Ohje tietoturvaloukkaustilanteisiin varautumisesta 2.6.2010
Johdanto Ohjeessa esitellään yleisiä näkökohtia yritykseen kohdistuvien tietoturvaloukkaustilanteiden hallintaprosessien käyttöönottamisesta. CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen. CERT-FI tarjoaa huoltovarmuuskriittisille toimijoille Huoltovarmuuskeskuksen kanssa solmitun sopimuksen mukaisesti tietoturvauhkien analysointipalveluita, tietoturvaloukkausten havainnointi- ja ratkaisupalveluita sekä koulutus- ja koordinointipalveluita. Lisätietoja CERT-FI:n toiminnasta ja sen yhteystiedot on osoitteessa www.cert.fi. Tietoturvaloukkauksella tarkoitetaan tilannetta, jossa organisaation, yrityksen tai yksityisen henkilön tietojärjestelmän tietojen käytettävyyttä, eheyttä tai luottamuksellisuutta muutetaan oikeudettomasti. Tietoturvaloukkaukset vaarantavat tai voivat estää kokonaan yrityksen liiketoiminnan jatkuvuuden esimerkiksi haittaamalla palvelun toimintaa tai vaarantamalla yrityksen arkaluontoisten tietojen luottamuksellisuuden. Yrityksen toiminnan jatkuvuuden kannalta on tärkeää, että yrityksen erilaisten tietoturvaloukkaustilanteiden sisäiset hallintaprosessit ovat kunnossa. Tällä tarkoitetaan ennalta tapahtuvaa varautumista erilaisiin loukkaustilanteisiin nimeämällä vastuuhenkilöt ja suunnittelemalla toimintamallit eri tietoturvaloukkaustilanteissa. Kuvassa 1 on esitettynä esimerkki tietoturvaloukkauksien hallinnointiprosessin etenemisestä. Tietoturvallisuuden hallintajärjestelmää on käsitelty yksityiskohtaisemmin muun muassa Viestintäviraston määräyksessä 47C/2009 M 1 ja sen perustelumuistiossa 2. 1. Roolien ja toimintojen tunnistaminen 2. Riippuvuuksien tunnistaminen 4. Tietoturvaloukkauksesta oppiminen 3. Toimintaprosessien suunnitteleminen Tietoturvaloukkausten hallintaprosessi 1 http://www.ficora.fi/attachments/suomiry/5jr9d3dp3/viestintavirasto47c2009m.pdf 2 http://www.ficora.fi/attachments/suomimq/5jr9pm179/mps47.pdf 2
Roolien ja toimintojen tunnistaminen Yrityksen on hyvä tunnistaa tietoturvaloukkauksille alttiit toiminnot, palvelut ja järjestelmät sekä näiden pääkäyttäjät. Tunnistamisen pohjalta voidaan osoittaa tietoturvaloukkaustilanteiden hallintaan vastuuhenkilöt ja toiminnan edellyttämät resurssit jo ennen loukkaustilanteen ilmenemistä. Näin voidaan turvata mahdollisimman tehokas toipuminen tietoturvaloukkauksista. Vastuualueiden jakautuminen on hyvä kuvata yrityksen sisäisessä dokumentissa. Kirjallinen dokumentaatio selkiyttää ja nopeuttaa toimintaa käytännön tilanteissa. CERT-FI:n tarjoamien tietoturvapalveluiden täysimääräiseksi hyödyntämiseksi on tärkeää, että CERT-FI:llä on käytettävissään ajantasainen ja ympärivuorokautisesti tavoitettavissa oleva yhteyspiste kriittisten tietoturvaloukkaustilanteiden varalle. Yhteyspiste mahdollistaa nopean ja tarkoituksenmukaisen toiminnan CERT-FI:n saatua tietoonsa yrityksen toimintaan vaikuttavan tietoturvaloukkauksen tai sen uhkan. Yhteyspiste voidaan ilmoittaa CERT-FI:lle sähköpostitse osoitteeseen CERT@ficora.fi. Riippuvuuksien tunnistaminen Suomalaisiin toimijoihin kohdistuvat tietoturvauhat ovat usein peräisin muista maista. Siten yrityksen palveluihin kohdistuvien tietoturvauhkien torjuminen edellyttää lukuisten erilaisten toimijoiden välistä saumatonta yhteistyötä. CERT-FI auttaa yrityksiä ratkaisemaan tietoturvaloukkauksia koordinoimalla ehkäisytoimenpiteiden edellyttämää yhteistyötä luotettaviksi havaitsemiensa kansallisten ja kansainvälisten yhteistyökumppaneiden kanssa. Koordinointityön edellytyksenä on se, että yritys ilmoittaa tietoturvaloukkauksesta tai sen uhkasta CERT-FI:lle. Ilmoituksen yhteydessä on syytä luovuttaa tarpeelliset tiedot tietoturvaloukkauksen