3 Internet-verkon käyttötavat ja niien tietoturvallinen toteutus

3.1 Lähtökohdat

Tietoturvallisuus on merkittävä tekijä Internet-järjestelmiä suunniteltaessa, asennettaessa, kehitettäessä ja laajennettaessa. Jo järjestelmien suunnitteluvaiheessa tulee muistaa, että turvallisuus on jatkuva prosessi, ei ominaisuus.

3.1.1 Lainsäädännölliset lähtökohdat

Internet-verkon käyttötapojen suunnittelun lähtökohta on organisaation toimintaa ja Internet-verkkoa ohjaava lainsäädäntö.

Lainsäädännöstä on tiedostettava organisaation toiminnan perusteita koskevat säännökset kuten tietojen salassa pidettävyyttä ja perustehtäviä koskevat säännökset sekä yleiset tietojenkäsittelyä koskevat säännökset. Edellisten merkitys saattaa olla tarpeen arvioida uudelleen verkkomaailman osalta. Osa tietojenkäsittelyä ohjaavista säännöksistä asettaa vaatimuksia yksittäisille toiminnoille ja sovelluksille, esimerkiksi:
• Laki viranomaisten toiminnan julkisuudesta (621/1999) .

• Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003)

• Laki sähköisistä allekirjoituksista (14/2003)

• Henkilötietolaki (523/1999)

Lainsäädäntöön viitataan tässä ohjeessa silloin, kun on kyseessä Internetiin liittyvän toiminnan ohjaus, Internetiin erityisesti liittyvä ilmiö ja asialla on selkeä tietoturvakytkentä.

Internet-palveluita toteutettaessa tulee huomioida teletoimintaa koskevat säännökset. Koska Internet-verkko on maailmanlaajuinen, säännöksistä ei voida kuitenkaan löytää esimerkiksi koko Internet-verkon luotettavuutta tai palvelutasoa määrittäviä kriteereitä. Teletoimintaa koskeva lainsäädäntö ja sen nojalla annetut Viestintäviraston[1] määräykset ohjaavat lähinnä sitä, mitä suomalaisilta teleoperaattoreilta voidaan vaatia tietoturvallisuuden suhteen, esimerkiksi:

• viestinnän luottamuksellisuus,

• tietty tietoturvataso ja

• asiakkaiden (ml. käyttäjäorganisaatiot) informointi tietoturvariskeistä[2].

Ns. ATK-rikoksia koskevat säännökset antavat joitakin mahdollisuuksia reagoida jälkeenpäin Internet-verkosta peräisin oleviin toteutuneisiin uhkiin. Selvittämiskeinojen rajallisuus, esimerkiksi tapahtumien havaitseminen, tutkinnan vaikeus, kansainvälisen yhteistyön haasteet, lainsäädännön alueellinen ulottuvuus ja lainsäädännön kansainväliset eroavaisuudet kuitenkin antavat suljetun verkon tietoturvan hallintaan verrattuna entistä enemmän aihetta panostaa ennalta ehkäisevään toimiin.

Muista lainsäädännöllisistä osa-alueista tulee huomioida:

• sopimusoikeus sekä Internet-verkon käyttötapojen että erilaisten palvelu hankintojen vastuukysymysten kannalta

• immateriaalioikeudet esim. luvallisen kopioinnin rajojen tiedostamisen tai julkisiin lisensseihin perustuvien ohjelmistojen käytön kannalta

3.1.2 Internetin käytön tietoturvapolitiikka

Internetin käyttötapoihin liittyy kysymyksiä ja päätöksiä, joita ei voida tehdä ilman organisaation korkeimman johdon ja tietohallintojohdon myötävaikutusta. Päätökset edellyttävät myös valmistelu- ja suunnitteluprosessia, jossa toteutusvaihtoehdot arvioidaan sekä toiminnallisista että myös tietoturvanäkökohdista lähtien.

Käyttötapojen valmistelussa, investointipäätösten, hankintojen ja toteutusten teknisessä suunnittelussa on tietoturvallisuuden hallinnan ja toteutuksen näkökulma oltava mukana alusta alkaen. Tämä vaatii riittävää vuorovaikutusta päättäjien ja teknisten asiantuntijoiden välillä niin, että päätöksiä vaativat asiat tulevat päätetyksi ja oikeilla perusteilla. Teknisten sovellusten käyttöönotolla voi olla monissa tietoturvallisuutta sivuavissa kysymyksissä syvällisiä vaikutuksia koko organisaatioon ja sen toimintatapoihin, esimerkiksi:

• Internet-selailuyhteyksien käyttö

•• työajan käyttö ja valvonnan rajat .

•• peruskäyttäjän oma vastuu .

•• ongelmatilanteiden hallinta

• Sähköpostiviestintä

•• sähköpostin käyttötarkoitus ja mahdollisuuden käytön rajoittamiseen

•• käytön suunnitelmallisuus ja kytkentä asiakirjojen hallintaan

•• viestinnän luottamuksellisuuden hallinta ja siihen liittyvät vastuukysymykset

• Sähköinen asiointi

•• kytkentä operatiivisiin järjestelmiin

•• muutokset työskentelyprosesseihin

•• käsittelyprosessien nopeuttaminen

•• vuorovaikutteisuuden hallinta ja eri asiointikanavien rinnakkainen toiminta

•• asiakirjojen hallinta

• Eri organisaatioiden lähiverkkojen yhdistäminen ja järjestelmien integrointi

•• tietoturvatasojen yhteneväisyys

•• valvonnan vastuut

•• palvelutasojen ja tiedon laatuvastuun määrittely

Internetin eri käyttötapojen tietoturvallisuuden hallintaan liittyvät päätökset ja ohjaavat valinnat on syytä kirjata organisaation tietoturvapolitiikkaan.

3.2 Tietoliikenneyhteys Internet-verkkoon

Organisaation sisäverkon liittäminen Internetiin edellyttää sisäverkon eristämistä Internetistä palomuurilla. Palvelinlaitteistot sekä julkiseen että sisäiseen käyttöön tulee myös suojata.

Organisaatio voi käyttää Internet-verkkoa sisäiseen tai muiden valtionhallinnon organisaatioiden kanssa käytävään tietoliikenteeseen edellyttäen, että organisaatio ottaa huomioon osapuolten tunnistuksen, tietoliikenteen salauksen ja käytettävyyden vaatimukset. Yhdistettäessä viranomaisten tietojärjestelmiä Internetin kautta, on käytettävä vahvaa salausta tai suojattava tietoliikenne muilla keinoin.

Yleisimmän tietoturvauhan organisaatioiden järjestelmille aiheuttavat erilaiset haittaohjelmat, virukset, madot ja Troijan hevoset. Näiden ohjelmien toiminnan ennalta ehkäiseminen ja seuranta tulee huomioida Internet-palvelimissa. Parhaat tulokset järjestelmien turvallisuudelle saadaan, kun haittaohjelmien torjunta ja tietoliikenteen seurantaohjelmat ovat osana palomuuriratkaisujen suunnittelua ja toteutusta.

Tietoverkkojen suunnittelussa on huomioitava, ettei Internetin käytettävyyttä (esim. yhteyden kaistanleveyttä ei voi taata) ei ole varmistettu televerkkojen tavalla.

3.2.1 Palvelimen liittäminen verkkoon

Tietoliikenneverkkoon liitettävälle laitteelle/palvelimelle tulee ensimmäiseksi suunnitella sen sijainti verkossa. Sijainnin perusteella laitteelle voidaan suunnitella tarvittavat suojausmenetelmät mahdollisimman perusteellisesti. Liitettäessä palvelin tai laite verkkoon tulee palvelimen/laitteen perusturvallisuudesta huolehtia, koska

• puutteellisesti asennetun palvelimen/laitteen tai väärän käytön seurauksena voi olla luottamuksellisen tiedon paljastuminen tai muuttuminen

• luvaton taho voi päästä käsiksi palvelimeen/laiteeseen ja käyttämään palvelimen/laitteen tietoja sekä resursseja vääriin tarkoituksiin esimerkiksi roskapostien lähettämiseen

• palvelimen/laitteen toiminta voidaan estää palvelunestohyökkäyksillä eivätkä käyttäjät saa tarvitsemaansa palvelua.

Kuvassa 9 on esitetty joidenkin Internet-palveluihin liittyvien palvelinten, kuten WWW-palvelimen ja sähköpostipalvelimen, verkkotopologinen sijainti. Kuvassa on esitetty myös esimerkkinä tunkeutumisen havainnointijärjestelmien (ks. 2.5.5) sijainnit. Perussääntönä verkkotopologiassa on sijoittaa Internet-käyttäjille tarkoitetut palvelimet ulkoiseen eteisverkkoon ja palvelimet, jotka tukevat organisaation omia käyttäjiä, esimerkiksi todennuspalvelin, sisäiseen eteisverkkoon.

Kerroksellisessa suojaamisessa kaikkein kriittisimmät tiedot on sijoitettu Internet-liittymästä katsoen verkon kaikkein sisimpään osaan, tarvittaessa vaikka sisäisellä palomuurilla suojaten. Itse palvelinlaitteiston suojaus on viimeisin osa kerroksellisuutta ja tällä pyritään varmistamaan suojauksen pitävyys, vaikka yksi suojauskerros pettäisikin.

3.2.1.1 Järjestelmän käyttöönoton suunnittelu

Järjestelmän käyttöönotto on monivaiheinen prosessi, jossa tietoturvallisuus tulee huomioida mahdollisimman aikaisessa vaiheessa. Mahdollisesti jo sovelluksia suunniteltaessa, jolloin kaikki sovellukseen liittyvät toiminteet, mukaan lukien tietoturvatoimenpiteet, tulee dokumentoida. Järjestelmien käyttöönoton suunnittelussa pitää ottaa huomioon seuraavat asiat:

• Käyttötarkoituksen määrittely

• Tarvittavat ohjelmistot

• Tiedon- ja tiedostonhallinta

• Käyttäjäryhmät ja käyttövaltuudet

• Lokien käsittely

• Varmuuskopiointi

• Tarvittavat ohjelmistopäivitykset

• Dokumentointi ja testaus

• Vikasietoisuusominaisuudet, esimerkiksi järjestelmiä kahdentamalla saadaan minimoitua mahdollisia käyttökatkoksia.

3.2.1.2 Käyttöjärjestelmän sekä varusohjelmiston asentaminen ja vahventaminen

Internetiin liitettäviltä järjestelmiltä edellytetään jo lähtökohtaisesti korkeaa tietoturvallisuutta. Tekninen perusta tietoturvallisuudelle on käyttöjärjestelmän ja ohjelmistojen asentaminen siten, että järjestelmän väärinkäyttömahdollisuudet on minimoitu. Tähän voidaan käyttää käyttöjärjestelmästä tai ohjelmistosta turvalliseksi esiasennettuja versioita ja/tai tehdä asentaminen jäljempänä esitettävien periaatteiden mukaan.

Useimmat käyttöjärjestelmät ovat yleiskäyttöisiä. Niissä on perusasetuksilla paljon sellaisia palveluita, joita ei tarvita silloin, kun järjestelmää käytetään rajattuun tarkoitukseen. Poistamalla käyttöjärjestelmän tarpeettomia ominaisuuksia vähennetään myös järjestelmän haavoittuvuuksia. Esimerkiksi WWW-palvelimen ei ole tietoturvallista toimia sähköpostipalvelimena, vaikka tämä olisikin helposti toteutettavissa eräillä käyttöjärjestelmillä.

Ylimääräisten ominaisuuksien karsiminen on käyttöjärjestelmä- ja sovelluskohtaista, mutta yleensä asennuksessa ja ylläpidossa voidaan huomioida seuraavat asiat:

• Pääkäyttäjän salasana vaihdettu riittävän turvalliseksi.

• Laajimmilla pääkäyttäjän tunnuksilla ei voi kirjautua järjestelmään suoraan, vaan jokaiselle pääkäyttäjälle on luotu yksilölliset tunnukset.

• Poistetaan järjestelmästä kaikki ilman salasanaa tapahtuvat etäkirjautumismahdollisuudet

• Säädetään aikaraja sisäänkirjautumisen voimassaololle. Tällöin aikarajan umpeuduttua käyttäjä kirjataan ulos järjestelmästä.

• Tarkistetaan, että tiedostoihin ei anneta liikaa käyttöoikeuksia.

• Poistetaan ylimääräiset käyttäjätunnukset.

• Poistetaan väliaikaiset ja ei kenenkään omistuksessa olevat tiedostot niin asennuksen yhteydessä kuin siitä säännöllisesti eteenpäin.

• Tarkistetaan, että käynnistystiedostot ovat vain pääkäyttäjän muokattavissa.

• Poistetaan palvelimesta kaikki tarpeettomat haavoittuvat graafiset käyttöliittymät

• Poistetaan tarpeettomat palvelut

Kaikista alkuperäisistä asennustiedostoista ja asetuksista tulee ennen ominaisuuksien ja palvelujen poistamista ottaa varmuuskopio. Varmuuskopioilla luodaan mahdollisuus järjestelmän toiminnallisuuden palauttamiseen, jos asetusten valinnoissa tehdään virheitä.

Asennuksessa on huomioitava kaikki asennuspäivään mennessä julkaistut järjestelmän turvallisuuteen vaikuttavat korjauspäivitykset.

