NIS 2 -direktiivin myötä organisaatioille tulee velvoite ilmoittaa merkittävistä tietoturvapoikkeamista valvovalle viranomaiselle. Miten poikkeama havaitaan? Tässä artikkelissa tarjoamme vinkkejä ja käytäntöjä, miten havaintokyvykkyyttä kehitetään.
Kaikissa organisaatioissa tulee ennen pitkää vastaan poikkeustilanteita, kuten laiterikkoja, inhimillisistä virheistä johtuvia häiriöitä tai tietoturvaloukkauksia. Tällaiset tilanteet voidaan nähdä joko ongelmina tai mahdollisuuksina parantaa toimintaprosesseja. Poikkeaviin tilanteisiin voidaan myös varautua poikkeamanhallinnan avulla.
Poikkeamanhallinnan prosessi käynnistyy poikkeaman havaitsemisesta. Poikkeaman havaitsemiseen tulisi olla riittävät kyvykkyydet, jotta se havaitaan mahdollisimman lyhyellä viiveellä. Tässä jutussa käsittelemme erityisesti poikkeaman havaitsemista.
NIS 2 -direktiivissä ja sen täytäntöönpanevassa kyberturvallisuuslaissa kyberturvallisuuden riskienhallinnan toimenpiteitä ovat muun muassa haavoittuvuuksista ilmoittaminen, poikkeaman havaitseminen ja hallinta, häiriötilanteeseen varautuminen ja poikkeamasta palautuminen. Näillä halutaan varmistaa organisaation liiketoiminnan jatkuvuus.
Lisäksi direktiivi velvoittaa toimijoita ilmoittamaan merkittävästä poikkeamasta valvovalle viranomaiselle. Ensi-ilmoitus tulisi jättää 24 tunnin sisällä merkittävän poikkeaman havaitsemisesta. Jatkoilmoitus on toimitettava 72 tunnin kuluttua. Tässä vaiheessa organisaatiolla tulisi olla jonkinlainen ymmärrys tilanteesta ja toimittaa mahdollisia vaarantumisindikaattoreita eli IoC-tietoja (Indicator of Compromise). Tällaisia tietoa voivat olla palvelun häiriintymisen laajuus, poikkeaman kesto tai niiden palvelun vastaanottajien lukumäärä, joihin poikkeama vaikuttaa.
Jos poikkeamanhallinta tulee organisaatiolle uutena asiana, voi velvoitteiden täyttäminen parantaa oleellisesti organisaation kriisinkestävyyttä.
Jotta poikkeamien havaitseminen on mahdollista, omaisuusluettelon (asset inventory) tulee olla kattava ja ajantasainen. Omaisuusluettelolla varmistutaan siitä, että omaisuutta havainnoidaan riittävällä tasolla ja kattavasti. Omaisuusluettelon luonti ei vaadi yleensä erityisiä investointeja, mutta se voi olla työlästä etenkin, jos luettelointia ei ole aiemmin tehty ja laitteita ja sovelluksia on paljon.
Haavoittuvuustiedon seuraaminen ja haavoittuvuuksien vertaaminen omaan laite- ja sovelluskantaan on usein toteutettavissa pienellä lisätyöllä. Tämä vaatii kuitenkin tiedon organisaation käyttämistä laitteista, sovelluksista ja niiden versioista (omaisuusluettelon). Mikäli sovelluksessa tai laitteessa on tiedossa olevia avoimesti julkistettuja haavoittuvuuksia, on ensisijaisen tärkeää selvittää, onko kyseisiä haavoittuvuuksia jo hyväksikäytetty maailmalla. Mikäli haavoittuvuuksia on hyväksikäytetty, vaatii tapaus ehdottomasti kattavaa jatkoselvitystä. Haavoittuvuuksien korjauspäivitykset kannattaa asentaa mahdollisimman nopeasti poikkeaman syntymisen estämiseksi.
