Tietoturva kuntoon Suomessakin
Reagointi tietoturvauhkiin vaatii organisaatiolta entistä tarkempaa silmää ja järjestelmällisyyttä. Lisäksi pitäisi lopultakin päättää siitä, kenelle kuuluu julkisen hallinnon tietoturvaloukkausten käsittely.
Millaisia kehitystoimenpiteitä ja resursseja vaadittaisiin, jotta tietoturva-asiat saataisiin Suomessa kuntoon, CERT-FI-yksikön päällikkö Erka Koivunen?
– Tähän voin luonnollisesti vastata vain omasta kapeasta tehtäväalueestani katsoen. Tietoturvaloukkausten ja -uhkien havainnointiin tulee kiinnittää paljon nykyistä enemmän huomiota. Tämä vaatii yhtä paljon organisaation omien loki- ja sensorijärjestelmien käytön tehostamista kuin avointen lähteiden nykyistä tehokkaampaa hyödyntämistä sekä niiden arvon tunnustamista.
Oletetaan, että olisit vastuussa tietyn verkkopalvelun tietoturvasta. Käytettävänäsi on 30 000 euroa palvelun tietoturvan parantamiseen. Miten käyttäisit sen?
– Jos oletetaan edelleen, että oman organisaation työ ”ei maksa mitään” ja että palvelu toteutetaan omin voimin, sijoittaisin rahan tietoturvan auditointiin. Parhaimmillaan ulkopuolisen suorittama ammattitaitoinen järjestelmätarkastus paljastaa turvallisuuspuutteet ennen kuin hakkerit keksivät hyödyntää niitä. Jos rahoista jäisi jotakin yli, kehittäisin havainnointikykyä – keskitettyjä lokipalvelimia, IDS-järjestelmiä, flow-analyysiä ja niin edelleen. Ja pyytäisin lisää rahaa.
CERT-FI tietoturvan asialla
Viestintäviraston automaattinen tietoturvaloukkausten käsittelyjärjestelmä CERT-FI Autoreporter prosessoi vuosittain noin 200 000 ilmoitusta suomalaisista tietoturvaloukkausten uhreista. Lisäksi CERT-FI:n päivystäjät käsittelevät tuhansia muita tapauksia.
Julkisuuteen CERT-FI viestii mahdollisimman harvoin ”asianomistajien” nimillä, mutta jakaa mahdollisimman kattavasti tietoja, joilla muut voivat suojautua vastaavilta ongelmilta. Tällaisia tietoja ovat hyökkäysvektorit, eli tieto haavoittuvuudesta ja hyökkäyksen tekotavasta. Koivusen mukaan CERT-FI saa varsin hyvin tiedon tapauksissa, joissa tietoturvaloukkausten vaikutukset näkyvät kolmansille osapuolille ja käyttäjille.
Julkisen puolen puutteet
Huolestuttavaa sen sijaan on, ettei julkisen hallinnon tietoturvaloukkausten käsittely kuulu tällä hetkellä oikein kenellekään. CERT-FI olisi luonteva valinta niin kutsutuksi GovCERT-viranomaiseksi.
– Sellaiseksi meitä ehdotettiinkin jo yli kymmenen vuotta sitten niin kutsuttujen TIHA-työryhmien (Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt) tuloksena. Nyt olisi korkea aika saattaa edelleen ajankohtaiset suositukset voimaan.
Valtiolta puuttuu Koivusen mukaan myös kyky ympärivuorokautiseen havainnointiin ja ensivasteeseen tietoturvaloukkaustapauksissa. – Tarve on tunnistettu ensimmäisen kerran jo vuonna 2003, mutta mitään ei ole tapahtunut.
CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen.
Koko haastattelu on luettavissa Ratkaisu 1/2012 -lehdessä.
