Kyberturvallisuuden implementointi

Mika Laaksonen, KPMG

HanselForum ICTpäivä

26.9.2013

1 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

Esityksen sisältö

Mitä Kyberturvallisuus on?

Keitä kyberturvallisuus koskettaa?

Mitä organisaation tulisi tehdä lyhyellä ja

pitkällä aikajänteellä?

Havaro / verkon valvonta – case esimerkki

2 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

Mitä Kyberturvallisuus on?

• Nykyään ihan kaikki on kyberturvallisuutta, termi ei kuitenkaan ole

vakiintunut

• Oma näkemykseni on että Tietoturvallisuus oikein ja riittävän laajasti

ymmärrettynä on lähes sama asia. Oleelliset erot/ tärkeät asiat ovat:

• Tietoturvallisuus keskittyy yleensä yksittäisen organisaation (tiedon) turvaamiseen,

Kyberturvallisuus tähtää laajemman kokonaisuuden – Toimialan tai yhteiskunnan

tietojen ja toiminnan turvaamiseen

• Tietoturvallisuuden voi kohtuullisen hyvin toteuttaa yksin, kyberturvallisuus vaatii

yhteistyötä

• Kyberturvallisuudessa tulee muistaa myös muut, kuin perinteiset IT-järjestelmät

• Yhden ja jälleen vähän suppean näkemyksen mukaan kyberturvallisuus

on teollisuusautomaation turvaamista

• Suomen kyberturvallisuusstrategian mukaan kyberturvallisuudella

tarkoitetaan tavoitetilaa, jossa kybertoimintaympäristöön voidaan

luottaa ja jossa sen toiminta turvataan.

• Kybertoimintaympäristö on sähköisessä muodossa olevan informaation (tiedon)

käsittelyyn tarkoitettu, yhdestä tai useammasta tietojärjestelmästä muodostuva

toimintaympäristö.

3 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

Mitä Kyberturvallisuus on? – Strategiset linjaukset

• Kyberturvallisuusstrategian linjaukset tiivistettynä ovat

seuraavat:

1. Luodaan viranomaisten ja muiden toimijoiden välinen tehokas

yhteistoimintamalli.

2. Parannetaan tilannetietoisuutta ja tilanneymmärrystä.

3. Ylläpidetään ja kehitetään kykyä havaita ja torjua elintärkeää toimintoa

vaarantavat kyberuhkat ja -häiriötilanteet sekä toipua niistä osana

elinkeinoelämän jatkuvuuden hallintaa.

4. Huolehditaan, että poliisilla on tehokkaat edellytykset toimia.

5. Puolustusvoimat luo kokonaisvaltaisen kyberpuolustuskyvyn

6. Osallistutaan kyberturvallisuuden kannalta keskeisten kansainvälisten

organisaatioiden ja yhteistyöfoorumeiden toimintaan.

7. Parannetaan kaikkien yhteiskunnan toimijoiden kyberosaamista ja -

ymmärrystä.

8. Lainsäädännöllä varmistetaan tehokkaan kyberturvallisuuden toteuttamisen

edellytykset.

9. Määritellään tehtävät ja palvelumallit sekä yhteiset perusteet

kyberturvallisuuden vaatimusten hallinnalle.

10. Strategian toimeenpanoa valvotaan ja toteumaa seurataan.

• Varsinaiset toimenpiteet näiden toteuttamiseksi on

määrittelyn alla

Kuva: Suomen kyberturvallisuusstrategia

sivu 3

4 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

Keitä kyberturvallisuus koskettaa?

• Edelliseltä sivulta voidaan huomata, että Kyberturvallisuus ja

kyberturvallisuusstrategian implementointi koskettaa yhteiskuntaa

hyvin laajalti:

• Poolisi, puolustusvoimat, muut viranomaiset, lainsäätäjät, yritykset,

kansalaiset

• Viimeaikaiset paljastukset ja tietomurrot ovat yksi osoitus siitä, että

asia koskettaa hyvin monia toimijoita

• Mandiant APT1 raportti kiinan tiedustelusta

• Edvard Snowden paljastukset NSA:n tiedustelusta

• Kotimaiset uutiset laajoista tietomurroista

5 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

Mitä organisaation tulisi tehdä lyhyellä ja pitkällä aikajänteellä?

