TigerTeam - suomalainen tietoturvablogi

Työntekijämme vierailevat säännöllisesti luennoimassa tietoturva-alan tilaisuuksissa. Tässä kuussa nixulaisia oli puhumassa OWASP-järjestön Suomen paikallisjaoksen kevätkauden viimeisessä tilaisuudessa Helsingissä.

Ari Kesäniemen aiheena oli Mobile application threat analysis ja Nixu Open -yksikköä edustanut Juhani Mäkelä taas piti esityksen otsikolla Why Privacy Matters? – Some thoughts about privacy and mobile application security.

Esityksiin voit tutustua PDF-muodossa OWASP Helsinki -jaoksen sivuilla vaikket tilaisuuteen olisi päässytkään osallistumaan.

Esitykset ovat englanninkielisiä.

Mikä OWASP?

Verkkosovelluksien tietoturvaan keskittyneen, kansainvälisen vapaaehtoisjärjestö OWASP:n (Open Web Application Security Project) tarkoituksena on edesauttaa turvallisten sovellusten kehitystä ja ylläpitoa OWASP Helsinki Chapter -alajaos perustettiin Suomeen vuonna 2006.

Wikileaks-sivusto teki 28. marraskuuta historiansa suurimman julkistuksen tuomalla julkisuuteen Yhdysvaltain keskushallinnon ja suurlähetystöjensä välistä pitkänajan viestinvaihtoa. Tämä Cable Gateksi nimetty paljastus vakiinnutti Wikileaksin asemaa mediataivaan uutena ja vaikutusvaltaisena tähtenä. Onko kyseessä pyrstötähti joka syttyi ja kohta sammuu; en aivan näin usko. Uskon, että ilmiö tulee vahvistumaan ja monien organisaatioiden on syytä miettiä ilmiön vaikutuksia.

Wikileaks on sanonut tekevänsä seuraavat paljastuksensa Yhdysvaltain pankkimaailmasta. Näin sen toiminta työntyy suoraan yritysmaailmaan ja siksi monet yritysten riskienhallinnasta vastaavat joutuvat tekemisiin uuden konkreettisen riskiprofiilin kanssa. Mitä tehdä, miten varautua? Siinäpä kysymyksiä.

Tulivatko wikileaksit jäädäkseen?

Onko kyseessä asia joka tulee ottaa huomioon, vai sammuuko tämä tähti? En usko sen sammuvan, vaan päinvastoin. On mitä ilmeisintä, että Wikileaksin toiminta tulee voimistumaan ja se saa “copy catteja” seurakseen. Wikileaks perustuu voimakkaaseen aatteellisuuteen läpinäkyvyyden positiivisista vaikutuksista korruption ja väärinkäytösten vastaisessa taistelussa. Mutta senkin toiminta saattaa toiminnan laajetessa arkipäiväistyä ja aatteellisuus työntyä sivummalle. Wikileaksin vanavedessä tullee kaupallisilla motiiveilla toimivia paljastajia, joita ei ohjaa sama aatteellinen puhtaus. Eli ilmiö tulee voimistumaan ja se pitää ottaa huomioon.

Paljastukset voivat olla laajoja kuten Cable Gate, jolloin moni muukin kuin varsinaisessa paljastuksen ytimessä oleva organisaatio tulee vedetyksi mukaan ja maineriski realisoituu. Maailman toiminnan verkostoituessa riski siihen, että tulee vedetyksi mukaan kasvaa. Riskiä kasvattaa myös se, että reaalimaailman digitaalinen ilmentymä kasvaa koko ajan. Se mitä tapahtuu reaalimaailmassa jättää yhä suuremman digitaalisen jalanjäljen.

Tätä digitaalista jalanjälkeä on merkittävästi helpompi käyttää hyvässä ja pahassa kuin muuta todistusta kyseisestä reaalimaailman tapahtumasta.

Paikan päälle meneminen ja dokumenttielokuvan tekeminen on paljon vaikeampaa ja kalliimpaa kuin samasta asiasta kertovien digitaalisten todisteiden haltuun saaminen. Toisenlainen on myös todistusvoima. Eli olemme tekemisissä pysyvän ja voimistuvan trendin kanssa.

Entä jos maineen tahraakin kumppani?

