Hyvään luottamuksellisuuteen pääseminen edellyttää kolmea asiaa

Transkriptio

1 1 2. Tiedon luottamuksellisuus ja eheys Tiedosta on tullut keskeinen pääoma, kustannusten aiheuttaja ja ratkaiseva resurssi. Tiedosta on tullut teollisuutta, joka valmistaa yhteiskunnalle keskeisiä tuotantoresursseja. Peter Drucker Vain ne yritykset selviävät, jotka johtavat tieto tärkeimpänä resurssinaan ja pitävät sitä varallisuutenaan. John Diebold Luottamuksellisuus ( confidentially) 1. Tiedot ovat vain niihin oikeutettujen henkilöiden ja organisaatioiden saatavilla eikä niitä paljasteta muille 2. Mikäli tiedot paljastuvat, on niiden luottamuksellisuus menetetty 3. Luottamuksellisuudella on erittäin suuri merkitys lähes kaikilla elämän alueilla. Jopa laissa määritelty, rikkomisesta seuraa rangaistus. (rikoslain 30 luku 11, henkilörekisterilaki 6 4 momentti) Hyvään luottamuksellisuuteen pääseminen edellyttää kolmea asiaa 1. Tiedot on luokiteltava niiden luottamuksellisuuden mukaisesti 2. Tiedon käyttäjät on pystyttävä tunnistamaan ja todentamaan 3. On oltava säännöt, joiden mukaan tietoa voidaan luovuttaa Jotta vaatimukset täyttämiseksi tiedot on luokiteltava luokkiin, aivan kuten käyttäjät on luokiteltava erilaisiin tiedonkäyttöoikeudet omaaviin käyttäjäryhmiin.

2 2 Tietoaineiston luokitus Tietoaineisto luokitellaan tiedon arkaluontoisuuden ja käytettävyysvaatimusten mukaisesti erilaisiin turvaluokkiin Mitä arkaluonteisempaa tieto on, sen korkeampi on turvaluokka eli sen pienempi on sen julkistamismahdollisuus Esim. valtionhallinnossa luokittamisen perusjako aihealueittain on 1. Valtion turvallisuus 2. Kansainväliset suhteet 3. Finanssi-, raha- ja valuuttapolitiikka 4. Rikosten ehkäiseminen ja syytteeseen saattaminen 5. Julkinen talous 6. Yksityinen talous 7. Yksityisyyden suoja 8. Muu tärkeä yleinen ja yksityinen etu Kaikissa eri aihealueissa käytetään tietoja, joiden sisältämät tiedot ovat luottamuksellisuuden kannalta erilaisia. Tallenteet jaotellaan yleensä tallenteiden sisältämien tietojen mukaan tietoturvaluokkiin 1. Julkisiin 2. Tietoturvaluokiteltuihin eli luottamuksellisiin 3. Salaisiin 4. Erittäin salaisiin

3 3 Eheys ( integrity ) 1. Tiedot ovat totuuden mukaisia 2. Tiedot eivät muutu tai tuhoudu laitteisto-, järjestelmävian tai inhimillisen toiminnan tms. vuoksi 3. Eheyden varmistaminen. Eheyden menettäminen käy helposti, mutta eheyden palauttaminen on käytännössä erittäin hankalaa Eheysvaatimuksesta seuraa muutamia lisäominaisuuksia 1. Tiedon alkuperäisyys, miten varmistua, että lähetty tieto on tullut sieltä mistä sen väitetään tulleen. 2. Tiedon koskemattomuus, miten varmistua, ettei tietoa ole missään vaiheessa muokattu tai muutettu. 3. Tiedon kiistämättömyys, miten varmistua, että tieto on juuri sitä mitä luullaan sen olevan. Esimerkkejä: Elektroninen kaupankäynti, pankkipalvelut ym. Minkälaisia eheysongelmia syntyy a) relaatiotietokantojen yhteydessä? b) hajautettujen tietokantojen yhteydessä?

