Mika Laaksonen

Tietoriskien hallinnan uusi
aikakausi, vaatimukset ja
ohjaavat tekijät –
mitä odottaa jatkossa?
Mika Laaksonen
CISSP, CISA, CISM, CGEIT
7.3.2013
10:00 – 10:30
Puhujan esittely – Mika Laaksonen
Partner, KPMG advisory services
Toimitusjohtaja, KPMG IT Sertifiointi Oy
Koulutus
•
DI, Tampereen teknillinen korkeakoulu (2000)
•
CISA (2003), CISSP (2003), CISM (2004), CGEIT (2008), CRISC (2010)
Kokemus
•
Mikalla on 13 vuoden kokemus erilaisista tietoturvaan, tietohallinnon kehittämiseen ja
jatkuvuussuunnitteluun liittyvistä tehtävistä. Ennen siirtymistään KPMG:lle Mika toimi useita vuosia
tietoturvatehtävissä Soneralla.
•
Mikalla on KPMG:n toimeksiantojen kautta laajaa kokemusta julkishallinnon ja yrityskentän
tietoturvallisuuden kehittämisestä, tietoturvallisuuden hallintamalleista sekä tietoturvaauditoinneista. Toimeksiannoissaan Mika on ollut mukana auditoimassa kaikkia suurimpia
käyttöpalvelujen toimittajia Suomessa, joten hänellä on erittäin hyvä tuntemus käytännöistä eri
toimittajilla.
•
Mikan toimeksiannot ovat kattaneet mm. ministeriöiden, virastojen, rahoitusalan, metsäalan,
paperialan, telealan, konealan, IT-alan, logistiikka-alan ja palvelualan monikansallisia yrityksiä.
•
Mika toimi vuosina 2008-2009 tietoturva-asiantuntijana ICT-varautumisen ja tietoturvatasojen
kehittämis- ja pilotointihankkeissa. Lisäksi Mika on osallistunut muun muassa Vahti-ohjeiden ja
muiden julkaisuiden laatimiseen.
•
Mika on kirjoittanut seuraavat kirjat ja osallistunut monien VAHTI-ohjeiden kirjoittamiseen:
•
Liiketoiminnan Jatkuvuussuunnittelu ja ICT-varautuminen 2009 ISBN: 978-951-885-307-0
•
Yrityksen tietoturvakäsikirja - ohjeistus, toteutus ja lainsäädäntö 2006 ISBN 951-37-4701-8
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
1
KPMG lyhyesti
Globaalisti
Liikevaihto USD 22,7 mrd (2011)
KPMG on maailmanlaajuinen
asiantuntijapalveluita tarjoavien
jäsenyritysten verkosto.
Liikevaihto Advisory USD 7,5 mrd (2011)
Toimipisteet 152 maassa
Asiantuntijoita 145 000
Tehtävämme on siirtää
osaamisemme arvoksi ja
hyödyksi asiakkaillemme,
henkilöstöllemme
ja ympäröivälle yhteiskunnalle.
Suomessa
Liikevaihto 87,2 Meur (9/2011)
Liikevaihto Advisory 28,6 Meur
Toimipisteet 16 paikkakunnalla
Asiantuntijoita 795
Agenda
Tietoriskien hallinnan uusi aikakausi, vaatimukset
ja ohjaavat tekijät – mitä odottaa jatkossa ?
– Tietovuodot – Mitä on tapahtunut ja julkaistu
viimeaikoina?
– Mitä tehdä ja mitä odottaa?
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
3
Miksi?
Tietovuodot – Mitä on
tapahtunut ja julkaistu
viimeaikoina?
Mandiant APT1 Report - Exposing One of China’s Cyber Espionage Units
Yhdysvaltalainen tietoturva-alan yritys Mandiant julkaisi 18.2.2013 paljon
mediahuomiota saaneen raportin suuresta ja organisoidusta tietomurroista.
Todistetaan että APT (Advanced Persistent Threat)-tyyliset hyökkäykset ovat
ihan oikeasti olemassa ja että niitä tehdään isolla mittakaavalla.
Poimittuja faktoja hyökkäyksistä
■
Suurin osa hyökkäyksistä kohdistui englantia puhuviin maihin.
■
Yhteyksiä kohteisiin pystyttiin ylläpitämään keskimäärin vuoden verran.
■
Kohteista vietiin suuria määriä informaatiota.
■
80% kohteista sijaitsi Yhdysvalloissa, yksi kohde sijaitsi Norjassa.
■
Hyökkäykset kohdistuivat useisiin eri yritysaloihin tässä suurimmat kohteet:
–
IT, avaruusteknologia, julkishallinto, tietoliikenne, tutkimus ja tiede sekä
energia.
Mandiant 2013
Raportin mukaan hyökkääjät varastivat hyvin suuria määriä dataa. Hyökkääjät
saivat todennäköisesti haltuunsa satoja teratavuja informaatiota. Tämän
datamäärän säilyttäminen ja analysointi vaatii runsaasti resursseja.
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
http://www.hackingthroughcomplexity.fi/2013/02/elamme-suurientietoturvahyokkaysten.html
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
5
F-Secure Threat Report H2 2012
Ensimmäistä kertaa Webistä/selaimesta/plugineista saadut
haittaohjelmat olivat F-Securen näkökulmasta yleisin
ongelma, yleisempi kuin meilistä saadut tai mitkään muut
4-5 haavoittuvuutta olivat syynä valtaosaan tartunnoista.
Useampi näistä oli Javan ongelmia.
Yksi ”rikollisjärjestö” ja sen 2 haittaohjelmaa eli
Blackhole Exploit Kit ja Cool Exploit Kit olivat vastuussa
leijonanosasta kaikkia ongelmia
http://www.fsecure.com/static/doc/labs_global/Research/Threat_Report_H2_2012.pdf
F-Secure 2012
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
6
Tietovuotojen syyt - Datalossdb
Iso osa tietovuodoista ei johdu tahallisesta toiminnasta, vaan
huolimattomuudesta. Dataloss tietokannan mukaan random-ajanhetken
tuoreimmat tietovuodot johtuivat seuraavista syistä:
■
Dokumenttien väärä hävitystapa
■
Tietojen katoaminen postilähetyksen aikana
■
Dokumenttien väärä hävitystapa – heitettiin roskikseen
■
Tietojen lähettäminen postilla väärään osoitteeseen
■
Palvelimen hakkerointi
■
Työaseman virustartunta
■
Tietojen katoaminen varastetun (ei salatun) kannettavan mukana
Tietovuotojen estäminen on tehokkainta puuttumalla kaikkein yleisimpiin tietojen katoamistapoihin
■
■
Työntekijöillä tulee olla hyvä ohjeistus siihen, miten tietoja tulee suojata ja käsitellä. Esimerkiksi:
–
Tulostaminen
–
Tuhoaminen
–
Arkistointi
–
Lähettäminen (sposti/fyysinen posti)
Lisäksi työntekijöille tulee tarjota sellaiset työvälineet, joiden avulla he voivat helposti noudattaa annettua ohjeistusta:
–
Salatut kiintolevyt
–
Sähköpostin salausratkaisut
–
Turvalliset kopiokoneet
–
Tietojentuhoamisen välineet, kuten silppurit
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
7
Ei koske meitä
Kyllä tietovuotoja tapahtuu myös Suomessa:
■ 2012 joulukuu: Tietovuoto Lapin keskussairaalassa - 13 ihmisen potilastietoja lähetettiin
sivullisille (http://www.iltasanomat.fi/kotimaa/art-1288525708147.html)
■ 2011 marraskuu: Suomen suurimman henkilötietovuodon uhriksi joutui julkkiksia, poliitikkoja ja
huippu-urheilijoita. (http://www.iltalehti.fi/digi/2011110714709079_du.shtml)
■ 2011 helmikuu: Kymmenittäin verinäytteitä päätyi tunnistetietojen kanssa kaatopaikalle Lapissa.
Putkista kävi ilmi potilaiden nimet ja HETU-tieodot (Pohjolan sanomat 24.2.2011)
■ 2010 syyskuu: Yle: KRP tutkii Väestörekisterikeskuksen kumppanin toimia
■ 2010 elokuu: Tietosuojavaltuutettu tutkii TE-keskuksen vuotoa. Toimistolta lähti noin 1 000
henkilöllle sähköpostiviesti, jonka liitteenä oli yli 2 000 TE-toimiston asiakkaan tietoja.
■ 2010 toukokuu: Henkilötietoja roskalavalla: Ohikulkija löysi Lahtelaisen ravintolan edessä
olevalta roskalavalta ravintolan seitsemäätoista työntekijää koskevia henkilötietoja (nimi, sotu,
pankkitilitiedot)
■ 2010 maaliskuu: Helsingin poliisin tutkintamateriaalia löytyi roskalavalta. Pihassa olleesta
roskalavasta on löytynyt iso joukko muun muassa rikosteknisiin tutkimuksiin liittyvää
materiaalia, kuten hätäpuhelunauhoja ja kuulustelunauhoja.
■ 2010 maaliskuu: Tietokone: Vaihda heti salasanasi − iso tietovuoto netissä Suomessa
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
8
Miksi murehtia?
Suorat kustannukset
■
Monissa verkkopalveluissa on erilaisia maksutapoja, mukaan lukien
luottokorttimaksut. Mikäli luottokorttitietoja vuotaa, kustannukset ovat
korkeat ja lankeavat helposti palvelun pitäjän maksettavaksi, mikäli tietoja ei
ole vaatimusten mukaisesti suojattu.
■
Yrityssalaisuuksien vuotaminen
■
Sanktiot, johtuen sopimuksista tai tulevaisuudessa mahdollisesti myös EU:n
tietosuoja-asetuksesta (max 2 % globaalista liikevaihdosta)
Epäsuorat kustannukset
■
Asiakkaiden menetykset epäluottamuksen johdosta
■
Tietoturvaloukkausten tutkinta- ja korjauskustannukset
■
Negatiivinen julkisuus
Ponemon Instituutin tutkimuksen mukaan keskimääräinen
organisaatiokohtainen kustannus tietomurrosta oli vuonna 2010 7,2
miljoonaa dollaria ja kustannus vuotanutta tietuetta kohden oli 214 dollaria
PWC:n tutkimuksen mukaan kustannus 2012 oli (Britanniassa)
(http://www.pwc.co.uk/en_UK/uk/assets/pdf/olpapp/uk-information-security-breaches-survey-technical-report.pdf)
■
£15k - £30k Pienillä yrityksillä
■
£110k - £250k Isoilla yrityksillä keskimäärin
■
Miljardeja kansakunnan tasolla
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
KPMG 2010
9
Miksi murehtia? – Onko sinun organisaatioon murtauduttu? Mistä tiedät?
Onko sinun organisaatioon murtauduttu?
Mistä tiedät?
Voitko vastata kyllä kaikkiin seuraaviin
kysymyksiin?:
■
■
■
■
■
■
Kaikki käyttöjärjestelmät ja etenkin
sovellukset on aina päivitetty?
Missään ei ole 0-päivä haavoittuvuuksia?
Kukaan ei koskaan klikkaa mitään linkkejä?
Kukaan ei koskaan vieraile millään wwwsivuilla?
Kaikki ulos(kin) lähtevä liikenne
analysoidaan?
Kyky havaita kaikki epäilyttävä on aukoton?
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
10
Mitä tehdä ja
odottaa?
Tieto-omaisuuden tunnistaminen – kaiken perusta
Kaiken tulee lähteä siitä, että tiedetään, mitä suojattavaa tietoa
organisaatiossa on ja mitä yritetään suojella
(luottamuksellisuutta, eheyttä vai saatavuutta)
• Mitä tietoa tulee, mitä sitä käsitellään, mihin se lähtee, mitä tietoja
tallennetaan jne…
• Tulee muistaa huomioida kaikki tiedon elinkaaren vaiheet.
Koska tiedon suojaaminen maksaa ja aiheuttaa toimenpiteitä,
niin turhaa tietoa ei kannata (ja henkilötietojen osalta ei
myöskään saa) kerätä.
• Et voi vuotaa niitä tietoja, joita sinulla ei ole
Lopputuloksena on yleensä jonkinlainen luokittelu, esimerkiksi
tietojen turvaluokittelu tai järjestelmien tärkeysluokittelu
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
12
Mitä odottaa? – Lisää hyökkäyksiä
Hyökkäykset eivät tule loppumaan ja niiltä suojautuminen käy aina
vaikeammaksi. Etenkin, jos hyökkäys on kohdistettu.
Oleelliseksi tulee havainnointi ja reagointikyky
Epäilyttävä toiminta tulee havaita, jos sitä ei voi estää
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
13
Mitä odottaa? – Lisää sääntelyä
Vaikka organisaatiot eivät itse älyäisi ryhtyä toimiin, viranomaiset pakottavat. Esimerkki: EU:n
tuleva tietosuoja-asetus
1. Asetus koskee kaikkia rekisterinpitäjiä koko EU:n alueella. Toimivaltakiistoja eri jäsenvaltioiden tietosuojaviranomaisten välillä pyritään
välttämään määräämällä toimivaltaiseksi sen maan viranomainen, jossa rekisterinpitäjällä on pääasiallinen toimipaikka.
2. Säännökset koskevat jatkossa tietyin edellytyksin myös EU:n ulkopuolisia rekisterinpitäjiä, jotka käsittelevät EU-kansalaisten
henkilötietoja ja/tai suorittavat EU-asiakkaiden profilointia esim. evästeiden avulla.
3. Paikkatiedot, IP-osoitteet ja evästeet määritellään kuuluvaksi asetuksen piiriin.
4.
Kaikkien rekisterinpitäjien, joiden henkilöstön määrä on yli 250, tulee nimittää riippumaton tietosuojavastaava
5. Rekisterinpitäjien tulee noudattaa nk. tilivelvollisuuden periaatetta, mikä tarkoittaa käytännössä sitä, että rekisterinpitäjän tulee
tarvittaessa osoittaa toimivansa aktiivisesti yksityisyyden suojaa ja rekisteröityjen oikeuksia edistävällä tavalla.
6. Rekisterinpitäjän tulee suorittaa vaikuttavuusarviointi, mikäli se suunnittelee ottavansa käyttöön uutta tekniikkaa tai henkilötietojen
käsittelyn muotoja, joissa voidaan katsoa piilevän erityinen riski rekisteröityjen yksityisyyden suojalle.
7. Henkilötietojen tietovuodoista tulee jatkossa aina informoida tietosuojaviranomaisia, ja mikäli tietovuodosta aiheutuu riskiä myös
rekisteröityjen yksityisyyden suojalle, tulee myös heitä informoida ja ohjeistaa vahinkojen minimoimiseksi.
8. Henkilötietojen siirtoa EU:n ulkopuolelle koskeviin säännöksiin kaavaillaan muutoksia, joiden tarkoitus on tuoda selkeyttä ja
yksinkertaistaa tietojen siirtoja.
9. Vastuita tullaan selkeyttämään tilanteissa, joissa rekisterillä on monta rekisterinpitäjää, tai joissa alihankkija suorittaa henkilötietojen
käsittelyä rekisterinpitäjän lukuun.
10. ’Privacy by design’ ja ’Privacy by default
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
14
Miten suojautua?
Yksi näkemys:
• Ei ole mitään järkeä suojautua ”yleisesti”, koska vasta kunnon tilannekuvan muodostaminen auttaa
näkemään, mihin suojautumisen effortti pitää kohdistaa
Toinen näkemys:
• Tee edes ne perusasiat
Millaisia testauksia ja suojauksia voi tehdä? – yksi esimerkki
• KPMG tietoturvatarkastuksissa lähetämme kohdennettuja hyökkäyssähköposteja (spearfishing).
Toimitamme asiakkaalle raportissa statistiikkaa hyökkäyksen onnistumisesta. Kyseisellä testauksella
testaamme useita asioita:
• Klikkaavatko vastaanottajat tökerösti tehtyjen sähköpostiviestien linkkejä? (kyllä klikkaavat)
• Onko päätelaitteissa sellaisia haavoittuvuuksia, joita on mahdollista käyttää hyväksi jos/kun käyttäjä klikkaa
linkkiä? (yleensä on)
• Estääkö työaseman/verkon suojaus (virustorjunta, IPS, proxy, palomuuri tms.) työasemasta ulospäin
avautuvat yhteyden muodostamisen? (noin puolessa tapauksissa estää ja puolessa ei estä)
• Kyseisellä testauksella voidaan osoittaa, että useimpiin organisaatioihin voi helposti murtautua ja että
verkon palomuurit ja virustorjunnat eivät yleensä estä tätä. Kyseisen testauksen avulla havaitaan useimmat
ongelmat, joita Mandiantin raportinkin mukaan oli käytetty ja on mahdollista parantaa suojauksia niin, että
suuri osa hyökkäyksistä ei olisi onnistunut
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
15
Mihin panostaa?
Suojattavan tiedon tunnistamiseen ja sen
suojaamiseen koko elinkaaren ajan – Ei voi enää
lähteä siitä, että ympäristön voi suojata.
Havainnointikykyyn – Aukoton suojaus on
mahdotonta, pitää panostaa siihen, että havaitaan eitoivotut asiat (SIEM, Lokien hallinta, IDS yms…)
Reagointikykyyn - Kun on havaittu jotain ei-toivottua,
pitää reagoida oikein ja nopeasti (Incident response
management)
Turvallisten sovellusten tekemiseen / hankkimiseen –
Tätä perusasiaa ei osata vieläkään (lue Vahti 1/2013
Sovelluskehityksen tietoturvaohje)
Sääntelyn seurantaan – Älä jää sääntelyn yllättämäksi,
sitä on tulossa!
© 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
16
Kiitos
Mika Laaksonen
© 2013 KPMG Oy Ab, a Finnish limited liability
company and a member firm of the KPMG network of
independent member firms affiliated with KPMG
International Cooperative (“KPMG International”), a
Swiss entity. All rights reserved.
The KPMG name, logo and “cutting through
complexity” are registered trademarks or trademarks
of KPMG International.