3.2.1.3 Sovellusten turvallinen asentaminen

Sovellusten asentamisessa noudatetaan samankaltaisia periaatteita kuin käyttöjärjestelmän asennuksessa. Asennuspaketteihin kuuluu lähes poikkeuksetta tarpeettomia palveluja ja tietoaineistoja, jotka tulee poistaa käytöstä. Sovellus tulee asentaa siten, että kyseisellä sovelluksella on oma toiminta-alueensa suhteessa muihin sovelluksiin, kuitenkin niin, että sovellukset pystyvät käyttötarkoituksen mukaisesti toimimaan yhdessä kaikissa tilanteissa.

Suuri osa palvelinohjelmistoista on perusasetuksiltaan haavoittuvia. Ohjelmistojen perusturvallisuus luodaan suunnitelmallisilla asetusten valinnoilla. Perusturvallisuutta asetettaessa tulee huomioida seuraavat asiat:

• Asennetaan ohjelmistosta vain käytettävään palveluun tarvittavat komponentit. Asennuksen yksikertaisuus vähentää inhimillisten erehdysten määrää.

• On suositeltavaa antaa ohjelmistoille vain minimisuoritusoikeudet. Tarpeen vaatiessa yksittäisten ohjelmistokomponenttien suoritusoikeuksia voidaan kasvattaa, mutta oikeudet tulee palauttaa välittömästi minimiin, kun tarve lakkaa.

• “Tarve tietää”-periaatteella jaetuin oikeuksin vähennetään myös inhimillisten virheiden määrää.

• Tärkeiden järjestelmien tietoihin ei saa päästä suoraan Internetistä.

• Tietoturvamekanismeja tulee käyttää monella tasolla. Tällöin yhden järjestelmäkomponentin haavoittuvuus ei vaaranna koko tietoliikenneverkon tai -järjestelmän tietoturvallisuutta.

Eri käyttötapoihin liittyvien ohjelmistojen asetusten valinnan erityiskysymyksiä käsitellään jäljempänä tarkemmin kunkin käyttötavan yhteydessä.

3.2.1.4 Seuranta

Käyttöjärjestelmissä on yleensä valmiina perustoiminnot, joilla seurataan järjestelmän toimintaa, mm. käyttöjärjestelmän tuottamat lokitiedot. Lokitiedoista voidaan selvittää sekä järjestelmän virhetilanteita että luvattomia toimintoja, kuten todisteita mahdollisesta tietomurrosta. Lokitietojen kerääminen, niiden suojaaminen, seuranta ja analysointi on järjestelmän valvonnan kannalta tärkeää.

Järjestelmien tietoturvallisuuden valvonnan kannalta Internetiin yhteydessä olevien palvelimien lokitietoja tarvitaan muun muassa:

• Murtoyritysten ja käynnissä olevien hyökkäysten tunnistamiseen ajoissa.

• Tietoliikenteen kapasiteettiseurantaan.

• Tapahtuneiden hyökkäysten jälkiselvittelyyn (sekä omaan verkkoon kohdistettujen että omasta verkosta lähteneiden).

• Vikatilanteiden selvittämiseen.

Järjestelmälokien ensisijainen tavoite on informoida toimintahäiriöistä ja -virheistä.Esimerkiksi WWW-palveluille lokitiedostoja on neljää eri tyyppiä:

• Tapahtumaloki tai käyttöloki, joka luo laitteen tapahtumasta lokimerkinnän.

• Virheloki, johon kirjataan virheet selityksineen.

• Selaintyyppiloki, joka kerää tietoja asiakasohjelmistoista eli selaimen tyypeistä.

• Viittausloki, johon kerätään HTTP-yhteyteen liittyviä tietoja ja ne URL-tiedot, mistä asiakasohjelmisto tuli organisaation sivuille.

Seurannan kannalta tärkeitä tapahtumia ovat muun muassa:

• Järjestelmään sisään- ja uloskirjautumiset

• Muutokset järjestelmän tilassa, kuten järjestelmän alasajot ja uudelleen käynnistykset

• Prosessorin, muistin ja levytilan seuranta sekä virhetapahtumat

• Järjestelmän ja laitteiden raportoimat tilat ja virheet

• Järjestelmässä käytettävien prosessien aloitus- ja lopetusajat, käynnistysparametrit, tilat ja kesto sekä prosessin käyttäjätiedot

• Poikkeavat verkkoliikenteen tapahtumat

• Käyttäjäoikeuksien muutokset

Lokitietojen kerääminen ja analysointi vaatii etukäteissuunnittelua ja aina tulee selvittää:.
• Lokitietojen sisältö

• Lokitietojen seurantamekanismi

• Lokitietojen keräämisen sijainti

• Lokitiedostojen tallennuspaikka

• Muista järjestelmistä saatavien lokitietojen merkitys asennettavalle järjestelmälle

• Kuinka kauan lokitietoja saa tai tarvitsee säilyttää

Palomuurin tai muun palvelimen lokitiedot tulee kopioida säännöllisin väliajoin laitteesta sisäisessä verkossa olevalle palvelimelle tai muutoin järjestää niiden säilyminen siten, että niitä ei voida muuttaa tai lukea järjestelmästä itsestään. Lokitiedot voidaan ohjata suojatun yhteyden läpi erilliselle lokipalvelimelle, jonka tehtävänä on ainoastaan kerätä lokitietoja.

Lokitiedoille tulee varata riittävästi tilaa ja määritellä, mitä tehdään, jos lokitiedoille varattu tila täyttyy. Esimerkiksi kirjoitetaanko lokitietoja edellisten tietojen päälle, kuten Windows-ympäristöissä on mahdollista tai suoritetaanko palvelua lainkaan, jos lokitietoja ei voida kirjoittaa. Lokitietojen säilytysaika voidaan määritellä organisaatio-/ palvelukohtaisesti.

Lokitiedot eivät saa olla yleisesti saatavilla, vaan pääsy niihin tulee rajoittaa ylläpitohenkilöstölle. Ylläpitohenkilöstö saa käyttää lokitietoja vain teknisiin ylläpitotehtäviin ja muihin tietoturvapolitiikan edellyttämiin toimiin, kuten verkon turvallisuuden seuraamiseen[3]. Teknisen valvonnan järjestämisessä on huomioitava valvonnan järjestämistä ohjaavat säännökset[4] sekä yksityisyyden suojasta työelämässä annetun lain (477/ 2001) velvoitteet teknisen valvonnan tarkoituksen ja menetelmien käsittelystä yhteistoimintamenettelyssä henkilökunnan kanssa. Mm. teknisen valvonnan tarkoituksen selkeä määrittely ehkäisee mahdollisia ongelmia myös tietosuojan kannalta. Erityisesti tulee välttää verkon käytön yksilöintiä henkilötasolle eikä lokitietoja saa yhdistellä toisiinsa ilman erityistä syytä.

Lokitietojen keräämistä ja käsittelyä säätelee myös henkilötietolaki[5]. Lokitiedoista, jotka sisältävät tunnistettavia henkilöä koskevia merkintöjä, muodostuu henkilörekisteri. Henkilörekisteristä tulee tehdä asianmukainen yleisesti saatavana oleva rekisteriseloste, joka tulee tarvittaessa toimittaa Tietosuojavaltuutetun toimistolle.

Lokitietoja seurattaessa on pyrittävä kiinnittämään huomiota normaalista poikkeaviin tapahtumiin esimerkiksi järjestelmien toiminnassa tai tietoliikenteessä. Tämän takia on seurattava myös lähtevää tietoliikennettä. Epänormaali lähtevä liikenne (esim. Telnet- tai FTP-yhteyden avaukset silloin, kun tiedetään, ettei kukaan henkilökunnasta ole käyttämässä kyseistä laitetta) voi olla osoituksena siitä, että järjestelmässä on tunkeutuja ja/tai Troijan Hevonen, joka avaa yhteyksiä.

Teknisen valvonnan suurin haaste on löytää luvattomat yhteydenottoyritykset lokitiedoista. Tähän on olemassa erilaisia myös lokitietojen valvonta-ohjelmistoja, jotka tarkkailevat lokia, ja mikäli ohjelmisto löytää epänormaalin lokiviestin, se tekee asianmukaisen hälytyksen. Esimerkiksi lokitietojen puuttuminen tietyltä aikajaksolta voi olla merkki ulkopuolisen tunkeutujan toimista.

EHEYDEN VALVONTA
Järjestelmän muuttumattomuuden seurantaa helpottavat tiedostojen eheydenhallintaohjelmat, joiden toiminta perustuu tiivistealgoritmeihin[6]. Eheydenhallintaohjelmat laskevat halutusta kohteesta yhdensuuntaisen funktion avulla tiivisteen, joka muuttuu aina, jos alkuperäinen laskettava data muuttuu. Kun tiivisteitä lasketaan ja tallennetaan halutuista kriittisistä tiedoista, laskemalla uudelleen tiiviste saadaan selville, onko luvattomia muutoksia tehty.

Eheydenhallintaohjelmat (kuten Tripwire, Aide) seuraavat valituista tiedostoista edellä mainitulla tekniikalla muutoksia jotka voidaan hylätä tai sallia. Jos muutosta ei sallita, palautetaan tiedot varmistuksilta, joko automaattisesti tai manuaalisesti[7].

ONGELMATILANTEIDEN JA TIETOTURVALOUKKAUSTEN HALLINTA JA SELVITTÄMINEN
Osana järjestelmien tietoturvallisuuden valvontaa on suunniteltava myös toimintatavat tilanteissa, joissa epäillään luvatonta järjestelmään tunkeutumista tai muuta tietoturvallisuuden loukkausta. Usein tällaiseen tilanteeseen reagoinnin pitää olla nopeaa sekä järjestelmän palauttamisen ja toimintakuntoon saattamisen kannalta että tekijän selvittämiseksi. Organisaatioissa tulee olla nimetty henkilö, joka vastaa seurannasta ja edellä mainittujen tilanteiden käsittelyistä.

Valvonnan ongelma on toistaiseksi tietoturvamekanismien, kuten tunkeutumisen  havainnointijärjestelmien, vajavainen toiminta ja “porttien kolkuttelujen” suuri määrä. Tunkeutumisen havainnointijärjestelmät eivät ole vielä pystyneet riittävällä tarkkuudella erottamaan todellisia tietoturvaloukkauksia. Järjestelmät paranevat koko ajan ja niiden merkitys tietoliikenteen seurannan apuvälineinä tulee kasvamaan merkittävästi.

Säännöllisellä tietoliikenteen seurannalla ja erilaisia seurantamenetelmiä (tunkeutumisen havainnointi, palomuurin lokitiedot, virustorjunnan lokitiedot) käyttämällä voidaan tietoturvaloukkauksia havaita. Jos merkkejä tietoturvaloukkauksesta ilmenee tulee tilanteesta riippuen:

• Varmistua, että tietoturvaloukkaus on todella tapahtunut

• Selvittää tunkeutumisyrityksen luonne ja tunkeutumisen vaikutuspiiri

• Arvioida aiheutuneet vahingot

• Estää lisävahingot

• Arvioida (muiden) viranomaisten avun tarve, esimerkiksi CERT-FI[8]

• Kerätä todistusaineistoa ja huolehtia sen käytettävyydestä tarkoitukseensa

• Estää uudet tunkeutumisyritykset

• Palauttaa järjestelmä tarvittaessa puhtaalta varmuuskopiolta

• Tehdä tarvittavat ilmoitukset asianomaisille viranomaisille

• Analysoida tilanne ja oppia tapahtuneesta

Järjestelmiin tunkeutujat peittävät jälkensä usein asentamalla järjestelmään “rootkit”:ksi kutsutun ohjelmistopaketin, joka muuttaa yleisimpiä järjestelmiä siten, että murtautumisen jäljet ovat vaikeammin havaittavissa.

Mikäli murtautumisen yhteydessä ei pystytä varmasti selvittämään, mitä kaikkea järjestelmään päässyt hyökkääjä on tehnyt, on käytännössä yleensä asennettava käyttöjärjestelmä ja sovellusohjelmat uudestaan alkuperäiseltä medialta tai riittävän varhaiselta varmuuskopiolta[9].

3.2.1.5 Dokumentointi

Järjestelmään tehdyt tietoturva- ja muut asetukset tulee dokumentoida. Dokumentoinnin tarpeellisuus korostuu järjestelmään tehtävien uudelleen- /lisäasennusten aikana, jolloin pitää tarkkaan tietään järjestelmän tila.

Järjestelmiin tehtävät uudelleen-/ lisäasennukset voivat johtua seuraavista syistä:

• tekniset häiriöt, esimerkiksi levyrikko

• tietojen muuttuminen tahattomien toimintojen, kuten ohjelmointivirheiden, seurauksena

• tietojen muuttuminen tahallisten tekojen seurauksena, esimerkiksi järjestelmään tunkeutujan toimesta

• ohjelmiin tehtävät korjauspäivitykset

• järjestelmän uusiminen toiminnallisista syistä

Kriittisistä järjestelmistä tulee tehdä elpymissuunnitelma. Elpymissuunnitelmassa tulee määritellä kaikki ne toimenpiteet, joilla järjestelmä saadaan rakennettua mahdollisimman nopeasti sen jälkeen, kun järjestelmän toiminta keskeytyy esimerkiksi laiterikon seurauksena.

