1. Tietokonejärjestelmien turvauhat

Transkriptio

1 1 1. Tietokonejärjestelmien turvauhat Kun yhteiskunta tulee riippuvaisemmaksi tietokoneista, tietokonerikollisuus ei tule ainoastaan vakavammaksi seurauksiltaan vaan myös houkuttelevammaksi rikollisille. K. Shankar Yksityisyys ja turvallisuus ovat ongelmia, jotka liittyvät tietokonejärjestelmiin ja -sovelluksiin, joita ei osattu nähdä ennen kuin pitkällä nykyisen tietokonealan jälkipuoliskolla. R.Turn & W. Ware Käsitteitä Uhka (threat) mahdollinen tapahtuma (tahallinen tai tahaton), jolla voi olla ei-toivottuja vaikutuksia tietokonejärjestelmään liittyviin tietoihin ja muihin resursseihin Haavoittuvuus (vulnerability) = tietokonejärjestelmän valitettava ominaisuus (tahallinen tai tahaton), joka tekee mahdolliseksi uhkan toteutumisen Hyökkäys (attack) tietokonejärjestelmää vastaan pahantahtoisen sisään tunkeutujan suorittama toimenpide, johon liittyy olemassa olevien haavoittuvuuksien hyväksikäyttö olemassa olevan uhan toteuttamiseksi Erityyppisiä uhkia Paljastumisuhka (disclosure threat) tarkoittaa tietokoneelle talletetun tai verkon läpi siirtyvän tiedon paljastumista taholle, jolla ei ole oikeutta saada tätä tietoa Eheysuhka (integrity threat) tarkoittaa valtuuttamatonta muutosta tietoihin, jotka on talletettu tietokoneeseen tai jotka ovat siirtymässä verkon läpi

2 2 Palvelun keskeytyminen (denial of service) on uhka, joka toteutuu kun jokin (kriittinen) järjestelmä tai resurssi ei ole käytettävissä käyttäjän pahantahtoisen toimen seurauksena Hyökkääjän tarkoitus Hyökkääjän pahaa tarkoitusta on usein vaikea todeta tai ainakaan näyttää toteen Esimerkiksi FORTRAN-ohjelma, joka maksoi Venusluotaimen: Ohjelmarivi: DO 20 t = Piti olla: DO 20 t = 1,100 Miten tällaisesta virheestä voidaan päätellä, oliko se tahallinen vai tahaton? Turvallisuus ja käytettävyys Turvallisuus ja käytettävyys ovat ristiriitaisia vaatimuksia. Lasikaappi turvallisin, mutta miten on käytettävyys! Käytettävyys (usability) Turvallisuus (security) Miten arvioit turvallisuuden ylläpitämiseen kuluvien kustannusten olevan suhteessa mahdollisiin vahinkokustannuksiin?

3 3 Käytettävyys ( availability) Käytettävyydellä tarkoitetaan että tiedot ja niiden muodostamat palvelut ovat niihin oikeutettujen henkilöiden käytettävissä tai saatavilla oikea aikaisesta. Mikäli käytettävyysvaatimus otetaan kirjaimellisesti muodostuu tietoturvasta koko tietojärjestelmän käytön ja suunnittelun perusvaatimus Käytettävyys riippuu monesta eri tekijästä mm. 1. Tiedon luottamuksellisuus 2. Laitteiston määrästä 3. Ohjelmistolisensseistä 4. Tietoliikennekapasiteetista 5. Laitteisto-, ohjelmisto- ja tietoliikennehäiriöistä 6. Käyttäjän toiminnasta 7. Oheismateriaalin saatavuudesta 8. Huolto- ja tukitoimintojen tehokkuudesta Käytettävyyttä voidaan melko helposti rajoittaa, mutta sitä on vaikea nostaa. Sitä rajoitetaan ja säädellään erilaisilla palvelutason estoilla, jotka tehdään prioriteettien avulla. Käytettävyyden varmistaminen ja hallinta => monimutkaista. Lisää vaikeuksia Suurin osa vanhoista järjestelmistä on suunniteltu turvattomiksi => turvallisuus on lisättävä niihin jälkikäteen Käyttöjärjestelmien osalta jatkuva päivitys! Erilaisten apuohjelmien jatkuva päivitys, mm. virustorjuntaohjelmistot Näyttöä (varmuutta, assurance) järjestelmän turvallisuudesta on vaikea saada. Palkatut konsultit

4 4 Uhka-analyysi Uhat korkein taso turvallisuutta mietittäessä, haavoittuvuudet ja hyökkäykset ovat merkityksellisiä vain uhkakuvakehyksessä Tyypillisessä tietojärjestelmäprojektissa ei vieläkään tehdä perusteellista uhka-analyysiä Eräs syy on järjestelmällisten uhka-analyysimenetelmien puute ja huono tuntemus: - uhkalistat - uhkapuut - muitakin menetelmiä on Tietoturvatoiminta perustuu kaksoissykliin: - ennakoivaan toimintaan - valittujen hallintatoimien toteutumiseen sekä niiden onnistumiseen ja kehittämiseen liittyviin toimenpiteisiin Uhkalistat Yleisimmin käytetty uhka-analyysimenetelmä Perustana suunnittelijoiden aivoriihi Tulos on satunnainen ja rakenteeton: - kattavuus? - kokonaisuuden ristiriidattomuus? - määritysten selkeys ja yksiselitteisyys? Tarpeellisia, mutta eivät sovellu ainoaksi eivätkä ensimmäiseksi askeleeksi