Varmista että käytössäsi on ohjelmistojen ja alustojen tarjoamat tiedonkeruu- ja valvontaominaisuudet. Näitä voivat olla esimerkiksi lokien kerääminen ja automaattisten hälytysten käyttöönotto, julkisten Internet-lähteiden käyttö tietovuotojen havaitsemiseksi tai salaisuuksien, kuten pääsyavaimien skannaus versionhallinnasta. Kannattaa ottaa käyttöön säännölliset rutiinit valvontatietojen läpikäyntiin ja tarkistamiseen.
Henkilöstölle kannattaa suunnitella helpot tavat, joilla he voivat ilmoittaa havaitsemistaan poikkeamista. Organisaatio voi luoda sisäisiä ja ulkoisia ilmoituskanavia helppoon tiedonjakoon. Kanavina voi olla esimerkiksi yhteydenottolomake verkkosivuilla, puhelin, sähköposti, keskustelusovellus tai tekstiviesti. Tässä voi siis hyödyntää jo käytössä olevia kanavia.
Henkilöstöä kannattaa rohkaista ilmoittamaan, jos jokin tuntuu normaalista poikkeavalta. Tärkeintä on vaalia kulttuuria, jossa epäillyistä poikkeamista ja virheistä uskalletaan ilmoittaa. Käyttäjät usein tuntevat käyttämänsä järjestelmän parhaiten. Epäilys poikkeamasta voi herätä, jos jokin näyttää epänormaalilta, järjestelmä hidastelee, havaitsee omituista liikennöintiä tai tiedostoissa on epänormaaleja muutoksia. Toimijan kannattaa myös tiedottaa henkilöstöään ajankohtaisista poikkeamista. Näin henkilöstö osaa varautua esimerkiksi ajankohtaisiin haavoittuvuuksiin sekä huijauksiin.
Poikkeamien havainnointi perustuu usein tallennettuun lokitietoon ja sen käsittelyyn. Ylläpitäjän ensimmäinen askel onkin luoda perusteet havainnointikyvylle ja kytkeä päälle ohjelmistojen tai laitteiston tarjoama riittävä lokitus.
Lokitiedot tulee kerätä turvalliseen paikkaan ja niiden sisältöä valvoa jatkuvasti. On tärkeää varmistaa, että lokeja muodostuu. Lokien muodostumattomuutta ei huomaa palvelua tai järjestelmää käyttäessä, vaan se tarkistetaan lokitallenteelta. Jos lokia ei muodostu, se voi olla merkki ei-toivotusta toiminnasta tai virheellisestä asetuksesta.
Keskitetyn ja eriytetyn lokienhallintajärjestelmän käytöstä on useita hyötyjä. Poikkeaman selvittäminen voi olla sujuvampaa, kun eri järjestelmien lokit ovat yhdessä paikassa ja niitä voi vertailla keskenään. Lisäksi eriytetty lokijärjestelmä voi suojata todisteita vakavampien poikkeamien aikana, kun esimerkiksi pahantahtoinen toimija ei pääse tuhoamaan kaikkia todisteita. Lokijärjestelmä voidaan eriyttää myös käyttämällä erillisiä käyttöoikeuksia.
Ohjelmistoja ja tuotteita hankkiessa kannattaa selvittää niiden kyky tuottaa lokia. Havainnointikyvyn rakentamisessa tai hankintojen yhteydessä voidaan hyödyntää myös uhkamallinnusta. Uhkamallinnuksen tulosten perusteella voidaan räätälöidä lokien asetuksia ja valita kriittisimmät palvelut, joista lokia kannattaa vähintään kerätä.
Lokitietojen ja erityisesti niihin sisältyvien henkilötietojen käsittelyssä tulee ottaa huomioon tietosuojalainsäädäntö. Joissain tapauksissa lainsäädäntö saattaa myös määrittää mitä lokitietoja tulee kerätä. Lokitiedot tulisi kyetä myös poistamaan tai arkistoimaan automaattisesti silloin, kun niiden käsittelylle ei enää ole perustetta.