Järjestelmien dokumentaatio tulee säilyttää erillään järjestelmästä, jotta esimerkiksi tulipalon sattuessa dokumentaatio ei tuhoutuisi. Dokumentaatiota voidaan säilyttää yhdessä nauha- ja digitaalisten varmistusten kanssa, mutta ei samalla tietovälineellä.

3.2.1.6 Varmistukset

Palvelinten tietosisällöstä tulee aina ottaa varmuuskopiot esimerkiksi nauhavarmistuksina. Varmuuskopioinnin tulee tapahtua säännöllisesti esimerkiksi päivittäin, viikoittain, kuukausittain tai näiden yhdistelminä riippuen muun muassa järjestelmän merkityksestä organisaation toiminnan kannalta. Ensimmäiset varmuuskopiot tulee ottaa heti ensiasennuksen jälkeen. Varmuuskopioita tulee aina säilyttää turvallisessa tilassa ja erillään varmistettavista järjestelmistä.

Internet-palvelimet, kuten DNS-, WWW- ja FTP-palvelimet, varmistetaan kaksivaiheisesti. Palvelinten tietosisältö säilytetään sisäisellä palvelimella. ja tarvittaessa tiedot viedään varsinaiselle palvelimelle. Varsinaisesta palvelimesta ei tarvitse ottaa varmuuskopioita kuin käyttöjärjestelmästä ja palvelimen asennusvalinnoista. Tällöin palvelinten tietosisältö, esimerkiksi WWW-sivusto, voidaan tarvittaessa palauttaa ennalleen nopeastikin.

Sähköpostipalvelin ja palvelimet, joiden tietosisältö muuttuu usein, varmistetaan aluksi viikoittain täysvarmistuksilla ja tämän jälkeen muuttuneiden tietojen osalta varmistuksia otetaan päivittäin. Palvelinten kahdentamista suositellaan silloin, kun palvelun merkitys toiminnalle on huomattava. Järjestelmien kahdentamisessa tulee huomioida myös seuraavat asiat:

• Kustannustehokkuus suhteutettuna hallittavaan riskiin

• Vaikutukset järjestelmien ylläpitoon, esimerkiksi ohjelmistopäivitykset tulee tehdä kumpaankin järjestelmään

• Usein pelkkien järjestelmien kahdentaminen ei riitä, vaan joudutaan kahdentamaan esimerkiksi reitittimiä, kytkimiä ja tietoliikenneyhteyksiä

Palomuurista tulee ottaa täysvarmistus heti asennuksen jälkeen. Tämän jälkeen varmistuksia tulee ottaa säännöllisesti. Mikäli palomuuri tuottaa esimerkiksi suuria määriä lokitietoja ja lokitiedot säilytetään, tulisi viikoittain ottaa täysvarmistus ja muuttuneiden tietojen osalta päivittäin. Turvallisin menetelmä varmistaa palomuuri on varmuuskopioiden ottaminen paikallisesti esimerkiksi varmistusnauhalle. Tällöin ei tarvitse avata uusia tietoliikenneyhteyksiä, jotka mahdollisesti lisäisivät tietoturvauhkia. Joissain palomuuri ratkaisuissa ei itse palomuurilaitteesta tarvitse ottaa varmuuskopioita vaan riittää, kun varmuuskopio otetaan palomuureja hallinnoivasta hallintalaitteesta.

3.2.1.7 Testaus

Palvelinta voidaan testata mm. ohjelmistoilla, joilla analysoidaan tunnettuja tietoturvaaukkoja. Testausta on suositeltavaa tehdä säännöllisesti osana järjestelmällistä tietoturvallisuuden seurantaa, ainakin korkeaa tietoturvallisuutta edellyttävissä ympäristöissä. Lisäksi voidaan käyttää tunkeutumisen testausmenetelmää, jossa käytetään tunkeutujien käytössä olevien ohjelmistojen kaltaisia välineitä sen testaamiseen, onko järjestelmässä sellaisia haavoittuvuuksia, että niiden kautta voi joko murtautua järjestelmään tai aiheuttaa muuta vahinkoa. Menetelmän käyttö vaatii korkeaa ammattitaitoa ja välineiden käyttötarkoituksesta johtuen tulee käytön olla valvottua.

Uusia tietoturvauhkia ja haavoittuvuuksia ilmenee päivittäin, koska käytettäviä ohjelmia ja niiden uusia ominaisuuksia kehitetään ja lisätään jatkuvasti. Esimerkiksi päivitettäessä järjestelmissä olevia ohjelmia, niihin tulee lisää ominaisuuksia ja samalla uutta ohjelmakoodia, joka saattaa sisältää uuden haavoittuvuuden.

Ennen järjestelmän tuotantoonottoa palvelimet tulee testata jokaiselta rajapinnaltaan. Internetistä on saatavilla haavoittuvuusanalysointiohjelmia[10], jotka helpottavat palvelinten asennusvalintojen testaamista. Näitä ohjelmia on hyvä käyttää säännöllisesti tarkistamaan kaikkien omien verkkolaitteiden tietoturvatilannetta.

Järjestelmään käyttöön otettaessa on hyvä testata muun muassa laitteisto, käyttöjärjestelmä, sovellusohjelmisto, verkkoliitäntöjen osat, reititystiedot, loki- ja hälytystoiminnot sekä palomuurin yhteydessä myös kytkimet, keskittimet ja pakettisuodatukset.

Myöhemmin voidaan toteuttaa säännöllisiä testauksia testaussuunnitelman mukaisesti, johon voi liittää esimerkiksi tietojärjestelmien ja –verkon kuormitustestejä.

3.2.1.8 Ylläpito

Ohjelmista löytyy jatkuvasti uusia tietoturva-aukkoja, jotka voivat avata sisäverkkoa ulkopuolisille. Jotta tietoturvallisuutta pystyttäisiin hallitsemaan, tulee organisaatiossa olla jatkuva ja systemaattinen ohjelmistojen ylläpitoprosessi tuotannossa oleville palvelimille ja verkoille. Prosessin tulee kattaa sekä ongelmatilanteet että kehityspäivitykset, jotta organisaation toiminnalle aiheutetaan mahdollisimman vähän ongelmia päivitysten yhteydessä.

Muutostenhallintaprosessin tulee kattaa ainakin seuraavat toimenpiteet:

• Korjauspäivitysten testaus

• Korjauspäivitysten käyttöönotto

• Uusien versioiden käyttöönotto

Tietoturvaohjelmistot, kuten tunkeutumisen havainnointi, haittaohjelmien torjunta- ja sisällöntarkistusohjelmat vaativat jatkuvaa ylläpitoa, koska niiden tietokantojen tulee jatkuvasti päivittyä uusien tietoturvauhkien ilmaantuessa. Lisäksi näiden ohjelmien säännöstöjä voidaan ylläpitäjien toimesta itsekin muuttaa, jolloin voidaan nopeasti ehkäistä esimerkiksi uuden haittaohjelman leviäminen, kun tiedetään jotain haittaohjelman sisällöstä tai toiminnasta[11].

Ohjelmistoihin tehdään jatkuvasti uusia korjauspaketteja. Näiden korjauspakettien tarkoituksena on korjata ohjelmassa esiintyneet raportoidut ohjelmistovirheet, joista on aiheutunut tai aiheutuu tietoturvaongelmia. Korjauspakettien asentaminen järjestelmään on harvoin yksinkertaista ja voi aiheuttaa uusia tietoturvaongelmia, koska ohjelmakoodia on paljon ja korjaus voi avata jonkin uuden tietoturva-aukon järjestelmään. Siksi on tärkeää, että korjauspakettien viemiselle tuotantoon on selvät prosessit, jotka kattavat esitestauksen, asennuksen, testauksen ja seurannan.

Organisaatioiden tulisi analysoida säännöllisesti järjestelmiensä käyttöjärjestelmät, tärkeimmät sovellukset sekä niiden versiopäivitykset. Haavoittuvuusanalyysien tulokset tulee dokumentoida ja havaitut haavoittuvuudet tulee poistaa. Seuraavat korjaavia toimenpiteitä tulee soveltaa:

• Päivitetään järjestelmä tai ajetaan tarvittava korjausajo, joka pienentää löydetyn haavoittuvuuden hyväksyttävälle tasolle.

• Poistetaan tarpeettomat tai haavoittuvat palvelut.

• Mikäli järjestelmää ei voida heti päivittää, tulee järjestelmän haavoittuvuusalttiutta yrittää pienentää, jollain muilla teknisillä tai hallinnollisilla keinoilla.

• Tiukennetaan järjestelmän ylläpitotoimia niin, että taataan järjestelmän päivitysten säännöllisyys.

• Muutetaan organisaation tietoturvapolitiikkaa, arkkitehtuuria tai muuta dokumentaatiota siten, että voidaan varmistua siitä, että järjestelmäpäivityksiä tehdään säännöllisesti.

Ylläpitäjien tulee seurata myös ohjelmavirheitä itse järjestelmässä sekä ohjelmavirheilmoituksia Internetissä, jotta tiedetään, mitkä ohjelmaversiot ovat turvallisimpia. Lisäksi ylläpitäjien toimenkuvaan kuuluu seurata järjestelmien lokitietoja järjestelmähäiriöiden havaitsemiseksi, ellei organisaatiolla ole keskitettyä seurantamekanismia.

Internetistä on myös saatavilla paljon hyviä tietoturvaohjelmistoja ilmais- ja jakeluohjelmina. Yksi niiden ongelmista on usein virallisen, sopimuspohjaisen tukipalvelun puute. Toimimattomuusongelmiin tulee ylläpitäjän itse etsiä vastaukset. Joskus vastauksen voi saada teknisten henkilöiden keskusteluryhmiltä. Mikäli ongelma ratkaistaan ylläpitäjän toimesta, tehdään järjestelmään usein uusia ohjelmaosia. Ilmaisohjelmissa saattaa olla myös paljon yhteensovittamista, joihin ylläpitäjät tekevät omia liitäntäohjelmia. Nämä ohjelmamuutokset jäävät helposti dokumentoimatta ja ovat ylläpitäjän vaihtuessa uusi tietoturvauhka toimintaympäristölle.

3.2.2 Palomuurin tietoturvallisuus

Palomuuri on tietoturvamekanismi, joka sellaisenaan ei riitä turvaamaan organisaation tietoja. Palomuuri ei ole ratkaisu esimerkiksi ohjelmistojen haavoittuvuuksien hallintaan.

Pienissä organisaatioissa ja kotikäytössä riittää myös ns. pienpalomuurilaitteet, jotka suodattavat tietoliikennettä Internetistä ja sallivat vain ns. perustoimintoja, kuten sähköpostin ja WWW-selailun. Nämä palomuurit on helppo asentaa, yksinkertaisia ylläpitää ja ne ovat edullisia. Isoimmissa organisaatioissa tarvitaan palomuurilta ominaisuuksia, joita pienpalomuurilaitteet eivät tarjoa, kuten laajennettavuus.

Palomuuri toimii suojana Internetin ja suojattavan verkon tai sisäverkossa segmentoitavien suoja-alueiden välillä. Palomuuri on osa ratkaisua ja tarjoaa erilaisia suojaominaisuuksia, kuten esimerkiksi:

• estää muun kuin tarpeellisen tietoliikenteen

• ohjata sisään tulevan tietoliikenteen luotettaviin kohteisiin

• piilottaa sisäverkon suojausta tarvitsevat järjestelmät

• kirjoittaa lokia sisään ja ulos menevästä liikenteestä

• piilottaa tietoja järjestelmien nimistä, verkkotopologiasta, verkkolaitteiden tyypeistä ja sisäisiä käyttäjätunnuksia.

Palomuurilaite tai -sovellus on verkon suojaamisen tärkeimpiä komponentteja. Palomuuri ei kuitenkaan ole ratkaisu kaikkeen tietoliikenteen suojaamiseen, koska:

• Sen avulla ei voida kontrolloida tietoliikennettä, joka kiertää palomuurin, kuten erilaiset modeemiyhteydet.

• Kaikki palomuurit eivät tarkastele TCP/IP-pakettien dataosia, ainoastaan protokollat tarkastetaan.

• Aktiivisten yhteyksien tarkistus voidaan suorittaa vain osittain.

• Niin pian kuin yhteys palomuurin läpi on saatu, on mahdollista muodostaa tunneli kyseisestä protokollasta ja ajaa muuta protokollaa tunnelin sisällä.

• Palomuurit eivät suojaa palvelunestohyökkäyksiltä, paitsi järjestelmiä, joihin ei päästetä liikennettä palomuurin läpi.

Pelkästään palomuurin fyysinen asentaminen ei takaa tietoturvallisuutta, vaan palomuuriin on asennettava suojaava säännöstö. Palomuuriratkaisua suunniteltaessa ja asennettaessa tulee huomioida kaikki tässä ohjeessa esitetyt toimenpiteet. Näiden lisäksi palomuurin asentamisessa ja ylläpidossa tarvitaan seuraavia toimenpiteitä:

• Selvitetään topologia- sovellus- ja protokollatarpeet

• Arvioidaan palomuuriratkaisuja ja valitaan laite/tuote

• Palomuurin asentaminen

• Palomuurisääntöjen huolellinen testaus

• Suunnitellaan ja toteutetaan lokien kerääminen ja seuranta.