selvittämiseksi ja määritellä voidaanko tietoja luovuttaa CERT-FI:n luotetuille yhteistyökumppaneille. Yritykseltä saatuja tietoja käsitellään aina luottamuksellisina ja niitä luovutetaan eteenpäin ainoastaan tiedot luovuttaneen yrityksen suostumuksella. Tietoturvaloukkauksesta tai uhkasta voi ilmoittaa CERT-FI:lle esimerkiksi Viestintäviraston verkkosivuilta löytyvällä ilmoituslomakkeella 3, sähköpostitse osoitteeseen CERT@ficora.fi tai puhelimitse numeroon 09 6966 510. Yrityksen on syytä tunnistaa myös muut omaan toimintaansa liittyvät keskeiset riippuvuudet. Tyypillinen tällainen riippuvuus on yritykselle tietoliikenneyhteyspalvelun tarjoava teleyritys. Teleyrityksen kanssa kannattaa selvittää tarvittavat yhteyspisteet tietoturvaloukkaus- ja vikatilanteiden selvittämistä varten. Lisäksi teleyrityksen kanssa on hyvä selvittää käytettävissä olevat toimenpiteet erityyppisissä tietoturvaloukkaustilanteissa. Yrityksen on hyvä pyrkiä kehittämään yhteistyötä myös muiden vastaavalla alalla toimivien yritysten kanssa esimerkiksi parhaiden käytäntöjen vaihtamiseksi. Tiedonvaihtoverkostojen toimintaa ja merkitystä on avattu ENISA:n julkaisemassa eurooppalaisia hyviä käytäntöjä kuvaavassa dokumentissa 4. Tehokas väline kansallisen yhteistyöverkoston rakentamiseen ja tiedonvaihdon varmistamiseen ovat CERT-FI:n huoltovarmuuskriittisille toimijoille tarkoitetut postituslistat. Kahdensuuntaiset postituslistat mahdollistavat toimijoiden välisen luottamuksellisen tiedonvaihdon muun muassa parhaista käytännöistä ja ajankohtaisista tietoturvauhkista. Lisätietoja jakelulistoista saa Jarkko Saarimäeltä ja CERT-FI:n verkkosivuilta 5. Toimintaprosessien suunnitteleminen Tietoturvaloukkaustilanteisiin varauduttaessa lokitietojen kerääminen on oleellinen osa tietojärjestelmien ja tietoverkkojen ylläpitämistä sekä niiden tietosuojan varmistamista ja tietoturvallisuuden valvontaa. Lokitietoja voidaan käyttää muun muassa tietoturvaloukkausten havaitsemiseen ja selvittämiseen. Myös tietoturvaloukkaustilanteiden selvittämisen yhteydessä suoritetuista toimenpiteistä on hyvä pitää kirjaa. Lokitietojen sisältämien tunnistamistietojen käsittelyyn sovelletaan sähköisen viestinnän tietosuojalaissa määriteltyjä tunnistamistietojen yleisiä käsittelysääntöjä, joista lisätietoja löytyy muun muassa Viestintäviraston verkkosivuilta 6. Tietosuojavaltuutetun toimisto valmistelee parhaillaan ohjeistusta yhteisötilaajien oikeudesta käsitellä tunnistamistietoja väärinkäytöstilanteissa. Tunnistamistietojen ja lokitietojen käsittelyä kuvataan valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI:n lokiohjeessa, joka sisältää myös yleistä ohjeistusta lokitietojen keräämisen järjestämisestä. 3 http://www.ficora.fi/attachments/suomilomakkeet/5m3urwdiv/ti.dot 4 http://www.enisa.europa.eu/act/res/policies/good-practices-1/information-sharing-exchange 5 http://www.cert.fi/palvelut/hvk/postituslistat.html 6 http://www.ficora.fi/ 3
CERT-FI:n kokemuksen mukaan yleisimpiä esteitä tietoturvaloukkausten tehokkaalle selvittämiselle ovat olleet olemattomat lokit, tietojärjestelmien kellojen epätarkkuuksista tai sekavista aikavyöhykemerkinnöistä johtuva lokien epäyhteensopivuus sekä harjaantumattomuus lokien analysointiin. Varsin tavanomaista on myös, että yhtä tietoturvaloukkausepäilyä selvitettäessä lokien perusteella paljastuu useita muita piileväksi jääneitä tapauksia. Yrityksen on hyvä suunnitella prosessit toimintoihinsa kohdistuvista loukkauksista toipumiseen. Toimintaprosessit on hyvä olla etukäteen mietittynä ainakin seuraavien yleisimpien tietoturvaloukkaustilanteiden varalle: 1) Haittaohjelmatartunta CERT-FI käsittelee vuosittain kymmeniä tuhansia tapauksia, joissa