26.7.-27.9.2017 järjestettiin Cyber Security Nordic -messut messukekuksessa. Käsittelen tässä raportissa 27.9. pidettyjen esitysten mielestäni tärkeimipiä asioita kyberturvallisuuteen liittyen. Kävin katsomassa kaikki aamupäivän esitykset, joissa puhujina oli Daniel Grabski (Microsoft), Jan Bau (Cisco), Jan Mickos (CGI) ja Antti Ropponen (Accenture oy). Tämän lisäksi katsoin iltapäivällä verkossa nähtävissä olleen Antti Kuritun (Viestintäviraston kyberturvallisuuskeskus) esityksen.

Mikä on muuttunut?

Daniel Grabski kertoi esityksensä alussa hieman kyberuhkien historiasta ja niiden muuttumisesta.

Ennen verkkorikolliset olivat lähinnä alan harrastajia, jotka toimivat yksin tai pienissä ryhmissä. Motiivina saattoi olla oman taitojen osoittaminen sekä älyllinen haaste tai jossain tapauksissa myös taloudellinen hyöty. Nykyisin hyökkääjät ovat ammattimaisempia ja heillä on selkeä hyötymistarkoitus teolleen, joka on yleensä tiedon tai omaisuuden hankkiminen rikollisin keinoin. Rikolliset ryhmät voivat olla hyvin suuria ja hyvin organisoituja tai hyökkäyksen taustalla voi olla myös valtioita. Kyberhyökkäyksiä voidaankin pitää nykyisin yhtenä teollisuudenalana tai osana sodankäyntiä. Kun hyökkääjillä on valtion tai suuren organisaation resurssit, on myös uhkat vakavampia ja vahingot suurempia. (Grabski)

Nykyisin yleistyneet mobiililaitteet ja IoT (Internet of Things) -laitteet ovat yhä useammin hyökkäyksen kohteena (Grabski). Myös Antti Ropponen ja Jan Bau ottivat puheenvuoroissaan esille esineiden internetin. Samassa verkossa oleva huonosti suojattu IoT-laite voi olla väylä yrityksen verkkoon, vaikka muuten verkko olisi suojattu todella hyvin. Tästä esimerkkinä Ropponen kertoi, miten yrityksen palvelimelle oli päästy murtautumalla ensin ilmastointilaitteeseen, jota ohjattiin yritysverkossa. Tässä päti ”heikoin lenkki” sanonta kirjaimellisesti.

Hyökkääjä vs. puolustautuja

Jan Baun mukaan hyökkääjällä on aina etu puolellaan. Hyökkääjällä on loputtomasti aikaa tehdä yksi onnistunut hyökkäys, mutta hyökkääjän toimia estävällä osapuolella on yleensä vain vähän aikaa havaita ja torjua tämä yksi hyökkäys onnistuneesti ja minimoida vahingot. Hyökkäys voi alkaa tarkkailemalla kohteen toimintaa, jonka avulla yritetään selvittää mahdolliset haavoittuvuudet (Ropponen). Hyökkäyksessä käytetään yhä useammin sosiaalista hakkerointia, jonka avulla päästään sisäverkkoon. Hyökkääjän varsinainen kohde ei välttämättä olekaan se yritys mitä kohtaan ensimmäinen hyökkäys tapahtuu. Aluksi voidaan murtautua suuren yrityksen alihankkijan huonommin suojattuun järjestelmään, jonka kautta päästään varsinaisen kohteen järjestelmiin. Tästä esimerkkinä Ropponen kertoi heidän yrityksensä tilaustyönä tekemästä tietoturvatestauksesta, missä käytettiin alihankkijan tietoja varsinaisen kohdeyrityksen verkkoon pääsemiseen. Alihankkijalla oli hallussaan kohdeyrityksen kriittisiin toimintoihin liittyviä käyttäjätunnuksia ja salasanoja.

Jan Baun mukaan tarvittavaan nopeaan vasteaikaan uhkan havaitsemisesta vastatoimintaan voidaan päästä vain automaatiolla. Grabski kertoi Microsoftin Cyber Defence Operation Centren ja Digital Crimes Unitin toiminnasta, joka päivystää 24/7 ja heillä käytetään myös koneoppimista uhkien havaitsemiseen.  Näiden yksiköiden tehtävänä on seurata cyberturvallisuuden tilaa maailmanlaajuisesti ja tehdä yhteistyötä viranomaisten ja kumppaneiden kanssa. Grabskin mukaan kaikkia hyökkäyksiä ei voi millään estää, mutta heidän toiminnan ideana on tehdä hyökkääjän kustannukset niin korkeaksi, että hyökkääminen ei ole enää taloudellisesti kannattavaa. Tämän lisäksi tavoitteena on nopea toipuminen hyökkäyksestä. Automaation osalta Bau halusi kuitenkin muistuttaa koneoppimisen lisäksi automatisoidusta typeryydestä, eli koneidenkin toimintaa pitää jatkuvasti monitoroida. Baun mukaan erilaiset pilvipalvelut, jossa jaetaan tietoa uhkista on tulevaisuuden vastaus nopeaan reagointiin uusia uhkia vastaan. Uusien uhkien havaitsemisen jälkeen on erittäin tärkeää, että tietoa jaetaan edelleen avoimien lähteiden kautta ja myös yritykset sekä viranomaiset vaihtavat tietoa keskenään.

