Tietoriskien hallinnan uusi aikakausi, vaatimukset ja ohjaavat tekijät – mitä odottaa jatkossa? Mika Laaksonen CISSP, CISA, CISM, CGEIT 7.3.2013 10:00 – 10:30 Puhujan esittely – Mika Laaksonen Partner, KPMG advisory services Toimitusjohtaja, KPMG IT Sertifiointi Oy Koulutus • DI, Tampereen teknillinen korkeakoulu (2000) • CISA (2003), CISSP (2003), CISM (2004), CGEIT (2008), CRISC (2010) Kokemus • Mikalla on 13 vuoden kokemus erilaisista tietoturvaan, tietohallinnon kehittämiseen ja jatkuvuussuunnitteluun liittyvistä tehtävistä. Ennen siirtymistään KPMG:lle Mika toimi useita vuosia tietoturvatehtävissä Soneralla. • Mikalla on KPMG:n toimeksiantojen kautta laajaa kokemusta julkishallinnon ja yrityskentän tietoturvallisuuden kehittämisestä, tietoturvallisuuden hallintamalleista sekä tietoturvaauditoinneista. Toimeksiannoissaan Mika on ollut mukana auditoimassa kaikkia suurimpia käyttöpalvelujen toimittajia Suomessa, joten hänellä on erittäin hyvä tuntemus käytännöistä eri toimittajilla. • Mikan toimeksiannot ovat kattaneet mm. ministeriöiden, virastojen, rahoitusalan, metsäalan, paperialan, telealan, konealan, IT-alan, logistiikka-alan ja palvelualan monikansallisia yrityksiä. • Mika toimi vuosina 2008-2009 tietoturva-asiantuntijana ICT-varautumisen ja tietoturvatasojen kehittämis- ja pilotointihankkeissa. Lisäksi Mika on osallistunut muun muassa Vahti-ohjeiden ja muiden julkaisuiden laatimiseen. • Mika on kirjoittanut seuraavat kirjat ja osallistunut monien VAHTI-ohjeiden kirjoittamiseen: • Liiketoiminnan Jatkuvuussuunnittelu ja ICT-varautuminen 2009 ISBN: 978-951-885-307-0 • Yrityksen tietoturvakäsikirja - ohjeistus, toteutus ja lainsäädäntö 2006 ISBN 951-37-4701-8 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 1 KPMG lyhyesti Globaalisti Liikevaihto USD 22,7 mrd (2011) KPMG on maailmanlaajuinen asiantuntijapalveluita tarjoavien jäsenyritysten verkosto. Liikevaihto Advisory USD 7,5 mrd (2011) Toimipisteet 152 maassa Asiantuntijoita 145 000 Tehtävämme on siirtää osaamisemme arvoksi ja hyödyksi asiakkaillemme, henkilöstöllemme ja ympäröivälle yhteiskunnalle. Suomessa Liikevaihto 87,2 Meur (9/2011) Liikevaihto Advisory 28,6 Meur Toimipisteet 16 paikkakunnalla Asiantuntijoita 795 Agenda Tietoriskien hallinnan uusi aikakausi, vaatimukset ja ohjaavat tekijät – mitä odottaa jatkossa ? – Tietovuodot – Mitä on tapahtunut ja julkaistu viimeaikoina? – Mitä tehdä ja mitä odottaa? © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 3 Miksi? Tietovuodot – Mitä on tapahtunut ja julkaistu viimeaikoina? Mandiant APT1 Report - Exposing One of China’s Cyber Espionage Units Yhdysvaltalainen tietoturva-alan yritys Mandiant julkaisi 18.2.2013 paljon mediahuomiota saaneen raportin suuresta ja organisoidusta tietomurroista. Todistetaan että APT (Advanced Persistent Threat)-tyyliset hyökkäykset ovat ihan oikeasti olemassa ja että niitä tehdään isolla mittakaavalla. Poimittuja faktoja hyökkäyksistä ■ Suurin osa hyökkäyksistä kohdistui englantia puhuviin maihin. ■ Yhteyksiä kohteisiin pystyttiin ylläpitämään keskimäärin vuoden verran. ■ Kohteista vietiin suuria määriä informaatiota. ■ 80% kohteista sijaitsi Yhdysvalloissa, yksi kohde sijaitsi Norjassa. ■ Hyökkäykset kohdistuivat useisiin eri yritysaloihin tässä suurimmat kohteet: – IT, avaruusteknologia, julkishallinto, tietoliikenne, tutkimus ja tiede sekä energia. Mandiant 2013 Raportin mukaan hyökkääjät varastivat hyvin suuria määriä dataa. Hyökkääjät saivat todennäköisesti haltuunsa satoja