Tietoturva : Tietoturvaa toteuttamassa

Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella

Ohje: Lue alla oleva johdanto ja valitse nimikoimaton tehtävä sen alla olevasta luettelosta. Nimikoi tehtävä eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen toteutuskerran tunnus muodossa (201*-x), missä x=s tai k. Tämän voit tehdä aiheen varauksena jo ennen kuin saat kirjaa haltuusi. Laadi noin 150 sanan mittainen vastaus tehtävän alle. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.

Ari Andreasson, Juha Koivisto: Tietoturvaa toteuttamassa

Kirja on hyödyllinen lähde tietohallinnon parissa työskenteleville monenlaisissa organisaatioissa. Tietotekniikan opiskelijalle tai sitä työssään soveltavalle kirjan välitön anti ei ole niin suuri. Tietoturvallisuuden opiskelijalle sitä vastoin kirja tarjoaa tilaisuuden kokonaisvaltaiseen ja silti käytännölliseen tarkasteluun. Jotta kirjatehtävä pysyisi kohtuullisen kokoisena, sille asetetaan seuraavaksi rajattu konteksti.

Ajattele olevasi töissä pienessä yrityksessä, jossa päätoimesi ohella hoidat tietoturvallisuuden. Tämä voi tarkoittaa, että sinä olet päässyt vaikuttamaan yrityksen tietojenkäsittelyn kokonaisarkkitehtuuriin. Joka tapauksessa sinä kirjoitat (tai päivität) tietoturvapolitiikan, saat sille hyväksynnän, toteutat siinä määriteltyjä turvatoimia, valvot sen noudattamista ja puutut ongelmiin. Pystyäksesi kaikkeen tähän tarvinnet hiukan enemmän kuin Tietoturva-arjen kurssin opit. Tässä kirjatehtävässä pääset valitsemasi kysymyksen kohdalta alkuun. Tiivistä, mitä kirjan mukaan tietoturvan toteuttajan pitäisi tehdä. Keskity nimenomaan tietoturvallisuuteen ja muista rajaus pieneen yritykseen. Sellaisessakin voi olla runsaasti käyttäjäkunnan vaihtuvuutta ja vaihtelevuutta (kysymyksiä 6 ja 7 ajatellen). Pienikin yritys voi tarjota asiointipalvelua ja se voi tarvita verkkotunnistusta (kysymykset 9 ja 10). Myös erilaiset ulkoistukset voivat olla tarpeen. Vaikka näihin liittyvän luvun 4 otsikkona on Ulkoistaminen tietoturvakysymyksenä, siinä käsitellyt asia ovat enimmälti muuta kuin suoraan tietoturvallisuutta.

1. Janne Uitto (2018-s): Fyysinen turvallisuus kulunvalvonnan näkökulmasta

Pienessäkin yrityksessä on tarpeellista järjestää kulunvalvonnaksi sähköinen lukko, johon henkilöstöllä on kulkukortit. Lukko aukeaa vain, jos kulkukortissa on kulun sallivat oikeudet. Oikeuksien lisääminen ja mitätöiminen järjestelmään on helppoa. Lisäksi oikeuksien rajaaminen onnistuu esimerkiksi kellonaikaan perustuen tai tilakohtaisesti. Kriittisissä kohteissa voidaan esimerkiksi edellyttää useamman henkilön paikallaoloa ennen kuin ovi aukeaa. Sähköisellä kuluvalvonnalla saadaan myös mahdollisuus biometriseen tunnistautumiseen, mikäli se katsotaan tarpeelliseksi kyseiseen tilaan. Sähköisistä lukoista jää tieto siitä, millä kulkukortilla ovi aukaistiin ja milloin. Tämän avulla mahdollistetaan ongelmien selvittäminen jälkikäteen.

