1. COMP.SEC.100
  2. 15. Autentikointi, valtuutus ja vastuu
  3. 15.4 Vastuullisuus

Vastuullisuus

Vastuullisuus on melkeinpä muotisana nyky-yhteiskunnassa. Kun yksilö tai organisaatio on vastuullinen, kyseessä on toiminnan taloudellisten, sosiaalisten ja ekologisten vaikutusten huomioiminen. Kyberturvallisuudessakin vastuullisuus liittyy toimien vaikutuksiin, mutta merkitys on paljon rajatumpi ja toisaalta pelkkä huomioiminen ei riitä. Englanniksi kyberturvan vastuullinen toiminta ei ole responsible vaan accountable, mikä viittaa siihen, että toimijat saadaan vastuuseen. Vastuullisuuden tarkastelussa voidaan toki pohtia psykologisiakin tai “pehmeitä” seikkoja, kuten sitä, mikä tekee pelotteesta tehokkaan tai millaisia todisteita vaadittaisiin tuomioistuimessa. Tässä luvussa keskitytään tekniseen näkökulmaan, joka todisteiden osalta tarkoittaa sitä, miten niitä kerätään, suojataan ja analysoidaan.

Vastuullisuus (accountability)

Tietoturvatavoite, jonka mukaan olion (esim. käyttäjä, järjestelmä, laite) toimintojen on oltava jäljitettävissä yksilöllisesti kyseiseen olioon. Tämä toimii pelotteena, tukee kiistämättömyyttä, vian eristämistä, tunkeutumisen havaitsemista ja estämistä, sekä tapahtumien jälkeistä toipumista ja tarvittaessa oikeustoimia.
Kiistämättömyys (non-repudiation)

Tarkoittaa väärentämättömien todisteiden olemassaoloa tietyn toiminnan tapahtumisesta.

Vastuullisuuteen liittyvät palvelut perustuvat peukaloinninkestäviin tapahtumien tallenteisiin, eli todisteisiin (kyseessä on tamper resistance, sillä täyttä estoa ei voi saavuttaa; parempi sekin kuin vain tamper evidence; vrt. kovoasiat). Kerätyt todisteet voivat toimia syötteenä teknisissä tutkimuksissa, joissa yritetään selvittää, miten hyökkäys tehtiin ja tunnistaa sen vaikutukset. Kerättyjä todisteita voidaan käyttää myös kurinpitotoimissa liittyen tilanteisiin, joissa henkilöt rikkoivat sääntöjä. Yksityisyyssäännöt voivat asettaa rajoituksia tallennetuille tapahtumille ja tallennetut tapahtumat voivat heikentää yksityisyyttä odottamattomilla tavoilla.

Tekniset näkökohdat (syventävä)

Vastuullisuus tukee eri tasoisia tarkastusprosesseja. Hallinnollinen auditointi tarkistaa, onko organisaation toiminta olemassa olevien säännösten mukaista. Tekninen auditointi skannaa lokeja etsiessään merkkejä hyökkäyksistä. Prosessin voi käynnistää myös tietoturvatapahtuma (event) tai suoranainen loukkaus (incident). Tutkinta yrittää tunnistaa hyväksikäytetyt haavoittuvuudet ja/tai vastuulliset osapuolet.

Todisteiden keräämisen käytännöt (syventävä)

Tarkastusten ja tutkinnan prosessit käyttävät tapahtumalokeja (logs, event logs tai audit logs). Loki tarkoittaa systemaattisesti pidettyä päiväkirjaa eli sellaista kirjanpitoa, johon on aikajärjestyksessä lisätty merkintöjä tietynlaisista tapahtumista. Lokeja voivat tuottaa käyttöjärjestelmä, verkkolaitteet ja sovellukset. Lokit ovat tärkeitä, kun halutaan tietää, miten johonkin outoon tilanteeseen päädyttiin, vaikka kyseessä ei olisikaan tahallinen tietoturvaloukkaus. Lokitettavat tapahtumat riippuvat seurattavasta toiminnasta.

Vastuullisuus on vain niin vahvaa kuin toiminnan aikana kerättyjen todisteiden laatu. Järjestelmän ylläpitäjät voivat asettaa auditoinnin politiikkoja, jotka määrittävät lokiin kirjattavat tapahtumat. Esimerkkejä tapahtumista ovat onnistuneet ja epäonnistuneet autentikointiyritykset ja päätökset arkaluonteisista pääsypyynnöistä. Sekä käyttöjärjestelmät että erityiset auditoinnin työkalut tarjoavat ylläpitäjille tukea lokien keruun järjestämiseksi. Pääsynvalvonnan politiikat voivat velvoittaa tekemään lokimerkinnän tietynlaisista pääsypyynnöistä.

