Sivusto vuotaa – mitä tehdä?

Tietokone 07/2009 Sivu 51 Pertti Hämäläinen
Sivusto vuotaa – mitä tehdä? Piirros: Petri Rotsten

Vastaat yrityksesi web-sivustosta, ja sinuun otetaan yhteyttä Viestintäviraston Cert-FI-yksiköstä. Sivustosta on löydetty sql-haavoittuvuus, jonka avulla kuka hyvänsä voi selata asiakasrekisterin tietoja. Mitä teet?
Kun verkkopalvelun tietoturvan havaitaan vuotavan, tavallisin ensireaktio on sulkea palvelu välittömästi ja käynnistää pikaiset vian etsintä- ja korjaustoimet. Paikkauksen jälkeen on itsetutkistelun aika. Mikä meni pieleen, ja miten tilanteen toistuminen voitaisiin estää?
Tietojärjestelmäkehityksessä mukana ollut suorittava henkilöstö tarttuu niihin välineisiin, joihin helpoimmin yltää. Haavoittuvuuksien etsintään on tarjolla eri tasoilla toimivia ilmaisia ja maksullisia ohjelmistoja ja palveluita, joiden avulla toimivaa sivustoa tai sen pohjana olevaa lähdekoodia voidaan skannata.
Mutta oma apu ei aina ole paras apu. Vaikka välineiden asentaminen ja käyttäminen on yleensä it-ammattilaiselle suhteellisen suoraviivainen tehtävä, käytön suunnittelu ja tulosten analysointi vaativat ammattitaitoa. Välineistä on eniten hyötyä silloin, kun niitä on totuttu käyttämään rutiininomaisesti osana kehitystyön laadunvalvontaa. Paljastuneen ongelman jälkipeliin uusi väline tuo harvoin välitöntä helpotusta.

Apuja ulkoa

Yrityksen johdon näkökulmasta it-henkilöstö kärsii kämmin käytyä luottamuspulasta. Vakuuttelut tapojen parantamisesta ja uusien välineiden voimasta jättävät sijaa epäilyksille. Tilannetta pahentaa, jos seuraava ongelma paljastuu edellisen ollessa vielä tuoreessa muistissa, mikä ei ole ensinkään epätodennäköistä.
Luottamus saadaan parhaiten palautettua tarkastuttamalla tietoturvan taso ulkopuolisella asiantuntijalla, jonka sekä johto että it-henkilöstö voivat tunnustaa auktoriteetiksi. Koska tarkastuksissa yleensä löytyy yhtä ja toista korjattavaa, turvan tasoa saadaan myös aidosti nostettua.
Yritysjohto voi myös haikailla turvatakuiden perään. Voisiko tietojärjestelmille hankkia jonkinlaisen tietoturvasertifioinnin?
Erityisesti web-sivustoja koskevia tietoturvastandardeja ei ole kehitetty, vaikka niiden tietoturvaa on pyritty kehittämään erityisesti Owasp-yhteisön (www.owasp.org) piirissä. Inspecta Sertifiointi Oy voi myöntää yrityksen it-toiminnoille yleisesti ISO/IEC 27001 -standardin mukaisen tietoturvasertifikaatin, mutta rankan kehittämisprojektin vaativan sertifioinnin on hakenut Suomessa vain 12 yritystä.
Sertifiointiprosessit opettavat yritykselle paljon tietoturvasta, ja sertifikaattien avulla voidaan hakea imagohyötyjä. Ne eivät kuitenkaan yksin takaa järjestelmien turvallisuutta, koska inhimillisen virheen vaara on aina olemassa ja käytetyistä valmisohjelmistakin löytyy kaiken aikaa uusia turva-aukkoja.
Korkean profiilin tietoturvakonsultit lähtevät mielellään tarkastamaan yrityksen tietojärjestelmien hankinta-, rakentamis- ja käyttöprosesseja kokonaisuutena. Esimerkiksi tilintarkastustoimistojen sinänsä hyödylliset palvelut eivät kuitenkaan tuo yrityksen web-sivustojen teknisten puutteiden perkaamiseen pikaista apua.
Nopeaa helpotusta saadaan rajaamalla tarkastus haavoittuvimmaksi koettuun osaan kuten julkaistuihin palveluihin, ja valitsemalla tarkastusta tekemään riittävän tekninen kumppani.