Palomuurin oikea asennus on erityisen tärkeää. Palomuuri on asennettava ja ylläpidettävä asiantuntevasti. Lisäksi organisaation verkon Internet-liittymäpisteiden tulee olla kontrolloituja ja palomuurin kiertävät Internet-liittymät tulee kieltää. Palomuurin ohittavia suoria yhteyksiä yksittäisiltä koneilta sisäverkkoon voidaan muodostaa vain käyttäen vahvaa salausta ja käyttäjän vahvaa tunnistusta ja todennusta.

3.2.2.1 Topologia-, sovellus- ja protokollatarpeiden selvitys

Internetiin liitettävän palvelimen toimintaan liittyy aina tietoliikennettä. Uuden tai uudelleen asennettavan järjestelmän topologia-, sovellus-, ja protokollatarpeet tulee selvittää ennen kuin järjestelmä liitetään Internetiin. Selvitystyö ei välttämättä ole helppo, koska tiedonvälitystarpeet kasvavat kokoajan. Organisaatiossa saattaa olla mitä moninaisempia tietoliikennetarpeita, mutta ilman tarpeiden keräämistä ja dokumentoimista on hankalaa suunnitella toimivaa ja turvallista ratkaisua. Ennen palomuurin asennusta tai päivitystä on tärkeää tietää organisaatiosta ulospäin suuntautuvat sovellukset ja protokollat.

3.2.2.2 Palomuuriratkaisun arviointi ja laitteen/tuotteen valinta

Palomuuriratkaisun ja sen teknisen laitteen/tuotteen valinta perustuu organisaation tarpeisiin. Laajennettaessa olemassa olevaa palomuuriratkaisua tai hankittaessa uutta tulee arvioida hankittavan laitteen/tuotteen seuraavia ominaisuuksia:

• Kapasiteetti ja laajennettavuus tulee olla riittävällä tasolla. Mikäli palomuurin tarvitsee tukea myös VPN-ratkaisuja, vaaditaan myös enemmän prosessoritehoa.

• Liittymät jo olemassa oleviin tietoturvamekanismeihin, joita voi olla muun muassa palomuuri, todennuspalvelu ja virustorjunta.

• Toiminnot, joista palomuurin tulee suoriutua huomioiden sekä loki- että seurantatoiminnot.

• Hallintaliittymä on ylläpitäjän kannalta sovelias.

• Ratkaisun soveltuvuus organisaation tarpeisiin.

• Palvelintoimittajan luotettavuus ja tuotteen laatutakuut. Laatumittareina toimivat mm. tietoturvasertifikaatit

3.2.2.3 Palomuurin asentaminen

Pienpalomuurilaitteiden asentaminen saattaa olla hyvinkin yksinkertaista, mutta mitä monimutkaisempaa ympäristöä palomuuri/palomuurit suojaa sitä tärkeämpää on muistaa seuraavat tekijät:

• Palomuuriratkaisun tulisi olla mahdollisimman staattinen ja yksinkertainen, koska näin ylläpidettäessä palomuuria tehdään vähemmän virheitä  ja näin ollen muodostuu vähemmän haavoittuvuuksia.

• Laitteita tulee käyttää alun perin suunniteltuihin käyttötarkoituksiin. Esimerkiksi pakettisuodattimet (reitittimet) eivät yleensä riitä suojaamaan organisaation kriittisimpiä tietoja, mutta saattavat riittää suojakerrokseksi WWW-palvelimelle.

• Palomuuriratkaisun tulisi olla monikerroksinen, jotta suojauksen pettäminen yhdessä kohdassa ei avaisi pääsyä koko sisäverkkoon tai organisaation kriittisimpiin tietoihin. Kannattaa käyttää myös palvelinten tarjoamia suojausominaisuuksia, kuten Linux-järjestelmissä olevaa iptables- suojausominaisuutta (netfilter).

• Yhä enenevässä määrin mahdolliset murtouhat voivat tulla sisäverkon suunnasta, koska usein kontrolloidaan vain ulkoapäin tulevaa tietoliikennettä. Tunkeutujat voivat käyttää sisäverkkoa hyväkseen sen jälkeen, kun ovat ensin tunkeutuneet palomuurin ohi ja kiertävät sisäkautta haluamiinsa kohteisiin.

Palomuurin asentaminen vaatii huolellisen suunnittelun ja ennalta määritellyn turvallisuus- ja sääntöpolitiikan lisäksi seuraavia toimenpiteitä:

• Palomuurin ensimmäiset asennukset tulisi tehdä testiympäristössä.

• Dokumentoidaan kaikki asennusvaiheet

• Asennetaan pienin toimiva käyttöjärjestelmäkokoonpano, jos palomuuri sovelluksen asennus ei tätä tee.

• Asennetaan kaikki soveltuvat korjaukset, jotka tulee testata ennen tuotantoympäristöön asennusta.

• Rajoitetaan ja minimoidaan käyttäjien ja isäntäkoneiden pääsy palomuurijärjestelmään.

• Estetään pakettien välittäminen, kunnes palomuuriohjelmisto on täysin valmis.

• Otetaan toimivasta järjestelmästä varmuuskopio.

• Valitaan IP-reitityksen asetussäännöt ja otetaan käyttöön IP-osoitteet.

• Määritellään reititysasetukset.

• Toteutetaan palomuurin suodatussäännöstö, kuten pakettisuodatus (ks. 3.2.2.4)

• Asennetaan palomuurin loki- ja hälytysmekanismit.

• Testataan palomuurijärjestelmä.

• Asennetaan järjestelmä tuotantoympäristöön ja testataan uudelleen.

Palomuurin asennuksen ja muutosten yhteydessä järjestelmä tulee aina testata. Palomuurin testaamisessa kannattaa käyttää apuvälineitä aivan kuten palvelimenkin testaamisessa.

Palomuurin asennuksessa tulee myös huomioida, kuinka tehdään vai tehdäänkö ollenkaan osoitteenmuutokset (NAT, Network Address Translation). Palomuuri suojaa sisäverkon topologian näkymisen ulkoverkkoon vaihtamalla sisäverkon osoitteet viralliseksi Internet-osoitteeksi. Osoitteenmuunnos voidaan tehdä joko staattisesti tai dynaamisesti. Staattisissa osoitemuunnoksissa haluttu sisäverkon (192.168.1.23) osoite muutetaan ulkoiseksi osoitteeksi (192.49.24.199). Dynaamisessa osoitemuunnoksessa käytetään myös portteja hyväksi, jolloin sisäverkon kaikki osoitteet saavat yhden ulkoverkon osoitteen. Avattaessa yhteys, palomuuri kirjaa, mikä portti on annettu käyttöön avatulle yhteydelle.

3.2.2.4 Palomuurisäännöstö

Palomuurisäännöstöt määrittelevät sallitun ja kielletyn tietoliikenteen Internetistä organisaation sisäverkkoon ja päinvastoin. Palomuurisäännöstöt tulisi pitää yksinkertaisina ja mahdollisimman staattisina ja ne tulee aina dokumentoida. Säännöstöjen ylläpitoa helpottaa säännöstöjen selkeä nimeäminen, ryhmittely ja säännöstöjen ja asetusvalintojen dokumentointi.

Yksinkertaisimmillaan palomuurisäännöstö voisi olla kuten taulukossa 2 on esitetty.

Etäyhteydet lisäävät palomuurin sääntöjä, koska tietoturvalliset etäyhteydet vaativat vahvaa todennusta ja salausta. Käyttäjien etäyhteydetkin on hyvä kontrolloida palomuurin toimesta. Lisäksi tarvittaessa yhteyksiä muihin organisaation osiin tulee esimerkiksi VPN-yhteyksien avaintenneuvottelut sallia palomuurisäännöissä.

Palomuurisäännöstön tulee aina estää seuraavien tietoliikennepakettien välittäminen:

• Todentamattomasta järjestelmästä otetut ylläpitoyhteydet itse palomuuri laitteeseen.

• Internetistä saapuvat tietoliikennepaketit, joiden lähdeosoite on sisäverkon osoite. Tämä voi olla merkki IP-lähdeosoitteen väärennöksestä.

• Internetistä saapuvat tarpeettomat ICMP-paketit[12].

• Ns. varattuihin IP-osoitteisiin luokitellut osoitteet, jotka sekä saapuvat tai lähtevät Internet-rajapinnalta.

• Todentamattomasta järjestelmästä tulevat SNMP-paketit.

• Internetistä saapuvat tietoliikennepaketit, jotka sisältävät lähdereititystietoja.

Taulukko 2. Esimerkki palomuurisäännöstöstä pakettisuodatinpalomuurille

NRO LÄHDE-

OSOITE

1       Any

LÄHDE-
PORTTI

Any

KOHDE- OSOITE

192.168.1.0

KOHDE- PORTTI

> 1023

TOIMINTO

Allow

KUVAUS

Sallitaan sisäverkkoon palaavat TCP-yhteydet (ei SYN yhteyksiä)

2

192.168.1.1

Any

Any

Any

Deny

Palomuurista itsestään ei sa suoraa yhteyttä mihinkään

3

Any

Any

192.168.1.1

Any

Deny

Kukaan ei pääse suo­raan palomuurilaitteel­le Internetistä

4

192.168.1.0

Any

Any

Any

Aliow

Sisäverkon käyttäjät pääsevat Internetin palveluihin

5

Any

Any

192.168.1.2

SMTP (25)

Aliow

Sallitaan sähköpostin lähettäminen sähkö­postipalvelimella Internetistä

6

Any

Any

192.168.1.3

HTTP (80)

Aliow

Internet -käyttäjät pää­sevät WWW-palvelimelle

7

Any

Any

Any

Any

Deny

Estetään kaikki muu liikenne kuin edellä sallitut

• Saapuvat tai lähtevät tietoliikennepaketit, joiden lähde- tai kohdeosoitteena on ns. localhost-osoite (127.0.0.1). Yleensä nämä paketit viittaavat . hyökkäykseen itse palomuurilaitetta vastaan. 

• Saapuvat ja lähtevät tietoliikennepaketit, joiden lähde- tai kohdeosoite on 0.0.0.0. Jotkut järjestelmät tulkitsevat osoitteen joko localhost-osoitteeksi . tai kaiutusviestiksi (broadcast).

• Kaiutusosoitteisiin saapuvat ja lähtevät tietoliikennepaketit.

Alla on esitetty esimerkki palomuurin tietoturvapolitiikasta, jonka oletuksena on, että mikä ei ole erikseen sallittua on kiellettyä. Yksinkertaisimmillaan palomuuri sallii tämän politiikan mukaan seuraavat toiminnot:

• DNS-nimipalvelun kyselyt, jotka tapahtuvat porttiin 53 UDP-protokollalla ja TCP-protokolla tehdään siirrot luotettavaan nimipalvelimeen.

• Sähköpostin välitys sisäisestä postipalvelimesta palveluntarjoajan palvelimelle tai suoraan vastaanottajan palvelimeen.

• Sähköpostin välitys palveluntarjoajan palvelimelta tai suoraan lähettäjän koneelta sisäverkon sähköpostipalvelimelle.

• WWW-selailu (HTTP) sisäverkosta ulkoverkkoon.

• Palomuurilaitteen etähallinnointi esimerkiksi SSH-protokollalla.

Palomuurijärjestelmän asennuksessa ja ylläpidossa on huolehdittava erityisesti palomuurin säännöstöstä. Säännöstön tulisi olla mahdollisimman yksinkertainen. Usein isoissa organisaatioissa palomuurisäännöstöt kasvavat ja niiden hallinnointi on hankalaa. Säännöstöjen ylläpitoa helpottaa säännöstöjen ja sääntöjen selkeä nimeäminen, ryhmittely sekä säännöstöjen ja asetusvalintojen dokumentointi.

3.2.2.5 Palomuuri osana verkon suojaustoimenpiteitä

Palomuuri on keskeisin osa verkon tietoturvallisuutta, mutta se ei pelkästään riitä. Palomuurin lisäksi voidaan tarvita välimuisti-, sisällönsuodatus- ja tunkeutumisen havainnointijärjestelmiä. Näiden järjestelmien yhteentoimivuus palomuurin kanssa tulee ottaa huomioon palomuurin valinnassa ja asennuksessa.

Välimuistipalvelin toimii sisäverkossa Internetistä haettujen tietojen tallentaja. Palvelin tallentaa käytetyimmät WWW-sivut levylleen, jolloin kaikkea tietoa ei tarvitse hakea Internetistä käsin. Tämä nopeuttaa tietojen hakua ja vähentää palomuurin tietoliikennettä. Lisäksi välimuistipalvelimella on mahdollista tehdä kattavampaa sisällönsuodatusta kuin palomuurissa. Koska Internetin haittaohjelmien määrä on jatkuvasti kasvanut ja niitä on jo esiintynyt HTTP-liikenteessä, tulee jatkossa miettiä pitääkö kaikki HTTP-liikenne suodattaa haittaohjelmilta.

