GDPR kauhun kehä

EU:n tietosuoja-asetus (GDPR) on tulossa. Yritysten pitäisi reagoida, jotta toiminta olisi jatkossa vaatimusten mukaista. Mitä pitäisi tehdä? Tekemistä on liikaa! Osaaminen ja tekijät puuttuvat! Aika käy vähiin!

Tervetuloa kauhun kehään!

GDPR kauhun kehä

Kauhun kehästä voi päästä ulos.

Ohessa on muutamia vinkkejä, jotka olen itse kokenut hyödyllisiksi tietosuoja-asetukseen liittyvissä työtehtävissä.

Mitä pitää tehdä? Tutustu aiheeseen.

Muodosta itsellesi käsitys tietosuoja-asetuksen vaatimuksista. Osallistu esimerkiksi johonkin 1h yleiskoulutukseen aiheesta. Tutustu linkkilistaan ”EU:n tietosuoja-asetus: aloita tästä”

Tekemistä on liikaa! Suunnittele.

Yritysjohtaja! Tutustu edellisen kohdan linkkilistaan ja kuuntele, mitä alaisesi kertovat sinulle tietosuoja-asetuksesta. Tee karkea etenemissuunnitelma. Pilko se sitten pienempiin osiin, kun projekti etenee. Tekemistä on paljon, hyväksy se.

Osaaminen ja tekijät puuttuvat! Tee yhteistyötä.

GDPR on koko yrityksen asia. Ei yhden johtajan, ei yhden asiantuntijan, vaan kaikkien. Muodosta GDPR-iskuryhmä. Tietoa ja osaamista löytyy eri puolilta. Yhteistyö on olennaista. Hyödynnä yrityksesi verkostot, oppilaitokset, kaupalliset tahot jne. Mahdollisuuksien mukaan kouluttaudu 1-2 päivän GDPR-koulutuksessa.

Aika käy vähiin! Toteuta ja dokumentoi.

Harvassa ovat ne yritykset, jotka väittävät olevansa 100% valmiita 25.5.2018. Toteuta suunnitelmaasi ja dokumentoi:

  • mitä on jo tehty,
  • mitä on tunnistettu tehtäväksi, ja
  • mitä tehdään seuraavaksi?

Näin voit osoittaa, että tietosuojatyötä on tehty ja työ etenee suunnitelmallisesti.

Kauhun kehä kiertää, kunnes teet ratkaisevan liikkeen:

Aloita GDPR työ

Tutustuin itse GDPR aiheeseen ensimmäisiä kertoja jo yli kaksi vuotta sitten. Mitä enemmän aiheeseen tutustuu, sitä isommalta kokonaisuudelta se vaikuttaa. Kauhun kehän eri osiot ovat raakaa todellisuutta.

Kehästä pääsee ulos tekemällä töitä. Ota yritysjohto mukaan, tee alustavat suunnitelmat kuntoon ja lähde viemään asioita eteenpäin. Aikaa on vähän ja miljoonien eurojen sanktioillakin pelotellaan. Karut faktat on toki hyvä pitää mielessä, mutta asiat eivät etene pelkäämällä. Lue lisää sanktioista esimerkiksi tietosuojavaltuutetun blogista.

Mitä kodin IoT-laitteet opettavat yrityksille tietoturvasta?

Kotitalouksista löytyy erilaisia Internet of Things (IoT) -laitteita, joiden ominaisuuksiin ja toimintaan tutustumalla on mahdollista oppia tietoturvallisuudesta paljon. Oppi on suoraan hyödynnettävissä yritysten tietojärjestelmien ja laitteiden tietoturvallisuuden parantamisessa. Blogiviestin loppuosassa on 4+1 asiaa, jotka kodin IoT-laitteet opettavat yrityksille tietoturvasta. Seuraavaksi kerron, miten päädyin listaamaan juuri nämä asiat.

