Tietoturvatiedon käyttö

Kyberturvallisuuden tavoitteet ja keinot

Kyberturvallisuuden avulla voidaan ennakoivasti hallita ja tarvittaessa sietää erilaisia kyberuhkia ja niiden vaikutuksia. Tämä sisältää suojautumisen hyökkääjää (adversary) tai esim. fyysistä tai satunnaista prosessia vastaan. Hyökkääjä voi siis laajasti ymmärrettynä olla jokin muukin kuin ihminen.

Kun turvallisuutta analysoidaan, voidaan mallintaa hyökkääjiä. Puhutaan hyökkääjämalleista (adversary model), joissa on mallinnettu hyökkääjien motiiveja, millaisen uhan he/ne aiheuttavat ja minkälaisia kykyjä ja keinoja heillä/niillä on käytössään.

Kyberturvallisuuden yhteydessä puhutaan usein turvavalvontatoimenpiteistä tai turvatoimista (security control), koskien ihmisiä, prosesseja ja teknologiaa. Osa turvatoimista keskittyy estämään (prevent) ei-toivottuja lopputuloksia, kun taas toiset toimet pyrkivät havaitsemaan (detect) tai reagoimaan (react) havaittuun. Se, mitä turvatoimia valitaan, kuuluu riskienhallinnan (risk management) prosesseihin.

Security control on yksi monista englannin kielen termeistä, joita käytetään turvatoimien yhteydessä. Tässä on koottuna luettelo, joka on järjestetty suurin piirtein yleisimmästä erityisimpään. Huomaa, että sana security voidaan jättää pois asiayhteyden salliessa. Vastaava koskee suomen kieltä. Viimeiset kaksi termiä ovat vähiten yleiskäyttöiset. Security provider, "turvaaja" on jo toteutus "palvelulle", mutta termi security service saattaa esiintyä melko abstraktissa merkityksessä.

•              safeguard
• security control,
• security mechanism,
•              protection,
• security measure; countermeasure,
• security service,
• security provider

Suomeksi ei yleensä käytetä kontrolli-termiä, mutta TEPA-termipankin mukaisen turvavalvontatoimenpiteen sijasta on yleensä kätevämpää puhua ((tieto)turva)mekanismeista. Myös termejä turvatoimet, suojaukset, suojatoimet, torjunta voi käyttää, kun puhutaan yleisellä tasolla. Kannattaa huomata, että termi valvonta (vahtiminen) sinänsä on melko suppea ja sitä käyttäessä voi jäädä vähemmälle huomiolle turvaamisen aspekteista estäminen ja reagointi.

Kyberturvallisuuteen tarvitaan myös haavoittuvuusanalyysiä (vulnerability analysis), joka tehdään turvattavalle järjestelmälle. Järjestelmä voi käsittää niin tekniset järjestelmät, kuin ihmiset, organisaation tai laajasti yhteiskunnan niiden ympärillä.

Kun turvallisuutta toteutetaan turvatoimilla, tulee pohtia, tehdäänkö toimia tarkoituksenmukaisesti ja onko niillä haluttuja vaikutuksia. Näitä selvitetään tekemällä tietoturvallisuuden arviointia, jolla saavutetaan vakuuttuneisuutta (security assurance, jolle prosessia kuvaavana terminä ei ole suomenkielistä vastinetta). Arviointiin kuuluu esim. jäännösriskianalyysi (residual risk analysis), jossa arvioidaan haavoittuvuuksia vähentämistoimenpiteiden jälkeen ja päätetään, voidaanko ne hyväksyä.

Valitse yksi tai useampi vaihtoehto.

Kysymys 1

Valitse kaikki turvatoimiesimerkit.

pyrkimys hyökkäyksen havaitsemiseen

joulukortti asiakkaalle

työntekijöiden ohjeistaminen salasanojen käytössä

pomon huoneen oven pitäminen lukossa

palomuurisääntöjen määrittäminen

reagointi palvelunestohyökkäykseen

Turvapolitiikat

Turvallisuuden toteuttamiseen kuuluvat myös turvapolitiikat (security policy). Termiä käytetään sekä

• organisaation yleisistä säännöistä, jotka määräävät, kuinka arkaluonteisia resursseja suojataan, että
• IT-järjestelmien automaattisesti valvomista järjestelmien resursseja koskevista pääsysäännöistä (ks. pääsynvalvonnan ydinkäsitteet).