suomalaisen tietoliikenneyhteyden käyttäjä on saanut haittaohjelmatartunnan. Joukossa on myös huomattava joukko yhteisötilaajille kuuluvia tietokoneita tai verkkoja. Yritys voi saada tiedon tartunnasta esimerkiksi yrityksen omista järjestelmistä tai tietoliikenneyhteyden tarjoavalta teleyritykseltä. Yrityksen kannattaa toteuttaa järjestelmänsä siten, että se pystyy tunnistamaan saastuneet päätelaitteet lokitiedoista saatavilla olevien tietojen avulla. Päätelaitteen tunnistamisen jälkeen yrityksen on hyvä suunnitella toimintaprosessi laitteen puhdistamiseksi ja toimenpiteet haittaohjelmatartunnan toistumisen ennaltaehkäisemiseksi. Tällaisia toimenpiteitä ovat esimerkiksi suodatuskäytäntöjen puutteiden tunnistaminen ja loppukäyttäjien valistaminen. 2) Palvelunestohyökkäys Yrityksen palveluun kohdistuva palvelunestohyökkäys voi vaikeuttaa yrityksen liiketoimintaa merkittävästi. Palvelunestohyökkäystä vaikutuksiltaan vastaava kuormituspiikki voi johtua myös palvelun kävijämäärän merkittävästä kasvusta. CERT-FI on julkaissut vuonna 2007 Tietoturva nyt! -artikkelit palvelunestohyökkäysten eri lajeista 7 ja käytettävissä olevista suojautumiskeinoista 8. CERT-FI:n kokemuksen mukaan häiriötä aiheuttaneet palvelunestohyökkäykset ovat usein liikennemäärältään varsin vaatimattomia ja lyhytkestoisia. Niiltä suojautumiseksi on suositeltavaa kehittää konesaliverkon ja palvelimen kuormansieto- ja suodatuskykyä. Teleyrityksen runkoverkon tasolla toteutettavan suodatuksen aktivointi saattaa tuoda reagointiin viivettä, eikä moiseen yleensä ryhdytä, ellei liikennemäärä kuormita teleyrityksen runkoverkkoa. Yrityksen on syytä arvioida myös tarvetta internet-yhteyksien kahdentamiseen ja varmentamiseen. Lisäksi yrityksen kannattaa tunnistaa ne oman liiketoimintansa jatkuvuuden kannalta keskeiset palvelut, joiden toiminta pyritään ensisijaisesti turvaamaan kaikissa tilanteissa. Toiminta voidaan turvata esimerkiksi poistamalla käytöstä palvelua merkittävästi kuormittavia komponentteja. Erittäin massiivistn palvelunestohyökkäyksen rajoittamiseen parhaat mahdollisuudet voi olla tietoliikenneyhteyden tarjoavalla teleyrityksellä. Tästä johtuen yrityksen kannattaa selvittää etukäteen teleyrityksen ympärivuorokautiset yhteyspisteet tietoturvaloukkaustilanteissa. Yrityksen kannattaa selvittää myös se, millaisiin suodatustoimenpiteisiin teleyritys voi palvelunestohyökkäystilanteissa ryhtyä. Myös teleyrityksen mahdollisuuksiin hyökkäysliikenteen rajoittamiseen erilaisten suodatuspalveluiden avulla kannattaa tutustua. 3) Tietojen varastaminen Yritys voi saada tietoonsa, että sen toimintaan liittyviä arkaluontoisia tietojen on joutunnut vääriin käsiin. Tällaisia tietoja voivat olla esimerkiksi yrityksen työntekijöiden tai sen tarjoaman palvelun käyttäjien kirjautumistiedot. Kysymyksessä voivat olla myös muut yrityksen toimintaan liittyvät arkaluontoiset tiedot, kuten esimerkiksi liikesalaisuudet. Tiedot on voitu varastaa esimerkiksi yrityksen palvelussa olevaa haavoittuvuutta hyväksikäyttämällä tai palvelun käyttäjän päätelaitteelta haittaohjelman avulla. Jos kysymyksessä ovat työntekijöiden tai käyttäjien tiedot, on yrityksen syytä olla näihin yhteydessä tietovarkaudesta. Yhteydenotto mahdollistaa rikoksen kohteeksi joutuneille vahinkoja rajoittaviin toimenpiteisiin ryhtymisen ja haittaohjelmatapauksissa mahdollisen saastuneen päätelaitteen tunnistamisen. Lisäksi yrityksen kannattaa vähentää riskiä lisävahinkojen syntymiseen estämällä tai rajoittamalla palvelun käyttöä vaarantuneiksi tunnistettujen käyttäjätilien osalta. CERT-FI:n kokemuksen mukaan ylivoimainen enemmistö nykyaikaisista haittaohjelmista on etähallittavia. Näin ollen ne voidaan komentaa varastamaan tiedostoja tai perustamaan takaportteja ja sillanpääasemia yrityksen sisäverkkoon. Ohjelmat voidaan jopa komentaa kaappaamaan ja manipuloimaan sovellusistuntoja. 7 http://www.cert.fi/tietoturvanyt/2007/05/p_12.html 8 http://www.cert.fi/tietoturvanyt/2007/05/p_13.html 4