Tietoturvahavaintoja kodin IoT-laitteista

Loppuvuonna 2016 maailmalla ja Suomessa havaittiin laaja hyökkäysoperaatio IoT-laitteita kohtaan. Mirai-haittaohjelma etsi internetistä laitteita, joiden etähallintasovellus oli avoinna internetiin. Haavoittuvat laitteet oli mahdollista kytkeä osaksi maailmanlaajuista bottiverkkoa, jota hyödynnetään esimerkiksi palvelunestohyökkäyksissä yrityksiä vastaan. (Lähde ja lisätiedot: Kyberturvallisuuskeskus)

Tarkistin omat laitteeni Mirain varalta ja tein samalla kevyen tutkimuksen, jonka kohteeksi päätyi neljä hyllyssä lepäilevää kodin IoT-laitetta. Etsin laitteisiin liittyvää yleistietoa, jota esimerkiksi Mirain kaltaiset haittaohjelmat hyödyntävät. Tarkistin laitteiden avoimet TCP-portit Nmap-työkalulla. Tutkin myös, löytyikö laitteisiin tunnettuja haavoittuvuuksia. Lisäksi kirjasin talteen asennetut käyttöjärjestelmäversiot, saatavilla olevat päivitykset ja muut huomiot.

Kaikkia laitteita on joskus käytetty ja ne ovat edelleen täysin toimivia. En nollannut laitteiden asetuksia. Laitteet olivat: Blu-ray soitin, Linksysin uudempi ja vanhempi langaton reititin sekä tuore järjestelmäkamera. Jätän tarkoituksella tarkat mallit kertomatta. Mallitiedot ovat epäolennaisia kokonaisuuden kannalta. Ohessa on tiivis koonti jokaisen laitteen osalta.

Blu-ray soitin

Ostin laitteen joskus reilu viisi vuotta sitten. Laitteen tarkka ikä ei ole tiedossa.
Tämä Blu-ray soitin sujahti nettiin heti verkkojohdon kytkemisen jälkeen. Huom! Olen käyttänyt laitteen verkossa kerran aikaisemmin, en ole täysin varma, onko verkkotoiminto oletuksena päällä.

Laitteen käyttöjärjestelmä on päivitettävä, jotta verkkotoimintoja voi käyttää. Laite tarjoaa itse päivitystä asennettavaksi. Käytössä on laitteen mukana tullut versio, jonka julkaisuajankohdasta ei sen tarkempaa tietoa. Uusin laitteen kautta tarjolla oleva versio on julkaistu 12/2014.

Skannauksen perusteella kaikki laitteen portit ovat kiinni.

Vanha Linksysin langaton reititin

Nmap-skannauksen perusteella selviää, että laitteen FTP ja telnet -portit on erikseen suljettu. Sen sijaan laitteessa on auki www-palvelin. Kyseessä on reitittimen hallintapaneeli, joka on oletuksena käytössä suojaamattoman HTTP-yhteyden yli.
Hallintapaneelista selviää, että mm. internetin yli toimiva etähallintatoiminto ja UPnP on otettu pois päältä. Laitteen hallintapaneelin oletustunnukset on muutettu. Suojattu HTTPS-pohjainen hallintayhteys on myös mahdollista kytkeä päälle.

Laite on yli kymmenen vuotta vanha ja laitteen ohjelmistoversio on vuodelta 2007. Linksysin tukisivuilla ei ole tarjolla päivitystä kyseiselle laitteelle. Outoa.

Uudempi Linksysin langaton reititin

Laite on taloyhtiön verkko-operaattorin toimittama ja konfiguroima. Päälle on kirjattu langattoman verkon SSID ja salasana. Käyttäjäystävällistä siis…

Laitteeseen asennettu käyttöjärjestelmä on päivätty vuodelle 2012. Tuorein saatavilla oleva versio on päivätty vuodelle 2016.

Laitteessa oli neljä avointa porttia: www-hallintapaneeli, UPnP-yhteys sekä kaksi muuta porttia, joiden tarkoitus jäi epäselväksi.

Oletustunnukset hallintapaneeliin olivat edelleen käytössä. Etähallintatoiminto oli kuitenkin pois päältä, eli hallintapaneelia voi virallisia reittejä pitkin käyttää vain samasta lähiverkosta, ei internetin yli.

Tätä laitemallia kohtaan on toteutettu ainakin yksi hyökkäystyökalu, jonka koodi on julkaistu internetissä. Haittaohjelman nimeksi on annettu The Moon. Haittaohjelman toimintaidea on sama, kuin Mirai-tapauksessakin. Internetistä etsitään laitetta, jossa on tietty portti avoinna, jonka jälkeen laitteeseen murtaudutaan haavoittuvuutta hyväksikäyttäen.

