjolla. Tärkeintä on hahmottaa teknologioiden henkisten roolien erot. Käyttäjille näkyvät ratkaisut tarjotaan jatkossa UAG:lla ja näkymättömät TMG:llä. Molemmat tuovat uusia etäkäyttöratkaisuita: TMG tuo mukanaan Vista ja Windows 7 -käyttöjärjestelmille sstp VPN:n rakaisun, joka kuljetetaan https -protokollaa pitkin. Tämä helpottaa reititystä ja käytettävyyttä vanhempiin PPTP ja L2TP protokolliin verrattuna. UAG taas keskittää Direct Access -liikenteen, ja muodostaa tunnelin yrityksen sisäverkkoon. TMG suojaa käyttäjiä estämällä liikenteen ei-toivotuille web -sivuille, tarkastamalla verkosta ladatut tiedostot malwaresta ja viruksista, ja suorittamalla virtual patchingiä verkkoliikenteelle. UAG taas tarjoaa portaalin, jonka kautta voidaan julkaista sekä sisäisiä että extranet -sivustoja ja -sovelluksia.

Sukelletaan kiinnostavaan Forefront -maailmaan lisää seuraavissa blogeissa.

Torstaina 11.2 Helsingin Messukeskuksessa järjestetään Tietoturvatapahtuma 2010. Osallistumalla Trusteqin ständillä järjestettävään kyselyyn voit voittaa itsellesi vielä kohtalaisen mediaseksikkään Amazon Kindle -lukijan ! Eikä siinä kaikki, mukana tulee myös nahkakannet jossa tätä sähköisten kirjojen varastoa kelpaa kuljetella !

Tietoturvatapahtuma 2010 keskittyy erityisesti yritysten tietoturvastrategiaan: käytännön ohjeisiin, tietouden jakamiseen ja suunnitelmien jalkauttamiseen. Tilaisuudessa käsitellään lisäksi mm. sosiaalisen median mukanaan tuomia tietoturvariskejä ja niiden hallintaa.

Trusteqin puheenvuoron pitää Lead Architect Juha Kervinen, aiheenaan “Käyttäjätietojen hallintaratkaisun arkkitehtuurin tehostaminen”. Esityksen näkökulmana on yritysarkkitehtuuri, ei tekniikka.

Voit ilmoittautua tapahtumaan Tietoturvatapahtuma 2010 -etusivulla, tilaisuus on maksuton. Tule käymään Messukeskuksen talvipuutarhan näyttelyalueella, meidän lisäksi löydät sieltä kattavan annoksen tietoturvan uusimpia trendejä ja huippuosaamista.

Mielenkiinnolla odotettu tiedotustilaisuus on nyt sitten takana. Jäikö tilaisuudesta muutakin käteen, kuin sanoma “We are hiring”.

Kuten arvata saattoi tilaisuus keskittyi hyvin pitkälle laitteistoihin ja tallennusratkaisuihin, sekä mitä etuja tämä yhteenliittymä tuo. Lisäksi Java:n tulevaisuutta käsiteltiin laajasti ja mitään suuria muutoksia tälle alueelle ei ollut tulossa. Oracle yhdistää omaa ja yrityshankintojen mukana tullutta tekniikkaa, jolloin tuloksena pitäisi olla jotain entistä parempaa ja tehokkaampaa. Myös MySQL tulee jatkamaan olemassa oloaan suurin piirtein kuten tähänkin asti. Myöskään Weppiserverien ja aplikaatioserverien osalta ei tullut yllätyksiä. Kaikki jatkuu kuten tähänkin asti.

IAM sai tilaisuudessa jopa odotettua enemmän huomiota. Osaltaan siksi, että Oracle korosti olevansa talo joka pystyy tarjoamaan kokonaisvaltaisia ratkaisuja ja tietoturva oli yksi tärkeistä osa-alueista kaikilla eri kerroksilla alkeaen käyttöjärjestelmistä loppukäyttäjän sovelluksiin. IAM-tuotteiden osalta tulevaisuuden näkymiä avattiin myös, toki tietyiltä osin jäi avoimia kysymyksiä joihin varmasti myöhemmin tulee lisää vastauksia. Sanoma pääasia toki oli, että SUN:n tuotteiden tukea jatketaan aikasempien suunnitelmien mukaisesti, mutta toki pitkällä tähtäimellä muutoksia on tulossa.

