Tietoturvaa verkkotunnusvälittäjille
Verkkotunnusvälittäjän tietoturvaa Verkkotunnusmääräyksen 68/2016 mukaan verkkotunnusvälittäjän on huolehdittava toimintansa tietoturvasta Varmistutaan siitä, että tietoturvan kannalta merkittävät tapahtumat havaitaan» Häiriötilanteiden selvittämis- rajoittamis- ja korjaustoimenpiteet pystytään aloittamaan nopeasti (ennen asiakasvalituksia!) Huolehditaan, ettei suojattava tietoaineisto (huom. henkilötiedot!) vuoda ulkopuolisille Varmistetaan verkkotunnusrekisterin ja fi- sekä ax-juuren ajantasainen ja tietoturvallinen toiminta Edistetään verkkotunnuksen toimivuutta!
Lähtötilanne? Osalla verkkotunnusvälittäjistä on tietoturva jo hyvällä tasolla (organisaation muusta toiminnasta johtuen) Tietoturvaa koskevat velvoitteet voivat pitkällä aikajänteellä myös vähentää kustannuksia (häiriöiden vähentyminen) Verkkotunnusvälittäjän toiminnan luonteella on merkitystä Vaihtoehtoiset käyttöliittymät:» Selainkäyttöliittymän tietoturvavelvoitteet löysemmin määritellyt, mutta olemassa!» EPP-rajapintaa käyttävän on toteutettava osa Katakrin vaatimuksista. Myös muut määräyksen velvoitteet toteutettava. Tietoturvavaatimuksia ei ole lyöty lukkoon kaikilta osin, vaan vaihtoehtoisia keinoja on useita. Huomioidaan jo käytössä olevat tekniset tietoturvapalvelut, ja niiden tarkoituksenmukaisuus arvioidaan.
Tietoturvavelvoitteet kaikille verkkotunnusvälittäjille
Tietoturvan perusasiat Luottamuksellisuus, eheys ja palvelun saatavuus Toimenpiteet: Hallinnollisen, henkilöstön, fyysisen ja teknisen tietoturvan osa-alueilta. Tietotekninen tietoturva sisältää järjestelmän tietoturvapalvelut, kuten salauksen Suojattavat toiminnot ja kohteet määritellään, arvioidaan niihin kohdistuvat uhat, sekä palvelun rikkoutumisen vaikutukset. Tehtävät toimenpiteet määritellään riskiarvioinnin pohjalta Riskien hallinnan prosessit ja tulokset dokumentoidaan
Tietoaineistojen luokittelu ja suojaaminen Välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusmenetelmä ja käsittelymenettelyt dokumentoitava Luokittelu vapaa, mutta henkilötietolain mukaan suojattavat ja muun tietoturvallisuuden vuoksi suojattavat sekä julkiset tiedot olisi hyvä jakaa omiin luokkiinsa vastaavasti, käsittelyn ja tarkastamisen helpottamiseksi. Lisätietoja ja esimerkkejä keinoista saa esimerkiksi tietoturvatyökalu Katakri 2015:sta: Katakri I 15 I 19: Aineistoturvallisuus soveltuvin osin: henkilötiedot ym. salassapidettävät tiedot. Katakri I 21: Salassapidettävien tietojen käsittely suojatulla alueella ja suojattujen alueiden välillä. (Etähallinta ja käyttö). Suositellaan perehtymään! Katakri I 23: Elinkaari, päivitykset. Katakri I 24: Varmuuskopiot.
Tietoturvan valvonta Valvontamekanismien dokumentointi (Huom! Katakri I 03) Verkkotunnusvälittäjän on varmistuttava siitä, että tietoturvallisuuden kannalta merkittävät tapahtumat havaitaan» Palvelunestohyökkäykset, tietovuodot, tietomurron yritykset, liian laajat käyttöoikeudet Käytännössä: Välittäjän tulee ylläpitää palvelunsa hallintajärjestelmää Huom! Ulkoistaminen ongelmallista... Dokumentaatiosta tulee selvitä, kuinka välittäjän velvoitteet tietoturvaloukkauksien tapahtuessa toteutetaan määrätyssä ajassa!
