Kyberturvallisuutta käytäntöön

Tässä alaluvussa käytäntö ei vielä ole arkisen käytännöllistä vaan tarkoittaa lähinnä terminologiaa, joista kyberturvallisuuden käytännöt koostuvat. Näitä kaikkia tarvitset materiaalin myöhemmissä luvuissa. Turvatoimien nimeämisen jälkeen jaotellaan niiden valintaa ja käyttöä ohjaavia päätöksiä (=politiikkoja) ja muistutetaan, että turvatoimia tarvitaan uhkien takia. Lopussa johdatellaan uhkien käsittelyyn riskienhallinnan kautta.

Kyberturvallisuuden keinot

Kyberturvallisuutta tehdään turvatoimilla. Osa niistä keskittyy estämään ei-toivottuja lopputuloksia, kun taas toiset pyrkivät havaitsemaan sellaisiin johtavia tapahtumia, ja jotkin reagoivat, kun jotain havaitaan (englanniksi prevent, detect, react). Se, mitä turvatoimia valitaan, kuuluu riskienhallinnan prosesseihin.

Security control on yksi monista englannin kielen termeistä, joita käytetään turvatoimien yhteydessä. Tässä on koottuna luettelo, joka on järjestetty suurin piirtein yleisimmästä erityisimpään. Huomaa, että sana security voidaan jättää pois asiayhteyden salliessa. Vastaava koskee suomen kieltä. Viimeiset kaksi termiä ovat vähiten yleiskäyttöiset. Security provider, "turvaaja" on jo toteutus "palvelulle", mutta termi security service saattaa esiintyä melko abstraktissa merkityksessä.

  •                  safeguard,
  • security     control,
  • security     mechanism,
  •                  protection,
  • security     measure; countermeasure,
  • security     service,
  • security     provider

Suomeksi ei yleensä käytetä kontrolli-termiä, mutta TEPA-termipankin mukaisen turvavalvontatoimenpiteen sijasta on yleensä kätevämpää puhua ((tieto)turva)mekanismeista. Myös termejä turvatoimet, suojaukset, suojatoimet, torjunta voi käyttää, kun puhutaan yleisellä tasolla. Kannattaa huomata, että termi valvonta (vahtiminen) sinänsä on melko suppea ja sitä käyttäessä voi jäädä vähemmälle huomiolle turvaamisen aspekteista estäminen ja reagointi.

Kun turvallisuutta toteutetaan turvatoimilla, tulee pohtia, tehdäänkö toimia tarkoituksenmukaisesti ja onko niillä haluttuja vaikutuksia. Näitä selvitetään tekemällä tietoturvallisuuden arviointia, jolla saavutetaan vakuuttuneisuutta (security assurance, jolle prosessia kuvaavana terminä ei ole suomenkielistä vastinetta). Arviointiin kuuluu esim. jäännösriskianalyysi (residual risk analysis), jossa arvioidaan haavoittuvuuksia vähentämistoimenpiteiden jälkeen ja päätetään, voidaanko ne hyväksyä.

Valitse yksi tai useampi vaihtoehto.

Valitse kaikki turvatoimiesimerkit.

Turvapolitiikat

Kun aloitat jossain työpaikassa, joudut ensin tutustumaan erilaisiin sääntöihin. Tietoturvapolitiikka (security policy) on yksi niistä ja sen perusteella joudut omaksumaan arkeesi erinäisiä turvatoimia. Politiikkoja on monenlaisia. On tärkeää ymmärtää tämä pääjako:

  • Organisaation yleiset säännöt, jotka määräävät, kuinka resursseja suojataan.
  • IT-järjestelmien automaattisesti valvomat säännöt, jotka koskevat pääsyä resursseihin (ks. pääsynvalvonnan ydinkäsitteet).

Joskus, ja nyt tässä, käytetään termejä organisaatiopolitiikat ja automatisoidut politiikat erottamaan nämä toisistaan.

Tietoturvamekanismeja ei pidä ottaa käyttöön niiden itsensä vuoksi, vaan syynä on oltava turvaamisen tarpeessa oleva sovellus. Organisaatiopolitiikka hahmottelee turvavaatimukset ja automatisoitu politiikka toteuttaa ne. Joskus tämä prosessi voi olla suoraviivainen ja alkaa selkeästi määritellystä organisaatiopolitiikasta, esim. politiikasta, joka koskee pääsyä turvaluokiteltuihin paperiasiakirjoihin. Usein kuitenkin tarvitaan kääntämistä ja tulkintaakin, kun organisaatiopolitiikkojen pohjalta muodostetaan automaattisia politiikkoja. Kaikki käännökset aloitetaan lähdedokumentista, joka tässä on luonnollisella kielellä kirjoitettu organisaatiopolitiikka. Kohteena on automatisoitu politiikka. Siitä esimerkkejä ovat palomuurisäännöt ja pääsynvalvontalistat, joilla on omat tekniset kielensä.

Käännökseen tulee ongelmia, jos lähde on epäselvä tai epäjohdonmukainen. Tämä on todennäköisempää matriisiorganisaatioissa, joissa politiikkoja asettaa usea taho, kuin tiukasti hierarkkisissa organisaatioissa. Lisäksi mitä suurempi kieliero on lähteen ja kohteen välillä, sitä vaikeampaa on käännös ja sitä vaikeampaa on varmistaa, että käännös vastaa lähteen “henkeä”. Viimeksi mainittu on edellytys automaattisen politiikan hyväksymiselle.

Organisaatiopolitiikat voivat tarkoituksella jättää päätöksiä tapauskohtaiseen harkintaan. Tämä on tarpeen esim. tilanteissa, joissa mikään olemassa olevista säännöistä ei ole suoraan sovellettavissa tai jos samaa asiaa koskee usea hieman erilainen sääntö. Politiikan automatisointi poistaa tämän harkintavallan. Mieti esimerkkinä melkein minkä tahansa kohtaamaasi asiakaspalvelutilanteen automatisointia.

Harkinnan poistaminen saattaa synnyttä sääntöjä, joilla ei ole vastinetta organisaatiopolitiikassa. Automatisoidun politiikan luomisesta tulee silloin enemmän kuin kääntämistä. Se on “luovaa kirjoittamista” organisaatiopolitiikan hengessä. Onnistuakseen kirjoittajalla on oltava hyvä ymmärrys sovelluksista ja niiden työnkuluista kohdekielen taidon lisäksi. Naiiveihin oletuksiin perustuvista automatisoiduista politiikoista voi helposti tulla palvelua estäviä “hyökkäyksiä” käyttäjiä vastaan. Automatisoitu politiikka täytyisi pitää yksinkertaisena, mutta samanaikaisesti sen tulisi kattaa laajasti erilaisia asiayhteyksiä, joissa sääntöjä käytetään ja sovelletaan. Tästä johtuen monissa tapauksissa poikkeustilanteisiin luotujen sääntöjen määrä kasvaa suureksi. Sekä organisaatiopolitiikat että automatisoidut politiikat tarvitsevat dynaamista muutosten käsittelyä ja sääntöjen sivuvaikutusten analysointia järjestelmissä, jotka voivat olla erittäin monimutkaisia.

Olipa tietoturvapolitiikka jäsennetty miten tahansa, se on kokonaisuudessaan päätösten dokumentaatio, joka määrittelee, kenellä on oikeus, mihin resursseihin, miten pääsyä säännellään, kenellä on siitä vastuu ja mihin toimiin ryhdytään, jos todetaan rikkomuksia. Edellä käsitellyn kaksitasoisen jäsentelyn sijasta voidaan käyttää NIST-käsikirjan (NIST SP 800-12 Rev. 1) esittelemää kolmea luokkaa, joiden käsikirja toteaa pyrkivän lukijan ymmärryksen edistämiseen, ei tarkkojen rajojen vetämiseen:

  • tietoturvastrategia: organisaation tavoitteet tietoturvan suhteen, yleiset vastuukysymykset. Politiikan olisi myös syytä tuoda esille organisaation sitoutuminen tietoturvaan. Yleisen tason politiikasta malliksi käy Tampereen yliopiston tietoturvapolitiikka.
  • asiakohtainen politiikka, (‘issue-specific’), esimerkkeinä aihealueista Internet-yhteys (keille, missä asioissa, miten autentikoituna…), sähköpostin yksityisyyskysymykset (organisaation sisällä) tai epävirallisten ohjelmistojen tai omien laitteiden käyttö.
  • järjestelmäkohtainen politiikka, järjestelmänä esim. jokin tietokoneverkko kuten ohjelmistoyrityksen testiverkko tai teollisuuslaitoksen automaatioverkko. Politiikka koostuu turvatavoitteista ja toiminnallisista turvasäännöistä.