Suuri enemmistö tietovarkauksista toteutetaan opportunistisesti ilman, että tekijä nimenomaisesti tavoittelee tiettyä uhria. On kuitenkin syytä tiedostaa, että kaapatuilta tietokoneilta varastetuille tiedoille on olemassa jälkimarkkinat, jota kautta yrityssalaisuuksiksi tunnistetut tiedot tai yrityksen sisäverkkoon pesiytyneet sillanpääasemat saattavat päätyä tavoitteellisemmin toimivien rikollisten haltuun. Aihetta on käsitelty yksityiskohtaisemmin CERT-FI:n julkaisemassa tietoja varastavia haittaohjelmia koskevassa muistiossa 9. 4) Kohdistetut hyökkäykset Kohdistetut hyökkäykset eroavat tavanomaisista tietoja varastavista haittaohjelmista leimallisimmin toimeksiantajan ja tekijätahon korkeamman tavoitteellisuuden osalta. Tavoitteeseen pääsemiseksi uhrataan enemmän aikaa ja muita resursseja. Valtiovarainministeriön VAHTI-ryhmä on julkaissut muistion kohdistetuista hyökkäyksistä. CERT-FI:n kannalta kiinnostavia tietoja kohdistetuissa ja yrityssalaisuuksiin kohdistuvissa haittaohjelmatapauksissa ovat hyökkäysvektorit (tieto siitä, miten haittaohjelma on saatu vastaanottajalle asti ja miten se aktivoituu kohdejärjestelmässä), behavioraalinen tarkastelu (havainnot haittaohjelman käyttäytymisestä kohdejärjestelmässä), ohjelmistotekninen analyyttinen tarkastelu (konekielisen ja lähdekoodin läpiluku) sekä mahdollinen tieto operaation muista kohteista. Teknis-taloudelliseen tai valtiopetokselliseen tiedusteluun viittaavien tapausten rikostutkinta kuuluu poliisille. CERT-FI keskittyy ainoastaan tietoturvaloukkauksen tutkintaan eikä ilmoita tietoonsa saamiaan tapauksia poliisille tai muille ulkopuolisille tahoille ilman asianomistajan nimenomaista suostumusta. Tietoturvaloukkauksesta oppiminen Tietoturvaloukkaustilanteen tai sen uhan jälkeen yrityksen kannattaa arvioida loukkauksen syitä ja omien menetelmiensä toimivuutta. Arviointi kannattaa tehdä myös tilanteissa, joissa tietoturvaloukkauksen riski on ollut ilmeinen. Yrityksen on syytä seurata tietoturvaloukkausten määrän ja laadun kehitystä sekä arvioida aktiivisesti suojaavien tietoturvakontrollien tehoa. Arvioinnin perusteella voidaan toimintaa kehittää siten, että uusien tietoturvaloukkausten riski pienenee. CERT-FI:n kokemusten mukaan parhaatkin tietoturvauhkia ehkäisevät kontrollit tarvitsevat rinnalleen oikein mitoitetut tietoturvaloukkauksia havaitsevat ja niiden ratkaisemiseen tähtäävät prosessit. Rikosepäilyistä kannattaa ilmoittaa aina myös poliisille. Lisätietoja Lisätietoja antaa kehityspäällikkö Jarkko Saarimäki, jarkko.saarimaki@ficora.fi, 09 6966 456. CERT-FI tapaa huoltovarmuuskriittisiä toimijoita säännöllisesti omien palveluidensa esittelemiseksi ja asiakaskunnan tarpeiden kartoittamiseksi. Jos yrityksenne on kiinnostunut tällaisen tapaamisen järjestämisestä, voitte olla yhteydessä huoltovarmuuskriittisille yrityksille tarjottavien tietoturvapalveluiden kartoittamisesta ja kehittämisestä vastaavaan kehityspäällikkö Jarkko Saarimäkeen, jonka yhteystiedot löytyvät tämän ohjeen lisätietoja kohdasta. Tietoturvaloukkaustilanteiden hallintaprosessien käyttöönottamista käsitellään muun muassa CERT/CC:n 10, ENISA:n 11 ja VAHTI:n 12 ohjeissa. 9 http://www.cert.fi/ohjeet/2010_14/5n8kfqj5j.html 10 http://www.cert.org/csirts/action_list.html 11 http://www.enisa.europa.eu/act/cert/support 12 http://www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_tietoturvallisuus/index.jsp 5