5 5 Uhkapuut Rakenteellinen, top down menetelmä, puumainen, vertaa yrityksen organisaatiokaavioon Lähtökohtana "kaikkien uhkien joukko" Perusideana iteratiivinen uhkakuvan kattava jakaminen - kunkin jakotapahtuman kattavuus tärkeää - jokaisesta uhasta tulee uuden alipuun juuri - kun jakoa ei voida jatkaa, käytetään uhkalistoja Järjestelmällinen, yleisesti käytetty ja toimivaksi osoittautunut menetelmä Uhkapuiden käyttö Uhka voidaan jakaa riippumattomiin aliuhkiin: TAI - sääntö Uhka voi riippua useammasta aliuhasta: JA - sääntö Muitakin yhdistelymahdollisuuksia on Alimman tason uhille voidaan antaa arvot kriittisyydelle ja toteutumisen todennäköisyydelle => riski, ns. riskitaso Puun sisäisten solmujen riskitasot voidaan laskea

6 6 Esimerkki Miten määritellään Uhka A:n riskitaso Uhka A Uhka A. 1 Uhka A.2 Vaikutukset = 4 Vaikutukset = 5 Todennäköisyys = 2 Todennäköisyys = 15 Riskitaso = 4*2 = 8 Riskitaso = 5*15 = 75 Mitä uhka tai mitkä uhkat kannattaa pienentää? HARJOITUSTEHTÄVÄT: 1. Mieti sairaalan tietojärjestelmän uhat käyttäen uhkalistamenetelmää (Miten kuvailet aikaansaannosta?) 2. Piirrä sairaalan tietojärjestelmän uhat käyttäen uhkapuumenetelmää. 3. Piirrä uhkapuu tiedoston tuhoutumisesta siten, että kaaviokuvaan tulevat uhan vaikutus v, todennäköisyys uhan toteutumiselle t ja riskitaso r. Mihin toimenpiteisiin ryhdyt?

7 7 YHTEENVETO Uhka-analyysissä on otettava huomioon kaikki olemassa olevat uhat sekä uhat jotka ovat tulevaisuudessa mahdollisia. Uhka-analyysin tulee sisältää seuraavat toimenpiteet selvitetään jo tunnettujen uhkatekijöiden olemassaolo ja niissä tapahtuneet muutokset tunnistetaan uudet uhkatekijät, joita ovat muun muassa ihmisten toiminnan aiheuttamat uhat ympäristöstä ja sen muutoksesta aiheutuvat uhat organisaation toimintatavoissa tapahtuneiden muutosten aiheuttamat uhat uuden teknologian aiheuttamat uhat näiden yhteisvaikutusten muodostamat uhat määrittää uhat todellisiksi uhkiksi tai harmittomiksi tapahtumiksi. Uhkien selvittämisen jälkeen arvioidaan mahdolliset seurausvaikutukset, joita ovat liiketoimintaprosessiin kohdistuvat vaikutukset liiketoiminnan kehittämiseen kohdistuvat vaikutukset tuotantomenetelmiin ja -välineisiin kohdistuvat vaikutukset organisaation kohdistuvat vaikutukset henkilöstöön kohdistuvat vaikutukset asiakkaisiin, sidosryhmiin ja olemassa oleviin yhteistyösuhteisiin kohdistuvat vaikutukset muut seurausvaikutukset Seurausvaikutusten perusteella määritellään suojaustavoitteet. Niitä määriteltäessä tulee ottaa huomioon, että suojaukset ovat toteutettavissa ovat katettavia voidaan tehdä kustannustehokkaasti ovat laillisia ja moraalisesti hyväksyttäviä.

8 8 Kun suojaustavoitteet on määritelty voidaan valita suojaustoimenpiteet. päätöksen tekijällä on käytettävissä riittävästi tietoa suojaustoimenpiteiden valinnan suorittamiseksi suojaustoimenpiteiden valinta voidaan tehdä ilman lisäselvityksiä toteutettavien suojaustoimenpiteiden valinta voidaan perustella riittävän tarkasti joidenkin suojaustoimenpiteiden hylkääminen voidaan perustella riittävän tarkasti. Tietoriskien vähentämiseksi suoritettava ennakoiva toiminta koostuu siis seuraavista toimenpiteistä määritetään uhat tunnistetaan uhkien aiheuttamat riskitekijät arvioidaan uhan toteutumisen aiheuttamat seurausvaikutukset, määritetään suojaustavoitteet valitaan toimenpiteet, jotka toteuttavat suojaustavoitteissa annetut vaatimukset määritetään mittarit, joilla varmistutaan toteutuksen onnistumisesta. Tietoriskien vähentämiseksi asetetut tavoitteet eivät saa olla riippuvaisia käytetystä lähestymistavasta tai menetelmästä.

9 9 System Security Engineering määrittele järjestelmäarkkitehtuuri identifioi uhat, haavoittuvuudet ja hyökkäykset identifioi ja asenna turvamekanismit arvioi komponenttien riski priorisoi haavoittuvuudet Hyväksyttävä riskitaso