Linksys neuvoo päivittämään laitteen uusimpaan versioon ja ottamaan etähallintatoiminnot pois päältä. Lisätietoja aiheesta:

Tuore järjestelmäkamera

Järjestelmäkamera on mahdollista kytkeä verkkoon langattoman yhteyden kautta. Verkkotoiminnon käyttöönotto vaatii konfigurointia, joka toteutetaan erillisellä sovelluksella. Sovellus tarkistaa samalla ohjelmistoversion sekä suojattuun tiedonsiirtoon tarvittavat SSL-sertifikaatit.

Laitteessa on kaksi erilaista verkkotoimintoa. Ensimmäinen vaihtoehto mahdollistaa kameran etäohjauksen mobiililaitteella. Toinen mahdollistaa kameralla otettujen kuvien lähettämisen pilvipalveluun, josta kuvat on jaettavissa eteenpäin muille käyttäjille.

Verkkotoiminto pitää erikseen kytkeä päälle kamerasta. Toiminto jää päälle myös kameran uudelleenkäynnistyksen jälkeen, mutta kamera ei kytkeydy suoraan langattomaan verkkoon, vaikka toiminto olisikin päällä. Langaton verkko valitaan vasta, kun tiedetään mitä toimintoa halutaan käyttää. Verkkoportit avataan toiminnon perusteella.

4+1 vinkkiä

Huomioiden ja havaintojen perusteella voidaan muodostaa seuraavia vinkkejä:

1. Muista IoT-laitteiden ja tietojärjestelmien olemassaolo

Normaalikäytössä reitittimet ja Blu-ray soitin ovat koko ajan verkossa. Kamera pitää joka kerta erikseen käskeä verkkoon. Jatkuva verkkoyhteys altistaa laitteet hyökkäyksille ympäri vuorokauden. Vaikka IoT-laitteen luonteeseen kuuluu se, että verkkoyhteys on olemassa, niin laitteita ei pidä kuitenkaan unohtaa verkkoon. Jos laitteelle tai sen verkkoyhteydelle ei ole tarvetta, niin ota se pois käytöstä. Järjestelmäkameran yhteydet on toteutettu niin, että sitä ei voi unohtaa verkkoon, koska yhteys muodostetaan aina erikseen.

2. Ole tietoinen päivitysten saatavuudesta

Reitittimiä voi käyttää vuosia päivittämättä. Jää käyttäjän vastuulle selvittää, onko laitteiden käyttöjärjestelmille päivityksiä tarjolla. Tätä voi helpottaa esimerkiksi tilaamalla valmistajilta sähköposti-ilmoitukset uusista päivityksistä. Parempi olisi, jos laite itse ilmoittaisi tarjolla olevista päivityksistä käyttäjälle. Yritysten kannattaa suunnitella ja toteuttaa tietojärjestelmänsä niin, että ne ilmoittavat itse päivitystarpeesta.

3. Salli vain tarpeelliset toiminnot

IoT-laitteissa voi olla erilaisia toimintoja oletuksena päällä käytön helpottamiseksi. Jää käyttäjän vastuulle ottaa omalta kannalta turhat toiminnot pois päältä. Tämä pitäisi olla toisin päin.

Kuten esimerkiksi palomuurisääntöjä tehtäessä, kannattaa ensin estää kaikki yhteydet ja avata sitten vain tarpeelliset yhteydet. Tämä ilmeni hyvin järjestelmäkamerassa, jossa portit avattiin tarpeen perusteella. Reitittimissä oli turhaan peruskäytön kannalta tarpeettomia toimintoja päällä. Lisäksi uudemmassa reitittimessä oli kaksi avointa porttia, joiden tarkoitus jäi epäselväksi. Porttien tarkoitus pitäisi tietää tai ne tulisi saada suljettua, ennen kuin laite otetaan käyttöön.

Blu-ray soittimen ja järjestelmäkameran kaikki verkkotoiminnot eivät olleet käytössä, koska tuorein käyttöjärjestelmäversio ei ollut asennettuna. Tämä on yksi tapa rajoittaa laitteeseen kohdistuvia hyökkäyksiä. Ei päästetä laitetta täydellisesti verkkoon, jos tuorein ohjelmistoversio ei ole asennettuna.

4. Suojaamaton yhteys on tietoinen valinta

Reitittimien hallintapaneelit oli asetettu toimimaan suojaamattomien yhteyksien kautta. Lähtökohtaisesti olisi järkevämpää asettaa suojattu yhteys oletuksena päälle, jolloin käyttäjä joutuisi ottamaan tietoisen riskin suojausasetuksia muuttaessaan.

