Tulostusversio

3/2010

Tietoturva: "Miksi minulle ei ole kerrottu?"

Teksti: Erka Koivunen

Tietoturvaloukkausten käsittely on käytännössä kaukana standardien ihanteellisista toimintamalleista.

Viestintävirastossa valmistui alkukesällä ainutlaatuinen tutkimus, jossa tarkasteltiin tietoturvaloukkausilmoitusten käsittelyä teorian ja käytännön kautta.

Kantavana ajatuksena oli muodostaa näkemys tietoturva-alan kirjallisuudessa ja erityisesti standardeissa kuvatuista ihanteellisista toimintamalleista ja asettaa ne kontrastiin käytännön havaintojen kanssa.

Tutkimus antaa sapiskaa niin standardien laatijoille kuin yhteistyöhaluttomille asianomistajille. Tietoturvaloukkausten nykyistä tehokkaampi käsittely edellyttäisi yhteistyön tehostamista ja tapauksiin liittyvän tiedon välittämiseen erikoistuneiden tahojen roolin tunnustamista.

Luulo ei ole tiedon väärti

Tutkimuksen olettama oli, että tietoturvaloukkausten tarkoituksenmukaisen käsittelyn merkitys olisi tunnistettu ja hyvin määritelty alan kirjallisuudessa. Viestintäviraston määräykset pohjautuvat lakeihin, teknisiin standardeihin sekä alalle muodostuneisiin käytäntöihin eikä niiden kattavuutta ole koskaan kyseenalaistettu.

Jatko-olettama oli, että mahdolliset tietoturvaloukkausten käsittelyyn liittyvät ongelmat johtuisivat kirjallisuudessa kuvattujen mallien puutteellisesta soveltamisesta tai suoranaisista laiminlyönneistä. Työn edetessä molempien olettamien paikkansapitävyyttä oli aihetta tarkistaa.

Tieto kulkee uhreille hitaasti

Tutkimuksen käytännön osuudessa tutustuttiin yksityiskohtaisesti kuuteen Viestintävirastossa toimivan CERT-FI-yksikön käsittelemään tapaukseen.

Jokaisessa kuudessa tapauksessa tietoturvaloukkauksesta ilmoittamisen ja ilmoitusten käsittelyn tehokkuutta arvioitiin seuraavien tarkistuskysymysten kautta:

miten ja kenen toimesta tietoturvaloukkaus havaittiin miten ja kenelle loukkauksesta raportoitiin missä roolissa osapuolet osallistuivat tapahtuman käsittelyyn millaista tietoa tietoturvaloukkauksen selvittelyn yhteydessä kerättiin ja kenelle sitä jaettiin kuinka tehokkaasti tieto loukkauksesta tavoitti asianomistajat.

Yhteistä kaikille analysoiduille tapauksille oli, että tietoturvaloukkauksen havaitsi sivullinen. Niin ikään tapauksille oli yhteistä, että tieto loukkauksesta tavoitti uhrit vasta polveilevan reitin kuljettuaan. Kaikkia uhreja ei edes tavoitettu tai yritetty tavoittaa.

Selvisi myös, että tapauksen ratkaisemisen kannalta tärkeää tietoa sekä syntyi että hukkui reitin varrella.

Luottamus hyvä, kontrolli parempi?

Kun tietoturvaloukkaus havaitaan ja raportoidaan, käynnistyy monimutkainen hajautettu prosessi, jonka osapuolina voivat olla eri maissa toimivat viranomaiset, teleyritykset, yhteisötilaajat, tutkijat sekä muut oman työnsä ohella toimivat tiedon kerääjät ja jalostajat.

Yhteistyö näiden toimijoiden välillä perustuu pääsääntöisesti vapaaehtoisuuteen, epämuodollisiin kahdenvälisiin luottamussuhteisiin ja vaikeasti määriteltävään näkemykseen internetin turvallisuuden yhteisvastuullisuudesta luonteesta.

Kukin osapuoli haluaa rajoittaa osallistumisensa mahdollisimman pieneen osaan kokonaisuutta. Tuloksena on satunnaisten osapuolten kahdenväliseen tiedon luovuttamiseen perustuva toimintatapojen vyyhti, jota ei ole suunniteltu ja jota kukaan ei koordinoi kokonaisuutena.

Tämä kuva ei vastaa alan standardeja, joissa loukkausten käsittelyprosessin oletetaan olevan hallittu ja hyvin määritelty. Tietoturvastandardit, kuten ISO/IEC 27001, olettavat, että organisaatiot estävät tietoturvaongelmat jo ennalta oikein mitoitettujen ja uhkakuvien luonnetta vastaavien suojaustensa ansiosta. Mahdolliset tietoturvapoikkeamat organisaatio havaitsee itse, ja niiden vaikutukset torjutaan oman toiminnan ansiosta. Ulkopuolisen apuun ei tarvitse eikä oikein voikaan turvautua − se kun on vieraassa kontrollissa ja siten epäluotettavaa.

Tietoturvastandardeista välittyykin leniniläinen maailmankuva: "luottamus hyvä, kontrolli parempi".

Ulkopuolinen havainnoija avainasemassa

CERT-FI käsittelee rutiiniluonteisesti tapauksia, joissa tieto ulkopuolisen havaitsemasta tietoturvaloukkauksesta välitetään autuaan tietämättömille suomalaisille asianomistajille. On tavanomaista, että ensimmäinen reaktio on painokas kiistäminen. Kuinka joku ulkopuolinen muka voisi tietää asiasta, josta omat varoitusjärjestelmät eivät varoittaneet!