• Yhteistä viimeaikaisille paljastuksille ja tietomurroille on

ollut ainakin se, että suuri osa kohteista ei ole havainnut

tapahtunutta, vaikka tunkeilija on monessa tapauksessa

ollut järjestelemissä vuosia -> Havainnointi ja siten myös

reagointikyky on ihan riittämätön

• Lyhyellä aikajänteellä pitäisi ainakin:

• Kysyä itseltään kysymys: Tiedänkö minä mitä verkossani ja

järjestelmissäni tapahtuu ja huomaisinko jos niissä tapahtuisi ei-

toivottua.

• Kun vastaus edelliseen on ” En”, niin parantaa havaitsemis- ja

reagointikykyä

• Liity Havaroon, jos voit. Varmista, että raporttien perusteella

organisaatiossasi tehdään oikeasti tutkintaa mitä on meneillään

Onko tähän edellytykset (osaaminen, lokit, laitteet)

• Hyödynnä IDS, SIEM, verkon valvontaa yms. ratkaisuita ja selvitä

millaista liikennettä verkossa on, mihin sieltä avataan yhteyksiä yms. -

> Tulokset ovat usein jännittäviä

Kuva: Mandiant APT1 report

6 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

Mitä organisaation tulisi tehdä lyhyellä ja pitkällä aikajänteellä?

• Pidemmällä aikajänteellä tulisi ainakin:

• Pystyä seuraamaan mitä verkossa ja järjestelmissä tapahtuu

ja pystyä reagoimaan ei-toivottuihin tapahtumiin

• Myöntää, että aika, jolloin uskottiin, että järjestelmien

suojaaminen on mahdollista, on ohi ja varautua siihen, miten

toimitaan, kun havaitaan tietomurto

• Keskittyä myös muiden, kuin perinteisten IT-järjestelmien

suojaamiseen ja tilan seurantaan

• Yhteiskunnan tulisi luoda toimintamalli ja ratkaisut, joiden

avulla yksittäisten organisaatioiden tekemästä tutkinnasta

saataisiin muodostettua uhkien kokonaiskuva, joka olisi

kaikkien käytettävissä

• Havaro ja ” kyberturvakeskus” ovat askelia oikeaan suuntaan

ja luovat edellytyksiä tähän, mutta eivät vielä nykyisellään ole

tarpeeksi

Kuva: Mandiant APT1 report

HAVARO

Case Esimerkki

8 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

Asiakkaan

ympäristö

Mikä HAVARO, ja miten KPMG voi siinä auttaa?

HAVARO on Viestintäviraston ja Huoltovarmuuskeskuksen tietoturvapalvelu

huoltovarmuuskriittisille organisaatioille. Käytännössä palvelu perustuu organisaation

Internet-liikennettä tutkivaan IDS-sensoriin (Intrusion Detection System) joka etsii

liikenteestä haitallista sisältöä.

Internet

HAVARO

-raportti

Asiakas-

organisaatio

KPMG:n HAVARO-palvelu:

-Forensiikka

-Lokien keräys ja analysointi

-Tiedonhaku

-Riskianalyysi

-Reverse Engineering

-Kehitysehdotukset

HAVARO

haittaohjelma-

havainto

sensorista

KPMG kommunikoi ja tekee yhteistyötä myös

CERT:n kanssa tietoturvapoikkeaman selvityksessä.

9 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

HAVARO Case-esimerkki (Huoltovarmuuskriittinen yritys) – Mitä teemme?

■ KPMG käy viikoittain läpi asiakkaan kriittiset (punaiset) HAVARO-poikkeamat, ja

merkittävät (keltaiset) poikkeamat kuukausittain.

■ KPMG analysoi ja suhteuttaa riskin asiakkaan ympäristöön ottaen huomioon eri

suojausten toimivuuden.

■ KPMG analysoi tapahtuman vaikutuksia asiakasympäristössä:

– KPMG:llä on suojattu yhteys asiakkaan ympäristöön VPN:n ja hyppypalvelimen kautta (lukuoikeus eri

lokitietoihin)

– KPMG suorittaa asiakkaan operatiivisten järjestelmien lokitutkintaa tapauksen selvittämiseksi

(Palomuuri/IDS, Internet Proxy, CMDB, SCCM, Antivirus, Työaseman/palvelimen lokit)

– KPMG suorittaa tiedonhaun ja analyysin hyökkäyksestä tai haittaohjelmasta (Internet, KPMG-sisäinen

tietoturvayhteisö, ym.)