+1 Extravinkki

Yhden laitteen verkkotoiminto hajosi kokonaan, kun laitteeseen kohdisti tietyntyyppisen skannauksen. Uudelleenkäynnistys korjasi vian. IoT-laitteiden ja muiden järjestelmien pitäisi hyväksyä vain sovitut yhteydet ja olla reagoimatta muihin yhteyksiin. Pelkkä porttien kolkuttelu ei saisi aiheuttaa laitteen epävakaata toimintaa.

Tietoturvasäännöt – ei pysty, ei ehdi, ei kiinnosta

Eräässä tutkimuksessa [1] selvitettiin työntekijöiden näkemyksiä organisaation hallinnollisesta tietoturvasta. Tutkimuksen kohteena olivat pankki ja IT-firma. Tietoturvalliset toimintatavat ovat organisaatioille olennaisia. Tietoturvasääntöjen osalta tulokset ovat harmillisia.

Molempien organisaatioiden intranetissä oli julkaistu tietoturvasäännöt henkilöstölle. Isolla osalla haastatteluihin osallistuneista pankin työntekijöistä ei ollut tietoa tietoturvasääntöjen sisällöstä. IT-firmassa ei kenelläkään. Huh!

Tutkimusaineiston perusteella työntekijöillä ei ole aikaa lukea sääntöjä. He eivät tiedä, missä tietoturvadokumentit sijaitsevat. Oikeastaan sääntöjä ei välttämättä edes ymmärretä eikä niiden lukemisesta koeta olevan hyötyä. Havaintoja ei voida yleistää, mutta jotenkin tuntuu siltä, että havainnot eivät rajoitu vain näihin kahteen organisaatioon.

Miten tilannetta voisi parantaa? Huomioita parista tutkimuksesta:

Asianmukaisesti toteutettu tietoturvaviestintä voi johtaa siihen, että työntekijät eivät koe tietoturvasääntöjä työtä rajoittavaksi tai haittaavaksi tekijäksi [2, s. 542].

Jos työntekijät kokevat, että heidän teoillaan on väliä ja ne auttavat tietoturvan kehittämisessä, niin he toiminevat silloin todennäköisimmin sääntöjen mukaisesti [3, s. 163].

Onko olemassa hyviä esimerkkejä niin mielenkiintoisesta ja kiinnostavasta tietoturvaviestinnästä, että lukija kokee positiivisen pakonomaisen tarpeen tutustua organisaation tietoturvasääntöihin ja muihin tietoturvadokumentteihin?

Lähteet:
[1] Albrechtsen, E. A qualitative study of users’ view on information security. Computers & Security, Vol. 26, 2007, s. 276-289.

[2] Bulgurcu, B., Cavusoglu H. & Benbasat, I. Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly Vol. 34 No. 3 s. 523-548. Syyskuu 2010.

[3] Herath, T. & Rao, H.R. Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness. Decision Support Systems, Vol. 47, 2009, 154-165.

Miksi yrityksellä kannattaa olla tietoturvasäännöt?

Yrityksissä on monenlaisia tietoturvasääntöjä. Etätyösäännöt, internetin käyttösäännöt, sosiaalisen median käyttösäännöt, tietojärjestelmien käyttösäännöt, palveluiden ylläpitosäännöt jne. Työntekoa hankaloitetaan säännöllisen säännönmukaisesti?

Tietoturvasääntöjen tarkoituksena ei ole rajoittaa tai hankaloittaa työntekijöiden toimintaa. Tietoturvasäännöt mahdollistavat turvallisen toimintaympäristön luomisen.

Tietoturvasäännöt on negatiivinen käsite?

Kannattaako tietoturvasääntöjä kutsua säännöiksi? Onko termi negatiivinen? Sääntöä voidaan pitää kieltona. Positiivisemmin ajateltuna sääntö on reunaehto tai toimintamalli.

Mitä vaihtoehtoja termille sääntö on? Jos puhutaan esimerkiksi tietojärjestelmien käytöstä:

Tietojärjestelmien käyttöpolitiikka. Joku voisi ajatella, että onpas virallista. Politiikka on jotain yleistä jargonia. Kuulostaa johtotason jutuilta.