teratavuja informaatiota. Tämän datamäärän säilyttäminen ja analysointi vaatii runsaasti resursseja. http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf http://www.hackingthroughcomplexity.fi/2013/02/elamme-suurientietoturvahyokkaysten.html © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 5 F-Secure Threat Report H2 2012 Ensimmäistä kertaa Webistä/selaimesta/plugineista saadut haittaohjelmat olivat F-Securen näkökulmasta yleisin ongelma, yleisempi kuin meilistä saadut tai mitkään muut 4-5 haavoittuvuutta olivat syynä valtaosaan tartunnoista. Useampi näistä oli Javan ongelmia. Yksi ”rikollisjärjestö” ja sen 2 haittaohjelmaa eli Blackhole Exploit Kit ja Cool Exploit Kit olivat vastuussa leijonanosasta kaikkia ongelmia http://www.fsecure.com/static/doc/labs_global/Research/Threat_Report_H2_2012.pdf F-Secure 2012 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 6 Tietovuotojen syyt - Datalossdb Iso osa tietovuodoista ei johdu tahallisesta toiminnasta, vaan huolimattomuudesta. Dataloss tietokannan mukaan random-ajanhetken tuoreimmat tietovuodot johtuivat seuraavista syistä: ■ Dokumenttien väärä hävitystapa ■ Tietojen katoaminen postilähetyksen aikana ■ Dokumenttien väärä hävitystapa – heitettiin roskikseen ■ Tietojen lähettäminen postilla väärään osoitteeseen ■ Palvelimen hakkerointi ■ Työaseman virustartunta ■ Tietojen katoaminen varastetun (ei salatun) kannettavan mukana Tietovuotojen estäminen on tehokkainta puuttumalla kaikkein yleisimpiin tietojen katoamistapoihin ■ ■ Työntekijöillä tulee olla hyvä ohjeistus siihen, miten tietoja tulee suojata ja käsitellä. Esimerkiksi: – Tulostaminen – Tuhoaminen – Arkistointi – Lähettäminen (sposti/fyysinen posti) Lisäksi työntekijöille tulee tarjota sellaiset työvälineet, joiden avulla he voivat helposti noudattaa annettua ohjeistusta: – Salatut kiintolevyt – Sähköpostin salausratkaisut – Turvalliset kopiokoneet – Tietojentuhoamisen välineet, kuten silppurit © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 7 Ei koske meitä Kyllä tietovuotoja tapahtuu myös Suomessa: ■ 2012 joulukuu: Tietovuoto Lapin keskussairaalassa - 13 ihmisen potilastietoja lähetettiin sivullisille (http://www.iltasanomat.fi/kotimaa/art-1288525708147.html) ■ 2011 marraskuu: Suomen suurimman henkilötietovuodon uhriksi joutui julkkiksia, poliitikkoja ja huippu-urheilijoita. (http://www.iltalehti.fi/digi/2011110714709079_du.shtml) ■ 2011 helmikuu: Kymmenittäin verinäytteitä päätyi tunnistetietojen kanssa kaatopaikalle Lapissa. Putkista kävi ilmi potilaiden nimet ja HETU-tieodot (Pohjolan sanomat 24.2.2011) ■ 2010 syyskuu: Yle: KRP tutkii Väestörekisterikeskuksen kumppanin toimia ■ 2010 elokuu: Tietosuojavaltuutettu tutkii TE-keskuksen vuotoa. Toimistolta lähti noin 1 000 henkilöllle sähköpostiviesti, jonka liitteenä oli yli 2 000 TE-toimiston asiakkaan tietoja. ■ 2010 toukokuu: Henkilötietoja roskalavalla: Ohikulkija löysi Lahtelaisen ravintolan edessä olevalta roskalavalta ravintolan seitsemäätoista työntekijää koskevia henkilötietoja (nimi, sotu, pankkitilitiedot) ■ 2010 maaliskuu: Helsingin poliisin tutkintamateriaalia löytyi roskalavalta. Pihassa olleesta roskalavasta on löytynyt iso joukko muun muassa rikosteknisiin tutkimuksiin liittyvää materiaalia, kuten hätäpuhelunauhoja ja kuulustelunauhoja. ■ 2010 maaliskuu: Tietokone: Vaihda heti salasanasi − iso tietovuoto netissä Suomessa © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 8 Miksi murehtia? Suorat kustannukset ■ Monissa verkkopalveluissa on