Maailman talouden verkostoitumisen kautta ei enää auta, että oma pesä pystytään pitämään puhtaana. On myös oltava varmuus siitä, että verkostokumppanit, alihankkijat, tavarantoimittajat, jakelijat, tuotekehityskumppanit jne. toimivat niin, ettei niiden kautta aiheudu kohtuutonta maineriskiä. Tämä on monesti erittäin vaikeaa. Monella alalla on raaka-aineiden ja komponenttien tuottajia hyvin vähän, niiden kanssa on toimittava tai olet ulkona bisneksestä. Ilman Kiinassa tapahtuvaa energiansäästölamppujen valmistusta eivät valot lännessä pala.

Miten sitten toimia muuttuneen riskiprofiilin kanssa? Muutama näkemys tästä:

Olisi määriteltävä mikä on salaista ja pidettävä se sellaisena. Ja loppu täytyy pitää sellaisessa kuosissa, että sillä ei mainettaan menetä. Tiedon luokittelun ja luokittelun mukaisen prosessoinnin on pääsääntöisesti nähty olevan retuperällä. Tämä ei tyypillisesti vaadi mitään järeitä investointeja, vaan prosessien viilaamista, voimaansaattamista ja laadukasta toimintaa. Toki tätä toimintaa voidaan auttaa ja parantaa esim. Data Loss Prevention -järjestelmillä (DLP). Ja se mikä ei ole salaista, se pitäisi saada oikeaan muotoon ja mieltää jo menetetyksi. Tässä sosiaalinen media toimii hyvänä opastajana. Sallimalla ja antamalla ohjeita sosiaalisen median käytöstä, organisaatio samalla opettaa itseään toimimaan puolijulkisesti ja ”vuotavan kanavan” kanssa. Uskon tämän muuttavan käyttäytymistä myös näennäisesti turvallisten viestivälineiden, kuten sähköpostiviestien suhteen.

Näemme vielä tulevaisuudessa toimijoita, jotka korvaavat sisäisen ja suljetun sähköpostin täysin julkisella viestivälineellä, jolloin kaikki on jo julkista ja mitään tietovuodon mahdollisuutta ei siltä osin enää ole.

On luonnollisesti monia tietoja, joita organisaatiot eivät voi julkistaa, koska tätä säädellään laeilla ja määräyksillä. Julkaisemattomuuteen voi olla syynä toki myös se, ettei organisaatio itse omista kyseistä tietoa. Esimerkiksi ihmisiin liittyvä ja yksityisyyden suojan alainen tieto on tällaista. En usko Wikileaksin tai sen kopioijien olevan tällaisen tiedon perässä, koska se ei palvele heidän tarkoitusperiään. Mutta organisaatiotkin koostuvat ihmisistä ja monen yksityisyyden suoja tulee noissa paljastuksissa rikottua. Tämä sinällään on väärin ja ehdottomasti tuomittavaa.

Kirjoittaja on Nixun toimitusjohtaja.

Viime päivinä on uutisoitu laajasti Ruotsin, Tanskan ja Norjan Yhdysvaltain-suurlähetystöjen suorittamasta tarkkailutoiminnasta, jonka tiedot kerätään Yhdysvalloissa sijaitsevaan tietokantaan.

Löysimme verkosta yksityisyydensuojan vaikutusten analysointidokumentin (ns. Privacy Impact Analysis -dokumentti), joka kuvaa tarkasti mitä tietoja kohdemaissa lähetystöjen turvallisuuden takaamisen nimissä tallennetaan.

Julkisuuteen nousseen toiminnan taustalla on järjestelmä, joka tuntee nimen SIMAS, joka on lyhenne sanoista Security Incident Management Analysis System – turvallisuusuhkien hallinta- ja analysointijärjestelmä. Toimintaa valotettiin ensimmäistä kertaa Norjan TV2-kanavan uutislähetyksessä viime viikon lopulla. Lähetystöissä toiminnasta vastaa Surveillance Detection Unit -yksikkö SDU tarkoituksenaan turvata lähetystöjen toiminta kohdemaissa. Tarkoituksena on siis saada selville rikollinen ja epäilyttävä toiminta suurlähetystöä tai sen henkilöstöä vastaan.