Todisteiden säilyttäminen (syventävä)

Hyökkääjät voivat yrittää piilottaa jälkensä poistamalla lokimerkinnät heti saatuaan riittävät oikeudet järjestelmässä. Sen jälkeen hyökkääjät voivat ehkä muokata auditointipolitiikkaa niin, että heidän tulevia toimiaan ei tallenneta. Jo kerättyjä todisteita hyökkääjien ei pitäisi kyetä peukaloimaan.

Peukaloinnin esto voi perustua fyysisiin toimenpiteisiin, kuten lokin tulostamiseen loputtomalle paperirullalle tai lokin kirjoittamiseen WORM-muistiin (Write-Once, Read-Many) kuten optiselle levylle. Peukaloinnin torjuntaa voidaan tukea kryptografialla. Jos loki säilötään tiivisteketjuna (hash-chain), selviää heti, milloin merkintöjä on poistettu, mutta tiivisteketju ei takaa sitä, että poistoa ei voisi tehdä.

Auditointipolitiikkojen tulee ottaa huomioon tilanteet, joissa kirjaaminen häiriintyy, esim. lokitiedostosta on loppunut tila. Onko tällöin hyväksyttävää korvata vanhoja merkintöjä uusilla vai pitäisikö järjestelmä pysäyttää, kunnes kunnollista auditointia voidaan taas käyttää? Näitä saatavuuden ja vastuullisuuden välisiä ristiriitoja pitää pohtia ja ratkaista jo politiikkoja asetettaessa.

Todisteiden analysointi (syventävä)

Auditointilokit luovat suuria määriä dataa. Moni merkintä ei ole turvallisuuden kannalta tärkeä, joten tarvitaan automaattista käsittelyä. Tunnetut hyökkäysrakenteet voidaan havaita niiden tunnusmerkkien perusteella. Kyseessä ovat ikään kuin sormenjäljet, esimerkiksi tietynlaiset proseduurikutsut tai tietoliikennepaketit tietyssä järjestyksessä (englanniksi tunnusmerkkejä voidaan joskus kutsua termillä signature, jolla ei ole mitään tekemistä allekirjoituksen kanssa.) Koneoppimistekniikat voivat auttaa havaitsemaan poikkeavuuksia. Visualisoinnin tekniikoilla saadaan järjestelmänvalvojat kohdistamaan huomionsa tärkeimpiin tapahtumiin.

Todisteiden arviointi (syventävä)

Oikeudellisten tai kurinpidollisten toimien pohjana vastuullisuus on vain yhtä vahvaa kuin käyttäjien autentikointi. Tämä liittyy paitsi autentikoinnin teknisiin näkökohtiin myös käyttäjien kykyyn vastustaa tietojenkalastelu- ja manipulointihyökkäyksiä. Käyttäjien käskeminen olemaan lankeamatta ilmeisiin tietojenkalasteluihin on helppoa, mutta hyvin suunniteltu kohdistettu tietojenkalastelu ei ole ilmeinen.

Vastuullisuuden toteutumiselle on tärkeää, että organisaation turvapolitiikka kieltää riittävän tehokkaasti ulkoisten laitteiden (esim. USB-tokenien) yhdistämisen sisäisiin järjestelmiin ja rajoittaa pääsyä ulkoisille web-sivustoille. Vastuullisuutta voi rajoittaa heikko puolustus sellaisia ohjelmiston haavoittuvuuksia vastaan, joissa hyökkääjä pääsee suorittamaan koodia käyttäjätunnuksen alla ilman, että käyttäjä on tietoinen siitä. Tällaisia ovat esim. drive-by-download -hyökkäykset.

Yksityisyys ja vastuullisuus (syventävä)

Yksityisyyssäännöt voivat vaikuttaa siihen, mitä tapahtumia voidaan kirjata. Laki voi esimerkiksi rajoittaa sitä, kuinka tarkasti työnantaja voi valvoa työntekijöitään, mikä saattaa vaikeuttaa tekijöiden saattamista vastuuseen, kun sääntöjä on rikottu. Yleisen tietosuoja-asetuksen lisäksi työntekijöiden valvontaa koskee Laki yksityisyyden suojasta työelämässä (759/2014).

Joskus on olemassa teknisiä ratkaisuja tavoitteiden välisiin ristiriitoihin. Esimerkiksi työnantajalla ei ole yleensä lupaa kerätä lokia työntekijöiden käyttämistä ulkopuolisista verkkosivustoista, mutta kun sellaiselle hyökätään yrityksen verkon sisältä, tekijä pitäisi saattaa vastuuseen. Molempien tavoitteiden saavuttamiseksi yrityksen yhdyskäytävä (gateway) voisi lokittaa lähtevistä pyynnöistä vain sisäisen IP-osoitteen ja porttinumeron ulospäin (palvelimelle) näkyvästä IP-osoitteesta. Tällöin vierailluista verkkosivustoista ei pidetä kirjaa. Jos tapahtuu hyökkäys, kohdesivusto voi antaa portin numeron, josta hyökkäys tuli. Tästä muodostuu linkki sisäisen IP-osoitteen ja vieraillun sivuston välillä.

