Tieto on valtaa

Tiistaina 2.8.2011 tietoturvayritys McAfee julkaisi koko (IT-)maailmaa kohtauttaneen uutisen/raportin, jossa väitetään paljastuneen tähän mennessä maailman suurin tietomurtojen sarja. Kyseinen ”Operation: Shady RAT” -raportti on luettavissa McAfeen blogista.

Jokaisen asiasta kiinnostuneen kannattaa lukea yllä mainittu McAfeen Dmitri Alperovitchin julkaisema blogiviesti. Alla oleva teksti on referoitu/suomennettu kyseisestä artikkelista ja jaettu osiin, jotta aihetta olisi helpompi käsitellä eri näkökulmista.

Toinen tietoturvayritys Symantec on myös julkaissut aiheeseen liittyvän oman blogiviestinsä 4.8.2011. Siinä kerrotaan hieman tarkemmin käytetyistä hyökkäyksistä

 

Uutinen lyhyesti:

McAfee pääsi  käsiksi erääseen tietomurroissa käytettyyn ns ohjauspalvelimeen (Command & Control server). Palvelimella olevat lokitiedot paljastavat, että ainakin vuodesta 2006 eteenpäin rikollinen taho on pystynyt tunkeutumaan ainakin 72 eri toimijan järjestelmiin. Uhreja voi olla useita lisää, mutta lokitietojen perusteella vain 72 pystyttiin varmasti todentamaan. Huomioitavaa on myös se, että kyseinen rikollinen toiminta on voinut alkaa jo vuosia aikaisemmin, mutta todisteita on vasta vuodesta 2006 eteenpäin.

Erikoista tiedoissa on se, että murrot eivät ole kohdistuneet pelkästään teollisuuteen tai valtioihin, sillä kohdelistalla ovat mm Olympiakomitea sekä Antidoping -järjestö WADA.

Hyökkäysten pituudet myös vaihtelivat: osassa järjestelmiä viihdyttiin vain kuukausia kun taas eräässä oltiin sisällä jopa 28 kuukautta uhrin huomaamatta.

 

Ovatko kehittyneet tietomurrot ja -hyökkäykset uhka kaikille yrityksille?

Uutisen bloggaajalta (McAfeen Dmitri Alperovitch) kysytään tätä asiaa usein. Vastaus on selkeä Kyllä. Kaikkien pitäisi olla huolissaan. Ei pidä ajatella että tällaisia tietomurtoja tehdään vain valtioita, sotateollisuutta ja megayrityksiä (Esim Google) vastaan.

Niiden teollisuuden alojen yritykset, joissa liikkuu tarpeeksi rahaa, kallista informaatiota tai salaisuuksia, ovat kaikki hyviä kohteita. Dmitri uskookin että  esimerkiksi maailman 2000 suurinta yritystä voidaan luetella kahteen kastiin; niihin jotka tietävät joutuneensa tietomurron kohteeksi ja niihin jotka eivät vielä tiedä sitä.

 

Onko nykyajan hyökkäykset kehittyneempiä ja onko niiden määrä selvästi noussut?

Tätä kysymystä kuulee usein, varsinkin kun viimeisen puolen vuoden aikana paljastui paljon tietomurtoja, kuten tapaukset RSA, Lockheed Martin ja Sony. Tämäkin on bloggaajan mielestä ironinen kysymys, koska samantyyppisiä murtoja on ollut jo vuosia ja hyökkäystavat eivät olleet mitenkään erityisen kehittyneitä.

 

Hyökkäysten motivaationa raha?

