Dokumentoinnin tärkeys tietoturvassa

Ajattelin nostaa esiin yhden usein unohdetun osan tietoturvallisuuden (ja muidenkin prosessien!) hallintaa. Sen, mitä monet inhoavat ja jotkut toiset taas rakastavat yli kaiken — dokumentoinnin. Dokumentointi on pohjimmiltaan asioiden kirjaamista ylös, jotta syntynyttä dokumentaatiota voidaan sitten käyttää tavalla tai toisella tiedon välitykseen ja / tai säilytykseen. Mikä sitten tekee siitä tärkeän osan tietoturvaa, missä se monesti menee pieleen ja miten sen käyttöä voitaisiin parantaa, mukaan lukien mainittu yleinen antipatia dokumentointia kohtaan?

Aloitetaan klassisesta organisaatioiden tietoturvaongelmasta. Käytössäolevia laitteita ja järjestelmiä ja verkon rakennetta ei ole dokumentoitu millään tavalla. Voidaanko silloin olettaa, että esimerkiksi kyberhyökkäyksen tai tietosuojaloukkauksen aikana tilanteeseen voidaan reagoida tehokkaasti? Ei voida. Itse asiassa dokumentoimattomuus lisää riskiä, kun kaikkien järjestelmien tilasta (tai edes olemassaolosta) ei ole tietoa.

Esimerkki: Microsoft

Tuore, varsin kuvaava uutinen. Microsoft oli jättänyt 250 miljoonaa asiakaspalveluun liittyvää tietoa auki verkkoon viidellä Elasticsearch-palvelimella, joista yksikään ei vaatinut edes tunnistautumista. Tiedot olivat siis avoinna kaikille, ja sisälsivät asiakkaisiin yhdistettävissä olevaa arkaluonteista tietoa. Tällä kertaa palvelimet löysi onneksi tietoturvatutkija, joka ilmoitti asiasta Microsoftille, ja ainakaan vielä ei ole löytynyt viitteitä haitallisesta käytöstä. Kyseessä on joka tapauksessa tietovuoto.

Miten dokumentointi sitten olisi voinut auttaa? Yksityiskohtia sen tarkemmin tuntematta, dokumentaatiota ei ole joko ollut tai sen käyttö on puutteellista. Palvelimia pystyttäessä olisi tärkeää dokumentoida esimerkiksi seuraavat asiat:

  • Osoite & sijainti verkossa
  • Käyttöjärjestelmä & muut tekniset tiedot
  • Mitä palvelin tekee? Kuka omistaa kyseisen liiketoimintaprosessin?
  • Mitä dataa palvelin säilyttää / käsittelee?
  • Miten palvelin on suojattu?

Jos nämä on dokumentoitu kunnolla ja dokumentointia käytetään hyväksi myös prosessien valvonnassa, huomataan äkkiä että internetiin on auki suojaamattomia palvelimia joilla on asiakaspalveluun liittyviä tietoja. Vasta kun asia on tiedossa, voidaan aloittaa korjaavat toimenpiteet. Nyt ongelmasta tiedettiin ensin yrityksen ulkopuolella.

Infrastruktuurin kartoituksen tärkeys

Edellä olevasta esimerkistä näkee hyvin, millaisia ongelmia syntyy jo yksittäisten palvelimien kanssa. Entäpä sitten kun koko infra on jätetty kunnolla dokumentoimatta? Organisaatio on käytännössä sokea. Kyberhyökkäyksen torjunta vaikeutuu kun ei tiedetä haavoittuvien järjestelmien olemassaoloa tai sijaintia, eikä hyökkääjän mahdollisia etenemisreittejä verkossa. Hyökkääjä saattaa myös saada jalansijan palvelimelta jota ei ole dokumentoitu, jolloin torjuntatoimenpiteiden välttäminen onnistuu paljon helpommin.