Nopea toimitus

Tarkastus alkaa yleensä palaverilla, jossa rajataan tarkastettava kohde ja käydään läpi sen speksit ja liittymät muihin järjestelmiin. Yksittäisen auditoinnin työmäärä on yleensä yhdestä kolmeen henkilötyöviikkoa. Juuri tätä pitempään tarkastajat eivät mielellään yhtä järjestelmää höylää, koska löydettyjen puutteiden määrä laskee nopeasti ajan kuluessa.
Jos pienellä yrityksellä ei ole kokemusta tarkastuksista tai kohdejärjestelmä koetaan pieneksi ja yksinkertaiseksi, viikonkin panostus voi tuntua isolta. Helsinkiläinen Louhi Networks onkin tuotteistanut myös vakiomuotoisen Quicksecure-pikaskannauksen, jonka raportin saa nähtäväkseen muutamassa päivässä.
Yrityksen tietoturvapalvelujohtaja Henri Lindberg luonnehtii palvelua ensikosketukseksi auditointeihin. Jos Quicksecure löytää puutteita, perusteellisempi tarkastus löytäisi niitä todennäköisesti lisää. Toisaalta jos mitään ei löydy, se todistaa vain, ettei yhden päivän tarkastuksella löytynyt mitään.
Tarkastuksen tuloksena syntyy raportti, jonka perusteella asiakas ja tarkastuksen tekijät käyvät läpi korjaustarpeet. Tarkastajien suositukset menevät yleensä helposti läpi, mutta viime kädessä asiakas pystyy itse parhaiten arvioimaan löydetyn ongelman kriittisyyden liiketoimintansa kannalta.
Nsense-yhtiön Esa Etelävuori toteaa, että haavoittuvuuksien käytännön kriittisyysaste voi poiketa vaikkapa määräystenmukaisuusluokituksista. Esimerkiksi staattisen sivuston hakukentästä löytyvä xss-haavoittuvuus ei välttämättä avaa merkittävää uhkaa, vaikka onkin PCI-standardin kriittisyysluokassa 3. Toisaalta standardi keskittyy luottokorttinumeroiden turvaamiseen eikä takaa sitä, etteikö saitilta voisi tilata tuotteita ohittaen maksutapahtuman kokonaan, muistuttaa Etelävuori.

Tarkastus tavaksi

Milloin tietoturvan tarkastus pitäisi tehdä? Auditoijat ovat yhtä mieltä siitä, että kaikki uudet järjestelmät tulisi tarkastaa ennen niiden käyttöönottoa. Tarkastus pitäisi myös uusia suurempien muutosten jälkeen. Auditointi tulisikin budjetoida osaksi järjestelmien kehittämiskuluja.
Jos muutokset ovat vähäisiä eikä järjestelmän tietoturvalle aseteta kovin korkeita vaatimuksista, esimerkiksi kerran vuodessa tehtävä tarkastus voidaan katsoa riittäväksi. Tarkastuksen kohdetta voidaan myös säätää niin, että seuraavalla kerralla auditoidaan edellisellä kerralla vähemmälle huomiolle jätettyjä osuuksia.
Kriittisimpiin järjestelmiin voidaan kohdistaa penetraatiotestausta myös jatkuvana palveluna. Silloin myös uudet haavoittuvuustyypit löydetään järjestelmästä sitä mukaa kuin auditointiyritys lisää niiden testauksia arsenaaliinsa.