Teknologia on väsymätön työntekijä, joka kykenee reagoimaan poikkeaviin tilanteisiin nopeasti. Teknologia ei kuitenkaan tapahdu itsestään. Näiden käyttöönottoon ja hyödyntämiseen joutuu [laite- ja ohjelmistohankinnan lisäksi] varaamaan riittävästi osaamista ja henkilöstöä.
Havainnointikyky voidaan toteuttaa esimerkiksi automaattisella valvonnalla keskitetystä lokinhallintajärjestelmästä tai erillisillä sovelluksilla päätelaitteissa. Jotta automaattinen keskitetty havainnointikyky on mahdollista toteuttaa, tulee datan olla helposti käsiteltävässä muodossa. Yleensä tämä tarkoittaa lokitietojen keräämistä yhteen paikkaan, jossa se on laitteen tai ohjelmiston käsiteltävissä.
Pilvipalveluihin on yleensä saatavilla sisäänrakennettuja loki- ja monitorointipalveluita. Palvelua käyttöönottaessa kannattaa varmistaa lokituksen ja monitorointikyvykkyyden laajuus ja riittävyys.
Myös päätelaitteille on saatavissa laajasti havainnointi- ja estosovelluksia. Päätelait-teiden havaitsemat tapahtumat voidaan tarvittaessa hallita keskitetysti erillisellä järjestelmällä. Haittaohjelmia ja viruksia vastaan on olemassa useita erilaisia virustorjuntaratkaisuja.
Valvontaratkaisun valinnassa keskeistä on myös sen mitoittaminen oikein. Kustannuksen hyötysuhde voi jäädä heikoksi, jos sen tarjoamaa kattavaa havainnointitarjontaa ei pystytä hyödyntämään. Tässä tilanteessa voi olla viisaampaa keskittyä yksinkertaisten ratkaisujen yhdistelmään. Havainnointikyvykkyyttä voi hankkia myös valmiina SOC-palveluna.
Valvontaratkaisun tarve lähtee liiketoiminnan strategiasta ja liiketoiminnan jatkuvuuden tarpeesta. Toteutuksen lähtökohtana on kriittisten järjestelmien ja ohjelmistojen tunnistaminen sekä niiden havainnointikyvyn tarpeen tarkistaminen. Näiden tunnistamisen tukena voi käyttää organisaation riskiarviota, uhka-analyysiä ja uhkamallinnusta.
• Tarvitaanko valvontaa 24/7 vai riittääkö 8-16? Millaista reagointiaikaa odotetaan?
• Paljonko valvottavia laitteita ja sovelluksia on?
• Missä valvottavat laitteet ja sovellukset sijaitsevat?
• Tuleeko valvonnan myös pyrkiä puolustamaan tietojärjestelmää automaattisesti?
• Mitä ominaisuuksia tarvitaan?
Esimerkiksi ylimääräisten laitteiden kuten "vale" langattomien tukiasemien (Rogue WLAN AP), ylimääräisten DHCP-palvelinten, tiedon häviämisen (DLP, Data Loss Prevention), tunkeutumisyritysten, haittaohjelmien, tietojärjestelmän tilamuutosten ja kapasiteettiongelmien havainnointi.
• Onko tilojen fyysinen turvallisuus riittävällä tasolla, esimerkiksi kamera- ja kulunvalvonnalla?
• Onko muuta erityistä valvottavaa omaisuutta?
Domainit, varmenteet, salaisuudet, ICS/OT (Industrial Control Systems, Operational Technology), IoT (Internet of Things)? Onko laitteita, joita ei pysty liittämään tavanomaisiin valvontaratkaisuihin, mutta joita tulisi kuitenkin valvoa?
• Millaisia resursseja ja osaamista on saatavilla valvontaratkaisun käyttöön ja ylläpitoon?
• Voidaanko käyttää kolmannen osapuolen tarjoamia mahdollisuuksia kuten SOC-palveluja (Security Operation Center)?