On myös tärkeää ymmärtää, mitä varten infrastruktuuri on olemassa. Mitä prosesseja se palvelee ja mitä dataa siellä liikkuu? Kuka on vastuuhenkilö? Mikä on järjestelmien suunniteltu elinkaari? Tämänkaltainen tarkastelu auttaa myös löytämään tehottomia ja turhia osia prosesseista, tai muuten vaan parantamisen varaa. Parannuksien jälkeen infra on tarkoituksenmukaisempi ja hyvin mahdollisesti myös turvallisempi. Tyypillisiä asioita mitä tällaisessa tarkastelussa huomataan saattavat olla esimerkiksi henkilötietojen varomaton (tai jopa laiton) käsittely tai järjestelmät, jotka ovat jo elinkaarensa päässä tai eivät enää aktiivisesti käytössä. Tällaisten havaintojen jälkeen on helpompaa parantaa tietosuojaa ja pienentää hyökkäyspinta-alaa.

Hyökkäystilanteessa torjunta on helpompaa kun järjestelmien olemassaolo ja suojaustaso on tiedossa. Näin hyökkäystä on helpompi seurata ja torjua. Myös jälkipyykki, esimerkiksi viranomaistoiminta helpottuu hyvän dokumentoinnin avulla. 

Ajattele jatkuvuutta dokumentoinnissa

Monessa yhteydessä tulee vastaan ajatus siitä, että asiat ovat kunnossa kun IT-ylläpitäjä osaa pitää asiat järjestyksessä. Ylläpitäjät ovatkin monesti varsin päteviä! Mutta entäpä sitten, kun kyseinen osaaja sairastuu, vaihtaa työpaikkaa tai eläköityy? Dokumentointia ei välttämättä ole, se saatetaan osin hävittää työntekijän lähtiessä tai sitten se ei ole ymmärrettävää. Dokumentoinnin tulisikin mieluiten olla sellaista, että se auttaa uutta tekijää suorittamaan työtehtävänsä ilman aiemman työntekijän muuta ohjeistusta.

Muita hyötyjä

Kyseessä on myös tehokkuus- ja turvallisuustekijä. Tiimityöskentelyssä riittää kun yksi henkilö opettelee esimerkiksi uuden palvelimen asentamisen ja konfiguroinnin ja dokumentoi prosessin vaihe vaiheelta. Tämän jälkeen jonkun toisen henkilön olisi hyvä varmistaa että asennus on suoritettu turvallisesti ja dokumentoida mahdolliset korjausohjeet. Näin muut voivat suorittaa saman asennuksen ilman usein aikaavievää oppimisprosessia (ja välttävät tekemästä samoja virheitä, joka on myös turvallisuustekijä). Oppi siis on siirrettävissä ja monistettavissa tehokkaammin dokumentaation kautta.

Oikeiden konfiguraatioiden dokumentointi ja muutoksenhallinta auttavat pysymään kartalla siitä, mikä järjestelmien tila on. Apua on myös tarpeellisten muutosten ja uudistusten läpiviemiseen. IT-ympäristöissä tapahtuu paljon puutteellisesta dokumentaatiosta aiheutuvaa tehottomuutta ja jopa tiedostamatonta riskinottoa.

Myös ulkoinen ja sisäinen auditointi onnistuvat helpommin, kun dokumentaatio on kunnossa. Tulokset ovat parempia ja kustannukset saattavat madaltua.

Tietoturvaprosessit ja jatkuvuudenhallinta 

Tästä päästäänkin lempiaiheeseeni. Tietoturvan ja jatkuvuudenhallinnan prosessien suunnittelu ja dokumentointi etukäteen, sekä niiden harjoittelu (ja tulosten dokumentointi) auttavat organisaatiota varautumaan kriisiä varten. 

Tietoturvapolitiikasta on ihan hyvä aloittaa, sillä se auttaa jäsentelemään toiminnan kokonaiskuvaa tietoturvanäkökulmasta ja jakamaan vastuita. Monesti tietoturvapolitiikka jää kuitenkin hiukan irralleen todellisuudesta, ja sitä kannattaa päivittää pohtimalla kysymysten kautta miten tietoturvapoikkeamiin voidaan oikeasti reagoida?