4 4 Bell LaPadula -malli Kehitetty 1979 luvun alkupuolella MITRE nimisessä yrityksessä Tekijät: Elliott Bell ja Leonard LaPadula BLP malli perusta myöhemmille turvallisuusmalleille Luottamuksellisuus pääpainona Tasodiagrammit ( Level Diagrams), jotka muodostuvat useista vaakatason viivoista ja ympyröiden sekä neliöiden joukosta Viivat erottelevat eri turvallisuustasot; ylempi on korkeampi taso Ympyrät piirretään kuvaamaan subjekteja (=tiedon käyttäjiä) Neliöt piirretään kuvaamaan objekteja (=tietoja) Tunnilla piirretty kaaviokuva ja siihen subjektien ja objektien yhteydet!! Subjekti voi samalla tasolla olevia objekteja lukea ja kirjoittaa Subjekti voi kirjoittaa ylemmälle tasolle, mutta ei alemmalle Sääntönä NWD ( No Write Down ) Subjekti voi lukea alemmalta tasolta, mutta ei ylemmältä Sääntönä NRU ( No Read Up) Tranquility = Subjekteja ja objekteja ei voida luokitella uudelleen BLP malli on yksinkertainen

5 5 Biba malli Ken Biba MITREstä kehitti mallin 1970 luvun puolivälissä Biba malli oli ensimmäinen laatuaan, joka otti kantaa tiedon eheyteen tietokonejärjestelmässä. Tämä lähestymistapa perustuu hierarkkiseen eheystasojen hilaan BLP-mallissa kirjoittaminen ylöspäin saattaa aiheuttaa eheysongelmia; esimerkiksi siten, että alemman turvatason subjekti tuhoaa tai väärentää korkeamman turvatason objekteja Eheysmielessä olisi intuitiivisesti oikein vaatia, että kirjoittaminen ylöspäin olisi kielletty Samoin voidaan katsoa, että lukeminen alhaalta vaarantaa korkeamman turvatason objektien eheyden, mistä syystä myös alhaaltapäin lukeminen olisi kiellettyä Biban pakollinen eheysmalli vastaa BLP-mallia käännettynä. Sen perussäännöt ovat: No Read Down (NRD) ja No Write Up (NWU) Subjektin matalan veden merkki: jos subjekti lukee matalan eheystason objektin tietoja, subjektin oma eheystaso laskee luetun objektin tasolle Objektin matalan veden merkki: jos subjekti kirjoittaa korkeamman eheystason objektiin, objektin eheystaso laskee subjektin tasolle Biba ja BLP mallien yhdistäminen?

6 6 Clark Wilson eheysmalli Vuonna 1987 David Clark MIT:stä ja David Wilson Ernst & Whinneystä julkaisivat uudentyyppisen eheysmallin CW malli perustuu tapaan, jolla kaupalliset organisaatiot käsittelevät ei automatisoituja paperidokumenttejaan Hyvin tunnettuja kirjanpitotapoja sovellettiin ATK:hon Tuloksena syntynyt malli on osoittautunut lupaavaksi kehitettäessä eheitä automatisoituja tietojärjestelmiä CW malli ilmaisee kokoelman sääntöjä, jotka koskevat tietyn tietokonejärjestelmän tai sovellutuksen käyttöä ja ylläpitoa Näiden sääntöjen tarkoituksena on taata tietty eheystaso määrätylle joukolle tietoja kyseisessä ympäristössä CW mallin säännöt esitetään ns. hyvin määriteltyjen tapahtumien muodossa, sääntöjä on 9 kpl