Tietoturvastrategia kuuluu siis organisaatiopolitiikan tasolle, joka sisältää myös osan sekä asia- että järjestelmäkohtaisesta politiikasta, jotka yksityiskohtaisimmillaan kannattaa muodostaa automaattisiksi.

Esimerkki asia- tai järjestelmäkohtaisessa politiikassa asetetuista tavoitteista voisi olla, että palkkatietoja saa käsitellä vain kirjanpidon ja henkilöstöhallinnon väki. Näistä johdettuina sääntöinä voisivat olla, mitä palkkatietojen kenttiä kukin näiden osastojen henkilö saa muokata, ja lisäksi se, ettei kukaan saa muokata omia tietojaan. Tällä tasolla toteutus tapahtuu tyypillisesti pääsynvalvontasääntöjen perusteella, siis automaattisesti. Niiden täydennyksenä voidaan esittää ohjeistoja ja työntekijöiden omaksuttavaksi tarkoitettuja menettelyjä. Yksi esimerkki turvasäännöistä ovat palomuureihin asennetut listat siitä, millaiset paketit lasketaan läpi ja mitkä hävitetään.

Valitse yksi tai useampi vaihtoehto.

Mikä kaikki liittyy automatisoituun turvapolitiikkaan?

Epäonnistumiset ja tietoturvapoikkeamat

Kyberturvallisuuden avulla voidaan ennakoivasti hallita ja tarvittaessa sietää erilaisia kyberuhkia ja niiden vaikutuksia. Tämä sisältää suojautumisen hyökkääjää tai esim. fyysistä tai satunnaista prosessia vastaan. Hyökkääjä voi siis laajasti ymmärrettynä olla jokin muukin kuin ihminen (englanniksi termi on adversary).

Kun turvallisuutta analysoidaan, voidaan mallintaa hyökkääjiä. Malleissa tarkastellaan eri mahdollisuuksia sille, mikä hyökkääjiä motivoi, millaisen uhan he/ne aiheuttavat ja minkälaisia kykyjä ja keinoja heillä/niillä on käytössään. Luonnollisesti pitää analysoida myös haavoittuvuuksia, joihin hyökkääjä voi iskeä ja jotka muodostavat siis hyökkäyspinnan (attack surface).

Kun hyökkääjät onnistuvat, saatetaan todeta, että turvatoimet ovat pettäneet. Tai vaihtoehtoisesti todetaan, että turvatoimet olivat riittämättömät. Kun ne eivät siis vaikuttaneet toivotusti tai niitä ei ollut tarpeeksi, puolustus epäonnistui ja syntyi tietoturvapoikkeama (security incident). Niitä kuvataan usein sen mukaan, millaista vahinkoa ne aiheuttavat. Esimerkiksi varkaus tai särkeminen aiheuttaa vahingon, joka voi kohdistua tietoon, laitteisiin, palveluihin tai verkkoihin. Kyberfyysisissä järjestelmissä vahingot voivat ulottua ihmisiin myös fyysisesti. Tärkeä osa turvaoperaatioita on epäonnistumisten havaitseminen ja se, miten niihin reagoidaan.