Joskus käytetään termejä organisaatiopolitiikat (organisational policies) ja automatisoidut politiikat (automated policies) erottamaan nämä toisistaan.

Tietoturvamekanismeja ei pidä ottaa käyttöön niiden itsensä vuoksi, vaan syynä on oltava turvaamisen tarpeessa oleva sovellus. Organisaatiopolitiikka hahmottelee turvavaatimukset ja automatisoitu politiikka toteuttaa ne. Joskus tämä prosessi voi olla suoraviivainen ja alkaa selkeästi määritellystä organisaatiopolitiikasta, esim. politiikat, jotka koskevat pääsyä turvaluokiteltuihin paperiasiakirjoihin. Usein kuitenkin tarvitaan kääntämistä ja tulkintaakin, kun organisaatiopolitiikkojen pohjalta muodostetaan automaattisia politiikkoja. Kaikki käännökset aloitetaan lähdedokumentista, jota tässä vastaa organisaatiopolitiikka. Kohteena on automatisoitu politiikka, josta esimerkkejä ovat palomuurisäännöt ja pääsynvalvontalistat.

Käännökseen tulee ongelmia, jos lähde on epäselvä tai epäjohdonmukainen. Tämä on todennäköisempää matriisiorganisaatioissa, joissa politiikkoja asettaa usea taho, kuin tiukasti hierarkkisissa organisaatioissa. Lisäksi mitä suurempi kieliero on lähteen ja kohteen välillä, sitä vaikeampaa on käännös ja sitä vaikeampaa on varmistaa, että käännös vastaa lähteen “henkeä”. Viimeksi mainittu on edellytys automaattisen politiikan hyväksymiselle.

Organisaatiopolitiikat voivat tarkoituksella jättää päätöksiä tapauskohtaiseen harkintaan. Tämä on tarpeen esim. tilanteissa, joissa mikään olemassa olevista säännöistä ei ole suoraan sovellettavissa tai jos samaa asiaa koskee usea hieman erilainen sääntö. Politiikkojen automatisoinnin tarkoitus on poistaa tämä harkintavalta. Harkinnan poistaminen lisää sääntöjä, joilla ei ole vastinetta organisaatiopolitiikassa. Automatisoidun politiikan luomisesta tulee silloin enemmän kuin kääntämistä. Se on “luovaa kirjoittamista” organisaatiopolitiikan hengessä. Onnistuakseen kirjoittajalla on oltava hyvä ymmärrys sovelluksista ja niiden työnkuluista kohdekielen taidon lisäksi. Naiiveihin oletuksiin perustuvista automatisoiduista politiikoista voi helposti tulla palvelunestohyökkäyksiä käyttäjiä vastaan. Automatisoitu politiikka täytyisi pitää yksinkertaisena, mutta samanaikaisesti sen tulisi kattaa laajasti erilaisia asiayhteyksiä, joissa sääntöjä käytetään ja sovelletaan. Tästä johtuen monissa tapauksissa poikkeustilanteisiin luotujen sääntöjen määrä kasvaa suureksi. Sekä organisaatiopolitiikat että automatisoidut politiikat tarvitsevat dynaamista muutosten käsittelyä ja sääntöjen sivuvaikutusten analysointia järjestelmissä, jotka voivat olla erittäin monimutkaisia.

Olipa tietoturvapolitiikka jäsennetty miten tahansa, se on kokonaisuudessaan päätösten dokumentaatio, joka määrittelee, kenellä on oikeus, mihin resursseihin, miten pääsyä säännellään, kenellä on siitä vastuu ja mihin toimiin ryhdytään, jos todetaan rikkomuksia. Edellä käsitellyn kaksitasoisen jäsentelyn sijasta voidaan käyttää NIST-käsikirjan esittelemää kolmea luokkaa, joiden käsikirja toteaa pyrkivän lukijan ymmärryksen edistämiseen, ei tarkkojen rajojen vetämiseen:

• tietoturvastrategia: organisaation tavoitteet tietoturvan suhteen, yleiset vastuukysymykset. Politiikan olisi myös syytä tuoda esille organisaation sitoutuminen tietoturvaan. Yleisen tason politiikasta malliksi käy Tampereen yliopiston tietoturvapolitiikka.
• asiakohtainen politiikka, (‘issue-specific’), esimerkkeinä aihealueista Internet-yhteys (keille, missä asioissa, miten autentikoituna…), sähköpostin yksityisyyskysymykset (organisaation sisällä) tai epävirallisten ohjelmistojen käyttö.
• järjestelmäkohtainen politiikka, järjestelmänä esim. jokin tietokoneverkko kuten ohjelmistoyrityksen testiverkko tai teollisuuslaitoksen automaatioverkko. Politiikka koostuu turvatavoitteista ja toiminnallisista turvasäännöistä.

Tietoturvastrategia kuuluu siis organisaatiopolitiikan tasolle, joka sisältää myös osan sekä asia- että järjestelmäkohtaisesta politiikasta, jotka yksityiskohtaisimmillaan kannattaa muodostaa automaattisiksi.

Esimerkki asia- tai järjestelmäkohtaisessa politiikassa asetetuista tavoitteista voisi olla, että palkkatietoja saa käsitellä vain kirjanpidon ja henkilöstöhallinnon väki. Näistä johdettuina sääntöinä voisivat olla, mitä palkkatietojen kenttiä kukin näiden osastojen henkilö saa muokata, ja lisäksi se, ettei kukaan saa muokata omia tietojaan. Tällä tasolla toteutus tapahtuu tyypillisesti pääsynvalvontasääntöjen perusteella, siis automaattisesti. Niiden täydennyksenä voidaan esittää ohjeistoja ja työntekijöiden omaksuttavaksi tarkoitettuja menettelyjä. Yksi esimerkki turvasäännöistä ovat palomuureihin asennetut listat siitä, millaiset paketit lasketaan läpi ja mitkä hävitetään.

Valitse yksi tai useampi vaihtoehto.

Kysymys 1

Mikä kaikki liittyy automatisoituun turvapolitiikkaan?

Yleensä vähemmän sääntöjä kuin organisaatiopolitiikassa

Yleensä enemmän sääntöjä kuin organisaatiopolitiikassa

Toteutetaan usein pääsynvalvontasäännöillä

Määrittelee organisaation tavoitteet tietoturvan suhteen

Tarvitsee sääntöjä poikkeustilanteisiin

Jättää tilaa tapauskohtaiselle harkinnalle

Epäonnistumiset ja tietoturvapoikkeamat

Kun hyökkääjät onnistuvat hyökkäyksessään, saatetaan todeta, että turvatoimet ovat pettäneet. Tai vaihtoehtoisesti todetaan, että turvatoimet olivat riittämättömät. Joko niitä ei ollut tarpeeksi tai ne eivät vaikuttaneet toivotusti. Epäonnistuminen turvatoimien valinnassa tai käytössä saattaa siis johtaa tietoturvapoikkeamaan (security incident). Tietoturvapoikkeamia kuvataan usein sen mukaan, millaista vahinkoa (harm) ne aiheuttavat, esim. varkauden tai vahingoittamisen aiheuttama vahinko, joka voi kohdistua tietoon, laitteisiin, palveluihin tai verkkoihin. Kyberfyysisissä järjestelmissä vahingot voivat ulottua ihmisiin myös fyysisesti. Tärkeä osa turvaoperaatioita (security operations) on epäonnistumisten havaitseminen ja miten niihin reagoidaan (korjataan, jos se on mahdollista).

Toistuva teema turvallisuusanalyysissä on, että turvatoimien määrittely ei ole riittävää, jos se on tehty vain ajatellen tiettyä tilannetta tai viitekehystä. Tulisi myös miettiä, mitä tapahtuu, jos hyökkääjä toimii ajateltujen tilanteiden ulkopuolelta. Esimerkkinä tästä ovat sivukanavahyökkäykset, joissa hyökkääjä voi saada käsiinsä tietoja vain seuraamalla esim. datakaapelin säteilyä, eikä hänen tarvitse lainkaan päästä fyysisesti käsiksi kaapeliin. Tai kryptoavaimia voidaan selvittää analysoimalla prosessorin virrankulutusta, kun se käsittelee avaimia. Vastaavia ongelmia löytyy järjestelmien kaikilta tasoilta. Voidaan esimerkiksi olettaa, että työntekijät toimivat annettujen ohjeiden mukaan, vaikka näin ei suinkaan aina tapahdu. Tällöin moni suunniteltu turvatoimi voi menettää tehonsa.