7 7 Käsitteitä Subject = tiedon käsittelijä, käyttäjän edustaja Object = tieto (data) järjestelmässä Security clearance = subjektin turvaluokitus Security classification = objektin turvaluokitus Turvaluokitus = käyttäjälle tai tiedolle määritelty turvaluokka ja - kategoriat, eli turvanimiö Turvaluokat Hierarkkinen Esimerkki: Suomessa käytetty paperidokumenttien luokitus Julkinen: kenen tahansa saatavilla Ei-julkinen: viranomainen voi antaa tai olla antamatta harkintansa mukaan ETS (Ei tietoja sivullisille): vrt. need-to-know periaate Salainen Henkilösalainen: vain nimettyjen henkilöiden tietoon Esimerkki. Oy Yritys Luottamuksellinen Luokittelematon Salainen

8 8 Turvakategoriat Epähierarkkinen Esimerkki: MN-Tieto Oy:ssä käytetyt turvakategoriat Yleinen (ei mihinkään tiettyyn kategoriaan kuuluva) Asiakaskohtainen (Asiakas A, Asiakas B jne., samat ihmiset eivät tee A:n ja B:n projekteja) Tuotekehitys Turvanimiöt Yhdistetään luokka ja kategoria Esimerkki: MN-Tieto Oy:ssä käytetty (Luokittelematon, Yleinen = 0). (Luottamuksellinen, Yleinen = 0) (Luokittelematon, Tuotekehitys), (Luottamuksellinen, Tuotekehitys) (Luottamuksellinen, Asiakas A), (Luottamuksellinen, Asiakas B), (Salainen, Asiakas A) Tiedon saantisäännöistä 1. Tietojen on oltava luokiteltuja 2. On oltava säännöt, jolla annetaan oikeus tiedon käyttöön.

9 9 Oikeus voidaan myöntää pysyvästi (sääntömatriisi) tai harkinnanvaraisesti (need to know) 3. On oltava menettelytapa, joka estää korkeamman turvaluokan tiedon viemisen alempaan turvaluokkaan. 4. Korkeimpiin turvaluokkiin kuuluvien tietojen käyttö on aina kirjattava. Turvapolitiikka Turvapolitiikka määrittelee tiedon saantioikeuksien säännöt suhteutettuna niitä tarvitseviin henkilöihin Määritellään siis kuka saa käyttöönsä mitäkin tietoja Yrityksen /organisaation johdon määrittelemä/hyväksymä joukko käsittelysääntöjä, TURVAKÄYTÄNTÖ 1. Parhaimmillaan formaalisti määritelty 2. Usein monimutkainen 3. Nykyään tyypillisesti epäformaali tai olematon Käytännössä vaatimuksena 1. Tunnistaminen, jonka mukaan jokainen tiedon saaja pitää pystyä tunnistaman ennen kuin hänelle voidaan luovuttaa arkaluonteisia tietoja 2. Säännöt, joilla tietoja luovutetaan. Tiedon saanti pitää perustua kullekin henkilölle myönnettyihin tiedonsaantioikeuksiin Pääsynvalvonta Pääsynvalvonta on tapa toteuttaa turvapolitiikkaa Turvapolitiikka on määrittely, ei toteutustapa Pääsynvalvontamatriisi (Tunnilla piirretty)

10 10 Perinteisten pääsynvalvontamekanismien perusmalli - Matriisi, jossa subjektit rivejä ja objektit sarakkeita - Kukin matriisin alkio kertoo mitä oikeuksia ko. rivin subjektilla on ko. sarakkeen objektiin Epäkäytännöllinen: - Keskitetty, vie paljon tilaa Perinteiset mekanismit Perustuvat ajattelultaan pääsymatriisiin - Suojaukset (permissions) - Pääsylistat (ACL) - Oikeudet (capabilities) Peruserona miten ja minne matriisin tieto säilötään Suojaukset (permissions) Tyypillinen monen käyttäjän järjestelmissä käytetty - Esim. Unix rwxrwxrwx -suojaus Subjektit jaettu joukkoihin Objektin yhteydessä kuvattu kunkin joukon jäsenten oikeudet Joukkojako dynaaminen, riippuu esim. tiedoston omistajasta