Useimmat organisaatiot ovat haittaohjelmien poistamiseksi hankkineet erillisen sisällönsuodatuspalvelimen, joka suodattaa lähinnä sähköpostiliikenteen mukana kulkeutuvia haittaohjelmia. Sisällönsuodatuspalvelin pystyy havaitsemaan HTTP-, FTP- ja SMTP-tietoliikenteen mukana tulevat haittaohjelmat, mutta ei esimerkiksi salatun HTTPS-liikenteen. Ongelmana on koko ajan kasvanut tietoliikenteen määrä ja tästä syystä kaikkea tietoliikennettä ei suodateta sisällöllisesti. Sisällönsuodattimet purkavat dataliikennettä, kun taas tunkeutumisen havainnointijärjestelmät seuraavat muun muassa tietoliikennepaketteja, datavirtaa ja levyaluemuutoksia.

Kun verkon tunkeutumisen havainnointijärjestelmiä asennetaan, tulee organisaation normaali tietoliikenne jo olla mahdollisimman tarkasti tiedossa, jotta pystyttäisiin havaitsemaan oikeat hyökkäystapahtumat vääristä hälytyksistä. Tietoliikennettä on voitu seurata palomuurin ja muiden Internet-palvelinten lokitiedoista sekä muista tietoliikenteen seurantamenetelmistä, kuten verkonkuunteluohjelma (esim. Sniffer). Verkon tunkeutumisenhavainnointi-palvelimet valvovat tietoliikennettä yleensä yhdessä aliverkossa ja pyrkivät havaitsemaan hyökkäyksiä vertaamalla tunkeutumisjälkiä havainnointijärjestelmissä olevien tunnettuihin hyökkäysmalleihin ja -jälkiin.

3.3 Internetistä saatavien palveluiden käyttäminen

Internetissä on tarjolla lukuisia erilaisia palveluita tiedonhausta verkkokauppoihin. Organisaation tulee ohjata omistamiltaan laitteilta tapahtuvaa työntekijöiden Internetkäyttöä tarvittavilta osin.

Seuraavissa kappaleissa on esitetty asioita, joita organisaation ja sen työntekijöiden tulee huomioida käyttäessään Internetiä.

3.3.1 Tietojen haku ja muiden palveluiden käyttö

Internet-verkon peruskäyttöä on verkossa saatavilla olevien erilaisten tieto- tai muiden resurssien käyttö. Internet-käytön tietoturvallisuuden kannalta oleellista on käyttöön liittyvien tietoturvariskien hallinta. Suositeltavin ja tehokkain tapa huolehtia organisaation Internet-liittymän tietoturvallisuudesta on teknisesti estää sellaiset protokollat, sovellukset ja yhteydet joita työtehtävien kannalta ei tarvita. Toisaalta palveluja tarvittaessa, voidaan osa toteuttaa siten, että vain ne työntekijät/ työntekijäryhmät joilla on erikoissovelluksiin työtehtävien kautta tuleva käyttötarve, pääsevät näitä sovelluksia käyttämään. Esimerkiksi joidenkin teknisten asiantuntijoiden uutisryhmiin osallistuminen, jolloin he sitä kautta saavat tarvittavaa tietoa teknisten ongelmien ratkaisuun.

Peruskäyttöyhteyksien kautta voi olla pääsy myös sellaisiin palveluihin ja sovelluksiin, joita ei tarvita normaalissa työympäristössä ja joihin liittyy erityisiä tietoturvariskejä. Näiden käyttö on syytä yksityiskohtaisesti ohjeissa kieltää[13].

Internetissä kuka tahansa voi julkaista mitä tahansa. Vaikka Internet-pohjaisen tiedon luotettavuuden arviointi ei ehkä ole suurempi ongelma kuin normaaliin yleissivistykseen kuuluva lähdekritiikki, organisaatiotasolla voi olla järkevää organisoida ja systematisoida tietolähteiden käyttö. Organisaatio voi antaa esimerkiksi sisäisen tietopalvelun tehtäväksi organisaation toimialaan liittyvien tietolähteiden kartoittamisen jolloin luotettavuuden arviointi ei jää yksittäisen työntekijän vastuulle.

Joissakin organisaatioissa voi olla tarvetta korostaa myös sitä, että tekijänoikeussäännöt ovat voimassa myös Internetissä. Vaikka Internet on nimenomaan tiedon jakelukanava, tulee varsinkin tietoa lähdeaineistona käytettäessä huomioida ns. moraaliset tekijänoikeudet, eli tiedon lähteet pitää mainita samalla tarkkuudella kuin muidenkin kirjallisten aineistojen. Tekijänoikeuksilla suojattujen aineistojen väärinkäyttö (esim. musiikin imurointi P2P järjestelmillä työpaikoilla) on laitonta eikä sitä sinänsä tarvitse erikseen kieltää. Sen sijaan voidaan tehdä selväksi, että joillakin sovelluksilla ei ole hyväksyttävää käyttötarkoitusta työympäristössä.

Tekniseen tietoturvallisuuteen kuuluu järjestelmien tietoturva-asetusten valinta mahdollisimman turvallisiksi kuitenkin niin, ettei normaali työkäyttö esty. Selainten ja muiden ohjelmien tietoturva-asetukset tulee mahdollisuuksien mukaan toteuttaa niin, ettei niitä päästä muuttamaan työntekijän toimesta. Selaimet ovat merkittävä komponentti Internet-käytön tietoturvallisuusarkkitehtuurissa, joten myös niihin pätevät samat perussäännöt kuin Internet-yhteyspalvelinten asentamisessa ja ylläpidossa:

• käytetään turvalliseksi arvioitua selainversiota

• asennetaan selaimet järjestelmiin keskitetysti ja poistetaan jo asennusvaiheessa selainohjelmista mahdollisimman paljon niiden tietoturvaheikkouksista

• selainten turvapäivityksiä seurataan aktiivisesti

• järjestetään tehokas päivitysten asentaminen työntekijöiden työasemille ja pidetään kirjaa päivitystilanteesta.

Haittaohjelmien torjunnassa käyttäjien työasema on aina tärkeä kohde. Torjunnan tehoon vaikuttaa selaimen ja muiden työasemaohjelmistojen asetukset, itse selainohjelmisto ja -versio sekä automaattisesti päivittyvä virustorjuntaohjelmisto. Joissakin tilanteissa lisäarvoa voi suojaukseen tuoda myös työasemassa oleva palomuuriohjelma, joka havaitsee epäasiallisen (esim. Troijan Hevosen tuottaman) verkkoliikenteen.

Välityspalvelimen välimuistiin jää tietoja muun muassa käyttäjien WWW-selailusta tai sähköposteista. Välimuistipalvelimien ylläpidon kannalta on huomioitava työntekijöiden tietosuoja, varsinkin jos sellaisia viestintään liittyviä sovelluksia on käytössä, joista tallentuu tietoja välimuistipalvelimeen.

3.3.2 Asioiminen ja ostaminen Internetissä

Internet on tehokas ja nopea kanava esimerkiksi hankintojen ja niihin liittyvien toimintojen suorittamiseen. Pääsääntöisesti vastuu ulkopuolisten palveluiden toteutusten tietoturvallisuudesta on palvelun tarjoajalla, mutta tilanteesta riippuen palveluiden käytössä voi siirtyä myös tietoja joiden oikeellisuus tai luottamuksellisuus voi olla tilaajan vastuulla. Lisäksi Internetiä palvelu- tilaus- tai toimituskanavanaan käyttävien tahojen sopimusten vastuunjakoon voi sisältyä seikkoja, jotka edellyttävät myös tilaajan pystyvän tiedostamaan käytettävän sovelluksen tekniseen toteutukseen sisältyvät riskit. Soveltuvin osin Internetistä saatavien palveluiden tietoturvallisuuden arviointiin voi
soveltaa tässä ohjeessa esitettäviä teknisiä ratkaisuja.

Edellä mainitusta syystä tietohallinnon asiantuntijoiden on syytä osallistua palveluiden käyttöönottovaiheessa niiden tekniseen arviointiin ja tarvittaessa käytön ohjeistamiseen. Tilaus- ym. valtuuksiin ja työjärjestyksen määräyksiin voi tätä kautta tulla lisävelvoitteita tietoturvallisuuden osalta.

3.4 Internetissä tarjottavat palvelut

Valtionhallinnon organisaation Internetissä tarjoamat peruspalvelut ovat yleensä tiedotusta ja yleistä neuvontaa viranomaisen toiminnasta ja sen palveluista sekä kansalaisten oikeuksista ja velvollisuuksista palveluiden käyttäjänä.

Internetin WWW-palvelimet ovat tyypillisiä hyökkäysten kohteita, koska osa  WWW-palvelinohjelmistoista on hyvin haavoittuvia ja WWW-sivustojen asiattomaan muuttamiseen on olemassa useita valmisohjelmia. Suurin uhka tiedotuspalvelimille on yleensä väärien tai puutteellisen asennusvalintojen tai uusien, vielä paikkaamattomista ohjelmien haavoittuvuuksista johtuva ilkivaltainen murtautuminen ja sivujen muuttaminen. Tämän lisäksi voidaan murrettua WWW-palvelinta käyttää uusiin tietomurtoihin tai palvelinta käyttää muuten luvatta muuhun tarkoitukseen. Vaarana on myös että WWW-palvelin ei pysty palvelemaan käyttäjiä, jos palvelunestohyökkäys (DoS, Denial of Service) tai hajautettu palvelunestohyökkäys (DDoS, Distributed Denial of Service) varaa kaikki palvelun tarjoamat resurssit.

Viranomaisen tiedotuspalvelussa tiedon oikeellisuus eli sisällöllinen ja tekninen eheys on ensiarvoisen tärkeää. Vaikka tahalliset sivujen muutokset voivat olla helposti havaittavissa, teknisen muuttumattomuuden varmistamiseen kannattaa käyttää aikaisemmin mainittuja eheyden valvontaan tarkoitettuja ohjelmistoja.

Tietojen käytettävyys on osa tietoturvallisuutta. Tietojen luotettavuutta lisää tieto- ja asiointipalvelujen tarjoaminen käyttäen standardien mukaisesti toteutettua WWW-käyttöliittymää
(HTML-standardeja sekä siihen liittyviä mm. CSS, DOM, XML, ECMAScript ym. standardeja[14]). Palvelun ominaisuuksilla ei pidä ohjata käyttäjää käyttämään tietoturvallisuudeltaan heikoiksi tunnettuja selaimia tai niiden versioita. Selainkohtaisia ominaisuuksia HTML-kielestä ei tule käyttää. Palveluiden tulee tarvittaessa olla käytettävissä myös tekstipohjaisilla selaimilla tai olla sovitettuja useamman tyyppisille päätelaitteille.

Tiedon eheys Internet-palveluissa varmistetaan palvelinten suunnitelmallisella ylläpidolla. Koska kyseessä on organisaation ulkoisen kuvan kannalta varsin näkyvä asia, on sekä tietojen sisällöllinen että tekninen ylläpito- ja siirtomenettely suunniteltava ja toteutettava huolellisesti. Tarvittaessa niin, että toiminnassa on riittävä työnjako sekä perustehtävien että hyväksymisen ja valvonnan osalta.

Tiedotuspalvelimen tietosisällön varmistus mahdollisen eheysongelman varalta voidaan toteuttaa osittain kytkemällä se osaksi tietojen ylläpitomenettelyä niin, että tiedot säilytetään ja ylläpidetään sisäverkossa olevalla turvatulla palvelimella, jonka kautta julkaistavat tiedot siirretään julkiseen palvelimeen. Vertailemalla näiden kahden palvelimen tietosisältöä (esimerkiksi ohjelmallisesti) voidaan tarvittaessa varmistua tiedotuksen oikeellisuudesta. Palvelimen julkisten tietojen päivitys voidaan hoitaa esim. automaattikopiona sisäisestä koneesta. Kaikki etäkäyttöön tarkoitetut sisällönmuokkausohjelmat tulee poistaa varsinaiselta WWW-palvelimelta, koska niiden säilyttäminen verkkopalvelimella on tietoturvariski.

Eräs julkisen palvelun huolellisen sisällön ylläpidon perusperiaatteita on, ettei palvelimelle sijoiteta mitään sellaista, mikä ei ole tarkoitettu julkaistavaksi, edes palvelimen sellaiseen osaan, mistä tieto ei normaalitilassa ole kaikkien luettavissa. On muistettava, että WWW-palvelimen datahakemiston kaikki tiedostot voivat olla haettavissa (tämä kannattaa kuitenkin käytettävissä olevin teknisin keinoin mahdollisimman pitkälle estää), vaikka niitä ei olisikaan linkitetty tietyille WWW-sivuille. Tiedostonimien arvaaminen on usein helppoa. Samoin tietoa ei pidä siirtää palvelimelle ennen virallista julkaisupäivää.

Joidenkin palvelujen osalta on ehkä tarpeen ottaa kantaa tietopalvelimen toimintatarpeeseen myös poikkeusoloissa. Erityisesti, jos palvelimella on turvallisuuden kannalta tärkeää tietoa.