Ongelmat johtuvat siitä, että kun järjestelmiä suunnitellaan, täytyy käyttää abstraktioita ja yksinkertaistuksia. Tällöin yksityiskohtien väliin jää hyökkääjän mentäviä aukkoja. Esim. on hyvin vaikeaa hahmottaa kaikki mahdolliset yksityiskohdat verkottuneessa järjestelmässä laitteiden fysiikasta alkaen. Usein myös turvatoimet pohjaavat näihin yksinkertaistuksiin, jolloin ne eivät kata kaikkia mahdollisia tilanteita. Hyökkääjää abstraktiot ja yksinkertaistukset eivät kuitenkaan rajoita, ja hyökkääjä voi iskeä ajateltujen seikkojen ulkopuolelta. Esim. järjestelmiä abstrahoidaan usein kerroksiin (layer), esim. tietoverkkojen toiminta, ja myös turvatoimet voivat kohdistua yhteen kerrokseen. Hyökkääjä voi kuitenkin hyökätä kyseiseen kerrokseen alapuolisen kerroksen kautta, ja ohittaa näin kerrokseen toteutetut turvatoimet.

Riski

Yritystoiminnassa riski määritellään usein kielteisten tapahtumien ja niiden seurausten yhdistelmäksi. Riskienhallinta on seurauksiltaan merkittävien kielteisten tapahtumien järjestelmällistä määritystä ja niihin varautumista. Riskienhallinnan prosessissa riskit ensin tunnistetaan ja niiden suuruudet arvioidaan. Sen jälkeen suunnitellaan riskien käsittelemiseksi tarvittavat toimenpiteet. Kolmannessa vaiheessa suunnitellaan, miten vahingon sattuessa toimitaan ja miten vahingoista toivutaan.

Riskin suuruuden arvioinnissa tarkastellaan riskin toteutuessa mahdollisesti syntyviä vahinkoja ja niiden todennäköisyyttä. Todennäköisyydessä on kaksi tekijää: yhtäältä haavoittuvuudet—tunnetut ja tuntemattomat—ja toisaalta mahdolliset uhat—haavoittuvuuksia hyödyntävät ja muut.

Periaatteessa riskienhallintaan voitaisiin käyttää rajattomasti aikaa ja rahaa. Käytännössä resurssit ovat kuitenkin aina rajalliset ja täytyy käyttää harkintaa. Yleensä turvallisuustyössä priorisoidaan riskejä eli käsitellään vain tärkeimmät, ainakin aluksi. Käsittelykeinoissa on myös hieman valinnanvaraa. Riskeihin voidaan vastata uusilla tai parannetuilla turvatoimilla, jotka pienentävät joko riskin vaikutuksia tai uhkien todennäköisyyttä. Osa riskistä voidaan siirtää muille, esim. ottamalla vakuutus. Toimintaa voidaan (joskus) muuttaa niin, että riski poistuu. Voidaan myös päättää olla tekemättä mitään eli hyväksytään riski. Lue Kyberturvallisuuskeskuksen Riskienhallinnan (hyvin) lyhyt oppimäärä, jossa riskienhallinnan mekanismeja on lyhyesti esitelty.

Riskien arviointia ja hallintaa käsitellään laajemmin seuraavassa luvussa.

Valitse yksi tai useampi vaihtoehto.

Kysymys 1

Mitkä ovat riskienhallinnan mekanismeja Kyberturvallisuuskeskuksen Riskienhallinnan (hyvin) lyhyen oppimäärän mukaan?

riskin arvioiminen

riskin hyväksyminen

riskin poistaminen

vakuutuksen ottaminen

jatkuvuussuunnitelma

riskin todennäköisyyden pienentäminen

riskin tunnistaminen

riskin vaikutuksen pienentäminen

riskin määrittely

Palautusta lähetetään...