Tietoturvaa häiritsevät tai uhkaavat tilanteet Menettelyohjeet tietoturvahäiriöiden ja uhkaavien tilanteiden selvittämiseksi (huom! Katakri I 11), sisältäen» Tietoturvan hallinnan organisointi» Vastuumäärittelyt, vähintään tietoturvasta vastaavien yhteystiedot Merkittävän häiriön sattuessa siitä on ilmoitettava Viestintävirastolle 24h kuluessa: cert (at) ficora.fi Tapahtuma estää tai häiritsee verkkotunnusvälitystoimintaa olennaisesti Ilmoituksen sisältö:» Merkittävä tietoturvaloukkaus tai sen uhka» Arvioitu kesto ja vaikutukset» Korjaustoimenpiteet» Häiriön toistumisen estävät toimenpiteet Mahdollisuuksien mukaan tulee selvittää syy Merkittävyyden arviointiin ohjeita määräyksen 68 perustelumuistiossa Suositellaan myös vapaaehtoisten ilmoitusten tekemistä
Muutosten hallinta Suunnitelmallisuus ja ennakoitavuus: Muutoksia ohjaavat prosessit ja käytännöt on dokumentoitava Huoltoikkuna: katkosten mitoittamisessa huomioitava myös huolellisen toteuttamisen vaatima ajantarve. Ohjelmistomuutoksen vaikutuksia hyvä simuloida etukäteen
Tietoturvavelvoitteet EPP-rajapinnan käyttäjille
EPP-rajapinnan käyttöä koskevat Katakrivaatimukset Verkkotunnusmääräyksen 68 mukaan EPP-rajapintaa käyttäville välittäjille pakolliset Katakri-vaatimukset ovat seuraavat Vaaditut osuudet (ST IV-taso):» Tietoliikenneturvallisuus: I 01 - I 05» Tietojärjestelmäturvallisuus: I 06 - I 13 (ST IV: ei vaatimuksia I 14:ssä) Suositellaan perehtymään muihinkin Katakrin osuuksiin. Erityisesti aineistoturvallisuus ja käyttöturvallisuus. Esimerkiksi:» Elinkaari: muutostenhallintamenettelyt (I 20), haavoittuvuustiedoitteet, päivitykset (I 23)
Tietoliikenneturvallisuus Katakrissa I 01 Tietojenkäsittely-ympäristöt, verkon rakenne,» Palomuurien ja salauksen tarve» Huom! Kasautumisvaikutus ei todennäköinen I 02 Vyöhykkeistäminen, suodatussäännöt I 03 Järjestelmän elinkaari» Muutokset, dokumentaatio I 04 Hallintayhteyksien suojaaminen I 05 Langattomat verkot
Tietojärjestelmäturvallisuus Katakrissa I 06 Pääsyoikeudet I 07 Tunnistaminen I 08 Järjestelmäkovennus I 09 Haittaohjelmasuojaus I 10 Jäljitettävyys I 11 Poikkeamien havainnointikyky ja toipuminen I 12 Salausratkaisut I 13 Ohjelmistot
Yhteenveto tietoturva-asioista
Pohdittavaa Mitä keinoja järjestelmässänne on käytetty henkilötietojen suojaamiseksi? Erillinen säilö? Salaus? Miten suojaatte järjestelmänne haittaohjelmilta ja murtoyrityksiltä? Ovatko menetelmät ajantasaiset? Onko haavoittuvuuksien seuranta kunnossa? Sovellusten päivitykset?» Esimerkki: verkkotunnusvälittäjän asiakkailleen tarjoama itsepalvelukäyttöliittymä... Jos järjestelmä on hajautettu useille paikkakunnille, miten suojaatte liikenteen toimipisteiden välillä? Onko hajautus välttämätöntä? Jos järjestelmää käytetään tai hallitaan etänä, miten suojaatte liikenteen? Entä etätyöpisteen turvallisuus? Onko etähallintamahdollisuus välttämätön? Miten nopeasti pystytte reagoimaan tietoturvan häiriötilanteisiin?
Määräyksessä 68 esitetyt dokumentointivaatimukset Ajantasainen kuvaus tietoturvallisuuden huomioimisesta (Luku 4, 14 ) Riskienhallinnan prosessien ja tulosten dokumentointi Luokituskriteerien ja käsittelymenettelyjen dokumentointi Valvontamekanismien dokumentointi (Huom! Katakri I 03) Menettelyohjeet tietoturvahäiriöiden ja uhkaavien tilanteiden selvittämiseksi Muutoksia ohjaavien prosessien ja käytäntöjen määrittely ja dokumentointi
Hyödylliset linkit Verkkotunnusmääräys 68/2016: https://www.viestintavirasto.fi/ohjausjavalvonta/laitmaarayksetpaatokset/maaraykset/ maarays68fi-jaaxpaatteisistaverkkotunnuksistajaniidenvalitystoiminnastaverkkotunnusmaarays.html Katakri 2015: http://www.defmin.fi/puolustushallinto/puolustushallinnon_turvallisuustoiminta/katakri _2015_-_tietoturvallisuuden_auditointityokalu_viranomaisille Työkalu tietoturvan auditointiin: (Excel-muodossa) https://www.viestintavirasto.fi/attachments/tietoturva/katakri_arviointityokalu.xlsx NCSA-toiminnon hyväksymät salausratkaisut: https://www.viestintavirasto.fi/attachments/tietoturva/ncsa_salausratkaisut.pdf https://www.viestintavirasto.fi/kyberturvallisuus/postituslista.html.stx
Maarit.Hietalahti (at) ficora.fi www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi