Ajankohtaista tietoturvallisuudesta Juha Pietarinen Kimmo Rousku
Valtiokonttori lyhyesti Valtionhallinnon sisäisten konsernipalveluiden kehittäjä ja tuottaja valtion virastojen kumppanina: - talous- ja henkilöstöhallinnon prosessit ja tietojärjestelmät, valtion yhteiset IT-palvelut, finanssihallinto - valtion virastojen ja laitosten lakisääteiset työeläke-, tapaturma- ja vahinkovakuutukset sekä vakuuttamiseen liittyvät työnantajapalvelut, henkilöstön työkykyä ylläpitävän toiminnan tuki Palvelut yksityisille kansalaisille ja yrityksille: - sotilasvamma- ja rikosvahinkokorvaukset, asuntolainojen takaukset ja korkotuet, maksuvapautuspäätökset, valtion tuottoobligaatiot 550 työntekijää (v. 2011 maalisk.) toimii VM:n hallinnonalalla 22.3.2011 2
Valtiokonttorin organisaatio Hallinnon ohjaus Rahoitus Vakuutus Sisäinen tarkastus Pääjohtaja Johtoryhmä Yhteiset toiminnot Valtion ITpalvelukeskus Valtion henkilöstöpalvelut 22.3.2011 3
Yritysturvallisuuden tilannekuva - Keskusrikospoliisi syksy 2010 Pohjoismaissa on liikkeellä tuntuvasti aiempaa enemmän ulkomaisia, tilauksista erilaisia varkausrikoksia tekeviä rikollisryhmiä. Useimmiten Virosta, Liettuasta, Puolasta tai Romaniasta lähtöisin olevien ammattirikollisten omaisuusrikokset lisääntynevät Suomessa edelleen. Maksukorttirikollisuus muuttaa muotoaan uusien tietoturvallisuusstandardien käyttöönoton myötä. Sähköisessä muodossa olevan tiedon fyysiseen suojaamiseen, tiedon syöttämisen suojaamiseen, laitteiden ja tiedon käsittelyoikeuksiin sekä haavoittuvuuksien toteamiseen ja nopeaan korjaamiseen tulee kiinnittää erityistä huomiota. Tietoturvallisuusriskit ja -tilanne tulisi tuntea yrityksissä nykyistä paremmin. Tietoa käsitellään työasemissa, jotka ovat toimistoohjelmistoineen liian haavoittuvia. Automaattiset seurantajärjestelmät eivät lähtökohtaisesti kykene tunnistamaan kohdistettuja tietokaappauksia. Tietojenkäsittely-ympäristön haavoittuvuuteen tulisi kiinnittää erityistä huomiota.
Yritysturvallisuuden tilannekuva - Keskusrikospoliisi syksy 2010 Europol on järjestäytyneen rikollisuuden uhka-arviossaan korostanut, että rikolliset etenevät laillista liiketoimintaa hyödyntämällä ja erityisesti talous- ja petosrikollisuutta harjoittamalla osaksi yhteiskunnan laillisia rakenteita ja toimintoja (harmaa talous). Uusimman työolobarometrikyselyn mukaan työssä koetun väkivallan määrä näyttäisi lievästi lisääntyneen vuodesta 2008. Tyypillisintä henkilökuntaan kohdistunutta rikollisuutta oli väkivallalla uhkaaminen, jota raportoitiin useimmin palvelualoilla ja yksintyöskentelyn yhteydessä.
Tietoturvallisuudesta huolehtiminen on entistä haastavampaa http://www.cert.fi/haavoittuvuudet/2011.html
Mitä tällainen ohjelmistossa oleva haavoittuvuus voi aiheuttaa?
Mitä haavoittuvuudet mahdollistavat? http://www.itviikko.fi/tietoturva/2011/03/07/yl i-150-ministerion-tietokoneesta-loytyivakoiluohjelma/20113232/7
Tämän takia tietoturvallisuus on MEIDÄN kaikkien yhteinen asia!
http://www.itviikko.fi/uutiset/2011/03/08/tietomurto-maksaa-7-miljoonaadollaria/20113312/7
Pankkihuijauksista siirrytään sähköiseen kaupankäyntiin http://www.cert.fi/tietoturvanyt.html
Miten Suomessa näihin asioihin varaudutaan?
Miten valtionhallinto varautuu Uusi tietohallintolaki parhaillaan eduskuntakäsittelyssä Asetus tietoturvallisuudesta valtionhallinnossa 1.10.2010 Ohje tietoturvallisuusasetuksen täytäntöönpanosta Vahti 2/2010 Vahtiohjeet www.vahtiohje.fi
Mutta ei unohdeta helppokäyttöisyyttä!
Case WikiLeaks
Miten tällainen on mahdollista? Käyttövaltuuksien hallinta (ja oikeudet) mahdollistaa tietyissä tehtävissä olevien henkilöiden pääsyn, tässä tapauksessa Bradley Manningin pääsyn valtionhallinnon kannalta kriittiseen solmupisteeseen: - Manning had been assigned in October 2009 to a support battalion with the 2nd Brigade Combat Team, 10th Mountain Division, based at Forward Operating Base Hammer, Iraq. There he had access to the Secret Internet Protocol Router Network (SIPRNet), used by the United States government to transmit classified information. He was arrested after Adrian Lamo, an American computer hacker, reported to the FBI that Manning had told him during online chats in May 2010 that he had downloaded material from SIPRNet and passed it to WikiLeaks, which had begun publishing it in February. [3] Manningin sijoituspaikka on ollut Baghdad, josta hän on päässyt kiinni kriittiseen tietoverkkoon lähes rajoituksetta.
Miten tällainen olisi estettävissä? Vaaralliset työyhdistelmät tunnistettava tarkemmin? Henkilöstön motivointi Tekniset järjestelyt niin tiukkaa tietoturvallisuutta on hankala toteuttaa, ettei sellaista voitaisi jollakin keinolla kiertää Esimerkiksi organisaatioissa käytössä olevat DLPratkaisut (Data Loss Prevention) järjestelmät on suunnattu yleensä internet-verkon suuntaan kulkevalle sähköposti (smtp) ja http-liikenteelle - Tosin saattaa edesauttaa yksittäisten salassa pidettävien tietoaineistojen vuotamisen
Olisiko tällainen mahdollista Suomessa? Periaatteessa kyllä. Tosin kaikki tällaiseen liittyvä toiminta on luonnollisesti laitonta. - Yksittäisen organisaation osalta tietovuoto on mahdollista kohtalaisen helposti, jos ajatellaan vaikkapa organisaation sähköpostijärjestelmien pääkäyttäjiä. - Tässä tapauksessa vastaavanlainen rooli kuin Manningilla on esimerkiksi tietoliikenneoperaattoreiden solmupisteissä toimivilla sellaisilla henkilöillä, joilla on pääsy solmun kautta toimivaan verkkoliikenteeseen. On se sitten asiakas tai operaattorin koko verkkoliikenne - Tosin valtionhallinnossa salassa pidettävää tietoa ei saa lähettää ilman salausta, ellei ympäristö täytä muuten tiettyjä perus-, korotetun tai korkean tietoturvatason määrityksiä.