nro 4/2003 |
Hyökkäys ja puolustusMarkku Kuula (HKKK), Kristel Sarlin (TKK) ja Martti Tammisto (HY) Kulunut vuosi on ollut varsin vilkas tietoturva-asioiden osalta. Ajankohtainen kysymys on, miten ylläpitäjien tulee menetellä ja miten he voivat toimia erilaisissa ongelmatilanteissa. Lainsäädäntö on monelta osin tulkinnanvaraista. Ylläpitäjillä on kyllä hyvä tekninen osaaminen ja usein keinojakin ratkaista ongelmia, mutta heillä pitää olla parempi ohjeisto, johon nojautua ratkaisuissaan. Usein ratkaisut joudutaan tekemään melko kiireisellä aikataululla. 
Tässä artikkelissa kuvataan tietoturvaongelmia vain seuraavien uhkien näkökulmasta ja tarkastellaan toimenpiteitä, joilla tietoverkkojen- ja järjestelmien toiminta voidaan turvata yliopistoissa. Uhkia Tietotekniikan käyttö on tänä päivänä kaikkialla läsnä olevaa. Tietoverkkojen toiminnan häiriintyminen saattaa pahasti vaikeuttaa yliopistojen toimintaa, tai jopa lamaannuttaa koko yhteiskunnan toiminnan. Tästä olemme saaneet esimakua kuluneen syyskesän aikana. Nopeasti maapallon ympäri leviävät haittaohjelmat voivat saada aikaan muutakin kuin roskapostivyöryjä, jotka tukkivat verkot. Ne voivat myös estää verkon kautta tarjottujen palvelujen toiminnan. Hakkerointi ei ole enää suljetun yhteisön keskinäisen maineen keräämistä, vaan tätä asiantuntemusta käyttävät hyväkseen sekä eri maiden valtiollinen tiedustelu ja rikolliset vakoilijat että järjestäytyneet verkkoterrorismia harjoittelevat ja suunnittelevat tahot. Rikolliseen toimintaan kaapatut tietokoneet voivat olla vakoilun välineinä lähettämällä tallennettuja luottamuksellisia tai salaisia aineistoja ennalta määrättyihin osoitteisiin. Nämä tiedot voivat olla liikesalaisuuksia, tutkimustuloksia, taloudellisia tietoja, käyttäjätunnus-salasana -pareja tai muita arkaluonteisia tietoja. Näitä tietokoneita voidaan myös käyttää väliportaina toisaalle hyökättäessä mm siten, että hyökkäys voidaan käynnistää samanaikaisesti eri puolilla maailmaa jonkin yrityksen, palvelun tai yhteiskunnallisen toiminnon lamaannuttamiseksi. Niitä voidaan käyttää myös roskapostin elelleenlähettämiseen satunnaisiin tai ennalta suunniteltuihin kohteisiin. Mikäli joku ulkopuolinen taho ottaa haltuunsa organisaation tietokoneet, voi tämän organisaation toiminta estyä, tiedot vuotaa tai organisaatio voi osallistua tietämättään hyökkäykseen. Tästä seuraa suoranaisia taloudellisia menetyksiä tai maineen menetys. Pahimmassa tapauksessa organisaatio voi joutua lopettamaan toimintansa. Myös yliopistojen maine on rahan arvoinen tekijä esimerkiksi tutkimussopimusten kautta saatavien tulojen muodossa. Yritysten on voitava luottaa siihen, että yhteistyö hoidetaan vuotamatta tietoja asiaankuulumattomille tahoille. Yksittäisen käyttäjän työhön vaikuttavat näkyvimmin:
Nämä ovat harmillisuudestaan ja työnteon estämisen sekä ylimääräisen ylläpitotyön aiheuttamasta taloudellisesta menetyksestä huolimatta kuitenkin edellä mainittuja uhkia pienempiä. Toimenpiteet uhkien torjumiseksi Tietoverkon ja -järjestelmien ylläpitäjien velvoitteisiin kuuluu toiminnan jatkuvuudesta huolehtiminen hyvää tiedonhallintatapaa noudattaen siten että tietojen saatavuus, oikeellisuus, luotettavuus, varmistus, luottamuksellisuus jne. turvataan. Normaalioloissa ylläpitotehtäviin kuuluvat järjestelmän toiminnan seuranta, ohjelmistojen päivittäminen tarvittaessa (esimerkiksi löydettyjen ohjelmavirheiden tai -puutteiden, ns. reikien, korjaamiseksi), tietojen varmuuskopioinnit, virustentorjuntaohjelmien ja roskapostin suodatusohjelmien pitäminen ajan tasalla jne. Ylläpitäjien on voitava tarkistaa verkkoon kytkettyjen koneiden tietoturvan taso sekä suorittaa tietoturvapäivitykset silloin kun puutteita havaitaan, koska yksikin huonosti