Poikkileikkaavat teemat

Turvallisuustalous

Turvallisuustalous on synteesi tietojenkäsittelytieteen ja yhteiskuntatieteen välillä. Se yhdistää mikrotalouden teorian ja peliteorian tietoturvallisuuteen, jotta saataisiin käsitys kompromisseista ja väärin kohdistetuista kannustimista teknisten tietoturvapolitiikkojen ja -mekanismien suunnittelussa ja käyttöönotossa. Turvallisuustalous tutkii esim. internetpalveluntarjoajien (ISP) ja ohjelmistotoimittajien kannustimia kun he kohtaavat haittaohjelmia, ja sitä, miten kannustimien ohjaamat toimet johtavat optimaaliseen tai heikkoon turvallisuuteen laajemmissa järjestelmissä.

Myös hyökkääjätaloustieteestä (attacker economy) on tulossa tärkeä, sillä se paljastaa hyökkääjien kustannus-hyötyanalyysit kohteen haavoittuvuuksista ja mahdollistaa suojaavien vastatoimien suunnittelun. Lisäksi hyökkääjätaloustiede tutkii, miten tietoverkkorikolliset suojaavat järjestelmiään ja toimintaansa poliisien ja lainvalvojien häirinnältä (esim. bottiverkkoihin rakennetut kestävyysmekanismit tai anti-forensiikkatekniikat).

Turvallisuustaloustiede on tärkeää erilaisten hyökkäysten ja vastatoimien yhteydessä. Sillä on myös keskeinen rooli käyttäjien ja hyökkääjien turvallisuuskustannusten ymmärtämisessä. Tällaisen sosioteknisen lähestymistavan vahvuus on sen tunnustaminen, että turvallisuus on inhimillinen ongelma, ja kustannus-hyötykompromissit ovat avainasemassa puolustajien ja hyökkääjien päätöksien ymmärtämisessä kun järjestelmiä turvataan tai optimoidaan hyökkäyksiä.

Turvallisuuden arkkitehtuuri ja elinkaari

Turvallisuuden arkkitehtuuri (security architecture) tässä yhteydessä tarkoittaa järjestelmän korkean tason suunnittelua turvallisuuden näkökulmasta, erityisesti miten turvatoimet on motivoitu ja sijoitettu järjestelmään. Tämä puolestaan ​​vaatii ymmärtämään järjestelmien elinkaarta (lifecycle) kokonaisuutena alkaen suunnittelusta päättyen käytöstä poistamiseen.

Suunnittelussa perustavanlaatuinen päätös on se, miten järjestelmä on jaettu osiin, eli miten käyttäjät, tiedot ja palvelut järjestetään siten, että suurimman riskin toiminnot suojataan yksinkertaisimpien ja itsenäisimpien turvamekanismien avulla. Esim. verkko voidaan jakaa reitittimen tai palomuurin avulla kahteen osaan, joiden välillä sisäiset yhteydet eivät ole sallittuja. Tällainen mekanismi on yksinkertaisempi ja kestävämpi kuin pääsyoikeuksilla toteutettu kahden toiminnon erottaminen jaetussa verkossa.

Suunnittelun ensimmäinen vaihe on tarkastella järjestelmän aiottua käyttöä. Liiketoimintaprosessista tulee tunnistaa järjestelmän käyttäjien, tietojen ja palveluiden vuorovaikutus. Mahdolliset korkean riskin vuorovaikutukset käyttäjien ja tietojen välillä tulee tunnistaa yleisellä riskienarvioinnilla, jonka tulisi myös ottaa huomioon ulkoiset vaatimukset, kuten vaatimustenmukaisuus ja sopimusvelvoitteet. Jos käyttäjät, joilla on perusteltu tarve käyttää tietoja, aiheuttavat myös suuren riskin kyseisille tiedoille, tai jos jollakin käyttäjällä on rajoittamattomat valtuudet ei-toivotun tietoturvatapahtuman aikaansaamiseksi, liiketoimintaprosessia on tarkistettava. Usein tällaiset tapaukset edellyttävät “kahden hengen sääntöä”, esim. maksujen vastavaltuutus.

