Tulostusversio

3/2010

Lyhyesti tietoturvasta 3/2010

 

Eurooppalainen tietoturvaharjoitus marraskuussa

Tietoturvaharjoituksissa siirrytään uuteen vaiheeseen, kun maakohtaisten harjoitusten rinnalle tulevat yleiseurooppalaiset harjoitukset. Ensimmäinen Euroopan maiden yhteinen kriittisen tietoinfrastruktuurin valmiusharjoitus järjestetään 4. marraskuuta.

Harjoitukseen osallistuu 30 EU:n ja Euroopan vapaakauppa-alueen EFTAn maata. Niistä 8 on mukana tarkkailijoina. Euroopan verkko- ja tietoturvavirasto ENISA auttaa maita valmistautumaan harjoitukseen.

Ensimmäiseen harjoitukseen osallistuu vain viranomaisia. Harjoitusta varten luodaan kuvitteellinen tilanne, jossa internetin normaali toiminta häiriintyy useissa maissa. Harjoituksen kohteita ovat jäsenmaiden välinen viestintä, viestintäkanavien toiminta ja eri maiden viranomaisten toimivallan tuntemus.

Harjoituksista toivotaan tulevan säännöllisiä. Seuraava askel olisi useiden eurooppalaisten maiden osallistuminen maailmanlaajuiseen tietoturvaharjoitukseen.

USA:ssa viranomaisten organisoimia Cyber Storm -tietoturvaharjoituksia järjestetään joka toinen vuosi. Mukana on hallinnon lisäksi yrityksiä ja muita maita, esimerkiksi Kanada ja Iso-Britannia.

"Cyber Storm on kysellyt meidän harjoituksestamme, mikä on hyvä merkki", toteaa ENISAn teknisen osaston päällikkö Steve Purser. Hän kertoi eurooppalaisesta harjoituksesta liikenne- ja viestintäministeriön seminaarissa syyskuussa.

ENISA tiedottaa harjoituksen onnistumisesta vuodenvaihteessa.

---

Tilastomenetelmät näyttävät salaimen turvallisuuden

Viestit suojataan salaamalla ne käyttäen jotain sopivaa salausalgoritmia eli salainta. Salaimeen menevää viestiä kutsutaan selväkieleksi ja salattua viestiä salakieleksi. Salaamisessa tarvitaan myös avainta, joka on jokin vaikeasti arvattava merkkijono.

Salainten turvallisuutta voidaan arvioida lineaarisella kryptoanalyysillä, joka perustuu selväkielen ja salakielen merkkien sopivien yhdistelmien tutkimiseen. Tavoitteena on löytää yhdistelmä, jonka käytös on mahdollisimman epäsatunnaista, kun tutkitaan useita selväkieli-salakielipareja. Tällöin voidaan tilastollisten menetelmien avulla saada selville tietoa esimerkiksi salaisesta avaimesta.

Yhden yhdistelmän lisäksi voidaan löytää useita muitakin yhdistelmiä. Tutkija Miia Hermelin on väitöstutkimuksessaan selvittänyt, miten useita tällaisia yhdistelmiä voidaan käyttää yhtäaikaa vahvistamaan lineaarista kryptoanalyysia. Näin kehitettyä metodologiaa kutsutaan moniulotteiseksi lineaariseksi kryptonanalyysiksi.

Tutkimuksessa on laadittu tilastolliset mallit erilaisille hyökkäystyypeille ja haettu kuhunkin tilanteeseen sopivimmat ratkaisumenetelmät. Menetelmien tehokkuutta on arvioitu sekä matemaattisesti että käytännössä.

Miia Hermelinin tietojenkäsittelytieteen väitöstutkimus Multidimensional Linear Cryptanalysis (Moniulotteinen lineaarinen kryptoanalyysi) tarkastettiin Aalto-yliopiston teknillisessä korkeakoulussa kesäkuussa.

---

Laajennus lisää nimipalvelun turvaa

Viestintävirasto ottaa käyttöön nimipalvelun tietoturvalaajennuksen (DNSSec) fi-päätteisissä verkkotunnuksissa. DNSSeC (Domain Name System Security Extensions) on nimipalvelun laajennus, joka suojaa verkkotunnusten väärentämisiltä ja muilta hyökkäyksiltä.

Kun laajennus on käytössä, vastaukset nimipalvelukyselyihin ovat digitaalisesti allekirjoitettuja. Näin voidaan varmistua siitä, että vastaukset tulevat oikealta lähettäjältä, eikä käyttäjä joudu väärennetylle sivustolle.

Viestintävirasto ottaa laajennuksen käyttöön kahdessa vaiheessa. Ensimmäinen vaihe, .fi-juuren allekirjoittaminen, aloitettiin elokuussa. Myöhemmin syksyllä aloitetaan allekirjoituksen tekeminen varsinaisilla tuotantoavaimilla. Laajennus on kokonaisuudessaan asiakkaiden käytettävissä maaliskuun lopulla.

---

Valtion tietoturvalle yhteiset säännöt

Valtioneuvoston uusi asetus valtionhallinnon tietoturvallisuudesta yhtenäistää virastojen tietoturvaa. Asetuksessa määritellään kaikkia virastoja koskevat yleiset vaatimukset, joihin kuuluu tietoturvallisuuden perustason toteuttaminen. Suurin osa viranomaisista on jo merkittäviltä osin toteuttanut perustason vaatimukset.

Lokakuun alussa voimaan tulevan asetuksella yhtenäistetään myös salassa pidettävän aineiston käsittelyä. Virastot voivat ottaa käyttöön luokittelun, jolla osoitetaan, minkälaisia tietoturvallisuusvaatimuksia asiakirjan käsittelyssä on noudatettava.

Valtionhallinnon tietoturvallisuusasetuksesta on kerrottu tarkemmin Tietosuojassa 4/2009.

Lue myös

Lyhyesti tietosuojasta 3/2010 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.