Tietojärjestelmien käyttöohjeet. ”Joo joo, käytän tietojärjestelmiä turvallisesti, fiksusti jne. Luen ohjeet, jos tarvitsen ohjeita.” Ohje on säännöistä johdettu tarkempi toimintatapa.

Tietojärjestelmien tietoturvaperiaatteet. Tällä päästään jo lähelle tarkoitusta. Ei kuullosta niin negatiiviselta? Tuntuu mielekkäämmältä sitoutua noudattamaan periaatteita kuin sääntöjä.

Tietojärjestelmien käyttösäännöt on kuitenkin selkeä käsite. Näin toimitaan. Piste.

Tietoturvasäännöistä on hyötyä!

Yrityksellä kannattaa olla yritysjohdon hyväksymät tietoturvasäännöt. Niistä on konkreettista hyötyä päivittäisessä toiminnassa.

Tietoturvasäännöt kertovat, millaista toimintaa työntekijöiltä odotetaan. Yhteiset säännöt ja niiden mukaan toimiminen auttaa turvallisemman toimintaympäristön luomisessa. Tietoturvadokumentaatiota voidaan hyödyntää myös esimerkiksi uuden työntekijän perehdyttämisessä.

Säännöt ja muut tietoturvadokumentit osoittavat yrityksen toimintaperiaatteet muille toimijoille. Ulkopuoliset näkevät, mitä vaadimme itseltämme. Se voi puolestaan nostaa luottamusta ja parantaa yrityksen mainetta.

Yhteistyökumppanit voidaan velvoittaa toimimaan samojen sääntöjen mukaisesti. Ei ole mitään järkeä, että yritys pyrkii laadukkaaseen toimintaan, kun samaan aikaan alihankkija sählää, sooloilee ja sekoilee.

Säännöt auttavat täyttämään lakipykälistä ja standardeista muodostuvat vaatimustenmukaisuusvelvoitteet. Työntekijöiden voi olla helpompi ymmärtää tietoturvasäännöissä kuvattua periaatetta kuin eri lakipykäliin piilotettuja vaatimuksia.

Tietoturvastandardi ISO 27001 asettaa vaatimuksia esimerkiksi suojattavan omaisuuden (tietopääoma, laitteet jne.) käyttösäännöistä sekä ohjelmistojen asennukseen liittyvistä säännöistä. VAHTI 2/2010 dokumentaatiossa kuvatun tietoturvallisuuden perustason saavuttaminen puolestaan edellyttää, että säännöt ja ohjeistukset ovat olemassa (Lähde: VAHTI 2/2010 liite 5, s. 106, osa-alue 1.3.1).

Tietojen luokittelu on tietoturvallisuuden perusta

Tietoaineistojen tai tietojen luokittelu on kokonaisuus, joka auttaa tunnistamaan organisaatiolle tärkeät tiedot ja suojaamaan ne asianmukaisesti eri käyttötilanteissa. Marraskuussa 2016 julkaistu YAMK-opinnäytetyöni ”Kohti tietoaineistojen luokittelua ammattikorkeakoulussa” kokoaa yhteen kattavan tietopaketin aiheesta.

tietoaineistojen luokitteluKuviossa tietoaineistojen luokittelun kokonaisuus hyödyntämiskohteineen.

Pyrin tekemään opinnäytetyön niin, että siitä olisi hyötyä mahdollisimman monelle organisaatiolle. Työ sisältää mm. 9-vaiheisen menetelmän tietoaineistojen luokittelun aloittamiseksi sekä kuvauksia luokiteltujen tietojen hyödyntämiskohteista. Yleisesti ottaen tulokset auttavat luokittelutoiminnan johtamisessa, suunnittelussa ja toteuttamisessa.

Tietoaineistojen luokittelu on olennainen osa tietoriskien hallintaa. Luokittelemalla tiedot julkisuuden perusteella eri kategorioihin voidaan tietoon kohdistuvia riskejä pohtia monipuolisemmin. Esimerkiksi eniten suojausta vaativat tietoaineistot ovat tunnistettavissa helpommin. Opinnäytetyötä tehdessäni käsitykseni siitä, että tietojen luokittelu on olennainen osa organisaation tietoturvallisuuden toteuttamista, vahvistui merkittävästi.

Opinnäytetyö on ladattavissa Theseus-palvelusta tästä linkistä: http://urn.fi/URN:NBN:fi:amk-2016112216800