Kyberturvallisuuden implementointi

Kyberturvallisuuden
implementointi
M ika Laaksonen, KPM G
HanselForum ICTpäivä
26.9.2013
Esityksen sisältö
M itä Kyberturvallisuus on?
Keitä kyberturvallisuus koskettaa?
M itä organisaation tulisi tehdä lyhyellä ja
pitkällä aikajänteellä?
Havaro / verkon valvonta – case esimerkki
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
1
M itä Kyberturvallisuus on?
• Nykyään ihan kaikki on kyberturvallisuutta, termi ei kuitenkaan ole
vakiintunut
• Oma näkemykseni on että Tietoturvallisuus oikein ja riittävän laajasti
ymmärrettynä on lähes sama asia. Oleelliset erot/ tärkeät asiat ovat:
• Tietoturvallisuus keskittyy yleensä yksittäisen organisaation (tiedon) turvaamiseen,
Kyberturvallisuus tähtää laajemman kokonaisuuden – Toimialan tai yhteiskunnan
tietojen ja toiminnan turvaamiseen
• Tietoturvallisuuden voi kohtuullisen hyvin toteuttaa yksin, kyberturvallisuus vaatii
yhteistyötä
• Kyberturvallisuudessa tulee muistaa myös muut, kuin perinteiset IT-järjestelmät
• Yhden ja jälleen vähän suppean näkemyksen mukaan kyberturvallisuus
on teollisuusautomaation turvaamista
• Suomen kyberturvallisuusstrategian mukaan kyberturvallisuudella
tarkoitetaan tavoitetilaa, jossa kybertoimintaympäristöön voidaan
luottaa ja jossa sen toiminta turvataan.
• Kybertoimintaympäristö on sähköisessä muodossa olevan informaation (tiedon)
käsittelyyn tarkoitettu, yhdestä tai useammasta tietojärjestelmästä muodostuva
toimintaympäristö.
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
2
M itä Kyberturvallisuus on? – Strategiset linjaukset
• Kyberturvallisuusstrategian linjaukset tiivistettynä ovat
seuraavat:
1.
Luodaan viranomaisten ja muiden toimijoiden välinen tehokas
yhteistoimintamalli.
2.
Parannetaan tilannetietoisuutta ja tilanneymmärrystä.
3.
Ylläpidetään ja kehitetään kykyä havaita ja torjua elintärkeää toimintoa
vaarantavat kyberuhkat ja -häiriötilanteet sekä toipua niistä osana
elinkeinoelämän jatkuvuuden hallintaa.
4.
Huolehditaan, että poliisilla on tehokkaat edellytykset toimia.
5.
Puolustusvoimat luo kokonaisvaltaisen kyberpuolustuskyvyn
6.
Osallistutaan kyberturvallisuuden kannalta keskeisten kansainvälisten
organisaatioiden ja yhteistyöfoorumeiden toimintaan.
7.
Parannetaan kaikkien yhteiskunnan toimijoiden kyberosaamista ja ymmärrystä.
8.
Lainsäädännöllä varmistetaan tehokkaan kyberturvallisuuden toteuttamisen
edellytykset.
9.
M ääritellään tehtävät ja palvelumallit sekä yhteiset perusteet
kyberturvallisuuden vaatimusten hallinnalle.
Kuva: Suomen kyberturvallisuusstrategia
sivu 3
10. Strategian toimeenpanoa valvotaan ja toteumaa seurataan.
• Varsinaiset toimenpiteet näiden toteuttamiseksi on
määrittelyn alla
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
3
Keitä kyberturvallisuus koskettaa?
• Edelliseltä sivulta voidaan huomata, että Kyberturvallisuus ja
kyberturvallisuusstrategian implementointi koskettaa yhteiskuntaa
hyvin laajalti:
• Poolisi, puolustusvoimat, muut viranomaiset, lainsäätäjät, yritykset,
kansalaiset
• Viimeaikaiset paljastukset ja tietomurrot ovat yksi osoitus siitä, että
asia koskettaa hyvin monia toimijoita
• M andiant APT1 raportti kiinan tiedustelusta
• Edvard Snowden paljastukset NSA:n tiedustelusta
• Kotimaiset uutiset laajoista tietomurroista
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
4
M itä organisaation tulisi tehdä lyhyellä ja pitkällä aikajänteellä?
• Yhteistä viimeaikaisille paljastuksille ja tietomurroille on
ollut ainakin se, että suuri osa kohteista ei ole havainnut
tapahtunutta, vaikka tunkeilija on monessa tapauksessa
ollut järjestelemissä vuosia -> Havainnointi ja siten myös
reagointikyky on ihan riittämätön
• Lyhyellä aikajänteellä pitäisi ainakin:
• Kysyä itseltään kysymys: Tiedänkö minä mitä verkossani ja
järjestelmissäni tapahtuu ja huomaisinko jos niissä tapahtuisi eitoivottua.
• Kun vastaus edelliseen on ” En”, niin parantaa havaitsemis- ja
reagointikykyä
• Liity Havaroon, jos voit. Varmista, että raporttien perusteella
organisaatiossasi tehdään oikeasti tutkintaa mitä on meneillään
Onko tähän edellytykset (osaaminen, lokit, laitteet)
• Hyödynnä IDS, SIEM , verkon valvontaa yms. ratkaisuita ja selvitä
millaista liikennettä verkossa on, mihin sieltä avataan yhteyksiä yms. > Tulokset ovat usein jännittäviä
Kuva: M andiant APT1 report
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
5
M itä organisaation tulisi tehdä lyhyellä ja pitkällä aikajänteellä?
• Pidemmällä aikajänteellä tulisi ainakin:
• Pystyä seuraamaan mitä verkossa ja järjestelmissä tapahtuu
ja pystyä reagoimaan ei-toivottuihin tapahtumiin
• M yöntää, että aika, jolloin uskottiin, että järjestelmien
suojaaminen on mahdollista, on ohi ja varautua siihen, miten
toimitaan, kun havaitaan tietomurto
• Keskittyä myös muiden, kuin perinteisten IT-järjestelmien
suojaamiseen ja tilan seurantaan
• Yhteiskunnan tulisi luoda toimintamalli ja ratkaisut, joiden
avulla yksittäisten organisaatioiden tekemästä tutkinnasta
saataisiin muodostettua uhkien kokonaiskuva, joka olisi
kaikkien käytettävissä
• Havaro ja ” kyberturvakeskus” ovat askelia oikeaan suuntaan
ja luovat edellytyksiä tähän, mutta eivät vielä nykyisellään ole
tarpeeksi
Kuva: M andiant APT1 report
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
6
HAVARO
Case Esimerkki
M ikä HAVARO, ja miten KPM G voi siinä auttaa?
HAVARO on Viestintäviraston ja Huoltovarmuuskeskuksen tietoturvapalvelu
huoltovarmuuskriittisille organisaatioille. Käytännössä palvelu perustuu organisaation
Internet-liikennettä tutkivaan IDS-sensoriin (Intrusion Detection System) joka etsii
liikenteestä haitallista sisältöä.
Internet
Asiakkaan
ympäristö
HAVARO
haittaohjelmahavainto
sensorista
HAVARO
-raportti
Asiakasorganisaatio
KPMG kommunikoi ja tekee yhteistyötä myös
CERT:n kanssa tietoturvapoikkeaman selvityksessä.
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
KPMG:n HAVARO-palvelu:
-Forensiikka
-Lokien keräys ja analysointi
-Tiedonhaku
-Riskianalyysi
-Reverse Engineering
-Kehitysehdotukset
8
HAVARO Case-esimerkki (Huoltovarmuuskriittinen yritys) – M itä teemme?
■ KPM G käy viikoittain läpi asiakkaan kriittiset (punaiset) HAVARO-poikkeamat, ja
merkittävät (keltaiset) poikkeamat kuukausittain.
■ KPM G analysoi ja suhteuttaa riskin asiakkaan ympäristöön ottaen huomioon eri
suojausten toimivuuden.
■ KPM G analysoi tapahtuman vaikutuksia asiakasympäristössä:
– KPM G:llä on suojattu yhteys asiakkaan ympäristöön VPN:n ja hyppypalvelimen kautta (lukuoikeus eri
lokitietoihin)
– KPM G suorittaa asiakkaan operatiivisten järjestelmien lokitutkintaa tapauksen selvittämiseksi
(Palomuuri/IDS, Internet Proxy, CM DB, SCCM , Antivirus, Työaseman/palvelimen lokit)
– KPM G suorittaa tiedonhaun ja analyysin hyökkäyksestä tai haittaohjelmasta (Internet, KPM G-sisäinen
tietoturvayhteisö, ym.)