Tietokantaan tallennettavia tietoja ovat passi- ja viisumitietokannoista haettu kansalaisuustieto, ikä, sukupuoli, silmien väri sekä hiustyyli ja hiusten väri. Myös tieto mahdollisista arvista ja tatuoinneista tallennetaan. Kasvokuva kuuluu myös perustietoihin ja sen perusteella voidaan tietokantaan kirjata esimerkiksi hiusten väri.

Tiedot käyvät ilmi Yhdysvaltain ulkoministeriön määrämuotoisesta dokumentista (pdf), joka käsittelee henkilön identifioivaa tietoa tietojärjestelmissä. Yksityisyydensuojaa kuvaavat menettelyt dokumentoiva asiakirja on laadittava jokaisesta valtionhallinnon tietojärjestelmästä.

Henkilökohtaisten haastattelujen myötä saatuja tietoja puolestaan ovat osoite, puhelinnumero sekä vanhempien nimet. Tammikuussa päivitetyn dokumentin mukaan perustietoihin tallennettava ikä saattaa olla ikäarvio, mutta haastattelemalla tiedustellaan tarkka syntymäaika. Paikalliset poliisiviranomaiset antavat myös tietoja tarkkailuyksiköille.

Myös autojen rekisteritunnuksia

Dokumentin mukaan tietoja kerätään myös valokuvaamalla, joten esimerkiksi suurlähetystöjen lähettyvillä liikkuneiden henkilöiden kasvokuva tai auton rekisteritunnus on saattanut tulla tallennetuksi SIMASiin. Norjan TV2:n mukaan esimerkiksi mielenosoituksiin osallistuneita on valokuvattu tietokantaan.

Ruotsin oikeusministeri Beatrice Ask on vahvistanut lauantaina länsinaapurissa tapahtuneen tietojen keruun, mutta korosti käytettyjen tiedonkeruumenetelmien olleen pelkästään laillisia. Ruotsin Yhdysvaltain-lähetystön mukaan suurlähetystössä toimiva yksikkö ei ole luonteeltaan salainen.

Pääsy tietokantaan on muun muassa USA:n terrorismintorjunnan virastolla sekä tiedustelun ja tutkimuksen keskusvirastolla (INR). Terrori-iskujen estämisen nimissä tietoja pääsevät lukemaan myös keskustiedustelupalvelu CIA, liittovaltion poliisi FBI, puolustus-, oikeus- ja energiaministeriöt, kotimaan turvallisuuden virasto DHS sekä lukuisat muut yhdysvaltalaisviranomaiset. Mahdollisesti siis jopa kymmenet tuhannet virkamiehet Yhdysvalloissa. Mistään pienestä joukosta ei joka tapauksessa ole kyse.

Dokumentti vakuuttaa tietosuojakysymyksiin pureudutun teknisillä kontrolleilla, tietoturvakoulutuksella, käyttöoikeusmenettelyillä sekä henkilöstön taustaselvityksillä. Suojausmenetelmäksi mainitaan myös automaattinen uloskirjautuminen järjestelmästä kun se on ollut tietyn ajan käyttämättömänä, listaa dokumentti. Järjestelmää hallinnoi diplomaattiturvallisuuden keskusvirasto Bureau of Diplomatic Security.

Myös yrityksiltä kaivataan vastuullisuutta

Yhdysvaltain valtionhallinnon panostus tietoturvaan ei mm. GAO:n raporttien mukaan kuitenkaan ole ollut riittävää. Täytyykin toivoa, että em. prosesseja noudatetaan ja tietosuoja-asiat otetaan vakavasti. Esimerkiksi epärehellinen työntekijä kun saattaa hyvinkin olla kiinnostunut myymään seurantatietoja eteenpäin.

Samaa vastuullisuutta vaaditaan myös yritysmaailman toimijoilta niin koti-Suomessa kuin maailmallakin. Isännöimämme Tietoturva ry:n seminaari ensi viikolla käsittelee mm. kanta-asiakastietojen käsittelyn yksityisyyden suojan toteuttamista.

Suojelupoliisin lausunnon mukaan Suomessa ei ole vastaavanlaista tarkkailuyksikköä. Edellä mainitun dokumentin mukaan SIMAS on kuitenkin käytössä kaikissa Yhdysvaltojen lähetystöissä maailmanlaajuisesti.

Kirjoittaja toimii tietoturvakonsulttina Nixun Inspect-yksikössä ja seuraa aktiivisesti tietoturvan ja yksityisyyden suojan tilaa meillä ja maailmalla.