Hakemistojen osalta tilanne oli suoraviivainen. SUN:n ja Oraclen LDAP hakemistot jatkavat rinnakain eloaan. SUN Directory Server hakemistoja kehitetään eteenpäin ja ne tarkoitetaan kevyempiin ratkaisuihin kun Oracle Internet Directory hakemisto pysyy vaativan raskaan sarjan ratkaisuna. Hakemistojen osalta tilanteeseen ei siis tule merkittäviä muutoksia.

Oracle Identity Manager tulee olemaan pääasiallinen IdM tuote tulevaisuudessa. SUN:n tuotteesta otetaan kaikki hyvä ja liitetään Oraclen tuotteeseen. Esimerkkinä tällaisista mainittiin mm. SPML-adapterit/connectorit. Role Management puolella Oraclella on kokonaan oma tuote, mutta SUN:n roolien hallinta on ollut liitettynä Identity Manageriin. Roolien hallinnassa Oracle tulee ottamaan ison osan työvälinesitä ilmeisesti SUN:n tuotteiden puolelta. Mm. roolien analysointiin liittyviä sovellus osuuksia, mutta ilmeisesti merkittäviltä osin koko Oraclen roolien hallintaan tulee SUN:n tuotteiden puolelta.

Access Management puolella Oraclen Access Manager tulee olemaan jatkossakin käytettävä tuote. OpenSSO asema jätettiin hiukan auki, mutta mitä ilmeisimmin sen kehittäminen tulee entistä vahvemmin siirtyhmään Open Source yhteisön harteille. Yhteisö tulee kuitenkin saamaan jonkinlaista tukea Oraclen puolelta, mutta tuen laatu lienee lähinnä taloudellista. Itse tuotetta ei Oraclen toimesta ilmeisestikään kehitetä.

Suurilta osin suunnitelmat esiteltiin hyvin korkealla tasolla ja yksityiskohdat tarkentunevat lähitulevaisuudessa. Yleisestiottaen IAM alueella mitä ilmeisimmin Oraclen omat tuotteet kuitenkin korvaavat suurimmalta osin SUN:n omat tuotteet, siten että kaikki hyödylliset toiminnot irroitetaan ja lisätään Oraclen tuotteisiin. SUN:n tuotteita tuetaan suunnitelmien mukaisesti niiden tuen loppuun asti, mutta monilta osin niiden jatkokehitys pysähtynee ja painopiste siirtyy Oraclen vastaaviin tuotteisiin.

Tänään, keskiviikkona kello 19:00 Suomen aikaa, Oracle pitää verkossa julkaistavan tiedotustilaisuuden Sun Microsystemsin tarjooman integroinnista Oracle + Sun tuotekokonaisuudeksi.

Meitä kiinnostaa tietysti ensisijaisesti käyttäjä- ja käyttöoikeuksien hallinnan tuotekategorioiden tulevaisuus, varsinkin kun molemmat Sun ja Oracle tarjoaa jokseenkin päällekkäiset tuotteet Identity Management -teknologiaan. On varsin epätodennäköistä että identiteetinhallinnan tuotteet saavat tässä tilaisuudessa isompaa huomiota – päähuomio on varmasti Sun Sparc, Solaris ja Java -tekniikoiden integroimisessa osaksi Oraclea. Silti voi palautella mieleen lähes vuoden takaista Kuppinger-Colen toimittamaan analyysiä “How could a future Oracle-Sun Identity Management Stack look like?” jossa kuvataan aika kattavasti molempien organisaatioiden tarjonta Identity and Access Management -alueella.

Niin, ja jos tilaisuutta jaksaa seurata pidempään,  noin kello 23.00 aloittaa Oraclen Larry Ellison. Silloin voi tapahtua mitä tahansa kuten esimerkiksi Cloud Computing -aihealueen haastatteluissa kävi. Esimerkit täällä ja täällä.

Toukokuun 2009 lopussa (28.5.2009), juuri ennen (surullisen)kuuluisan Lex Nokian voimaan astumista Digitoday uutisoi  ”Lex Nokia” –iskuryhmästä, joka olisi valmis tekemään organisoituja täsmäiskuja yrityksiin urkintalain nimissä. Samassa jutussa kerrottiin, miten tietosuojavaltuutettu Reijo Aarnio odotteli lain voimaantuloa kylmä hiki otsalla. Kevään hypetyksen pelättiin, ja jopa odotettiin, johtavan ilmoitustulvaan, josta pieni tietosuojavaltuutetun toimisto ei selviäisi.

