Tietoriskien hallinnan uusi aikakausi, vaatimukset ja ohjaavat tekijät mitä odottaa jatkossa? Mika Laaksonen CISSP, CISA, CISM, CGEIT 7.3.2013 10:00 10:30
Puhujan esittely Mika Laaksonen Partner, KPMG advisory services Toimitusjohtaja, KPMG IT Sertifiointi Oy Koulutus DI, Tampereen teknillinen korkeakoulu (2000) CISA (2003), CISSP (2003), CISM (2004), CGEIT (2008), CRISC (2010) Kokemus Mikalla on 13 vuoden kokemus erilaisista tietoturvaan, tietohallinnon kehittämiseen ja jatkuvuussuunnitteluun liittyvistä tehtävistä. Ennen siirtymistään KPMG:lle Mika toimi useita vuosia tietoturvatehtävissä Soneralla. Mikalla on KPMG:n toimeksiantojen kautta laajaa kokemusta julkishallinnon ja yrityskentän tietoturvallisuuden kehittämisestä, tietoturvallisuuden hallintamalleista sekä tietoturvaauditoinneista. Toimeksiannoissaan Mika on ollut mukana auditoimassa kaikkia suurimpia käyttöpalvelujen toimittajia Suomessa, joten hänellä on erittäin hyvä tuntemus käytännöistä eri toimittajilla. Mikan toimeksiannot ovat kattaneet mm. ministeriöiden, virastojen, rahoitusalan, metsäalan, paperialan, telealan, konealan, IT-alan, logistiikka-alan ja palvelualan monikansallisia yrityksiä. Mika toimi vuosina 2008-2009 tietoturva-asiantuntijana ICT-varautumisen ja tietoturvatasojen kehittämis- ja pilotointihankkeissa. Lisäksi Mika on osallistunut muun muassa Vahti-ohjeiden ja muiden julkaisuiden laatimiseen. Mika on kirjoittanut seuraavat kirjat ja osallistunut monien VAHTI-ohjeiden kirjoittamiseen: Liiketoiminnan Jatkuvuussuunnittelu ja ICT-varautuminen 2009 ISBN: 978-951-885-307-0 Yrityksen tietoturvakäsikirja - ohjeistus, toteutus ja lainsäädäntö 2006 ISBN 951-37-4701-8 1
KPMG lyhyesti KPMG on maailmanlaajuinen asiantuntijapalveluita tarjoavien jäsenyritysten verkosto. Tehtävämme on siirtää osaamisemme arvoksi ja hyödyksi asiakkaillemme, henkilöstöllemme ja ympäröivälle yhteiskunnalle. Globaalisti Liikevaihto USD 22,7 mrd (2011) Liikevaihto Advisory USD 7,5 mrd (2011) Toimipisteet 152 maassa Asiantuntijoita 145 000 Suomessa Liikevaihto 87,2 Meur (9/2011) Liikevaihto Advisory 28,6 Meur Toimipisteet 16 paikkakunnalla Asiantuntijoita 795
Agenda Tietoriskien hallinnan uusi aikakausi, vaatimukset ja ohjaavat tekijät mitä odottaa jatkossa? Tietovuodot Mitä on tapahtunut ja julkaistu viimeaikoina? Mitä tehdä ja mitä odottaa? 3
Miksi? Tietovuodot Mitä on tapahtunut ja julkaistu viimeaikoina?