Mitä tehdä kun uhka toteutuu?

Ammattimaiset tunkeutujat yrittävät päästä järjestelmiin huomaamatta, pysyä siellä mahdollisimman pitkään ilman vastatoimia ja poistua tarvittaessa jälkiä jättämättä. Näin he saavat maksimaalisen hyödyn tunkeutumisestaan ja voivat käyttää samaa menetelmää uudelleen. Ropponen kertoi omassa esityksessään, että tukeutumisista  SIEM-järjestelmien (Security Information and Event Management) avulla havaitaan vain 5% prosenttia kaikista havaituista tapahtumista.

Normaalin toiminnan tunteminen on yksi tärkeimmistä asioista, jonka avulla voidaan havaita tunkeutumiset (Ropponen ja Mickos). Jos ei tunneta normaalia, on vaikea tulkita epänormaaleja tapahtumia. Oman tilanteen tunteminen lähtee fyysisitä laitteista: mitä laitteita käytetään ja mitä tunnettuja haavoittuvuuksia niissä on , missä ne ovat, mihin kaapelit on kiinnitetty, mitä ohjelmistoja ja applikaatioita käytetään ja mitä tunnettuja haavoittuvuuksia niissä on? Ropponen toi esille myös sen, että pelkkä reunan suojaaminen ei riitä, vaan  tunkeutujan toiminta pitää pystyä estämään myös sisäverkossa. Iso verkko kannattaa jakaa osiin.

Kun tunkeutuminen havaitaan tulee välttää hätiköityjä toimenpiteitä. Jos tunkeutuminen on kestänyt havaitematta jo useita kuukausia, niin nopeat toimet on yleensä jo turhia. Mickos kertoi esityksessään, että ideaalitilanne olisi, jos havaitsemisen jälkeen voisi kerätä dataa, jonka voisi analysoida ja tehdä siitä hypoteesi. Tämän jälkeen suunnitellaan vastatoimenpiteet, jotka johtaisivat menestykselliseen rikostutkintaan, niin että todisteita ei tuhota heti alkuvaiheessa. Myös Kurittu painotti forensiikan osuutta silloin, kun tunkeutuminen on havaittu. Koneet tulee pitää käynnissä, jos se on mahdollista. Verkkoyhteys voidaan tarvittaessa katkaista tilanteen mukaan. Muistijälkien ja levynkuvan varmuuskopiointi on erittäin tärkeää, jotta voitaisiin etsiä jäkiä tunkeutumisesta. Lokitietojen tallentaminen riittävän pitkältä ajalta on myös tärkeää, kun tutkitaan verkkohyökkäystä. Tapahtuneesta pitää tehdä rikosilmoitus poliisille, joka tutkii rikoksen. Tämän lisäksi kannattaa tehdä ilmoitus Viestintäviraston kyberturvallisuuskeskukselle, joka voi auttaa tutkinnassa. Viestintävirasto ei tee rikostutkintaa, mutta kerää tietoa erilaisista ilmiöistä ja jakaa tietoa eteenpäin.

Miksi suojautua ja miten parantaa suojaa?

Kaikissa esityksissä tuli esille, että hyökkäyksiltä ei voi suojautua kokonaan, mutta niiden aiheuttamia haittoja voidaan vähentää ja tehdä normaaliin palautumisesta nopeampaa.

Suuri, tietoturvaan liittyvä hyökkäys, voi aiheuttaa pörssiyhtiölle merkittäviä tappioita pelkästään osakkeen arvon alenemisena, puhumattakaan muista vahingoista. Jos asiakkaiden luottamus yrityksen tietoturvaan horjuu, he vaihtavat hyvin nopeasti yritystä (Grabski). Suomalaisissa yrityksissä on ollut vallalla ajatus, että eihän minulla voi olla mitään sellaista mikä kiinnostaisi muita ja eihän Suomessa tällaista tapahdu (Mickos, Kurittu). Ropponen toi omassa esityksessään esille tilaston, jonka mukaan yritysten johdon oman arvion mukaan 70% työntekijöistä on täysin integroinut tietoturvan omaan toimintaansa ja he olivat tyytyväisiä tietoturvatilanteeseen. Kuitenkin huolimattomuus turvallisuusasioissa on yksi merkittävimmistä yksittäisistä syistä, miksi hyökkäykset onnistuvat (Ropponen). Uhkan realisoitumiseen ei tarvita kuin yksi työntekijä, joka avaa kaikki sähköpostin liitteet, niitä sen enempää arvioimatta.

Ropponen antoi muutaman idean turvallisuuden parantamiseen:

  • Ilmapiiri innovointia tukeva, ketterä ja tämä on jatkuvaa
  • Painetestaa. Ei pelkkää teknistä testausta.
  • Hyödynnä uhkatietoa ja uusia innovaatioita
  • Mittaa jatkuvasti. Ei pelkkää teknistä, myös tietoturvaan liittyvä budjetti, tyytyväisyys ja mediakuva.

Yhteenvetona voisi todeta, että tietoturva ei ole tuote vaan toimintatapa.

**********************************************************************************

Tätä dokumenttia saa kopioida ja muokata GNU General Public License (versio 2 tai uudempi) mukaisesti. http://www.gnu.org/licenses/gpl.html

**********************************************************************************

Mainokset

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

w

Muodostetaan yhteyttä palveluun %s