erilaisia maksutapoja, mukaan lukien luottokorttimaksut. Mikäli luottokorttitietoja vuotaa, kustannukset ovat korkeat ja lankeavat helposti palvelun pitäjän maksettavaksi, mikäli tietoja ei ole vaatimusten mukaisesti suojattu. ■ Yrityssalaisuuksien vuotaminen ■ Sanktiot, johtuen sopimuksista tai tulevaisuudessa mahdollisesti myös EU:n tietosuoja-asetuksesta (max 2 % globaalista liikevaihdosta) Epäsuorat kustannukset ■ Asiakkaiden menetykset epäluottamuksen johdosta ■ Tietoturvaloukkausten tutkinta- ja korjauskustannukset ■ Negatiivinen julkisuus Ponemon Instituutin tutkimuksen mukaan keskimääräinen organisaatiokohtainen kustannus tietomurrosta oli vuonna 2010 7,2 miljoonaa dollaria ja kustannus vuotanutta tietuetta kohden oli 214 dollaria PWC:n tutkimuksen mukaan kustannus 2012 oli (Britanniassa) (http://www.pwc.co.uk/en_UK/uk/assets/pdf/olpapp/uk-information-security-breaches-survey-technical-report.pdf) ■ £15k - £30k Pienillä yrityksillä ■ £110k - £250k Isoilla yrityksillä keskimäärin ■ Miljardeja kansakunnan tasolla © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. KPMG 2010 9 Miksi murehtia? – Onko sinun organisaatioon murtauduttu? Mistä tiedät? Onko sinun organisaatioon murtauduttu? Mistä tiedät? Voitko vastata kyllä kaikkiin seuraaviin kysymyksiin?: ■ ■ ■ ■ ■ ■ Kaikki käyttöjärjestelmät ja etenkin sovellukset on aina päivitetty? Missään ei ole 0-päivä haavoittuvuuksia? Kukaan ei koskaan klikkaa mitään linkkejä? Kukaan ei koskaan vieraile millään wwwsivuilla? Kaikki ulos(kin) lähtevä liikenne analysoidaan? Kyky havaita kaikki epäilyttävä on aukoton? © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 10 Mitä tehdä ja odottaa? Tieto-omaisuuden tunnistaminen – kaiken perusta Kaiken tulee lähteä siitä, että tiedetään, mitä suojattavaa tietoa organisaatiossa on ja mitä yritetään suojella (luottamuksellisuutta, eheyttä vai saatavuutta) • Mitä tietoa tulee, mitä sitä käsitellään, mihin se lähtee, mitä tietoja tallennetaan jne… • Tulee muistaa huomioida kaikki tiedon elinkaaren vaiheet. Koska tiedon suojaaminen maksaa ja aiheuttaa toimenpiteitä, niin turhaa tietoa ei kannata (ja henkilötietojen osalta ei myöskään saa) kerätä. • Et voi vuotaa niitä tietoja, joita sinulla ei ole Lopputuloksena on yleensä jonkinlainen luokittelu, esimerkiksi tietojen turvaluokittelu tai järjestelmien tärkeysluokittelu © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 12 Mitä odottaa? – Lisää hyökkäyksiä Hyökkäykset eivät tule loppumaan ja niiltä suojautuminen käy aina vaikeammaksi. Etenkin, jos hyökkäys on kohdistettu. Oleelliseksi tulee havainnointi ja reagointikyky Epäilyttävä toiminta tulee havaita, jos sitä ei voi estää © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 13 Mitä odottaa? – Lisää sääntelyä Vaikka organisaatiot eivät itse älyäisi ryhtyä toimiin, viranomaiset pakottavat. Esimerkki: EU:n tuleva tietosuoja-asetus 1. Asetus koskee kaikkia rekisterinpitäjiä koko EU:n alueella. Toimivaltakiistoja eri jäsenvaltioiden tietosuojaviranomaisten välillä pyritään välttämään määräämällä toimivaltaiseksi sen maan viranomainen, jossa rekisterinpitäjällä on pääasiallinen toimipaikka. 2. Säännökset koskevat jatkossa tietyin edellytyksin myös EU:n ulkopuolisia rekisterinpitäjiä, jotka käsittelevät EU-kansalaisten henkilötietoja ja/tai suorittavat EU-asiakkaiden profilointia esim. evästeiden avulla. 3. Paikkatiedot, IP-osoitteet ja evästeet määritellään kuuluvaksi asetuksen piiriin. 