Kulkukortin lisäksi on mahdollista vaatia myös koodin näppäilyä ovella, esimerkiksi normaalin työajan ulkopuolella, jotta pihaan pudonneen kulkukortin avulla ulkopuolinen ei pääse sisälle sellaiseen aikaan, kun toimitiloissa ei ole muuta henkilöstöä paikalla vahtimassa kulkua. Kulkuoikeuksien ajantasaisuus pitää tarkistaa säännöllisesti, jotta vanhojen roolien myötä jääneet oikeudet voidaan poistaa. Kulunvalvontajärjestelmässä monesti näkyy tieto lukossa olevista ovista, ja tämän tiedon paikkansa pitävyys tulisi tarkistaa säännöllisesti. Eli pitää tarkistaa, että lukot, joiden pitäisi olla lukossa, myös ovat.

Hälytinjärjestelmän integraatiolla voidaan ottaa pois hälytykset, kun ensimmäinen luvallinen henkilö saapuu tiloihin aamulla. Automaattinen kytkentä viimeisen poistuessa vaatisi kaiken poistuvan liikenteen leimaamisen. Esimerkiksi konesaleissa tämä voidaan katsoa tarpeelliseksi. Kameravalvonta voidaan yhdistää kulunvalvontaan kuvaamalla sisäänkäynnin ovia. Tallentavan kameran tapauksessa täytyy henkilötietolakia noudattaa.

Hyväkään kulunvalvontajärjestelmä ei auta, jos henkilöstö päästää tiloihin ulkopuolisia, joten toimintatapojen kertominen ja kertaaminen työntekijöille on tarpeellista. Samalla oven avauksella voi päästää tuttuja, mikäli ei ole tarvetta kirjata kaikkia henkilöitä kulunvalvontajärjestelmään. Tiloihin pyrkivää tuntematonta henkilöä voi pyytää näyttämään työntekijäkorttinsa. Varsinkin tilanteissa, joissa kulunvalvonnalla seurataan, keitä tilassa on, niin on tärkeää ohjeistaa kaiken kulkemisen leimaaminen järjestelmään, sisään tullessa sekä poistuessa. Vierailijoilla suositellaan olevan aina saattaja matkassa, mikäli heidän on tarpeellista vierailla muissa kuin yleisissä tiloissa. Vierailijat voidaan myös kirjata järjestelmiin, jotta ongelmien tapahtuessa tiedetään, keitä tiloissa on ollut. Kulunvalvontajärjestelmä muodostaa henkilörekisterin, joten sen osalta tietosuojan ja -turvan täytyy olla kunnossa.

2. Fyysinen turvallisuus laitteistojen näkökulmasta

3. Olli (2019-k) Tietoverkon rakenteet ja toiminta

Tietoverkon rakennetta suunniteltaessa tulee miettiä, mitä verkkoon ollaan liittämässä ja minkälaista tietoa verkossa tulee liikkumaan. Lisäksi tulee pohtia onko siirrettävä tieto kriittistä ja tarvitseeko verkon olla varmennettu. Pienessä yrityksessä verkon kaikkien laitteiden kahdentaminen tulisi liian kalliiksi riskeihin nähden, joten sitä ei kannata tehdä. Kuitenkin verkon kriittisten laitteiden sähkön syöttö voi olla syytä varmistaa UPS-laitteistolla.

Verkkoliikenteen valvominen ja verkon osiin jakaminen on tärkeää palomuurien avulla, minkä oikeaoppinen konfigurointi on merkittävää verkon turvallisuuden kannalta. Onnistumiseen vaikuttavat tiedot verkkoon liitettävistä laitteista ja verkossa siirrettävästä tiedosta. Tämän takia verkon tarkka dokumentointi ja sen ajantasaisuus ovat tärkeitä. Verkossa oleville yrityksen palvelimille kannattaa määritellä lisäksi DMZ-alue, jolla eristetään esimerkiksi palvelimet yrityksen sisäverkosta.