Parhaan kykymme mukaan

Millaisen takuun tietoturva-auditoijat antavat työlleen? Voiko tilaaja luottaa, että tarkastettu ja tarkastusraportin suositusten mukaan korjattu palvelu on turvallinen?
Ei voi. Vastuullinen yritys ei tällä alalla tunne eikä anna takuita, toteavat tarkastajat yksimielisesti. Jokainen tarkastus löytää palvelusta vain ne virheet ja haavoittuvuudet, joita senhetkisestä versiosta on sillä kertaa etsitty.
Uusia haavoittuvuuksia löydetään turvallisiksi luulluista ohjelmista, käytännöistä ja jopa tiedostoformaateista jatkuvasti. Minkä hyvänsä komponentin päivitys tai asetusten muutos voi tuoda palveluun uuden tietoturva-aukon.
Paras takuu onkin, että auditointiyritys on olemassa vielä ensi vuonnakin ja sen asiantuntijat ovat jatkuvasti käytettävissä.
Miten järjestelmien tietoturvallisuus on kehittynyt vuosien saatossa? Varsinaisia tilastoja eivät auditoijat myönnä virhetyyppien yleisyydestä keränneensä, mutta ovat yhtä mieltä siitä, että tarkastuksissa löytyvien virheiden määrä ei ole vähenemään päin.
Ohjelmistotalot ovat kyllä kiitettävästi siirtyneet tietoturvaongelmien jälkikäteispaikkailusta ennakoivaan haavoittuvuuksien torjuntaan. Järjestelmien kuitenkin kehittyessä jatkuvasti monipuolisemmiksi niiden välisten liittymien määrä kasvaa, alihankintaketjut pitenevät ja alalle tulevat uudet ohjelmoijat toistavat edeltäjiensä virheitä. Owasp top 10 -lista on jatkuvasti ajankohtainen.
Louhi Networks
Helsinkiläinen Louhi Networks on erikoistunut Web-sivustojen tietoturvan tarkastamiseen, mutta tekee myös perinteisen verkkoturvallisuuden tarkastuksia. Yritys syntyi vuonna 2007, kun verkkokauppaohjelmistoja tekevä Smilehouse yhtiöitti hosting-palvelunsa ja tietoturvakonsultointinsa. Yrityksen menetelmä perustuu Owasp-dokumentaatioihin, ja se tekee myös julkista haavoittuvuustutkimusta, kertoo tietoturvapalvelupäällikkö Henri Lindberg.
Nsense
Espoolainen 15 hengen vahvuinen Nsense on vuonna 2007 perustettu tietoturvatestaus- ja -konsultointitalo, jonka tarjoamat sähköisten palveluiden ja liiketoimintajärjestelmien auditoinnit kattavat niin prosessit ja käytännöt kuin alustat, verkot ja sovelluksetkin. Yhtiöllä on asiakkainaan viitisenkymmentä organisaatiota pankki- ja finanssilaitoksista ja suurista pörssiyhtiöistä teknologia-alan pk-yrityksiin Pohjoismaissa. Kuvassa vasemmalta tietoturvakonsultti Patrik Ajalin, yhtiön perustaja Joakim Sandström, tietoturvakonsultti Esa Etelävuori sekä toimitusjohtaja Jonas Lundberg.
Codenomicon
Oululaisen Codenomicon-yhtön tietoturva-asiantuntija Heikki Kortti kertoo vuonna 2001 perustetun yrityksen saaneen alkunsa Oulun yliopistossa tehdystä tutkimusprojektista, jolla pyrittiin systematisoimaan tietoturvahaavoittuvuuksien etsintää. Ideana on pommittaa kohdejärjestelmää rikotulla syöteliikenteellä järjestelmällisesti puskuriylivuotojen ja muiden tyypillisten ohjelmointivirheiden löytämiseksi.
Yhtiön Defensics-tuotenimen alla on testisetit noin 150 tietoliikenneprotokollalle ja tiedostoformaatille. Asiakkaina ovat perinteisesti olleet tietoliikennelaitteiden valmistajat ja ohjelmistotalot, mutta viime vuosina yritys on laajentanut tarjontaansa operaattoreille ja pankeille tarjottaviin hyökkäystesteihin yhdessä toisen oululaisen tietoturvayrityksen, Clarified Networksin kanssa.

Tarkastukset osaksi kehittämistä

Lähivakuutus on valtakunnallinen, noin tuhat henkilöä työllistävä keskinäinen vakuutusyhtiö. Yrityksen tietoturvapäällikkö Leo Niemelä kertoo, että tietoturvan tarkastaminen on integroitu viime vuosina yhä lähemmäs sovelluskehitysprosessia. Käytettyjä tietoturvastandardeja ovat ISO/IEC 27002 sekä PCI, vaikka yrityksellä ei olekaan velvoitetta sertifioitua näiden mukaisesti.
Kaikki julkaistavat palvelut auditoidaan jo ennen tuotantoon vientiä. Tarkastukset korostuvat myös muutoshallinnassa, ja käytetyistä valmisohjelmistoista julkistetut haavoittuvuudet tarkastetaan erikseen. Myös tuotannossa olevien palveluiden haavoittuvuutta testataan jatkuvasti.
Tietoturva-auditoinnit on Lähivakuutuksessa ulkoistettu. Tarkastuksissa käytetään useimmiten vakiotoimittajaa, mutta tarkastuskohteita on myös pilkottu osiin, joita voidaan kilpailuttaa.
Tietoturvatarkastuksen kilpailuttaminen on Niemelän mielestä sikäli ongelmallista, että taustalla oleva arkkitehtuuri on monimutkainen ja vaatii pitkällistä perehtymistä. Vaikka yhteen toimittajaan luottamisessa on riskinsä, Lähivakuutuksessa ei ole lähdetty tarkastuttamaan järjestelmiä kilpailevilla auditoijilla, koska tarkastajien työtä voidaan arvioida myös omien asiantuntijoiden voimin. Eipä Suomessa web-palveluita kovin moni talo tarkastakaan, huomauttaa Niemelä.
Koska kaikki julkaistut palvelut tukevat suoraan liiketoimintaa, tietoturvan budjetointi on yksiköissä suhteellisen suoraviivaista. Kun auditoinnit ovat jo mukana systeemityömallissa, niiden osuus uusien järjestelmien kehittämisestä jää ehkä noin kahdesta neljään prosenttiin kokonaiskustannuksista.
Yrityksen internetpalvelut pohjautuvat pitkälle räätälöityihin sovelluksiin, joita kehitetään sekä oman it-henkilöstön että kumppanien voimin. Niemelä korostaakin, että tietoturva-auditointien ja haavoittuvuustestausten mahdollisuus on kirjattava jo sopimuksiin.
Viime kädessä järjestelmän omistajan pää joutuu vadille tietoturvan pettäessä, joten tilaajalla on ensisijainen vastuu auditointien järjestämisestä. Kumppanuusajattelun yleistyessä ymmärretään kuitenkin yhä yleisemmin, että haavoittuvuuksien ja tietoturvapuutteiden löytäminen mahdollisimman varhaisessa vaiheessa hyödyttää kaikkia osapuolia, eikä auditointien suorittamista enää juuri vastustetakaan.