Reaktiot ovat hämmentyneitä: Virustorjuntaohjelma ei ilmoittanut mitään, Applen laitteisiin ei kuulemma ole haittaohjelmia, eikä Linuxiin pitänyt voida murtautua. Ja oli miten oli, ainakaan ei ole käyty surfailemassa niillä kuuluisilla ”epämääräisillä sivuilla”.

Jollakin tavalla tietoturvaloukkaus on kuitenkin tapahtunut. Ulkopuolinen havainnoija on saattanut vastaanottaa roskapostin, jonka lähettäjäksi paljastuu suomalainen kotitalous, tai hän on epähuomiossa syöttänyt verkkopankkitunnuksensa huijaussivustolle, joka loisii tietomurron kohteeksi joutuneella suomalaispalvelimella. Moni tapaus tulee ilmi sivutuotteena toista tietoturvaloukkausta tutkittaessa. Aina joskus joku kokee havaintonsa niin tärkeäksi, että päättää raportoida sen.

Raportointiin ei selviä ohjeita

Toisin kuin rikosilmoitusten tekemiseen, tietoturvaloukkauksen raportoimiseen ei ole yksikäsitteisiä ohjeita. Siinä missä rikosasioissa käännyttäisiin paikallispoliisin puoleen, tietoturvaloukkauksen havaitsijan odotetaan osoittavan ilmoituksensa suoraan asianomistajalle.

Internetin pseudoanonyymista luonteesta johtuen tämän yhteystietojen selvittäminen saattaa olla vaikeaa, ellei peräti mahdotonta. Aina ei selviä sekään, mihin maahan raportti tulisi lähettää. Ei liene ihme, että tapauksista ei yleensä raportoida.

Viranomaisapua ei välttämättä ole saatavilla − harvassa maassa on Viestintäviraston tapaista tietoturvaviranomaista. CERT-FI on Suomea koskevien tietoturvaloukkaustapausten viimesijainen yhteyspiste. Puoleemme käännytään, mikäli muuta vastuutahoa ei löydy.

Tutkimuksessa analysoiduista viidestä Suomea koskevasta tapauksesta yksi oli raportoitu yksinomaan CERT-FI:lle, muissa tieto tapahtuneesta oli välitetty ensisijaisesti teleyritykselle tai palvelinhotellin ylläpitäjälle. Mielenkiintoinen havainto oli, että neljässä tapauksessa vaadittiin CERT-FI:n aktiivisia toimenpiteitä tapauksen ratkaisemiseksi. Kuudes tapaus koski amerikkalaista palvelua. Lopullista varmuutta asianomistajan tavoittamisesta ei ole vielä tänäkään päivänä.

Eniten ilmoituksia tutkijoilta

Suomalaisilla teleyrityksillä on ollut vuodesta 1999 lähtien velvollisuus raportoida Viestintävirastolle verkkojen toimintahäiriöistä sekä vuodesta 2002 lähtien myös tietoturvaloukkauksista.

Tietoja käytetään paitsi regulaation kehittämiseen ja teleyritysten prosessien valvomiseen, myös muiden vastaavista ongelmista kärsivien tahojen auttamiseen.

EU:n direktiiviuudistuksen jälkeen vastaava ilmoitusvelvollisuus laajenee Euroopan laajuiseksi. Direktiivin käytännön vaikutukset Suomessa lienevät vähäiset. Kiinnostus kokemuksillemme ilmoitusvelvollisuuden käytännön toteuttamisesta on sen sijaan ollut suurta.

Tätä taustaa vasten mielenkiintoinen havainto on, että yksikään tutkimuksessa analysoitu tapaus ei ollut teleyrityksen havaitsema saati raportoima. Kaikki ilmoitukset olivat aktiivisten yksilöiden, yhteisötilaajien tai tietoturva-alan yritysten vapaaehtoisesti tekemiä. Tämä on linjassa CERT-FI:n näppituntuman kanssa: suurin osa ilmoituksista tulee tutkijoilta ja voittoa tavoittelemattomilta tahoilta.

Esimerkiksi Shadowserver Foundation ylläpitää järjestelmää, jolla seurataan haittaohjelmatartuntoja ja pyritään saattamaan havainnot verkkojen turvallisuudesta vastaavien tietoon maailmanlaajuisesti.

Suomea koskevat raportit tulevat Viestintävirastoon, jossa ne käsitellään CERT-FI:n Autoreporter-järjestelmän avulla. Tämän ja muiden vastaavien järjestelyjen ansiosta suomalaisten verkkojen tietoturvatilanne on huomattavasti ulkomaisia parempi.

Viestintävirastolle on vuosien varrella kertynyt tietoturvaloukkausilmoitusten käsittelystä arvokasta kokemusta, jota ei kuitenkaan ole aiemmin tutkittu. Tämän tutkimuksen kokemusten perusteella on syytä todeta, että kannattaisi tutkia lisää.

---

[KIRJOITTAJA]

Erka Koivunen on Viestintävirastossa toimivan kansallisen tietoturvaviranomaisen CERT-FI:n päällikkö.

Lue myös

Tietoturva: Surffaajan suojaksi »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.