Toistuva teema turvallisuusanalyysissä on, että turvatoimet eivät ole riittäviä, jos ne on asetettu ajatellen vain tiettyä tilannetta tai viitekehystä. Pitäisi myös miettiä, mitä tapahtuu, jos hyökkääjä toimii ajateltujen tilanteiden ulkopuolelta. Esimerkkinä tästä ovat sivukanavahyökkäykset. Hyökkääjä voi esimerkiksi saada tietoja seuraamalla datakaapelin säteilyä, eikä hänen tarvitse lainkaan päästä fyysisesti käsiksi kaapeliin. Toinen esimerkki on kryptoavaimen selvittäminen analysoimalla prosessorin virrankulutusta, kun se käyttää avainta. Puutteellista hyökkääjämallinnusta löytyy järjestelmien kaikilta tasoilta. Voidaan esimerkiksi olettaa, että työntekijät toimivat annettujen ohjeiden mukaan, vaikka näin ei suinkaan aina tapahdu ja moni suunniteltu turvatoimi voi menettää tehonsa.

Ongelmat johtuvat siitä, että kun järjestelmiä suunnitellaan, täytyy käyttää abstraktioita ja yksinkertaistuksia. Tällöin yksityiskohtien väliin jää hyökkääjän mentäviä aukkoja. Esimerkiksi verkottuneessa järjestelmässä on hyvin vaikeaa hahmottaa kaikki mahdolliset yksityiskohdat laitteiden fysiikasta alkaen. Usein myös turvatoimet pohjaavat näihin yksinkertaistuksiin, jolloin ne eivät kata kaikkia mahdollisia tilanteita. Hyökkääjää abstraktiot ja yksinkertaistukset eivät kuitenkaan rajoita, ja hän voi iskeä ajateltujen seikkojen ulkopuolelta. Esim. järjestelmiä abstrahoidaan usein kerroksiin (layer), esim. tietoverkkojen toiminta, ja myös turvatoimet voivat kohdistua yhteen kerrokseen. Hyökkääjä voi kuitenkin hyökätä kyseiseen kerrokseen alapuolisen kerroksen kautta, ja ohittaa näin kerrokseen toteutetut turvatoimet.

Riski

Yritystoiminnassa riski määritellään usein kielteisten tapahtumien ja niiden seurausten yhdistelmäksi. Riskienhallinta on seurauksiltaan merkittävien kielteisten tapahtumien järjestelmällistä määritystä ja niihin varautumista. Riskienhallinnan prosessissa riskit ensin tunnistetaan ja niiden suuruudet arvioidaan. Sen jälkeen suunnitellaan riskien käsittelemiseksi tarvittavat toimenpiteet. Lisäksi suunnitellaan, miten vahingon sattuessa toimitaan ja miten vahingoista toivutaan.

Riskin suuruuden arvioinnissa tarkastellaan riskin toteutuessa mahdollisesti syntyviä vahinkoja ja niiden todennäköisyyttä. Todennäköisyydessä on kaksi tekijää: yhtäältä haavoittuvuudet—tunnetut ja tuntemattomat—ja toisaalta mahdolliset uhat—haavoittuvuuksia hyödyntävät ja muut.

Periaatteessa riskienhallintaan voitaisiin käyttää rajattomasti aikaa ja rahaa. Käytännössä resurssit ovat kuitenkin aina rajalliset, joten täytyy käyttää harkintaa. Yleensä turvallisuustyössä priorisoidaan riskejä eli käsitellään vain tärkeimmät, ainakin aluksi. Käsittelykeinoissa on myös hieman valinnanvaraa. Riskeihin voidaan vastata uusilla tai parannetuilla turvatoimilla, jotka pienentävät joko riskin vaikutuksia tai uhkien todennäköisyyttä. Osa riskistä voidaan siirtää muille, esim. ottamalla vakuutus. Toimintaa voidaan (joskus) muuttaa niin, että riski poistuu. Voidaan myös päättää olla tekemättä mitään eli hyväksytään riski. Riskienhallintaa käsitellään laajasti seuraavassa luvussa. Tässä vaiheessa tutustu aiheeseen ao. tehtävään linkitetyn lyhyen tekstin avulla.

Valitse yksi tai useampi vaihtoehto.

Kaikki seuraavat asiat liittyvät riskienhallintaan, mutta valitse niistä viisi esimerkkiä riskien käsittelystä. Voit käyttää apuna Kyberturvallisuuskeskuksen Riskienhallinnan (hyvin) lyhyttä oppimäärää, jossa on myös kaksi hyödyllistä esimerkkiä.
Palautusta lähetetään...