4. Kaikkien rekisterinpitäjien, joiden henkilöstön määrä on yli 250, tulee nimittää riippumaton tietosuojavastaava 5. Rekisterinpitäjien tulee noudattaa nk. tilivelvollisuuden periaatetta, mikä tarkoittaa käytännössä sitä, että rekisterinpitäjän tulee tarvittaessa osoittaa toimivansa aktiivisesti yksityisyyden suojaa ja rekisteröityjen oikeuksia edistävällä tavalla. 6. Rekisterinpitäjän tulee suorittaa vaikuttavuusarviointi, mikäli se suunnittelee ottavansa käyttöön uutta tekniikkaa tai henkilötietojen käsittelyn muotoja, joissa voidaan katsoa piilevän erityinen riski rekisteröityjen yksityisyyden suojalle. 7. Henkilötietojen tietovuodoista tulee jatkossa aina informoida tietosuojaviranomaisia, ja mikäli tietovuodosta aiheutuu riskiä myös rekisteröityjen yksityisyyden suojalle, tulee myös heitä informoida ja ohjeistaa vahinkojen minimoimiseksi. 8. Henkilötietojen siirtoa EU:n ulkopuolelle koskeviin säännöksiin kaavaillaan muutoksia, joiden tarkoitus on tuoda selkeyttä ja yksinkertaistaa tietojen siirtoja. 9. Vastuita tullaan selkeyttämään tilanteissa, joissa rekisterillä on monta rekisterinpitäjää, tai joissa alihankkija suorittaa henkilötietojen käsittelyä rekisterinpitäjän lukuun. 10. ’Privacy by design’ ja ’Privacy by default © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 14 Miten suojautua? Yksi näkemys: • Ei ole mitään järkeä suojautua ”yleisesti”, koska vasta kunnon tilannekuvan muodostaminen auttaa näkemään, mihin suojautumisen effortti pitää kohdistaa Toinen näkemys: • Tee edes ne perusasiat Millaisia testauksia ja suojauksia voi tehdä? – yksi esimerkki • KPMG tietoturvatarkastuksissa lähetämme kohdennettuja hyökkäyssähköposteja (spearfishing). Toimitamme asiakkaalle raportissa statistiikkaa hyökkäyksen onnistumisesta. Kyseisellä testauksella testaamme useita asioita: • Klikkaavatko vastaanottajat tökerösti tehtyjen sähköpostiviestien linkkejä? (kyllä klikkaavat) • Onko päätelaitteissa sellaisia haavoittuvuuksia, joita on mahdollista käyttää hyväksi jos/kun käyttäjä klikkaa linkkiä? (yleensä on) • Estääkö työaseman/verkon suojaus (virustorjunta, IPS, proxy, palomuuri tms.) työasemasta ulospäin avautuvat yhteyden muodostamisen? (noin puolessa tapauksissa estää ja puolessa ei estä) • Kyseisellä testauksella voidaan osoittaa, että useimpiin organisaatioihin voi helposti murtautua ja että verkon palomuurit ja virustorjunnat eivät yleensä estä tätä. Kyseisen testauksen avulla havaitaan useimmat ongelmat, joita Mandiantin raportinkin mukaan oli käytetty ja on mahdollista parantaa suojauksia niin, että suuri osa hyökkäyksistä ei olisi onnistunut © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 15 Mihin panostaa? Suojattavan tiedon tunnistamiseen ja sen suojaamiseen koko elinkaaren ajan – Ei voi enää lähteä siitä, että ympäristön voi suojata. Havainnointikykyyn – Aukoton suojaus on mahdotonta, pitää panostaa siihen, että havaitaan eitoivotut asiat (SIEM, Lokien hallinta, IDS yms…) Reagointikykyyn - Kun on havaittu jotain ei-toivottua, pitää reagoida oikein ja nopeasti (Incident response management) Turvallisten sovellusten tekemiseen / hankkimiseen – Tätä perusasiaa ei osata vieläkään (lue Vahti 1/2013 Sovelluskehityksen tietoturvaohje) Sääntelyn seurantaan – Älä jää sääntelyn yllättämäksi, sitä on tulossa! © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 16 Kiitos Mika Laaksonen © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The KPMG name, logo and “cutting through complexity” are registered trademarks or trademarks of KPMG International.
© Copyright 2024