Mutta toisin kävi. Nyt, kuukausia lain voimaanastumisen jälkeen, valtuutetun arkistot kumisevat edelleen tyhjyyttään ilmoituksista. Edes Nokia, tai muut globaalit tuotekehitykseen nojaavat pelurit, eivät ole tehneet ilmoitusta lain soveltamisesta. Näyttäisi siltä, että homma on jämähtänyt Suomessa selvitysasteelle. Pohdintoja ja esiselvityksiä tehdään kyllä ympäri valtakuntaa, mutta kukaan ei uskalla viedä asiaa sen pidemmälle. Kukaan ei uskalla olla ensimmäinen.
 
 Ja ihmekös tuo.

Jos pelkästään lain valmistelu nostatti mediassa ja kansassa myrskyn aineksia, voi vain arvailla millaiseen ryöpytykseen sen käyttöönottava yhteisö saattaa joutua. Kritiikki voi olla hyvinkin raakaa.

Kuitenkin on outoa ettei yrityksissämme syntyneitä innovaatioita haluta suojella nykyistä enempää.  Sähköposti ja sosiaaliset mediat, kuten Facebook tai YouTube saattavat vaikuttaa viattomilta yhteydenpitovälineiltä, mutta todellisuudessa niiden avulla pystytään tekemään massiivistakin tuhoa liiketoiminnalle. Luottamuksellisen tiedon vuotaminen maailmalle kun ei vaadi kuin muutaman hiiren klikkauksen. Siksi Lex Nokian kaltainen ”pelote” saattaa olla ainoa toimiva tapa kitkeä tietovuotoja.
Lex Nokian tarkoitushan ei ole paljastaa viestinnän sisältöä, vaan ainoastaan tiedot sen lähettäjästä ja vastaanottajasta.

Oli uusi urkintalaki sitten hyvä tai huono asia, ainakin se on pakottanut yhteisöt tarkastelemaan omaa tietohallintoaan ja tietoturvaansa uusin silmin. On turha tuudittautua siihen uskoon, että ”ei meillä Suomessa” mitään tapahdu, sillä hakkerit ja tietoturvaterroristit eivät tunne valtioiden rajoja. Tieto on universaalia, ja niin ovat myös tietovuodot.

Lopuksi tekee mieli vielä ihmetellä ”Lex Nokian” vastustajien kiivasta suhtautumista lakiin, jossa voidaan nähdä yksilön oikeuksia määritteleviä elementtejä aiemman viidakon lain sijaan. Eikö kuitenkin lopulta ole niin että työntekijä tuottaa ja jalostaa työnantajan omaisuudeksi luettavaa tietoa työaikana työnantajan välineillä, josta työnantaja maksaa palkaksi kutsutun korvauksen? Mikä tässä kokonaisuudessa aiheuttaa harhan, että työntekijällä pitäisi olla oikeus – tai edes mahdollisuus – levittää tahallaan tai vahingossa liikesalaisuuksia tai muita organisaation sisäisiä tietoja?

”Lex Nokia” ja sen soveltaminen tapahtuu kuitenkin aina jälkikäteen, eli silloin kun vahinko on jo tapahtunut. Lisäksi ”Lex Nokian” soveltamisohjeet on epäselvät ja varsin raskaat. Olen jutellut asiasta lakimiesten kanssa, ja on selvää että menettelyohjeet viranomaisille (lue: konstaapelille, joka lopulta avaa ja urkkii niitä sähköpostiviestejä käyttäjän läsnä ollessa) on siinä määrin epäselvät että on jopa mahdollista tehdä tutkintapyyntö menettelikö viranomaiset oikein asiaa käsiteltäessä.

Urkintalaista ja sen perusteista voi helposti keskustella pitkään ja asiaa voidaan pyöritellä paljon. Itse en osaa nähdä laissa urkinnan tai kansalaisen yksityisyyden suojan uhkaa. Mutta se, onko laki jonka soveltamisohjeet on jokseenkin tasolla ”organisaatiossa on laitettava tietoturva kuntoon” mitenkään järkevästi käytännöllinen, on ihan toinen juttu. Sama kun laissa pyydettäisiin ”ajamaan liikennesääntöjen mukaan” ilman että sääntöjä olisi missään määritelty!