Mandiant APT1 Report - Exposing One of China s Cyber Espionage Units Yhdysvaltalainen tietoturva-alan yritys Mandiant julkaisi 18.2.2013 paljon mediahuomiota saaneen raportin suuresta ja organisoidusta tietomurroista. Todistetaan että APT (Advanced Persistent Threat)-tyyliset hyökkäykset ovat ihan oikeasti olemassa ja että niitä tehdään isolla mittakaavalla. Poimittuja faktoja hyökkäyksistä Suurin osa hyökkäyksistä kohdistui englantia puhuviin maihin. Yhteyksiä kohteisiin pystyttiin ylläpitämään keskimäärin vuoden verran. Kohteista vietiin suuria määriä informaatiota. 80% kohteista sijaitsi Yhdysvalloissa, yksi kohde sijaitsi Norjassa. Hyökkäykset kohdistuivat useisiin eri yritysaloihin tässä suurimmat kohteet: IT, avaruusteknologia, julkishallinto, tietoliikenne, tutkimus ja tiede sekä energia. Mandiant 2013 Raportin mukaan hyökkääjät varastivat hyvin suuria määriä dataa. Hyökkääjät saivat todennäköisesti haltuunsa satoja teratavuja informaatiota. Tämän datamäärän säilyttäminen ja analysointi vaatii runsaasti resursseja. http://intelreport.mandiant.com/mandiant_apt1_report.pdf http://www.hackingthroughcomplexity.fi/2013/02/elamme-suurientietoturvahyokkaysten.html 5
F-Secure Threat Report H2 2012 Ensimmäistä kertaa Webistä/selaimesta/plugineista saadut haittaohjelmat olivat F-Securen näkökulmasta yleisin ongelma, yleisempi kuin meilistä saadut tai mitkään muut 4-5 haavoittuvuutta olivat syynä valtaosaan tartunnoista. Useampi näistä oli Javan ongelmia. Yksi rikollisjärjestö ja sen 2 haittaohjelmaa eli Blackhole Exploit Kit ja Cool Exploit Kit olivat vastuussa leijonanosasta kaikkia ongelmia http://www.fsecure.com/static/doc/labs_global/research/threat_report_h2_2012.pdf F-Secure 2012 6
Tietovuotojen syyt - Datalossdb Iso osa tietovuodoista ei johdu tahallisesta toiminnasta, vaan huolimattomuudesta. Dataloss tietokannan mukaan random-ajanhetken tuoreimmat tietovuodot johtuivat seuraavista syistä: Dokumenttien väärä hävitystapa Tietojen katoaminen postilähetyksen aikana Dokumenttien väärä hävitystapa heitettiin roskikseen Tietojen lähettäminen postilla väärään osoitteeseen Palvelimen hakkerointi Työaseman virustartunta Tietojen katoaminen varastetun (ei salatun) kannettavan mukana Tietovuotojen estäminen on tehokkainta puuttumalla kaikkein yleisimpiin tietojen katoamistapoihin Työntekijöillä tulee olla hyvä ohjeistus siihen, miten tietoja tulee suojata ja käsitellä. Esimerkiksi: Tulostaminen Tuhoaminen Arkistointi Lähettäminen (sposti/fyysinen posti) Lisäksi työntekijöille tulee tarjota sellaiset työvälineet, joiden avulla he voivat helposti noudattaa annettua ohjeistusta: Salatut kiintolevyt Sähköpostin salausratkaisut Turvalliset kopiokoneet Tietojentuhoamisen välineet, kuten silppurit 7
Ei koske meitä Kyllä tietovuotoja tapahtuu myös Suomessa: 2012 joulukuu: Tietovuoto Lapin keskussairaalassa - 13 ihmisen potilastietoja lähetettiin sivullisille (http://www.iltasanomat.fi/kotimaa/art-1288525708147.html) 2011 marraskuu: Suomen suurimman henkilötietovuodon uhriksi joutui julkkiksia, poliitikkoja ja huippu-urheilijoita. (http://www.iltalehti.fi/digi/2011110714709079_du.shtml) 2011 helmikuu: Kymmenittäin verinäytteitä päätyi tunnistetietojen kanssa kaatopaikalle Lapissa. Putkista kävi ilmi potilaiden nimet ja HETU-tieodot (Pohjolan sanomat 24.2.2011) 2010 syyskuu: Yle: KRP tutkii Väestörekisterikeskuksen kumppanin toimia 2010 elokuu: Tietosuojavaltuutettu tutkii TE-keskuksen vuotoa. Toimistolta lähti noin 1 000 henkilöllle sähköpostiviesti, jonka liitteenä oli yli 2 000 TE-toimiston asiakkaan tietoja. 