– Haittaohjelma voidaan suorittaa ja sen toimintaa tutkia myös KPM G:n omassa ” hiekkalaatikko” ympäristössä (Reverse Engineering)
– Työasemalle/palvelimelle tehdään tarvittaessa myös syvempää forensiikkaa (esim. Rootkit-etsintää)
■ Yksityiskohtainen raportti asiakkaalle tapahtumasta ja sen seurauksista, sekä
suositukset jatkotoimenpiteistä.
■ Kehitysehdotuksia ympäristöön liittyen (esim. lokienhallinnan kehittäminen), ja
ehdotus miten vastaavia poikkeamia voidaan jatkossa paremmin torjua (Javan
suodatus Internet-proxyllä, haavoittuvien ohjelmistojen päivitys tms.)
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
9
HAVARO Case-esimerkki (Huoltovarmuuskriittinen yritys) – M iten teemme?
■ Saatuaan HAVARO-raportin KPM G ensin analysoi sen sisällön ja havaintojen
merkityksen KPM G:n toimistolla.
■ Tämän jälkeen otamme yhteyden asiakkaan lokijärjestelmiin ja selvitämme:
– M itä laitteita havainto mahdollisesti on koskettanut
– Onko eri suojauskeinot toimineet ja estäneet ei-toivottavan tapahtuman
– M itä on tapahtunut ja missä järjestyksessä
– Tapahtuman kategorisointi riskin tyypin, laajuuden ja kohteen kriittisyyden perusteella
– Vaatiiko asia toimenpiteitä välittömästi tai pidemmällä ajanjaksolla
■ Jos tapaus vaatii välittömiä toimenpiteitä, olemme yhteydessä asiakkaaseen ja
kerromme mistä on kyse ja mitä pitäisi tehdä.
■ Tarvittaessa autamme asiakasta korjaavissa toimenpiteissä ja/tai menemme
paikanpäälle tekemään syvällisempää analyysiä/muita toimenpiteitä
■ Laadimme asiakkaalle selvityksen asiasta ja annamme suosituksia
suojaustoimenpiteiden kehittämiseksi
– Suojaustoimenpiteiden kehittäminen ei yleensä liity yksittäiseen HAVARO-havaintoon, mutta se voi olla
herätteenä kehitystoimille, jotka jatkossa estävät muitakin ei-toivottuja tapahtumia.
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
10
HAVARO Case-esimerkki (Huoltovarmuuskriittinen yritys) - Hyödyt
■ Asiakas on saanut paremman käsityksen siitä, mitä Havaro-raportin havainnot
tarkoittavat ja on pystynyt suhteuttamaan riskit omaan ympäristöönsä, ottaen
huomioon olemassa olevat suojauskeinot.
– Punainen Havaro-havainto ei ole kriittinen, jos suojaukset torjuvat sen tehokkaasti.
■ Asiakas on pystynyt paremmin perustelemaan tehtyjen tai uusien
tietoturvainvestointien tarpeellisuuden, koska on voitu osoittaa mitkä kontrollit
ovat ehkäisseet ei-toivotun tapahtuman.
– Jos mitkään kontrollit eivät ole ehkäisseet ei-toivottua tapahtumaa, suunnitellaan mahdollisesti uusia
kontrolleja tai kehitetään olemassa olevia.
■ Asiakas on voinut ” nukkua yönsä paremmin” tietäen, että ongelmatilanne ja
sen aiheuttaja on selvitetty.
■ Asiakas on saanut konkreettisia ehdotuksia suojaustoimien parantamiseksi,
jotka on myös toteutettu.
■ Kriittisten (punaisten) Havaro-havaintojen määrä on pudonnut tehtyjen
toimenpiteiden ansiosta.
■ Ympäristöstä on saatu tietoa riittävätkö järjestelmien lokitasot nykyisellään
selvittämään tietoturvapoikkeamia riittävällä tasolla
■ Asiakas on saanut mitattavaa ja raportoitavaa tietoa tietoturvan tilasta. Toimiiko
esimerkiksi päivitystenhallintaprosessi ja noudatetaanko tietoturvapolitiikkaa?
© 2013 KPM G Oy Ab, a Finnish limited liability company and a member firm of the KPM G netw ork of independent member firms affiliated w ith KPM G International Cooperative
(“ KPM G International” ), a Sw iss entity. All rights reserved.
11
Kiitos!
M ika Laaksonen
KPM G Oy Ab