Niin tai näin -  yritysten pitää huolehtia tietovuodoistaan proaktiivisesti. Saatavilla on kaikki tarpeelliset työkalut joilla organisaation käyttäjien käyttöoikeudet määritellään sekä tiedot luokitellaan ja pääsyä hallitaan siten että käräjille ei tarvitse lähteä. Lisäksi, kun asia hoidetaan etukäteen, se liikesalaisuus ei vuotanut kilpailijalle, tahallaan tai vahingossa. Eikä työntekijää urkita. Eikä kansalaisen perusoikeutta loukata.

Oletko jo langennut Facebookin pauloihin? Käytätkö sitä työaikanasi?

Varo vaan, sinua tarkkaillaan.

Helsingin Sanomat julkaisi tänään 19.8.2009 mittavan artikkelin (linkki) Facebookin käytöstä työpaikoilla. Kyseessä ei suinkaan ole uusi ilmiö, mutta ns. Lex Nokian siivittämänä tästä maailmanlaajuisesta yhteisöpalvelusta on tullut herkullisen kiistanalainen ja tunteita herättävä ilmiö. Onko työnantajilla oikeus puuttua asiaan?

Lähes kuukausittain putkahtelee ulos tutkimuksia Facebookin hyödyistä ja haitoista työpaikoilla. Joka toinen tutkimus saarnaa sen vaaroista ja haitoista, ja joka toinen taas ylistää sen positiivisia vaikutuksia työtehoon. Mielipiteet jakaantuvat kahteen leiriin yhtä selkeästi kuin palvelun käyttäjät ja ei-käyttäjät. Oli miten oli, fakta on että tällä hetkellä Facebook on työpaikkojen aikavaras numero 1. Jokainen yhteisöpalvelussa vietetty minuutti on pois tuottavasta työajasta, josta työnantaja työntekijälle maksaa. Nucleus Researchin julkaiseman raportin mukaan tuettavuuden lasku on 1,5% jokaista työntekijää kohden. Onko siis oikein, että työntekijöillä on vapaa pääsy internetin ihmeelliseen maailmaan. Entä, onko oikein että yksityishenkilön toimintaa valvotaan isoveljen lailla?

Facebookin kuohuttaessa työntekijöiden ja työnantajien tunteita on kuitenkin unohdettu, että palvelun aiheuttamia ”haittoja” voidaan hallita muutenkin kuin täydellisellä käyttökiellolla. Kyseessä ei tarvitse siis olla joko-tai-valinta. Facebookin käyttöä voidaan seurata esimerkiksi yleisellä tasolla, jolloin organisaatiojohto saa kyllä tärkeää tietoa yhteisöpalveluiden käyttömääristä työaikana, mutta sillä ei ole pääsyä yksilökohtaisiin tietoihin. Palveluita ja niiden käyttömahdollisuuksia voidaan myös ”suodattaa”, mikä tarkoittaa tiettyjen sovellusten, kuten chattien tai kuvatiedostojen siirron, blokkaamista pois käyttäjän oikeuksista keskitetysti. Näin turvataan yrityksen tietoliikenne, ilman että työntekijän yksityisoikeuksia poljettaisiin räikeästi.
Osa tietoturva-alan ohjelmistotoimittajista on herännyt tähän vastakkainasetteluun. Esimerkiksi Websense panostaa tutkimuslaboratorionsa kautta ilmiön tutkimiseen ja tietoturvahaittojen ehkäisyyn sallien käyttäjille kuitenkin pääsyn sosiaalisen median palveluihin. Websensen laboratorion tavoitteena onkin mahdollistaa lähes kansalaisoikeudeksi muuntuneen sosiaalisen median käyttö soveltuvin osin myös työaikana, siten miten eri organisaatioiden tietoturvapolitiikassa se on määritelty. Täydellinen käyttökielto voi olla organisaatiolle jopa rekrytointia haittaava tekijä.
Suodatetaanko organisaatiosi sosiaalisen median palveluja ? Vai onko teidän ratkaisuna täyskielto?