Laitteiston sijoittamisessa täytyy ottaa huomioon se, ettei laitteisiin pääse käsiksi oikeudettomat henkilöt. Esimerkiksi kytkimen sijoittaminen siivouskomeroon ei ole järkevää, vaan sen tulisi olla omassa lukitussa tilassaan. Samoin langattoman verkon tarjoamisessa tulee olla varovainen, ettei sen kautta pääse ulkopuolisia sisäverkkoon. Yksi tapa tähän on tarjota pelkästään internet-yhteyttä langattomasti, jonka kautta työntekijät voivat olla sisäverkkoon yhteydessä VPN:n kautta. Tämä voisi olla pienelle yritykselle helppo ratkaisu. Toinen vaihtoehto on käyttää verkkoon liittyvien käyttäjien tunnistamisessa apuna 802.1X-tekniikkaa. Tällöin voidaan erotella käyttäjät, jotka pääsevät sisäverkkoon sekä vierailijat, jotka pääsevät pelkästään internetiin.

4. Ninni Lempinen (2017-s). Sähköpostijärjestelmä

Pienessä yrityksessä sähköpostijärjestelmän tietoturvan toteuttajan pitää ensimmäiseksi määritellä sähköpostin tietoturvallisuutta koskeva ohjeistus ja linjaukset. Tällä tarkoitetaan sitä, mihin sähköpostia käytetään ja mitä muuta viestinnässä pitää huomioida. On tärkeää myös valvoa linjausten noudattamista sekä mahdollisten sanktioiden antaminen niiden rikkomisesta. Lisäksi tulee myös säännöllisesti arvioida ja tarkastaa yrityksen sähköpostittamista koskevien menetelmien ja toimintatapojen hyväksyttävyys, eli ovatko toimintatavat ja menettelyt sallittuja ja oikeanlaisia sähköpostijärjestelmän tietoturvan ylläpitämiseksi.

Sähköpostin välityksellä hoidetaan nykyään paljon yritysten asioita. Tämän vuoksi yhteyden riittävä suojaaminen on otettava huomioon, kun lähetetään järjestelmässä salassa pidettäviä asiakirjoja ja muita luottamuksellista tai henkilökohtaisia tietoja. Postipalvelimen tulee tukea salattuja SMTP-yhteyksiä, jolloin kahden postipalvelimen välille voidaan muodostaa salattu yhteys TLS-protokollalla. Näin ollen käytetään salattua yhteyttä ja varmistetaan sähköpostien turvallinen toimitus. Jos yhteyttä ei suojata riittävästi turvallisen sähköpostiviestinnän mahdollistamiseksi, täytyy yrityksessä määritellä käytettävät salausalgoritmit viestien salaamiseksi. Tietoturvan toteuttajan pitää siis huolehtia tiedon riittävästä salaamisesta joko viestien tai yhteyden riittävän suojaamisen avulla.

Postipalvelimen salauksen lisäksi tulee ottaa huomioon myös postipalvelimien määrä. Fyysisesti eri palvelimien käyttäminen postin vastaanottamiseen, säilyttämiseen sekä käsittelyyn auttaa suojaamaan palvelimet paremmin. Myös postipalvelimien päivitysten ylläpito on tietoturvallisuuden näkökulmasta kriittinen tehtävä. Tietoturvan toteuttajan kuuluu myös miettiä postipalvelimien suojaaminen niin ohjelmistojen omilta haavoittuvuuksilta kuin muiltakin uhkilta.

Tietoturvan toteuttajan tulee myös ottaa huomioon mahdollinen roskaposti ja minimoida sen vaikutukset. Sähköpostin suodatus voi tapahtua jo postipalvelimen toimesta, mutta suodatusperiaatteet tulee määritellä aluksi. Roskapostia voidaan lisäksi suodattaa liikenteen ehkäisemisellä palomuurin tai www-välityspalvelimen tasolla.

