CASE Suomen Pankki & haavoittuvuuksien monitorointi

Ulkoiset uhat, niin kyberrikollisten kuin valtiollisten sekä teollisuusvakoilijoiden merkeissä, ovat muodostuneet osaksi suomalaisen liike-elämän ja tietoyhteiskunnan todellisia huolenaiheita. Tämän lisäksi nykypäivän ICT-ympäristöt ovat monimutkaisia kokonaisuuksia, joiden eri osat ovat hajautuneet moniin eri järjestelmiin ja myös eri toimijoille. Kattavan tiedon saaminen ympäristön heikkouksista ja ajantasaisuudesta sekä hyökkäysvektorien määristä on vaikeaa. Turvautuminen yleisiin tietoturvakomponentteihin kuten IDS- ja SIEM-järjestelmiin auttaa havaitsemaan uhkat ja ympäristön puutteet sekä haavoittuvuudet, mutta yleensä vain reaktiivisesti. Tiedon suojaaminen ja hyökkäyspinnan minimoiminen tulisikin hoitaa ennakoiden, jotta toiminnan jatkuvuus voidaan turvata sekä hallita esimerkiksi maineriskeihin pohjautuvia uhkia.

Ajantasaisen kokonaiskuvan tärkeys tietoturvassa Pankki- ja rahoitusalan toimijoille laadukkaan ja korkeatasoisen tietoturvan toteutuminen on välttämätöntä kaikessa toiminnassa ja näin ollen reaaliaikainen haavoittuvuuksien havainnointi ja niihin reagointi on ensisijaisen tärkeää. Valtionhallinnon organisaatioilla toteutettavan tietoturvallisuuden tason ei tulisi olla sen vähäisempää. Suomen Pankki toimii sekä valtionhallinnon organisaation roolissa Suomen keskuspankkina että myöskin pankki- ja rahoitusalan toimijana huolehtien osaltaan esimerkiksi rahahuollosta ja setelien liikenteeseen laskemisesta sekä maksu- ja muun rahoitusjärjestelmän luotettavuudesta ja tehokkuudesta.

Tietoturvallisuuden kehittäminen ja sen korkean tason ylläpitäminen ovat osana Suomen Pankin päivittäistä toimintaa. ICT-ympäristön ajantasaisuuden perustaa oli valvottu haavoittuvuusskannerilla, joka ei kuitenkaan enää ollut tätä päivää. Käytössä ollut haavoittuvuusskanneri ei antanut kunnollista kuvaa monimutkaisen ympäristön tilasta. ”Ainoa ratkaisu sen hetken välineillä olisi ollut tuotteen asentaminen jokaiseen ympäristöön erikseen ja näin ollen kaiken kattava ja keskitetty näkymä oli jäänyt puuttumaan tai sen saaminen edes kohtalaisella tasolla olisi ollut työlästä”, toteaa Suomen Pankin järjestelmäasiantuntija Jouni Juntunen. Uuden ratkaisun hankinnasta tuli näin ajankohtaista.

Edistyksellinen teknologia ja osaava kumppani laadunvarmistajina

Käytyään läpi mahdollisia ratkaisuja tilanteeseensa päätyivät he Ymonin tarjoamaan Outpost24- haavoittuvuusskanneriin, jonka mm. Frost & Sullivan on palkinnut parhaaksi skannausmoottorin osalta. Outpost24:n haavoittuvuusskanneri on kilpaileviin ratkaisuihin verrattuna edistyksellinen lähestymistavoiltaan, joilla haavoittuvuuksia monitoroidaan. Ratkaisu luo jokaisella skannauskerralla tietokannan skannattavan ympäristön sen hetken tilanteesta. Jos maailmalta havaitaan uusi haavoittuvuus ennen seuraavaa skannauskertaa, järjestelmä nostaa hälytyksen vertaamalla saatua haavoittuvuustietuetta edellisestä skannauksesta saatuihin versiotietoihin. Näin pystytään nostamaan hälytyksiä ja tarkistamaan ympäristön ajantasaisuutta myös skannauskertojen välissä ja ympäristön haavoittuvuuksiin pystytään reagoimaan nopeammin samalla vähentäen tietoturva-aukkoon liittyvää hyödynnettävissä olevaa hyökkäysaikaa ja –rajapintaa.

Suomen Pankin IT-ympäristön eri osa-alueita on verkkoteknisesti eriytetty toisistaan ja vaati näin ratkaisun, joka pystyy korkeat tietoturvavaatimukset huomioiden keskitetysti toteuttamaan kaikkien ympäristöjen skannauksia ja luomaan keskitetysti yhden raportin. Outpost24-ratkaisussa jokaiseen ympäristöön on asennettu oma skanneri, mutta keskitetty Scheduler hallitsee jokaisen eritetyn ympäristön skannausta ja vaatii toimiakseen vain yhden tietoliikenne portin avaamisen. ”Muut valmistajat eivät tätä pystyneet yhtä hyvin ratkaisemaan. Niissä olisi vähintäänkin jouduttu avaamaan erittäin suuri määrä tietoliikenneportteja molempiin suuntiin eli myös skannausympäristöön ja tämä ei tietoturvavaatimusten takia tule kaltaisessamme ympäristössä kuuloonkaan”, Suomen Pankin IT-infrastruktuuritoimiston toimistopäällikkö Kari T. Sipilä toteaa.

Ratkaisun käyttöönotto konfigurointeineen oli suoraviivaista, sillä kyseessä on ohjelmistopohjainen virtuaalipalvelimille asennettava tuote. ”Ympäristömme rakenteesta johtuen lopullinen ja kätevin lisensointimalli skannerivalmistajan suuntaan oli alkuun pienoinen kysymysmerkki”, Juntunen kertaa. ”Hyvät ja asiantuntevat yhteistyökumppanit mahdollistivat, että haasteista kuitenkin selvittiin ja käyttöönotto sujui mutkattomasti.”, Sipilä täydentää. Tuotteen käyttöön Suomen Pankilla on oltu erittäin tyytyväisiä. ”Kaikki on mennyt hyvin, eikä ongelmatilanteissa ole mennyt kahta viikkoa ongelman syyn selvittelyyn”, kiittelee Juntunen Ymonin ja Outpost24:n toimintaa. Ymon ja Outpost on täysin pohjoismainen yhdistelmä. Sipilä toteaakin, että "tuote on osoittautunut laadukkaaksi ja Ymon osaavaksi kumppaniksi.”

Alkuun tuote on pääosin ollut käytössä Microsoft-palvelinympäristön päivitysten tarkastamisessa, missä ratkaisun yksityiskohtaiset suositukset tietoturvan mukaisiin konfigurointeihin ovat saaneet kiitosta. Kokonaiskuvan lisäksi uuden ratkaisun tarkoituksenmukaisuus ja tiedonkulun helpottaminen sekä todentamisen mahdollistava raportointi olivat Juntuselle tärkeitä. ”Tuote vastaa vaatimuksiimme ja sopii erinomaisesti ympäristöömme, ja tarkoituksena onkin laajentaa sen käyttöä huomattavasti”, suunnittelee Juntunen. Sipilä lisää vielä loppuun, että kattava tieto mahdollisista haavoittuvuuksista on myös tuonut varmuutta ja läpinäkyvyyttä, jonka pohjalta toimintaa on hyvä jatkaa.

Lataa Case PDF-tiedostona tästä.