hoidettu laite verkossa voi vaarantaa koko yliopiston verkon toiminnan. Käyttäjän on omalta osaltaan kannettava vastuunsa tietojärjestelmien käytön turvallisuudesta. Jokaisessa työasemassa on oltava ajan tasalla oleva virustorjuntaohjelma. Tarpeelliset ohjelmistojen päivitykset on suoritettava ja järjestelmän asetuksissa on otettava turvallisuus huomioon. Erityisesti kannettavien laitteiden ja langattomien verkkojen käyttäjien tietotasoa tietoturvallisuutta uhkaavien tekijöiden ja niiden torjumiskeinojen suhteen on parannettava. Myös erilaisiin käyttäjän toimiin liittyvät suositukset, ohjeet ja joiltakin osin myös kiellot edesauttavat toiminnan varmistamista. Perinteisen akateemisen vapauden määritelmää on uudessa tilanteessa kavennettava kokonaisuuden toiminnan turvaamiseksi. Käyttäjiin kohdistuvia toimenpiteitä uhkien vähentämiseksi ovat nykyistä tehokkaampi tiedotus, koulutus, uusien toimintatapojen käyttöönotto, esimerkiksi asiakirjojen välitystapoihin verkon välityksellä. Käyttäjiä voidaan kieltää asentamasta omille koneilleen ohjelmistoja tai heiltä on voitava kieltää sellaisten palveluiden käyttö, joiden tiedetään levittävän haittaohjelmistoja. Hyökkäystilanteissa ylläpitäjien toiminta on kilpajuoksua hyökkääjien kanssa. Vaatimukset toiminnan jatkuvuuden, käytettävyyden, luottamuksellisuuden, yksityisyyden suojan ym. turvaamiseksi ja hyökkäysten haittojen ja tuhojen minimoimiseksi ovat tietyiltä osin ristiriidassa keskenään. Ylläpitohenkilöstön toimintaa säätelevät erilaiset lait, toimintasäännöt, ohjeet ja määräykset. Lainsäädäntö, määräykset ja ohjeet eivät anna riittäviä poikkeusolojen valtuuksia ylläpitäjille. Ylläpitäjän voi olla pakko tuhojen vähentämiseksi ryhtyä radikaaleihin toimenpiteisiin, joita normaalioloissa pidettäisiin ohjeiden vastaisina. Tällaisia toimenpiteitä voivat olla esimerkiksi viruksia sisältävien viestien ja roskapostien totaalisuodatus silläkin uhalla, että joukossa tuhotaan "oikeata" postia, viruksia sisältäneistä viesteistä ilmoittamatta jättäminen vastaanottajille, verkon osien sulkeminen, joidenkin palvelujen sulkeminen, tietokoneiden irrottaminen verkosta jne. Hanke yliopistojen yhteisen ohjeiston luomiseksi ylläpitäjille Työryhmä, johon kuluvat Kristel Sarlin (TKK), Markku Kuula (HKKK), Martti Tammisto (HY) ja Kari Suokko (HY) sekä Mikael Kiviniemi ja Olli-Pekka Rissanen (VM), on valmistellut hanke-esitystä yliopistojen yhteisen ohjeiston luomiseksi ylläpitäjille. Tarkoituksena on, että yliopistoyhteisö, johon kuuluu noin 300 000 henkilöä, yhteisesti määrittelisi ylläpitohenkilöstölle toimintaohjeet, joiden puitteissa he voisivat mahdollisimman hyvin torjua hyökkäyksiä, minimoida tuhoja ja varmistaa tietoverkkojen ja -järjestelmien jatkuvan toiminnan. Näissä pelisäännöissä tullaan ottamaan huomioon tekniikan tuomat mahdollisuudet, uhkat ja rajoitukset sekä lainsäädännön asettamat rajoitukset ja suomat mahdollisuudet. On tarpeen laatia myös malli yhteiseksi tiedottamissuunnitelmaksi, jonka mukaisesti kaikille asianosaisille tahoille annetaan oikeata ja ajantasaista tietoa hyökkäystilanteista käyttäen tarvittaessa hyväksi muita kuin sähköisiä tiedotuskanavia. Yliopistojen atk-keskuksilla on pitkät perinteet yhteistoiminnasta eri toimintasektoreilla. On laadittu mm. yhteisiä käyttösääntöjä, sähköpostisääntöjä ja tietoturvapolitiikkaa. On myös osallistuttu valtiovarainministeriön nimeämän Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) asettamiin työryhmiin, jotka ovat laatineet yleisiä tietoturvaohjeita. Tätä yhteistyötä yliopistojen kesken ja VM:n kanssa tiivistetään edelleen. Hanke-esitystä käsiteltiin 28.10.2003 Suomen yliopistojen rehtorien neuvostossa, jossa päätettiin ryhtyä pikaisesti hankkeeseen. |