2010 toukokuu: Henkilötietoja roskalavalla: Ohikulkija löysi Lahtelaisen ravintolan edessä olevalta roskalavalta ravintolan seitsemäätoista työntekijää koskevia henkilötietoja (nimi, sotu, pankkitilitiedot) 2010 maaliskuu: Helsingin poliisin tutkintamateriaalia löytyi roskalavalta. Pihassa olleesta roskalavasta on löytynyt iso joukko muun muassa rikosteknisiin tutkimuksiin liittyvää materiaalia, kuten hätäpuhelunauhoja ja kuulustelunauhoja. 2010 maaliskuu: Tietokone: Vaihda heti salasanasi iso tietovuoto netissä Suomessa 8
Miksi murehtia? Suorat kustannukset Monissa verkkopalveluissa on erilaisia maksutapoja, mukaan lukien luottokorttimaksut. Mikäli luottokorttitietoja vuotaa, kustannukset ovat korkeat ja lankeavat helposti palvelun pitäjän maksettavaksi, mikäli tietoja ei ole vaatimusten mukaisesti suojattu. Yrityssalaisuuksien vuotaminen Sanktiot, johtuen sopimuksista tai tulevaisuudessa mahdollisesti myös EU:n tietosuoja-asetuksesta (max 2 % globaalista liikevaihdosta) Epäsuorat kustannukset Asiakkaiden menetykset epäluottamuksen johdosta Tietoturvaloukkausten tutkinta- ja korjauskustannukset Negatiivinen julkisuus Ponemon Instituutin tutkimuksen mukaan keskimääräinen organisaatiokohtainen kustannus tietomurrosta oli vuonna 2010 7,2 miljoonaa dollaria ja kustannus vuotanutta tietuetta kohden oli 214 dollaria PWC:n tutkimuksen mukaan kustannus 2012 oli (Britanniassa) (http://www.pwc.co.uk/en_uk/uk/assets/pdf/olpapp/uk-information-security-breaches-survey-technical-report.pdf) 15k - 30k Pienillä yrityksillä 110k - 250k Isoilla yrityksillä keskimäärin Miljardeja kansakunnan tasolla KPMG 2010 9
Miksi murehtia? Onko sinun organisaatioon murtauduttu? Mistä tiedät? Onko sinun organisaatioon murtauduttu? Mistä tiedät? Voitko vastata kyllä kaikkiin seuraaviin kysymyksiin?: Kaikki käyttöjärjestelmät ja etenkin sovellukset on aina päivitetty? Missään ei ole 0-päivä haavoittuvuuksia? Kukaan ei koskaan klikkaa mitään linkkejä? Kukaan ei koskaan vieraile millään wwwsivuilla? Kaikki ulos(kin) lähtevä liikenne analysoidaan? Kyky havaita kaikki epäilyttävä on aukoton? 10
Mitä tehdä ja odottaa?
Tieto-omaisuuden tunnistaminen kaiken perusta Kaiken tulee lähteä siitä, että tiedetään, mitä suojattavaa tietoa organisaatiossa on ja mitä yritetään suojella (luottamuksellisuutta, eheyttä vai saatavuutta) Mitä tietoa tulee, mitä sitä käsitellään, mihin se lähtee, mitä tietoja tallennetaan jne Tulee muistaa huomioida kaikki tiedon elinkaaren vaiheet. Koska tiedon suojaaminen maksaa ja aiheuttaa toimenpiteitä, niin turhaa tietoa ei kannata (ja henkilötietojen osalta ei myöskään saa) kerätä. Et voi vuotaa niitä tietoja, joita sinulla ei ole Lopputuloksena on yleensä jonkinlainen luokittelu, esimerkiksi tietojen turvaluokittelu tai järjestelmien tärkeysluokittelu 12
Mitä odottaa? Lisää hyökkäyksiä Hyökkäykset eivät tule loppumaan ja niiltä suojautuminen käy aina vaikeammaksi. Etenkin, jos hyökkäys on kohdistettu. Oleelliseksi tulee havainnointi ja reagointikyky Epäilyttävä toiminta tulee havaita, jos sitä ei voi estää 13