Tietopalveluiden palvelinohjelmistoissa on yleensä ominaisuuksia, joiden avulla voidaan toteuttaa “kevyt” käyttäjien tunnistus ja todennus käyttäjätunnuksen ja salasanan avulla (ns. basic authentication) tai rajoittaa käyttöä yhteydenottajan verkko-osoitteen perusteella. Näiden käyttöä ei suositella, koska tietopalveluiden käyttämisen yhteydessä ei yleensä ole tarpeen tunnistaa käyttäjää ja tietopalvelinohjelmistojen salasanamenettely on yleensä tietoturvallisuudeltaan heikko. Mikäli “kevyttä” tunnistusta kuitenkin perustellusti tarvitaan, sen toteutuksessa on otettava huomioon, että palvelinohjelmistoihin sisältyvä salasanan base64-koodaus ei ole salausta vaan helposti muutettavissa selväkieliseksi eli salasana on suojattava muulla tavoin, esim. käytettävä yhteyden salaamiseen SSL:ää. Lisäksi käyttäjätietojen kerääminen edellyttää aina henkilötietolain[15] noudattamista mm. informointivelvoitteen (rekisteriseloste), käytön suunnitelmallisuuden (esim. henkilötietojen käyttötarkoituksen määrittely) ja tietojen suojaamisen osalta. Kevyissä tunnistusmenetelmissä valmiina olevien käyttäjätunnusja salasanatietojen turvallinen säilytys vaatii myös yleensä erityishuomiota (salaus, säilytyspaikka ja sen suojaus). Myös tiedotuspalvelimeen voi olla aiheellista toteuttaa mahdollisuus varmistaa palvelimen oikeellisuus SSL-varmenteella, jolloin käyttäjä voi tarkistaa asioivansa oikean palvelimen kanssa.

WWW-järjestelmässä on yleisessä käytössä lähinnä SSL-tekniikkaan perustuva salaus ja tätä kannattaa hyödyntää aina, kun se on mahdollista ja vähintäänkin silloin, jos ollaan tekemisissä tietokantatietojen kanssa. Mikäli asioija pääsee muuttamaan tietoja, tulee vaatia vahvempaa tunnistamista ja todentamista lähinnä julkisen avaimen järjestelmään perustuvilla ratkaisuilla.

Tietopalvelin tulee erottaa omaksi tähän tarkoitukseen varatuksi laitteistoksi, jollei käytetä palveluntarjoajan hotellipalvelua. WWW-palvelimen tietoturvallisuutta voidaan lisätä sijoittamalla palvelin suojattuun verkkoon. Jos WWW-palvelin sijoitetaan ulkoiselle eteisverkkoalueelle, kuten kuvassa 10, tulee reitittimen/palomuurin estää muu kuin HTTP- ja HTTPS-liikenne WWW-palvelimelle. Vaihtoehtoisesti voidaan palomuuriratkaisussa tehdä oma suojattu aliverkko, jolloin palomuurisäännöstö estää ylimääräisen tietoliikenteen WWW-palvelimelle. Julkista WWW-palvelinta ei pidä koskaan sijoittaa organisaation sisäverkkoon.

WWW-palvelimet tuottavat haettavan tiedon usein ns. sisällöntuottamisohjelmistojen avulla (esim. CGI, ASP, PHP). Näiden ohjelmistojen käyttöönoton ja asennuksen yhteydessä tulee huomioida turvallisen ohjelmoinnin periaatteet sekä sisällöntuottamisohjelmistojen tyypilliset tietoturvaominaisuudet:

• liittymät ja ohjelmakutsut muihin ohjelmistoihin

• tarkistetaan, että kaikki valmiskomponentit, joita käytetään WWW-palvelussa eivät sisällä virheitä tai ylimääräisiä ohjelmaosia.

• estetään kaikki palvelimen SSI-komennot (Server Side Include), joiden avulla saadaan käyttöön sivuille lisättävät ulkoiset ohjelmat.

• kaikkien ohjelmien toiminta tulee testata erillisessä testikoneessa ennen tuotantoon asennusta .

• tietoturvauhkille altistumista voidaan testata työkaluilla

• asennetaan ohjelmat niin, että koodin suoritus tapahtuu mahdollisimman vähin oikeuksin ja huomioidaan tämä mm. ohjelmistokoodin sijoittelulla hakemistorakenteeseen

• vältetään WWW-sivustojen asentamista oletushakemistoihin ja oletustiedoilla

• määritellään HTML-sivujen merkkijärjestelmä yksityiskohtaisesti

• ohjelmalle annettavat syötteet pitää tarkistaa ja virheelliset syötteet tulee hylätä.

Sivujen toteutuksessa ei suositella käytettäväksi toiminteita, joita voidaan pitää käyttäjän/asiakkaan kannalta riskinä, koska silloin voidaan ohjata näitä hyväksymään tietoturvallisuuden kannalta riskialttiita tekniikoita. Myöskään muita kuin tilapäisiä evästeitä ei suositella käytettäväksi palveluissa muuhun tarkoitukseen kuin palveluistunnon vuorovaikutus- tai tapahtuman tilan hallintaan.

WWW-palvelinohjelmistojen kohdalla on lisäksi kiinnitettävä huomiota seuraaviin asioihin.
• Useimmilla palvelinohjelmistoilla on pääsy kaikkiin tai useimpiin palvelinkoneen tiedostoihin ja näiden tiedostojen suoja on palvelinohjelmiston oikeiden asetusvalintojen varassa. Tämän takia palvelinohjelmisto on asennettava näyttämään tiedostoja vain rajatulta levyalueelta.

• Erityistä huomiota on kiinnitettävä hakemistoviittauksiin, kuten Unixin symbolisiin linkkeihin. Yksinkertainenkin virhe näiden asetuksessa saattaa avata koko palvelimen tiedostojärjestelmän ulkomaailmalle[16].

Tietojen hakupalvelut käyttävät ns. hakurobotteja WWW-tiedon indeksien ja hakemistojen luomiseen. Hakurobottien toiminnasta ja mahdollisuuksista vaikuttaa siihen, mitä tietoa palveluista hakukoneiden kautta löytyy on syytä olla tietoinen ja käyttää näitä mahdollisuuksia hyväksi (esim. robots.txt-tiedosto). Osa hakuroboteista kerää myös sähköpostiosoitteita ei-toivotun kaupallisen viestinnän tarpeisiin.

Myös yleisimmissä palvelinkäyttöjärjestelmissä on valmiina tai saatavilla palvelinohjelmistoista riippumattomia yhteyksien rajoitustoimintoja (kuten Unixin TCP-wrapper). Näitä kannattaa käyttää tarpeen mukaan, erityisesti ulko- tai eteisverkossa toimiviin palvelimiin voidaan valita rajoitusasetuksiin organisaation käytössä olevat verkko-osoitteet, jolloin asetusvirhe palomuurissakaan ei päästä hyökkääjää palvelimelle.

Palvelun tarjoajan tulee myös miettiä, mitä lokitietoja palvelimesta kerätään ja kuinka niiden asiallinen käsittely hoidetaan (kts. kohta 3.2.1.4).

3.4.1 Asiointipalvelut

Valtionhallinnossa ns. vaativa asiointi merkitsee yleensä sitä, että asiakkaat voivat asiointijärjestelmän avulla itsepalveluna toteuttaa lainsäädännöllisesti säänneltyjä oikeuksia ja velvollisuuksia, joilla saattaa esimerkiksi olla suuri taloudellinen arvo asioijalle. Asiointi on tästä syytä teknisiltä vaatimuksiltaan Internet-ympäristön vaativinta tietojenkäsittelyä ja edellyttää, että tässä ohjeessa aiempana esitetyt tekniset vaatimukset toteutuvat. Asiointijärjestelmä on tämän lisäksi tietojärjestelmä, jonka suunnittelussa on sovellettava normaaleja tietojärjestelmien suunnittelun periaatteita ottaen huomioon ne lisävaatimukset, mitä Internet-toimintaympäristönä edellyttää järjestelmän tietoturvaominaisuuksilta ja - palveluilta[17].

Asiointijärjestelmiä suunniteltaessa on otettava kantaa seuraaviin asioihin:

• Asiakkaan tunnistus ja todennusmenetelmään niissä tilanteissa, joissa asiakkaan tunnistamista tarvitaan tunnistamisen ja todentamisen pitää olla vahva. Myös tekninen hallinnointi pitää tältä osin olla korkealla tasolla (kts. 2.5.1).

• Vaativa asiointi sisältää yleensä käsittelijäorganisaation kannalta salassa pidettävää tietoa. Tällöin on luonnollisesti huolehdittava siitä, että salassapitovelvollisuus asiointijärjestelmässä toteutuu.

• Mikäli asiointijärjestelmällä suoritettavan toiminnan luonne sitä edellyttää, on käytettävä myös sähköinen allekirjoitusta, jolla asiointitapahtumasta syntyy allekirjoitettu (kirjeeseen verrattava) sähköinen viesti, mikä ennen käsittelyä voidaan tallentaa asiointitapahtuman myöhempää puolueetonta todistamista varten.

• Asiointijärjestelmässä suoritettaviin asiakkaan antamien tietojen tarkistuksiin.Mitä kattavammat tietojen oikeellisuustarkistukset tehdään, sitä nopeammin ja virheettömämmin asian käsittely voi tapahtua käsittelevän organisaation järjestelmässä (tietoturvallisuuden kannalta tarvitaan myös tekniset oikeellisuustarkistukset).

• Järjestelmän käytettävyystaso. Perinteinen virka-aika-ajattelu ei verkkomaailmassa välttämättä sovellu palvelun tarjoamisen ajankohdiksi, koska verkkopalveluiden lisäarvona yleensä pidetään “7x24”-mahdollisuutta.[18] Palvelun saatavuudelle tulee tätä kautta sekä uusia teknisiä vaatimuksia että myös vaatimuksia palvelun ylläpidolle ja valvonnalle. Esimerkiksi varmennepalveluiden sulkulistan tulee päivittyä reaaliajassa.

• Asiointijärjestelmässä tarvittavat vuorovaikutteiset ominaisuudet ja mahdollisuudet selvittää mahdolliset ongelmatilanteet muita kanavia käyttäen. Esimerkiksi muutosmahdollisuudesta: Kuinka asiakas voi muuttaa syöttämiään tietoja, jos hän on havainnut virheen, mutta on jo ehtinyt lähettää tiedot?

• Pystytäänkö järjestelmällä hoitamaan koko asiointiprosessi, joka muodostuu esimerkiksi seuraavista toiminnoista: asian vireillepano, ilmoittaminen, tiedoksisaanti, valtuutus ja kuittaus.

• Kaikki asiointitapahtumat tulee arkistoida (esim. tarvittaessa alkuperäinen sähköisesti allekirjoitettu viesti) ja diarisoida. Asioinnin kirjaamotoiminta riippuu asioinnin teknisestä toteutuksesta[19].


Asiointijärjestelmä koostuu usein edustapalvelimesta (WWW-palvelin) ja tietokantapalvelimesta sekä näiden välisestä yhteydestä, jossa tiedon kulku tulee suojata koko ketjun osalta. Ensimmäinen suojauskeino on sijoittaa tietokantapalvelin sisäiseen eteisverkkoon, kuten kuvassa 11. Usein tietoturvaa lisätään pitämällä varsinaisesta tietokantapalvelimesta kopiota sisäisessä eteisverkossa ja siirtämällä datat säännöllisesti yhdensuuntaisesti varsinaisesta tietokannasta kopiotietokantaan. Lisäksi tietoturvaa voidaan parantaa monistetun tietokantapalvelimen suojaamisella niin, että vain WWW-palvelimelta on oikeus tehdä suorittavia tarkoin rajattuja toimenpiteitä tietokantapalvelimelle.

Asioija ottaa yhteyden asiointipalvelimeen, josta suoritetaan tarvittavat tiedon haut tietokantapalvelimelta. Muu kuin käsiteltävänä oleva salaisena pidettävä data ei saa sijaita asiointipalvelimessa tai sen on oltava salattuna, jotta vahinko tietomurron yhteydessä jäisi mahdollisimman pieneksi.

• Asiointi vaatii tietojensa luonteen takia usein suojatut yhteydet asiointipalvelimelle, jotka useimmissa tapauksissa toteutetaan käyttäen SSL-protokollaa. SSL-suojaa yhteyden asioijan ja asiointipalvelimen välillä, mutta ei sinänsä suorita asiakkaan tunnistusta. Tunnistamiseen tulee käyttää esimerkiksi henkilökorttiratkaisua.

• Uudelleen tunnistautumista voidaan vaatia tietoturvan lisäämiseksi. Tällä varmistetaan, että kerran kirjautunut asioija on sama asioija, joka aloitti yhteyden.

Salausmekanismeihin liittyy aina avaintenhallintaa, josta tulee huolehtia palveluja tarjottaessa. Esimerkiksi, kuinka järjestetään voimassa olevien avainten tarkastus. Samoin varmenteita käytettäessä tulee huolehtia siitä, että järjestelmässä ja käytettävissä varmennepalveluissa on riittävät toiminnot varmenteiden tarkistamiseen, kelpuuttamiseen, vanhentumiseen ja peruuttamiseen[20]. Latautuvien toiminteiden käyttöä ei suositella.