Turvallisuuskoulutus lapsenkengissä

Finanssisektori on huoltovarmuuskriittinen ala, jossa palveluiden pitää toimia myös poikkeusoloissa. Lähivakuutus onkin tarkastanut paitsi ulkoa hankittujen sovellusten myös konesalipalveluiden ja puhelinjärjestelmien tietoturvan tasoa.
Tarkastuksissa löytyy yleensä aina jonkin verran haavoittuvuuksia. Ihmisethän systeemityötä tekevät ja virheitä sattuu, toteaa Niemelä ja valittelee, että erityisesti tietoturvallisen ohjelmoinnin koulutus on Suomessa lapsenkengissään.
Auditoinnin jälkeen työn tekijät ja auditoijat käyvät raportin läpi ja arvioivat löydetyt haavoittuvuudet yhteistyössä. Yleensä ongelmat ovat helposti korjattavissa, mutta joskus ne vaativat enemmän työtä. Haavoittuvuuksien arvioinnissa on riskienhallinnan näkökulma mukana, mutta yhä enemmän tietoturvalliset järjestelmät nähdään osana yleistä laatuajattelua.
Tietoturvan kenttä on Niemelän mielestä muuttunut viime vuosina sikäli, että alan nopeasyklisyys on korostunut. Tuotannossa olevaan järjestelmään ei enää voi jättää tietoturvapuutetta viikkokausiksi paikkaamatta. Onneksi valmisohjelmienkin haavoittuvuuksille löytyy yleensä jokin neutralointikeino jo ennen varsinaisen paikkauksen julkaisemista.
Tarkastusten tarve ei ainakaan vähene, kun palveluja siirretään vauhdilla verkkoon ja tekeminen tapahtuu yhä enemmän kumppaniverkoston voimin. Sopimusteknisesti olisi vaikeata kirjata sanktioita tietoturvaongelmien vaikkapa yrityskuvalle aiheuttamista vahingoista, joten on parempi tehdä laatua kerralla, päättää Niemelä.

Tagit: -
Lähetä Tulosta Tilaa RSS-syöte
Takaisin ylös

Tietokone 5/2012 julkaisupäivä 16.5.2012

Katse näyttöön

Edessäsi ole oleva näyttö on kovin erilainen kuin ei-kovin-kauan-sitten yleisimmin käytetyt kuvaputkinäytöt. Eikä kehitys pysähdy. Toukokuun Tietokoneessa katsotaan näyttöjen tulevaisuuteen ja myös testataan terävät 27-tuumaiset näytöt. Ensituntumaa otetaan tulevan Windowsin palvelinversiosta. Vinkkejä tarjotaan muun muassa pc-hygienian ylläpitoon.

Tilaa Tietokone-lehti Osta digilehti
Takaisin ylös

Tietokone 07/2009

Tietokone 07/2009

Lehden uusimmat numerot ovat vain tilaajien luettavissa. Vanhemmat numerot ovat vapaasti kaikkien luettavissa.

Voit myös ostaa Tietokoneen digilehden.

Uusimmat uutiset

Näytä kaikki

Uusimmat softaesittelyt

Näytä kaikki

Uusimmat blogimerkinnät

Näytä kaikki

Uusimmat keskustelut

Näytä kaikki
Tietokone

IT-työpaikkailmoitukset

Näytä kaikki
TTL ry
Pieni kirjapuoti
Takaisin ylös