Mitä odottaa? Lisää sääntelyä Vaikka organisaatiot eivät itse älyäisi ryhtyä toimiin, viranomaiset pakottavat. Esimerkki: EU:n tuleva tietosuoja-asetus 1. Asetus koskee kaikkia rekisterinpitäjiä koko EU:n alueella. Toimivaltakiistoja eri jäsenvaltioiden tietosuojaviranomaisten välillä pyritään välttämään määräämällä toimivaltaiseksi sen maan viranomainen, jossa rekisterinpitäjällä on pääasiallinen toimipaikka. 2. Säännökset koskevat jatkossa tietyin edellytyksin myös EU:n ulkopuolisia rekisterinpitäjiä, jotka käsittelevät EU-kansalaisten henkilötietoja ja/tai suorittavat EU-asiakkaiden profilointia esim. evästeiden avulla. 3. Paikkatiedot, IP-osoitteet ja evästeet määritellään kuuluvaksi asetuksen piiriin. 4. Kaikkien rekisterinpitäjien, joiden henkilöstön määrä on yli 250, tulee nimittää riippumaton tietosuojavastaava 5. Rekisterinpitäjien tulee noudattaa nk. tilivelvollisuuden periaatetta, mikä tarkoittaa käytännössä sitä, että rekisterinpitäjän tulee tarvittaessa osoittaa toimivansa aktiivisesti yksityisyyden suojaa ja rekisteröityjen oikeuksia edistävällä tavalla. 6. Rekisterinpitäjän tulee suorittaa vaikuttavuusarviointi, mikäli se suunnittelee ottavansa käyttöön uutta tekniikkaa tai henkilötietojen käsittelyn muotoja, joissa voidaan katsoa piilevän erityinen riski rekisteröityjen yksityisyyden suojalle. 7. Henkilötietojen tietovuodoista tulee jatkossa aina informoida tietosuojaviranomaisia, ja mikäli tietovuodosta aiheutuu riskiä myös rekisteröityjen yksityisyyden suojalle, tulee myös heitä informoida ja ohjeistaa vahinkojen minimoimiseksi. 8. Henkilötietojen siirtoa EU:n ulkopuolelle koskeviin säännöksiin kaavaillaan muutoksia, joiden tarkoitus on tuoda selkeyttä ja yksinkertaistaa tietojen siirtoja. 9. Vastuita tullaan selkeyttämään tilanteissa, joissa rekisterillä on monta rekisterinpitäjää, tai joissa alihankkija suorittaa henkilötietojen käsittelyä rekisterinpitäjän lukuun. 10. Privacy by design ja Privacy by default 14
Miten suojautua? Yksi näkemys: Ei ole mitään järkeä suojautua yleisesti, koska vasta kunnon tilannekuvan muodostaminen auttaa näkemään, mihin suojautumisen effortti pitää kohdistaa Toinen näkemys: Tee edes ne perusasiat Millaisia testauksia ja suojauksia voi tehdä? yksi esimerkki KPMG tietoturvatarkastuksissa lähetämme kohdennettuja hyökkäyssähköposteja (spearfishing). Toimitamme asiakkaalle raportissa statistiikkaa hyökkäyksen onnistumisesta. Kyseisellä testauksella testaamme useita asioita: Klikkaavatko vastaanottajat tökerösti tehtyjen sähköpostiviestien linkkejä? (kyllä klikkaavat) Onko päätelaitteissa sellaisia haavoittuvuuksia, joita on mahdollista käyttää hyväksi jos/kun käyttäjä klikkaa linkkiä? (yleensä on) Estääkö työaseman/verkon suojaus (virustorjunta, IPS, proxy, palomuuri tms.) työasemasta ulospäin avautuvat yhteyden muodostamisen? (noin puolessa tapauksissa estää ja puolessa ei estä) Kyseisellä testauksella voidaan osoittaa, että useimpiin organisaatioihin voi helposti murtautua ja että verkon palomuurit ja virustorjunnat eivät yleensä estä tätä. Kyseisen testauksen avulla havaitaan useimmat ongelmat, joita Mandiantin raportinkin mukaan oli käytetty ja on mahdollista parantaa suojauksia niin, että suuri osa hyökkäyksistä ei olisi onnistunut 15
Mihin panostaa? Suojattavan tiedon tunnistamiseen ja sen suojaamiseen koko elinkaaren ajan Ei voi enää lähteä siitä, että ympäristön voi suojata. Havainnointikykyyn Aukoton suojaus on mahdotonta, pitää panostaa siihen, että havaitaan eitoivotut asiat (SIEM, Lokien hallinta, IDS yms ) Reagointikykyyn - Kun on havaittu jotain ei-toivottua, pitää reagoida oikein ja nopeasti (Incident response management) Turvallisten sovellusten tekemiseen / hankkimiseen Tätä perusasiaa ei osata vieläkään (lue Vahti 1/2013 Sovelluskehityksen tietoturvaohje) Sääntelyn seurantaan Älä jää sääntelyn yllättämäksi, sitä on tulossa! 16
Kiitos Mika Laaksonen
2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International.