11 11 Palvelunesto Denial of service (DOS) Virgil GLIGOR Jotkin henkilöt ovat nimenomaan oikeutettu suorittamaan palvelun estäviä toimenpiteitä kuten tuhoamaan käyttäjätunnuksia ja irrottamaan järjestelmä verkosta. Määritelmän mukaan käyttäjät, joilla on korkea prioriteetti ovat oikeutettuja estämään palvelu matalamman prioriteetin käyttäjiltä. Maksimiodotusaika (Maximum Waiting Time, MWT). Käyttäjä tekee palvelupyynnön. Palvelu tulee antaa tietyn ajan puitteissa (MWT). Jos palvelua ei saatu MWT:n ajan kuluessa, on tapahtunut palvelunesto = palvelu, jota ei saatu ajoissa. Palvelunestovaatimus on voitu esittää temporaalilogiikan avulla Palvelunestomalli: - Subjekteilla on prioriteetit, joiden välillä on suuruusjärjestys - Palvelunesto = subjektille, jolla on oikeus palveluun, ei annettu palvelua MWT:n kuluessa - Jossain tapauksissa subjekti voi perustellusti estää palvelun toiselta, mikä voi olla sopimatonta toisessa yhteydessä - No Deny Up (NDU) sääntö. Piirrä tasodiagrammikuva! Millenin resurssienallokointimalli (RAM) Jonathan Millen Mitrestä on esittänyt resurssienallokointimallin ( Resource Allocation Model, RAM) joka antaa mahdollisuuden määritellä palveluestosäännöt ja politiikat yksityiskohtaisena resurssien allokointina tietokonejärjestelmässä.

12 12 Suojautuminen Safeguards and Countermeasures M. Casser: Tietokonejärjestelmän turvaaminen on perinteisesti ollut henkien taistelua; tunkeutuja yrittää löytää aukkoja, suunnittelija tukkia niitä T. Benzel: Kokemus on osoittanut, että turvallisuuden lisääminen ohjelmistoprojektin myöhäisessä vaiheessa johtaa järjestelmiin, jotka eivät kunnolla täytä turvallisuusvaatimuksia Kaksi peruslähestymistapaa: Suojaukset (Safeguards) - varautuminen ennen uhan toteutumista ( esim. hyökkäystä) Vastatoimet (Countermeasures) toimenpiteet, joihin ryhdytään uhan toteuduttua Amorosan mukaan termit sekoitetaan usein Suojaus = mekanismi tai proseduuri, joka on suunniteltu torjumaan uhan vaikutukset ennen kuin tämä toteutuu Vastatoimet = mekanismi tai proseduuri, joka on suunniteltu torjumaan uhan jatkuvat vaikutukset sen jälkeen kun tämä on toteutunut Suojauksesta: - Integroi suojaukset järjestelmään suunnitteluvaiheessa - Vältä katastrofit - Älä tuhlaa resursseja tarpeettomasti - Suojausten vaikutukset on vaikea käytännössä todeta

13 13 Vastatoimet: - Jos emme havaitse uhkien toteutuvan emme ryhdy toimenpiteisiin - Saatetaan välttää resurssien tuhlausta - Menestyksen mittaaminen on helpompaa kuin suojauksien - Uhkien annetaan toteutua lähestymistavan suurin miinus Esimerkki automaatti, joka ottaa vastaan rahaa ja antaa tilalle makeisia Miten hoidetaan homma? Yleisesti turvamekanismit - Auditointi ja tunkeutumisen havaitseminen - Tunnistus ja todennus - Salaus - Pakollinen ja kohdistuvapääsynvalvonta - Käyttöoikeudet - Turvaytimet - Konfiguraation hallinta - Formaali määrittely ja verifiointi Lisäykset järjestelmän elinkaareen liittyviin toimintoihin: - Dokumentointi - Tarkistukset - Jäljitettävyys - Työkalujen käyttö - Testaus Mitä asioita tulisi huomioida osana turvallisuuden hallintaa ennen suojausten ja vastatoimien valintaa?