Kehittyneissä ja kohdistetuissa hyökkäyksissä ei pyritä tekemään kiusaa tai saamaan suoraa taloudellista hyötyä. Kohteena on yksinkertaisesti informaatio. Haluttavaa tietoa ovat esimerkiksi valtion salaisuudet, ohjelmien lähdekoodit ja bugitiedot, sähköpostiarkistot, suunnitelmat ja sopimukset. Näiden avulla hyökkääjä voi saavuttaa myös taloudellista hyötyä. Esimerkiksi varastettujen tuotesuunnitelmien avulla voidaan tuottaa kilpaileva tuote jo ennen kuin alkuperäistä tuotetta on edes markkinoilla. Lähdekoodien ja bugitietojen avulla saadaan tietoon ohjelmistojen heikkouksia ja niiden avulla voidaan tuottaa lisää hyökkäysmenetelmiä.

Tietovarkaudet voivat johtaa jopa niin pitkälle, että valtioiden talous tai turvallisuus kärsii. Mitä jos esimerkik joltain varastetaan maanpuolustukseen liittyviä strategioita tai tuotetietoja?

 

Miten hyökkäykset toteutettiin?

Hyökkäyksissä onnistuttiin käyttämällä erittäin tehokasta yhdistelmää: haavoittunut järjestelmä + pahaa aavistamaton käyttäjä. Hyökkäykset olivat siis erittäin hyvin kohdistettu sellaisiin käyttäjiin, joilla oli tarpeeksi valtaa ja käyttöoikeuksia yritysten järjestelmissä. Heille lähetettiin haittaohjelman sisältävä sähköpostiviesti. Kun henkilö lukee sähköpostin, niin haittaohjelma pesiytyy koneelle ja ottaa yhteyttä ulkopuoliseen ohjauspalvelimeen (Command & Control server). Ohjauspalvelimen kautta hyökkääjät pääsevät ongelmitta uhrin koneelle ja voivat tehdä siellä mitä haluavat, esimerkiksi varastaa tietoja heti tai yrittää tunkeutua syvemmälle yrityksen sisäverkkoon ja sen koneisiin.

Tässä vielä eriteltynä eri vuosina tehtyjen hyökkäysten määrät ja esimerkkejä uhreista:

  • 2006: 8, Energiayhtiö, valtion laitoksia
  • 2007: 29, mm USA:n puolustusteknologian valmistajia.
  • 2008: 36, esim YK
  • 2009: 38, esim WADA
  • 2010: 17, Kanadan valtiotason laitos
  • 2011: 9

Hyökkäysten väheneminen kohti vuotta 2011 saattaa johtua esimerkiksi siitä, että rikolliset ottivat käyttöönsä uusia komentopalvelimia, jolloin paljastuneen palvelimen työmäärä väheni. Toisaalta yritykset ovat ottaneet käyttöönsä myös kehittyneempiä tietoturvaratkaisuja, jotka ovat varmasti vähentäneet onnistuneita hyökkäyksiä.

 

Miksi raportti julkaistiin?

Dmitri sanoo, että tavalliset ihmiset ja yritykset eivät edes saa tietoonsa kaikkia mahdollisia tapauksia, koska yritykset eivät halua kertoa niistä julkisuuteen. McAfee haluaakin parantaa julkista tietoutta ja siksi julkaisivat myös tämän Operation: Shady RAT -raportin.

Loppuhuomatuksena mainitaan myös se, että tällaisen laajan tietomurtojen sarjan paljastuminen saattaa ihmetyttää tai jopa järkyttää henkilöitä, jotka eivät ole asiaan perehtyneitä. Pitää kuitenkin muistaa, että samantyyppisiä murtoja tapahtuu jatkuvasti ja tämä ei ole mitenkään uutta.

Arkaluonteisten tietojen urkinta

Helsingin sanomat uutisoi 20.7.2011 aiheesta potilastietojen urkinta. Jutun otsikkona oli ”Hoitohenkilökunta urkkii potilastietoja viikottain”.

Aihe liittyy vahvasti tietoturvaan ja tietosuojaan, joten uutista on hyvä käyttää esimerkkitapauksena.