Seuraava askel on ryhmitellä käyttäjät ja tiedot laajoihin luokkiin käyttäen rooliperusteisia pääsyvaatimuksia. Tätä täydennetään muodollisella tietojen luokittelulla ja käyttäjäluvilla (user clearance). Luokat muodostavat järjestelmän eri osastot (compartaments), esim. internetin käyttäjät ja julkiset tiedot, tai insinöörit ja suunnittelutiedot. Osastojen tulisi varmistaa, että korkeimman riskin käyttäjätietojen käyttö ylittää osastojen rajat ja että yleisimpien käyttäjätietojen käyttö ei ylitä. Tällainen osastointi yleensä pakotetaan verkon osastoinnilla. Tämän jälkeen osastot suunnitellaan yksityiskohtaisesti. Ensimmäiset vaiheet ovat keskittyminen konkreettisiin käyttäjärooleihin, datasuunnitteluun ja pääsynvalvontaan, ja yksityiskohtaisempia riskiarviointeja tehdään kun suunnitelma etenee.

Järjestelmien turvallisuutta edesauttaa yhtenäinen lähestymistapa turvallisuusinfrastruktuuriin, esim. avainten ja verkkoprotokollien käyttö, resurssien hallinta ja koordinointi, roolit, käyttäjän pääsynvalvonta ja tunkeutumisen havaitseminen. Lisäksi turvallisuuteen tarvitaan riskien arviointia ja hyviä käytäntöjä. Joillakin aloilla hyvien käytäntöjen käyttö on pakollisia (esim. maksukorttiteollisuus). Muissa tapauksissa hyvinä käytäntöinä voivat olla avoimet lähteet (esim. OWASP2) tai yritysten vertailuanalyysi.

Laajat näkökulmat turvallisuuden arkkitehtuuriin ja elinkaareen sisältyvät käsitteisiin sisäänrakennettu turvallisuus (security by design) ja oletusarvoinen turvallisuus (secure by default). Turvallisuuden huomioon ottaminen koko elinkaaren aikana, myös oletuskonfiguraation ulkopuolella, vähentää turvattomuutta käyttöönotetuissa järjestelmissä.

Valitse yksi tai useampi vaihtoehto.

Kysymys 1

Valitse oikeat väitteet.

turvallisuusarkkitehtuuria suunnitellessa päätetään, miten järjestelmä jaetaan osiin

turvallisuusinfrastruktuurin yhtenäisyydellä ei ole merkitystä turvallisuuden kannalta

kun järjestelmiä turvataan, kustannus-hyötykompromissit ovat keskeisiä puolustajien ja hyökkääjien päätöksien ymmärtämisessä

tietoverkkorikolliset eivät yleensä piittaa lainvalvojien toiminnasta

riskienhallinta ei ole kovin oleellista turvallisuuden kannalta

turvallisuuden toteuttamiseen tarvitaan myös liiketoimintaprosessin ymmärtämistä

turvallisuuteen riittää, että tekniikka on turvallisesti toteutettua

liiketoimintaprosessia ei tule muuttaa turvallisuuden vuoksi

Monille aloille on julkaistu hyviä turvakäytäntöjä, mutta niitä ei ole säädetty pakollisiksi

hyökkääjä saattaa miettiä, kannattaako hyökkäys

suuren riskin toiminnot tulisi suojata yksinkertaisilla, kestävillä mekanismeilla

Lähteitä lukuun 1:

• Boholm, M., Möller, N. and Hansson, S.O. (2016), The Concepts of Risk, Safety, and Security: Applications in Everyday Language. Risk Analysis, 36: 320-338. doi:10.1111/risa.12464

Palautusta lähetetään...