5. Juho Lammasniemi (2019-k) Tietojenkäsittelyn ulkoistaminen

Kirjan luvussa 4 ”Ulkoistaminen tietoturvakysymyksenä” käsiteltiin julkishallinnon tuottamien ICT-palvelujen ulkoistuksia, niiden riskienhallintaa sekä siihen liittyviä toimeksiantosopimuksia. Nämä ovat sovellettavissa myös muihin kuin julkishallinnon palveluihin ohjeita käyttämällä. Palveluja ulkoistettaessa tietoriskit ovat yksi keskeisimmistä riskienhallinnan osa-alueista. ICT-ulkoistamisen tavoitteena on osa-alueiden kuten laadun, toiminnan tehokkuuden ja joustavuuden parantaminen, kustannuksia unohtamatta. Ulkoistettaessa ICT-palveluja tulee yrityksen ottaa huomioon turvallisuuspoikkeamatilanteet sekä jatkuvuuden hallinta. Myös kustannustehokkuus ja palvelun laatu tulisi katsoa tarkkaan.

Ohjeita ICT-palveluiden ulkoistukseen löytyy VAHTI 3/2011 -ohjeesta (Valtion ICT-hankintojen tietoturvaohje). Organisaation ulkoistamishankkeiden riskienhallinnassa pitää ensisijaisesti keskittyä irtoriskien tunnistamiseen ja luokitteluun, ja siinä on tärkeä noudattaa tiettyjä periaatteita. Projektisuunnitelmassa on huomioitava havaitut riskit, on laadittava palvelukuvaukset sekä työstettävä niitä systemaattisesti niiden täsmällisyyden varmistamiseksi.

Tärkeitä asioita ulkoistamisessa on kilpailutus, sopimus, vastuunjako, siirtymävaihe sekä tietoturva. Sen yrityksen kanssa, johon palvelut ulkoistetaan, olisi hyvä käydä läpi myös mitä tapahtuu, mikäli teknisiä ongelmia tulee vastaan palvelusopimuksen ollessa voimassa, sekä palveluntuottajan oikeudet ja velvollisuudet kuten myös vastuuhenkilöt molemmissa päissä.

6. Käyttövaltuuksien hallinta

7. Antti Mielonen (2019-k) Käytön valvonta

Käytönvalvonta on osa käyttövaltuuksien hallintaa. Käytönvalvonnan avulla voidaan todentaa, että käyttövaltuuksia on käytetty tehtävien edellyttämällä tavalla. Käytönvalvonta on tärkeää etenkin rekisterinpitäjille, joiden tulee huolehtia asiakastietojen salassapidosta sekä suojata niitä luvattomalta käytöltä. Lisäksi terveydenhuollon puolella lainsäädäntö jopa vaatii em. toimenpiteitä.

Käytönvalvonta on menetelmä, jolla jälkikäteen esim. audit-lokista tarkistetaan käyttäjien toimet ja ryhdytään tarvittaessa toimenpiteisiin. Käytönvalvonta toimii itsessään pelotteena väärinkäytöksiä vastaan. Lokien käsittelyssä tulee ottaa huomioon työelämän tietosuojalait, joten lokien käsittelyyn tulee olla perusteet. Lokien käsittelystä jää myös jälki käytönvalvontalokiin. Lokeja käsittelee yleensä tehtävään määritelty valvoja.

Viime aikoina myös kansalaiset ovat alkaneet pyytää tietoja käytönvalvonnalta. Esimerkiksi terveydenhuollossa asiakas voi haluta tietää, kuka on käsitellyt hänen tietojaan potilasrekisterissä. Rekisterin pitäjän on ilman aiheetonta viivästystä annettava pyydetyt tiedot.

Mitä tämä tarkoittaa yrityksissä? Käytännössä asiat tulevat eteen, kun yrityksellä on jokin rekisteri, jossa on henkilötietoja. Tällainen rekisteri voisi olla vaikka asiakas- tai henkilöstörekisteri. Myös muut kriittiset tiedot voidaan suojata käytönvalvonnan avulla. Tällaisia tietoja voisi olla vaikka tuotekehityksen tietojärjestelmät. Käytönvalvontaa varten yrityksen tulee huolehtia, että lokien keruu ja säilytys toteuttaa paitsi käyttötarpeen myös tietoturvan ja tietosuojan asettamat vaatimukset.