Otteita uutisesta (Lähde: Helsingin sanomat, kts yllä mainittu linkki.):

  • Viikkoa aikaisemmin YLE Uutiset kertoi määräaikaisessa työsuhteessa olleen toimistotyöntekijän urkkineen neljän kuukauden aikana 188 henkilön potilastietoja.
  • HS:n jutussa on lausuntoja mm. tietosuojavaltuutettu Reijo Aarniolta, joka komentoi aihetta kertomalla että aiheeseen liittyviä ”–lausuntypyyntöjä tulee 40-50 vuodessa”.
  • Aarnio kertoo myös että ”Määrä on tasaisesti kasvussa, mikä on ikävä juttu.”
  • ”Helsingin kaupungin sairaaloissa potilaan tietoja katsotaan luvatta muutamia kertoja vuodessa, sanoo hallintolakimies Joni Komulainen.”
  • ”Hänen mukaansa kyse on usein ajattelemattomuudesta”.
  • Urkinnan estämiseksi tehdään kaikki mahdollinen, Komulainen sanoo: henkilöstöä koulutetaan ja väärinkäytöksiä valvotaan pistokokein.
  • ”Tietoturva on muutamassa vuosikymmenessä huomattavasti parantunut”, sanoo Markus Henriksson Valvirasta. ”Ennen oli paperiset potilasasiakirjat kärryissä osastolla, ja niitä selattiin aika huolettomasti. Nyt asiakirjan käsittelystä jää aina jälki järjestelmään.”

 

Aiheen käsittelyä tietoturvan ja tietosuojan näkökulmasta

Kuten uutisessakin jo mainitaan, niin arkaluonteisten tietojen muuttaminen sähköisiksi/digitaalisiksi on parantanut tietoturvaa. Sähköiset materiaalit tuo kuitenkin mukanaan omia haasteita:

  • Onko myös digitaaliset materiaalit lajiteltu tietoaineiston tärkeyden mukaan?
  • Miten digitaalisten materiaalien käyttöoikeudet on asetettu ja miten niitä hallitaan?
  • Miten digitaalisten materiaalien käyttöä valvotaan?
  • Kuka valvoo valvojia?
  • Onko sähköiset materiaalit varmuuskopioitu?
  • Miten varmuuskopiot on suojattu ulkopuolisten pääsyltä?

Hyvässä tietojärjestelmässä kaikista tapahtumista jää merkintä lokiin. Aiheesta voi etsiä lisätietoa vaikkapa hakusanoilla ”audit log” tai ”audit trail”.

Uutisessa mainitaan myös se, että henkilöstöä koulutetaan ja pistokokeita tehdään.

  • Onko käyttäjän mielenkiinto kuitenkin niin suuri, että se voittaa kiinnijäämisen pelon?
  • Miten teidän yrityksessä varmistetaan työntekijän motivoituneisuus toimia oikein?

 

Pohdi asioita oman yrityksesi kannalta!

Tietoturvaloukkauksen hinta yritykselle

CERT-FI uutisoi taannoin tietomurrosta Yhdysvaltalaiseen tietoturvafirmaan nimeltä RSA. Tietomurron vaikutus oli maailmanlaajuinen ja se aiheutti myös paljon uutisointia ja jälkipeliä aiheesta.

Myöhemmin selvisi [1][2]  että tietomurron selvittely ja jatkotoimenpiteet ovat maksaneet RSA:n emoyhtiölle EMC:lle jo $66 miljoonaa dollaria pelkästään toisen vuosineljänneksen aikana.

Yrityksesi tietoturvaa suunniteltaessa ja toteuttaessa kannattaa miettiä myös budjettiasioita. Onko kenties järkevämpää käyttää jonkin verran rahaa tietoturvan suunnitteluun ja ylläpitoon, kuin maksaa sitten jälkikäteen kalliisti. Entä mikä on menetettyjen asiakkaiden ja maineen hinta?