Muutamia kysymyksiä, joiden vastauksien tulisi olla dokumentoituna: 

  • Kenen tai keiden vastuulla tietoturva on?
  • Miten toimitaan missäkin poikkeustilanteessa?
  • Kuka tekee mitkäkin toimenpiteet ja missä järjestyksessä?
  • Miten tiedotetaan sidosryhmille kuten asiakkaille, medialle, toimittajille ja työntekijöille? Kenen vastuulla se on? Mikä on viestintäpolitiikka?
  • Milloin ilmoitetaan viranomaisille? Mitkä ovat asianomaisten viranomaisten yhteystiedot?
  • Miten toiminta jatkuu poikkeustilanteessa? Mitä poikkeuskäytäntöjä otetaan käyttöön?
  • Mitkä ovat kriittisimmät prosessit joiden toiminta pitää turvata?
  • Kuinka pian toiminta voidaan palauttaa normaaliksi? Kuinka kauan poikkeustilaa voidaan sietää?
  • Onko näitä harjoiteltu? Mitkä olivat tulokset?

Jos organisaatiosi pystyy käymään läpi tämäntyyppisen ajatteluprosessin harjoituksineen ja dokumentoimaan tulokset järkevällä tavalla, kriisinsietokykynne kasvaa huomattavasti. Sivuhuomautuksena voisi todeta, että listatkaa sivuillenne yhteystietoihin myös tietoturvakontakti! Näin ulkopuoliset tietoturva-ammattilaiset voivat helpommin raportoida havaitsemansa haavoittuvuudet ja hyökkäykset. Suomessa tässä asiassa on paljon parannettavaa jo pelkästään oman kokemukseni perusteella.

Hyvä, paha dokumentaatio

Jos dokumentaatio on niin tärkeää ja hyödyllistä, miksi sitä ei sitten tehdä kunnolla? Yksi yleinen syy on se, että se koetaan raskaana ja puuduttavana tehtävänä, joka vie aikaa oikeiden töiden tekemiseltä. Ratkaisu tähän on pyrkiä järkevöittämään dokumentaatiota ja automatisoimaan sitä niin paljon kuin mahdollista. Järkevällä dokumentointimallilla voidaan keskittyä kirjaamaan ne asiat jotka oikeasti merkitsevät. Monesti myös dataa voidaan hakea suoraan eri järjestelmistä, ja monien asioiden dokumentointi voidaan suoraan automatisoida. Mitä vähemmän dokumentoinnista aiheutuu “turhaa työtä”, sitä paremmin sitä tehdään. Automaatio myös vähentää inhimillisen virheen riskiä, mutta tuo toki omia mahdollisia ongelmiaan.

Varo myös yli-innokasta dokumentaatiota! Nykyisin esimerkiksi GitHubiin päätyy paljon esimerkiksi ohjelmistokehittäjien dokumentaatiota ja tuotoksia, jotka ovat pahimmillaan suurikin tietoturvariski. GitHubista löytyy esimerkiksi suuryritysten API-avaimia. Ongelman laajuuden ymmärtää seuraamalla tätä sivua hetken aikaa: kaikki ruudulle ilmestyvät tiedot ovat julkisesti saatavilla GitHubissa.

Yhteenveto

Dokumentaatio on tapa hallinnoida tietoa, ja ilman tietoa olet sokea. Sillä voidaan siirtää ja monistaa oppimista, ja auttaa parantamaan prosesseja. Tietoturva- ja tietosuojaongelmien ennaltaehkäisy, torjuminen ja jälkipyykki onnistuvat paremmin hyvän dokumentaation avulla. Pohdi siis, onko juuri sinun organisaatiossasi parannettavaa dokumentaatiossa!

Heräsikö kysymyksiä? Ota yhteyttä!


Kategoria Blogi