Lokituksella voi olla myös tahattomia yksityisyysvaikutuksia. Esimerkkinä on Certificate Transparency [RFC 9162], joka on lokipalvelu TLS-varmenteen myöntäjille. Osallistuvat varmenteen myöntäjät (certificate authority, CA) lokittavat varmenteiden myöntämisen tämän palvelun avulla. Verkkotunnuksen omistajat voivat etsiä lokista sille myönnettyjä varmenteita, joita omistajat eivät ole pyytäneet, ja siten havaita varmenteen myöntäjän tekemät todennusvirheet. Palvelu otettiin käyttöön (2013) reaktiona hyökkäyksiin, joissa väärinmyönnettyjä varmenteita oli päästy käyttämään. Palvelu tekee myöntäjät vastuullisiksi suhteessa verkkotunnuksen omistajiin. On kuitenkin olemassa yksityisiä aliverkkotunnuksia, jotka on luotu vain sisäiseen käyttöön. Kun sellaiselle pyydetään varmennetta, varmenne silti kirjataan Certificate Transparency -lokiin, joka siten paljastaa myös yksityisen aliverkkotunnuksen olemassaolon.

Hajautetut lokit (syventävä)

Lokeja voidaan pitää sekä käyttäjien että järjestelmän omistajien saattamiseksi vastuuseen. Jälkimmäisessä tapauksessa auditoijat voivat vaatia, että lokitukseen käytettävä laite on sinetöity. Sen sijaan että luottamus lokien eheyteen sidotaan tällä tavoin fyysiseen luottamusjuureen (root of trust), loki voidaan hajauttaa. Jos lokit kirjoitetaan ja säilötään hajautetun järjestelmän toisistaan riippumattomiin solmuihin, lokien peukalointi vaatii laajaan hallintaan kykenevän liittoutuman. Yleensä sellainen on liian vaikeaa.

Lokia ylläpitävien solmujen on synkronoitava lokiversionsa. Synkronointi riippuu solmujen ja kommunikointiverkon vikamallista ja hajautettuun järjestelmään liittymisen säännöistä. Järjestelmät voivat olla avoimia kaikille tai niitä voi ohjata jäsenpalvelu. Viimeaikainen kiinnostus lohkoketjuja kohtaan ulottuu tämän tyyppisiin lokiratkaisuihin.

Aiheeseen liittyvät käsitteet (syventävä)

Luvun alussa vastuullisuuden määritelmä mainitsee myös kiistämättömyyden ja tunkeutumisen havaitsemisen. Kiistämättömyydellä on erityinen merkitys, sillä se tarjoaa väärentämättömiä todisteita tietyn toiminnan tapahtumisesta. Tätä tavoitetta ei välttämättä saavuteta lokimekanismeilla. Ne voivat kyllä suojata tallennettuja merkintöjä mutta voivat myös tallentaa merkintöjä, joita on jo manipuloitu.

Tunkeutumisen havaitseminen (ks. täällä ja täällä) on oma alueensa, jolla on päällekkäisiä tavoitteita. Tunkeutumisen havaitsemisessa ei ole vaatimusta, jonka mukaan jonkin tekijän toimet on jäljitettävä yksilöllisesti kyseiseen tekijään. Painopiste on enemmän hyökkäysten havaitsemisessa kuin hyökkääjän havaitsemisessa.

Vastuullisuuden määritelmä sisältää sekä oikeushenkilöiden vastuun että tietoturvaloukkausten teknisen tutkinnan. Todisteiden vaatimukset voivat olla korkeammat ensimmäisessä tapauksessa. Toiminnan jäljittäminen yksilöivästi johonkin tekijään johtaa kyberattribuutioon, joka on prosessi kyberhyökkäyksen tekijöiden jäljittämiseksi. Aihetodisteita, kuten haittaohjelmien samankaltaisuutta, voidaan käyttää tässä prosessissa. Väärä attribuutio on ongelma, ja voi seurata esim. toiminnasta “väärän lipun” alla (false-flag operation). Olisi epäjohdonmukaista olettaa, että haittaohjelmia ei voitaisi kopioida, kun esim. DRM:ääkin tarvitaan suojaamaan muunlaista digitaalista sisältöä kopioinnilta.

Palautusta lähetetään...