Tulostusversio

2/2010

Tietoturva: Verkosto vie verkkouhan jäljille

Teksti: Harri Bryk ja Kauto Huopio

Internetin tietoturvaloukkaukset ylittävät maantieteelliset rajat, joten niiden selvittelykin perustuu kansainväliseen yhteistyöhön. Suomessa tietoturvaloukkauksia selvittelevälle CERT-FI-yksikölle toimivat yhteistyöverkostot helpottavat ja ylipäätään mahdollistavat tapausten nopean ratkaisun.

Verkkouhat ja tietoturvaloukkaukset tulevat Suomeen usein ulkomailta ja niiden ratkaiseminen ja selvittäminen vaatii kansainvälistä koordinointia monen eri toimijan välillä.

Viestintävirastossa toimivan kansallisen tietoturvaviranomaisen, CERT-FI:n, lakisääteisenä tehtävänä on muun muassa selvittää verkko- ja viestintäpalveluihin kohdistuvia tietoturvaloukkauksia sekä ylläpitää kansallista tietoturvallisuuden tilannekuvaa.

Tietoturvaloukkausilmoituksia vastaanotetaan sekä suomalaisista että ulkomaisista lähteistä. Tilannekuvaa taas luodaan vastaanotettujen ja erikseen kerättyjen loukkausilmoitusten ja muiden tietoturvatilanteeseen liittyvien tapahtumien ja ilmiöiden pohjalta.

Tapaustiedot auttavat alkuun

Jotta tietoturvaloukkauksia voitaisiin koordinoida ja ratkaista tehokkaasti, tulee CERT-toimijalla olla mahdollisimman kattavat tapaustiedot. Niitä ovat esimerkiksi tiedot tietoturvaloukkaukseen osallisten järjestelmien osoitteista, havaitut haittaohjelmat, tehdyt muutokset järjestelmiin sekä aikaleimat ja muut lokitiedot. Tapaustietojen perusteella pyritään jäljittämään loukkauksen taustalla oleva palvelin tai käyttäjä.

CERT-FI saa tapaustietoja joko suoraan loukkauksen uhrilta tai kolmannelta osapuolelta, joka on jollain tapaa havainnut tietoturvaloukkauksen. Tietoturvaloukkauksien ratkaisu perustuu asiakaslähtöisyyteen - tapaustietoja ei luovuta kolmannelle osapuolelle ilman asianomistajan lupaa.

Kattavien kansainvälisten verkostojensa avulla CERT-FI pystyy tarjoamaan lisäarvoa loukatuksi tulleelle yritykselle, yhteisölle, palveluntarjoajalle tai yksityishenkilölle.

Yhteistyöllä ratkaisu ripeämmin

Tietoturvaloukkauksen ratkaisuprosessi koostuu loukkauksen havainnoinnista, tarvittavan tiedon keräämisestä, loukkauksen koordinoinnista ja ratkaisusta.

Lähes poikkeuksetta tietoturvaloukkauksien ratkaisun johonkin vaiheeseen osallistuu kansainvälinen CERT-toimija tai muu organisaatio.

Ulkomainen yhteistyö nopeuttaa tapausten ratkaisemista ja auttaa kokoamaan kokonaiskuvaa hyökkäyksestä ja siinä käytetyistä tekniikoista. Tämä tilannekuvatieto auttaa minimoimaan vahinkoja ja ehkäisemään hyökkäyksiä ennalta tulevaisuudessa. 

Kumppaneihin luotetaan

CERT-FI on perustamisvuodestaan 2002 asti rakentanut kansainvälisiä verkostojaan systemaattisesti. Vuosien kuluessa yhteysverkostot ovat kehittyneet erittäin kattaviksi. Nyt CERT-FIllä on suorat yhteydet jokaiselle maanosalle, kaikkien merkittävimpien CERT-ryhmien kanssa. Yhteistyökumppanien avulla saadaan nopeasti yhteys ennalta tuntemattomaan organisaatioon, esimerkiksi toisen maan palveluntarjoajaan.

Kansainväliset CERT-foorumit, kuten FIRST (Forum of Incident Response and Security Teams) ja TI (Trusted Introducer) pitävät yllä verkostoja, jotka auttavat rakentamaan kansainvälisiä yhteistyösuhteita. Verkostot mahdollistavat yhteydenotot entuudestaan tuntemattomiin toimijoihin ja niihin luottamisen. Luottamus onkin tietoturvaloukkausten käsittelyssä ja koordinoinnissa kaiken perusta, sillä tietoturvaloukkausten käsittelyyn liittyy lähes aina arkaluontoista tietoa, jota ei haluta saattaa vääriin käsiin.

Jäsenyys toimialan isoimmissa foorumeissa ei ole kuitenkaan automaattinen tae yhteistyön toimivuudesta. Todellinen luottamus toimijoiden keskuudessa rakennetaan vuosien pitkäjänteisellä kahdenvälisellä yhteistyöllä.

Eurooppalaiset valtionhallinnon mandaatilla toimivat kansalliset CERT-yksiköt ja -ryhmät ovat muodostaneet EGC-ryhmän (European Government CERTs Group), johon kuuluu kymmenen kehittynyttä CERT-yksikköä.

EGC-ryhmän jäsenten kesken harjoitetaan laaja-alaista päivittäistä yhteistyötä . Jäsenet kokoontuvat säännöllisesti vaihtamaan tietoja ajankohtaisista ilmiöistä sekä tulevaisuuden näkymistä. Tietoturvaloukkauksiin liittyvän operatiivisen yhteistyön lisäksi yksiköt vaihtavat hyviä käytäntöjä sekä kehittävät yhdessä työkaluja ja tietojärjestelmiä.

Vapaamuotoisia ryhmiä lisää

Kansainvälistä yhteistyötä harjoitetaan kaikkien niiden yhteisöjen kanssa, jotka ovat jollain tapaa osa tietoturvaloukkausten tehokasta koordinointi- ja ratkaisuketjua ja auttavat tietoturvatilannekuvan luomisessa.

CERT-yksiköiden lisäksi mukana on myös muita CERT-toimintaan vahvasti liittyviä aloja ja organisaatioita: teleyrityksiä, palveluntarjoajia, finanssitoimijoita, tietoturvataloja, viranomaisia ja laitevalmistajia sekä ohjelmistotaloja.

Yhteistyö saa koko ajan uusia muotoja. Selvästi kehittyvä toimintatapa on perustaa jotain erityistä tietoturvauhkaa seuraamaan oma vapaamuotoinen työryhmä. Ryhmiä perustetaan CERT-toimijoiden ja tietoturvatutkijoiden yhteysverkostoja hyödyntämällä hyvinkin nopeasti, parhaimmillaan tunneissa.

CERT-FI pyrkii osallistumaan resurssitilanteen salliessa kaikkiin merkittäviin yhteistyöryhmiin.

---

[KIRJOITTAJAT]

Projektityöntekijä Harri Bryk ja vanhempi tietoturva-asiantuntija Kauto Huopio työskentelevät Viestintäviraston CERT-FI-yksikössä.

Lue myös

Tietoturva: Yritykset varautuvat riskeihin huonosti »
Tietoturva: Komissio lupaa lisää tietoturvallisuutta »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.