Asiointijärjestelmässä on myös tarvittaessa ratkaistava menetelmä, kuinka asioijan antamat tiedot viedään asiointijärjestelmään tai tietokantaan. Jos tietoja ei tarvitse välittömästi päivittää, voidaan tehdä erillisiä päivitysajoja tietokantaan syötetyistä tiedoista, jotka tulee viedä heti talteen turvalliseen paikkaan ja muualle kuin asiointijärjestelmään. Kun päivitykset tulee tehdä välittömästi, ei kuvassa esitettyä kopiotietokantaa voi olla. Tällöin yhteys otetaan suoraan varsinaiseen tietokantaan. On huomattava, että suora tietokantayhteys on monesta syystä riskialttein vaihtoehto.

Jos julkisissa asiointipalveluissa tarvitaan Javaa, JavaScriptejä tai PHP:tä (Hypertext Preprocessor), tulee niiden ohjelmoinnissa ja asentamisessa huomioida niiden tietoturvaheikkoudet. Palveluita ei myöskään tule rakentaa käyttäen ActiveX:ää.

Mikäli riittävää suojaustasoa ei voida saavuttaa, ei asiointipalvelua voida toteuttaa avoimessa tietoverkossa.

3.5 Internetin käyttö organisaatioiden väliseen ja sisäiseen tiedonsiirtoon

Internetiä käytetään yhä enemmän organisaatioiden väliseen tiedonsiirtoon, koska Internet-tekniikat ja yhteiskunnan tiedonvälitystavat ovat muuttuneet käytettävimmiksi ja yhdenmukaisemmiksi.

Internetiä voidaan käyttää esimerkiksi yhdistämään organisaation eri toimipisteiden verkkoja tai järjestää eri organisaatioiden välinen tietojen välittäminen joko automatisoituna sovelluksesta - sovellukseen siirtona tai ns. eräsiirtona. Mahdollista on myös, että organisaatio käyttää ulkoistettua järjestelmää Internet-verkon kautta ostaen sen palveluna ulkopuoliselta (ASP). Kaikissa näissä tapauksissa on tarpeen mukaan huolehdittava sekä tiedonsiirron salauksesta että käyttäjien tai tiedon alkuperän riittävästä todentamisesta.

Organisaation tietoturvamenettelyissä tulee huomioida erikseen tietoturvavaatimukset, joita edellytetään, jos organisaatioiden sisäistä sekä organisaatioiden välistä tiedonsiirtoa tapahtuu Internetin välityksellä. Tiedonsiirto voi olla sähköposti-, EDI-, puhe[21]- tai videoneuvotteluliikennettä sekä tietojärjestelmien etäylläpitoon liittyvää tietoliikennettä. Riippumatta tiedonsiirtotavasta luottamuksellista tietoa ei saa välittää salaamattomana Internetin yli sekä käyttäjien ja kohteiden (esimerkiksi dokumentit, palvelinlaitteet, etätyöskentelylaitteet) tunnistamiseen ja todentamiseen tulee kiinnittää erityistä huomioita.

Organisaation sisäisessä ja välisessä tietojen siirrossa Internetin välityksellä tulee huomioida, millaista tiedonsiirtoa organisaation toiminnan kannalta tarvitaan ja kuinka tiedonsiirto tapahtuu turvallisesti. Esimerkiksi tietojärjestelmien etäylläpito edellyttää aina vahvaa salausta ja tunnistusta[22].

Jos välitetään säännöllisesti tietoja Internetin yli kahden kohteen välillä, niin tulee harkita yksityisen virtuaaliverkon käyttöönottoa tietoliikenneyhteyden turvaamiseksi. Yksityistä virtuaaliverkkoa suositellaan myös käytettäviksi extranet- ja etäyhteyksien suojaamiseksi.

Yksityinen virtuaaliverkko (VPN) yhdistää saman organisaation kaksi toimipistettä salatulla tietoliikenneyhteydellä, joka on osa verkon suojarajapintaa. Tietoliikenteen suojaukseen kannattaa käyttää ns. tunnelointitoimintoa, jolloin yksittäisten koneiden verkko-osoitteet eivät näy mahdolliselle tarkkailijalle.

Organisaatioiden välinen organisaatioiden välinen tiedonsiirto (EDI-tietoliikenne) tulee suojata, koska suojaamaton organisaatioiden välinen tiedonsiirto on yhtä altis esimerkiksi tietojen tarkkailulle kuin suojaamaton sähköpostiliikenne. EDI-tietoliikennettä voidaan suojata EDIFACT-standardissa esitetyillä tietoturvarakenteilla ja suojausmekanismeilla[23]. Organisaatioiden välisessä tiedonsiirrossa suositellaan siirtymistä XMLstandardinmukaiseen (eXtensible Markup Language) tiedonvälitykseen[24].

Jos organisaatio korvaa perinteisen puhelinvaihteen (PBX) IP-puhelinliikenneratkaisulla (VoIP, Voice over IP), viraston tulee huomioida ratkaisun suunnittelussa seuraavat asiat:

• IP-vaihdepalvelin on palvelin, joka on yhtä haavoittuva kuin mikä muu tahansa komponentti organisaation verkossa.

• IP-vaihdepalvelin on suojaamattomana altis viruksille, palvelunestohyökkäyksille ja tunkeutumisille.

• IP-vaihdepalvelin tulisi sijoittaa erilleen muusta lähiverkosta omaan toimialueeseen (domain). Puheliikenne tulisi eristää virtuaalisilla lähiverkkoratkaisulla (VLAN) ja mahdollisuuksien mukana puheliikennettä tulisi salata.

Jos organisaatiolla on tarvetta käyttää videoneuvottelujärjestelmiä, tulee järjestelmän suunnitellussa ja käytössä huomioida, että videoneuvottelujärjestelmät ovat suojaamattomana haavoittuvia viruksille, palvelunestohyökkäyksille ja salakuuntelulle.

Videoneuvottelujärjestelmien suojaamiseksi löytyy kaupallisia ohjelmistoja, joiden käyttöä tulee harkita. Videoneuvottelun suojaamisen tarve tulee suunnitella sen mukaan, kuinka luottamuksellisia asioita videoneuvottelussa käsitellään.

Organisaation sisäisen ja organisaatioiden välisen tiedonsiirron suojaamisessa tulee yllä olevien ohjeiden lisäksi huomioida muut tässä ohjeessa jo aikaisemmin esitettyjä toimintaohjeita turvalliselle Internetin käytölle.

3.6 Sähköposti ja muut viestintäsovellukset

Sähköposti on pääasiassa henkilökohtaiseen sähköiseen viestintään tarkoitettu ohjelmisto. Organisaation toiminnan kannalta suurimmat sähköpostiohjelmiston käytön ongelmat liittyvät sen käyttötarkoitukseen. Sähköpostin käyttötarkoituksia voivat olla:

• yksityinen viestintä

• sisäinen viestintä

• organisaatioiden välinen hallinnollinen yhteydenpito ja tiedonsiirto

• asiakkailta tuleva viestintä, joka sisältää organisaation perustoimintaan liittyviä, käsittelyvelvollisuuden piirissä olevia asioita.

Jälkimmäiset ovat asioita, jotka viraston on hoidettava. Toisaalta työntekijän yksityinen ja henkilökohtainen viestintä on jo perustuslain säännöksillä luottamuksellisuuden osalta suojattu.

Koska yllä mainituista sähköpostin eri käyttötavoista voi seurata käytännön ristiriitoja, on sähköpostin käyttötarkoitus organisaation toiminnan kannalta syytä määritellä ja toteuttaa sähköpostin käyttöön liittyvät suojaukset sekä käyttöpolitiikka ja käyttäjien ohjeistus sen mukaisesti[25].

Jos sähköpostia käytetään valtionhallinnon organisaatioiden salassa pidettävien tietojen siirtoon tai asiakkaan asiointiin[26], täytyy käytettävässä sähköpostijärjestelmässä olla sähköinen allekirjoitus- ja salausmahdollisuus. Niiden osalta on otettava huomioon sekä yhteentoimivuus yleisten salaus- ja PKI-standardien kanssa että käytettävien varmennepalveluiden kanssa. Lisäksi niissä asioissa, joita em. standardit eivät määrittele, kuten eri sähköpostiohjelmien toiminnoissa voi olla eroja. Nämä erot on huomioitava, testattava ja tarvittaessa ilmoitettava yhteentoimivuuteen liittyvät seikat asiointiosoitteiden julkaisun yhteydessä.

Sähköpostiviesti koostuu otsake- ja runko-osioista. Otsakeosioon tulee kenttiä viestin lähettämisajankohdasta, lähettäjä, vastaanottaja/t, jakelupolku, aihe ja muuta määrämuotoista tietoa. Tiedot järjestetään sähköpostistandardin[27] määrittelemään muotoon lähetystä/vastaanottoa varten. Itse sähköpostijärjestelmän toiminta perustuu kolmeen erilliseen osaan:

• Sähköpostin käyttöliittymä

• Sähköpostin välitysohjelmisto

• Paikallinen jakeluohjelmisto

Käyttäjän lähettäessä sähköpostia viesti muokataan käyttöliittymän toimesta muotoon, jossa välitysohjelmisto ottaa viestin vastaan. Jos viesti välityspalvelimella jaetaan vain samaa palvelinta käyttäville, hoitaa paikallinen jakeluohjelmisto viestin jakamisen oikeille vastaanottajille. Kun viesti välitetään eteenpäin toiselle välitysagentille, tunnistetaan vastaanottava palvelin ja mahdollistetaan yhteys.

Nämä kolme sähköpostikomponenttia välittävät postin eri sähköpostiprotokollilla:

• lukuprotokolla huolehtii sähköpostin kulusta sähköpostipalvelimesta tyypillisesti muussa koneessa toimivalle käyttöliittymälle ja

• sähköpostin välitysprotokolla siirtää viestin verkossa välityspalvelimille.

Nykyisessä ympäristössä sähköpostin lukuprotokollia ovat POP ja IMAP, välitysprotokollana toimii SMTP. Myös HTTP-protokollaa käytetään sähköpostin lukemiseen joissakin palveluissa.

Käytettäessä WWW-selainta sähköpostin käsittelyyn tulee yhteydet tehdä aina SSL/ TLS/SSH-protokollalla. Tämä takaa sähköpostin turvallisuuden selaimen ja sähköpostipalvelimen välillä, mutta ei suojaa liikennettä sähköpostijärjestelmän eri palvelimien välillä eikä liikennettä muihin sähköpostijärjestelmiin. 

 

Sähköpostipalvelinten sijoittelussa pitää ottaa huomioon esimerkiksi tarve suojata organisaation sisäinen sähköpostiliikenne siten, että sisäinen liikenne ei ole enemmän altis ulkoisille uhkille kuin muutkaan sisäisen verkon järjestelmät. Tämä tarkoittaa sisäisen liikenteen sähköpostipalvelimen sijoittamista sisäiseen verkkoon ja ohjaamalla ulkoinen liikenne eteisverkkoon sijoitetun sähköpostiyhdyskäytävän kautta. Jälkimmäinen asennetaan samoilla huolellisilla periaatteilla kuin muut julkiseen Internetiin yhteydessä olevat palvelimet. Ulkoisen ja sisäisen sähköpostin ero pitää ohjeistaa myös käyttäjille ja huomioitava ero mm. sähköpostiviestin edelleen lähettämistä rajoittavana tekijänä.

3.6.1 Sähköpostin luottamuksellisuus ja salaus

Turvallisuusmielessä sähköpostin lukuprotokollat ovat perinteisesti olleet ongelmallisia, sillä ne välittävät sähköpostilaatikon avaamiseen tarvittavan salasanan selväkielisenä verkossa. Kuitenkin tähän on viime aikoina kehitystyössä kiinnitetty huomiota ja protokollista on kehitetty versiot, jotka mahdollistavat suojatun käytön. Esimerkiksi POP3 ja IMAP4 mahdollistavat SSL/SSH-salauksen käytön.

Verkossa on myös useita lähinnä yksityiskäyttöön tarkoitettuja sähköpostipalvelimia, joissa sähköpostin luku tapahtuu suoraan WWW-selaimen avulla, eli sähköpostin käyttöliittymä on selain eikä erityinen sähköpostin lukuohjelma[28]. Valtionhallinnon organisaation toiminnan kannalta ilmaisen sähköpostin käyttö ei ole sähköpostiviestien käsittelyyn liittyvien vastuukysymysten takia mahdollista. Niiden yksityiskäyttöä organisaation WWW-liittymän kautta ei kuitenkaan tarvitse kieltää, koska esim. sähköpostin yksityiskäyttö voidaan kanavoida ulkopuolisiin WWW-sähköposteihin, mikä organisaation toiminnan kannalta voi ehkäistä viestintäsalaisuuden hallintaongelmia pois virallisesta sähköpostista. Jos tällaisten palveluiden käyttö henkilökunnalle sallitaan, on syytä huolehtia viestintäsalaisuudesta mm. välimuistipalvelimissa ja kieltää kaiken
organisaation postin jälleenlähetys näihin palvelimiin.

Sähköpostin lukuprotokollan salaus ratkaisee vain viestin suojauksen oman postipalvelimen ja lukuohjelman välillä. Tämän välin ulkopuolella viesti liikkuu selväkielisenä eri postipalvelimien välillä, ellei sitä ole erikseen postin lukuohjelmassa salattu tai salattu alemmilla tietoliikennetasoilla. Postin salaukseen kahden eri käyttäjän välillä on kaksi päävaihtoehtoa: PGP tai S/MIME. Salausjärjestelmät eivät valitettavasti ole tällä hetkellä yhteensopivia, eli PGP-käyttäjä ei voi lukea S/MIME-postia ja päinvastoin.