 

1) SANS NewsBites
2) Washington Post

Yrityksen omaisuuden suojaaminen

Iltalehti.fi uutisoi 11.7.2011 varastetusta iPhonesta, jonka löytyminen johti samalla rikollisliigan paljastumiseen. Tietoturvan näkökulmasta uutisesta löytyy mielenkiintoisia piirteitä. Tässä hieman mietittäviä asioita.

Huom! Tässä tekstissä ei ole tarkoituksena millään tavalla kyseenalaistaa ryöstön kohteeksi joutunutta yritystä tai sen henkilökuntaa. Alla mainitut kysymykset on tarkoitettu yleisesti pohdittaviksi asioiksi eri yritysten tietoturvasta vastaaville henkilöille tai esimerkiksi tietoturvaa opiskeleville henkilöille.

Uutinen lyhykäisyydessään: Mies tuli kauppaan ja varasti naismyyjä iPhonen, kun myyjä oli käymässä takahuoneessa. Naismyyjän puhelimeen oli asennettu Find My iPhone -sovellus, jonka avulla käyttäjä voi paikantaa esimerkiksi kadonneen puhelimensa. Puhelimen jäljittäminen johti lopulta rikollisliigan ”varaston” paljastumiseen.

Uutisessa mainitaan näin:

  • Varas oli ”siististi pukeutunut ulkomaalainen mies”.
  • Myyjä ei epäillyt mitään, vaan piipahti takahuoneessa.

Kysymys: Onko henkilöstölle selvitetty heidän vastuut, velvollisuudet ja oikeudet?

Kysymys: Miten pahasti tietoturva vaarantuu kun henkilöstö poistuu hetkeksi työpisteeltään?

 

  • Varas vei myyjän oman iPhonen.

Kysymys: Onko yrityksessä ohjeistettu omien laitteiden käyttämisestä työpaikalla?

Kysymys: Miten laitteistoturvallisuus on yleisesti hoidettu yrityksessä?

Kysymys: Onko normaalit varkaudet helposti toteutettavissa jopa keskellä työpäivää?

 

  • Myyjä katsoi myöhemmin nauhalta tapahtuman kulun.

Kysymys: Miten valvontakamerat on sijoitettu yrityksen tiloihin?

Kysymys: Onko valvontakameran kuvan laatu tarpeeksi hyvä?

Kysymys: Onko lakiasiat huomioitu kameravalvontaa hankittaessa?

Kysymys: Onko yrityksessä määritelty kenellä on oikeus avata valvontakameran tallenteita?

Tallentava kameravalvonta yrityksen tiloissa vaatii rekisteriselosteen. Katso myös muut tärkeät aiheeseen liittyvät asiat erillisestä Kameravalvontaopas -teoksesta.

 

  • Varastetussa iPhonessa oli Find My iPhone -sovellus.

Kysymys: Miten yrityksessä on varauduttu yllättäviin riskeihin?

Kysymys: Onko kalliit ja tärkeät laitteistot (/toimitilat) vakuutettu?

Kysymys: Onko mobiililaitteiden tietoturva kunnossa? Esimerkiksi tärkeiden tietojen salaus ja laitteen käytön esto ilman asianmukaista tunnistautumista.

 

  • Lopulta puhelimen signaali katosi ja jäljitysohjelman toiminta lakkasi

Kysymys: Onko laitteiden ja ohjelmistojen tietoturvaominaisuudet helposti kierrettävissä?

 

Kysymyksiä kannattaa pohtia oman yrityksesi näkökulmasta!

Tietoturvapäivän 8.2.2011 esitysmateriaali

Tietoturvapäivän esitysmateriaalit ladattavissa.

Esitykseni PDF muodossa ilman taustakuvia tai TurkuAMK viittauksia.

Ladattavana on myös tietoturvasuunnitelman tekemiseen liittyvä A0 kokoinen posteri.

Posterin esikatselukuva

tietoturva_posteri

Lisää ladattavaa löytyy osoitteesta tietoturvapäivä.fi (tarkistettu 22.1.2013).