– Haittaohjelma voidaan suorittaa ja sen toimintaa tutkia myös KPMG:n omassa ” hiekkalaatikko” -

ympäristössä (Reverse Engineering)

– Työasemalle/palvelimelle tehdään tarvittaessa myös syvempää forensiikkaa (esim. Rootkit-etsintää)

■ Yksityiskohtainen raportti asiakkaalle tapahtumasta ja sen seurauksista, sekä

suositukset jatkotoimenpiteistä.

■ Kehitysehdotuksia ympäristöön liittyen (esim. lokienhallinnan kehittäminen), ja

ehdotus miten vastaavia poikkeamia voidaan jatkossa paremmin torjua (Javan

suodatus Internet-proxyllä, haavoittuvien ohjelmistojen päivitys tms.)

10 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

HAVARO Case-esimerkki (Huoltovarmuuskriittinen yritys) – Miten teemme?

■ Saatuaan HAVARO-raportin KPMG ensin analysoi sen sisällön ja havaintojen

merkityksen KPMG:n toimistolla.

■ Tämän jälkeen otamme yhteyden asiakkaan lokijärjestelmiin ja selvitämme:

– Mitä laitteita havainto mahdollisesti on koskettanut

– Onko eri suojauskeinot toimineet ja estäneet ei-toivottavan tapahtuman

– Mitä on tapahtunut ja missä järjestyksessä

– Tapahtuman kategorisointi riskin tyypin, laajuuden ja kohteen kriittisyyden perusteella

– Vaatiiko asia toimenpiteitä välittömästi tai pidemmällä ajanjaksolla

■ Jos tapaus vaatii välittömiä toimenpiteitä, olemme yhteydessä asiakkaaseen ja

kerromme mistä on kyse ja mitä pitäisi tehdä.

■ Tarvittaessa autamme asiakasta korjaavissa toimenpiteissä ja/tai menemme

paikanpäälle tekemään syvällisempää analyysiä/muita toimenpiteitä

■ Laadimme asiakkaalle selvityksen asiasta ja annamme suosituksia

suojaustoimenpiteiden kehittämiseksi

– Suojaustoimenpiteiden kehittäminen ei yleensä liity yksittäiseen HAVARO-havaintoon, mutta se voi olla

herätteenä kehitystoimille, jotka jatkossa estävät muitakin ei-toivottuja tapahtumia.

11 © 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affi liated w ith KPMG International Cooperative

(“ KPMG International” ), a Swiss entity. All rights reserved.

HAVARO Case-esimerkki (Huoltovarmuuskriittinen yritys) - Hyödyt

■ Asiakas on saanut paremman käsityksen siitä, mitä Havaro-raportin havainnot

tarkoittavat ja on pystynyt suhteuttamaan riskit omaan ympäristöönsä, ottaen

huomioon olemassa olevat suojauskeinot.

– Punainen Havaro-havainto ei ole kriittinen, jos suojaukset torjuvat sen tehokkaasti.

■ Asiakas on pystynyt paremmin perustelemaan tehtyjen tai uusien

tietoturvainvestointien tarpeellisuuden, koska on voitu osoittaa mitkä kontrollit

ovat ehkäisseet ei-toivotun tapahtuman.

– Jos mitkään kontrollit eivät ole ehkäisseet ei-toivottua tapahtumaa, suunnitellaan mahdollisesti uusia

kontrolleja tai kehitetään olemassa olevia.

■ Asiakas on voinut ” nukkua yönsä paremmin” tietäen, että ongelmatilanne ja

sen aiheuttaja on selvitetty.

■ Asiakas on saanut konkreettisia ehdotuksia suojaustoimien parantamiseksi,

jotka on myös toteutettu.

■ Kriittisten (punaisten) Havaro-havaintojen määrä on pudonnut tehtyjen

toimenpiteiden ansiosta.

■ Ympäristöstä on saatu tietoa riittävätkö järjestelmien lokitasot nykyisellään

selvittämään tietoturvapoikkeamia riittävällä tasolla

■ Asiakas on saanut mitattavaa ja raportoitavaa tietoa tietoturvan tilasta. Toimiiko

esimerkiksi päivitystenhallintaprosessi ja noudatetaanko tietoturvapolitiikkaa?

Kiitos!

Mika Laaksonen

KPMG Oy Ab