S/MIME (Secure/Multipurpose Internet Mail Exchange) on suositeltavin standardi sähköpostin salaukseen. Tästä standardista on syytä käyttää versiota, jonka salaus on riittävän vahva. S/MIME hyödyntää X.509-varmenteita sekä luottamusmallia. S/MIME v3 etuja ovat muun muassa seuraavat:

• Soveltuu isoille käyttäjämäärille ja organisaatioille.

• Kattava tuki eri sähköpostiohjelmistoille (muun muassa Tiimiposti ja Microsoft Outlook) ja selainohjelmille.

• Avaintenhallinnointi on jouhevampaa

• Käyttäjän kannalta se on läpinäkyvä.

Toisaalta taas S/MIMEn käyttöönotto vaatii sen, että jokaiselle käyttäjälle on luotava oma X.509v3-sertifikaatti.

PGP asennetaan erillisenä ohjelmana (PGP, GPG tai OpenPGP) ja sen luottamusmalli toimii vapaamuotoisella verkostoperiaatteella. PGP ei ole sellaisenaan yhteensopiva virallisten varmennepalveluiden kanssa eikä sen avulla ole toteutettu virallista, lakiperusteisiin hallinnollisiin vastuisiin perustuvaa julkisen avaimen arkkitehtuuria.

Sähköposti tulisi pääsääntöisesti säilyttää sähköpostipalvelimella eikä käyttäjän henkilökohtaisessa työasemassa. Kopioita voi toki pitää työasemassa, esimerkiksi kannettavassa tietokoneessa. Näin siksi, että palvelimelle voidaan järjestää säännöllinen varmuuskopiointi ja työaseman kiintolevyn hajoaminen ei kadota sähköposteja. Tämä toimintamalli on sisäänrakennettu WWW- tai IMAP-pohjaisiin järjestelmiin. POP-sähköposti voidaan yleensä erikseen asentaa jättämään viestit palvelimelle.

Sähköpostilaatikoiden käyttöoikeudet on viestintäsalaisuuden takia suositeltavaa toteuttaa siten, että tavallisilla ylläpitovaltuuksilla ei ole lukuoikeutta henkilökohtaisiin sähköpostilaatikoihin. Mikäli lukuvaltuuksia poikkeuksellisesti ja perustellusti tarvitaan, tilapäisten oikeuksien käyttöönotto voidaan toteuttaa hallinnollisesti (esimiehen/ tilaajan tms. valvojan lupa) ja teknisesti (oikeuksien muutoksista seuraava automaattinen lokimerkintä) valvotulla menettelyllä.

3.6.2 Sähköpostin palveluosoitteista

Mikäli asiointimahdollisuus sähköpostitse päätetään luoda, kansalaisten viranomaiselle lähettämä sähköpostiliikenne tulee ohjata ensisijaisesti palveluosoitteisiin, esim. info@organisaatio.fi tai kirjaamo@organisaatio.fi. Tämä mahdollistaa asioinnin kirjauksen, kuormituksen jakamisen ja tehtävien joustavan hoidon esimerkiksi tehtävien vaihtuessa tai lomien aikana. Lisäksi menettely ehkäisee mahdollisia ongelmatilanteita viestintäsalaisuuden suhteen. Viranomaisen palveluosoitteisiin tuleva sähköposti suositellaan kuittaamaan.

Työntekijän nimelle lähetettyyn sähköpostiin on suhtauduttava viestintäsalaisuuden huomioiden. Työntekijän saadessa organisaation virallista postia omalla nimellään, on hänen tarvittaessa lähetettävä se asianomaiseen palveluosoitteeseen.

HAITTAOHJELMAT JA SÄHKÖPOSTIN LIITETIEDOSTOT
Erilaisten haittaohjelmien yleinen leviämistapa on nykyään sähköpostin liitetiedostot. Tämän vuoksi kaikki sisään tulevat ja ulos lähtevät sähköpostiviestit tulisi tarkastaa virusten ja muiden haittaohjelmien varalta. Sähköpostin tarkastus voidaan järjestää joko palomuurijärjestelmän tai sähköpostipalvelimen yhteyteen, mikäli sähköpostiviestit eivät ole salattuja esimerkiksi PGP- tai S/MIME-ratkaisuilla. Salattujen viestien virustorjunnasta tulee huolehtia salauksen purkavalla laitteella, mielellään ei kuitenkaan omalla työasemalla. Varmuuden vuoksi sähköpostiohjelmista tulee myös kytkeä ne ominaisuudet pois, jotka aiheuttavat liitetiedoston tai HTML-muotoisen sähköpostin sisältämien toiminteiden automaattisen suorittamisen. Myös ulospäin lähtevä sähköposti tulisi ohjata tarkastuksen kautta, tällä estetään esim. ulkoa tuotujen levykkeiden, CD- tai DVD-levyjen sisältämien virusten leviäminen muualle sähköpostin kautta.

Haittaohjelmavaaran vuoksi on sähköpostiohjelmiston asentamisessa otettava kantaa myös siihen, minkä tyyppisiä liitetiedostoja päästetään sisäiseen verkkoon[29]. Monet tiedostotyypit ovat suoritettavia ohjelmia tai komentojonotiedostoja, jotka voivat olla haittaohjelmia mutta eivät muodoltaan hallintotoiminnassa käsiteltäviä asiakirjoja. Esimerkkipolitiikkana voi olla, että makro- tai komentojonovirusvaaran vuoksi dokumentit otetaan vastaan vain PDF- tai RTF-muodossa[30], ja yli 4 megatavun liitetiedostoja ei välitetä. Jos liitetiedostoja suodatetaan pois, poistetusta liitteestä tulee lähettää automaattiviesti tai muu tieto sähköpostiviestin vastaanottajalle.

3.6.3 Ei-toivottu kaupallinen viestintä

’Ei-toivottua’ kaupallista viestintää (roskaposti, spam, unsolicited commercial e-mail, UCE) on markkinointi- tai vastaavassa tarkoituksessa suurelle joukolle (esim. useita miljoonia) sähköpostin käyttäjiä yleensä oikean näköisestä, mutta käytännössä toimimattomasta, sähköpostiosoitteesta lähetetyt sähköpostiviestit[31]. Tyypillistä on myös se, että roskapostin lähettäjän osoite on väärennetty. Roskaposteihin ei pidä vastata eikä myöskään pidä käyttää roskapostien tarjoamia keinoja päästä pois jakelulistalta. Näiden toimenpiteiden todellinen tarkoitus on varmistaa osoitteiden toimivuus.

Jokainen ylläpitäjä voi estää roskapostin välittämisen asentamalla sähköpostin välityspalvelimen niin, että se ei välitä eteenpäin ulkopuolelta lähetettyä roskapostia. Sähköpostipalvelimelle voidaan myös asentaa roskapostisuodatus. Tällöin sähköpostipalvelin suodattaa ja poistaa automaattisesti sähköpostiviestit, jotka sisältävät suodatuksessa määriteltyjä kriteereitä. Tässä menetelmässä on selkeitä riskejä siihen, että suodatussäännöt vahingossa poistavat jotakin asiallista sähköpostia. Esimerkiksi kaikille avoimissa asiointipalveluissa tätä ei voi käyttää.

3.6.4 Muista viestintäsovelluksista

Sähköpostin lisäksi Internet-käyttöön on olemassa reaaliaikaisia viestintäsovelluksia, joiden käyttöön liittyy sähköpostiin verrattuna uusia tietoturvauhkia. Pikaviestisovellusten (Instant Messaging, IM) toiminta perustuu kahden tai useamman tietokoneen suoraan kommunikointiin keskenään, jolloin tietokoneet muodostavat keskenään ns. vertaisverkon (peer to peer, P2P). Näillä sovelluksilla käyttäjät pystyvät kommunikoimaan suoraan ilman suuria aikaviiveitä toistensa kanssa sekä ottamaan vastaan tiedostoja tai jakamaan niitä toisten käyttäjien kanssa. Niihin liittyy usein tekijänoikeuksia loukkaavia käyttötapoja ja ne ovat merkittäviä haittaohjelmien välittäjiä. Tämän lisäksi ulkopuolinen voi harhauttaa käyttäjää tätä kautta avaamaan tietämättään pääsyn tietokoneisiin ja tietojärjestelmiin. Näiden sovellusten käyttäminen organisaation laitteistoilla tulee kieltää käyttäjien ohjeistuksessa ja tarvittaessa palomuuri- ja ohjelmistoasennusten yhteydessä estää.

Organisaation on hyvä ottaa kantaa myös asiakaspalvelin-mallilla toimivan  IRC-kommunikaatiosovelluksen (Internet Relay Chat) tai Internetin yli tapahtuvien videoneuvottelujen ’web conferencing’ käyttöön. Ne voivat olla käyttökelpoisia kommunikointimuotoja sisäverkossa, mutta osallistuminen organisaation ulkopuolisiin keskustelufoorumeihin ei ole yleensä viranomaisen toimintamuoto eikä videoneuvotteluja tule tehdä suojaamattoman verkon yli. Näiden lisäksi erilaisten etäkäyttöohjelmien ja IP-puhelujen (Voice over IP) tietoturvariskit ja suojausmekanismit tulee arvioida ennen käyttöönottoa.

1 Laki Viestintähallinnosta (625/2001)

2 Lakiehdotus Sähköisen viestinnän tietosuojasta

3 Lisää menettelyohjeita lokitietojen käsittelyyn on Valtionhallinnon sähköpostien ja lokitietojen käsittelyohjeessa (VAHTI 5/2001).

4 Velvoite teknisen henkilökunnan vaitiolovelvollisuudesta . (Laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999) 7 §; lakiesitys sähköisen viestinnän tietosuojalaiksi)

5 Henkilötietolaki (532/1999).

6 Esimerkiksi MD5 ja SHA-1.

7 Lisää seurantatyökaluja on liitteessä 3.

8 Suomessa toimiva tietoturvaloukkauksia seuraava ja ennaltaehkäisevä Viestintäviraston seurantaryhmä lisätietoja ks. http://www.cert.fi. Paikallinen poliisi ja Keskusrikospoliisi toimivat myös neuvovina viranomaisina.

9 Lisää menettelyohjeita tietoturvaloukkaustilanteiden varalle on ohjeessa VAHTI 7/2001

10 Esimerkiksi NMAP, Nessus tai Retina http://www.eeye.com/html/products/Retina/index.html

11 Näitä asioita voi seurata erilaisista tiedoitusryhmistä, kuten www.cert.fi.

12 Pakollisista Palomuurissa sallittavista ICMP-paketeista löytyy lisätietoja RFC2979.

13 Ks. ohjemalli liitteessä 1

14 Näistä vastaa suurelta osin WWW-consortium eli W3C, http://www.w3.org/. Suomessa standardointityötä tekee Tietoyhteiskunnan kehittämiskeskus ry, http://www.tieke.fi/standardointi.nsf

15 Henkilötietolaki (523/1999)

16 Esimerkiksi cd html-data; ln -s / juuri; lynx http://localhost/juuri/

17 Lisää menettelyohjeita tietojärjestelmäkehityksen tietoturvallisuuteen on ohjeessa VAHTI 3/2000.

18 Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) 6§

19 Arkistointilaitoksen antamia ohjeita liittyen sähköiseen kirjaamotoimintaan löytyy osoitteesta narc.fi.

20 Laki sähköisestä allekirjoituksesta (14/2003) edellyttää näitä ominaisuuksia laatuvarmenteilta.

21 VoIP eli Voice over IP

22 Lisää menettelyohjeita etätyöskentelyn tietoturvallisuuteen on ohjeessa VAHTI 3/2002.

23 Lisätietoja EDI-standardista (ISO 9735) löytyy muun muassa WWW-osoitteesta www.iso.org.

24 Lisätietoja XML-standardista löytyy dokumentista “Valtion tietotekniikan rajapintasuosituksia (27/2001)”.

25 Lisätietoja sähköpostista löytyy ohjeesta Valtionhallinnon sähköposti ja lokitietojen käsittelyohje, VAHTI 5/2001

26 Esimerkiksi Internet-asiointipalveluja täydentävänä kanavana

27 Erityisesti RFC 2822

28 Tällaisia palveluita on Suomessa (esim. jippii.fi, luukku.com, suomi24.fi) ja ulkomailla (esim. Hotmail, Yahoo)

29 Lisätietoja poistettavista liitteistä http://support.microsoft.com/default.aspx?scid=kb;ENUS;262631 tai http://nsa2.www.conxion.com/support/guides/sd-7.pdf

30 Uusimmissa PDF- ja RTF-muodoissa on esiintynyt makroja, mutta ne ovat suojatumpia kuin esimerkiksi DOC-muotoiset dokumentit. Ongelmia voi olla myös eri organisaatioiden tavoissa hyväksyä dokumentteja.

31 Sähköisen viestinnän tietosuojalakiesityksen mukaan suoramarkkinointi on sallittua jos se kohdistuu käyttäjiin jotka ovat antaneet nimenomaisen suostumuksen ennalta. Yhteisöillä on oikeus kieltää suoramarkkinointi.


Vahti- ylläpito08.10.2009 / 14:05:30
Tulosta