Standardit, määreet ja reikäjuusto
ISO27000 standardissa on kyse standardisoidusta puolustuksesta. Kyseessä on vastuun sisältäminen omassa verkossa jossa pidetään huoli laadukkaan ylläpidon standardista.
Ohessa muutamien standardin määreiden selvitykset mm (itse suomennettuna)
3.2 Attack/Hyökkäys
Yritys/tavoite tuhota, paljastaa, muokata, poistaa suojaus, saada luvaton pääsy tai saada käyttöön omaan tarkoitukseen toisen omaisuutta (asset).
3.31 Turvallisuus/informaatio tapaturma
Yksittäinen tietoturvatapahtuma, sarja ei-toivottuja tai odottamattomia tietoturvatapahtumia (3.30), joilla on merkittävä todennäköisyys vaarantaa liiketoimintaa ja uhata tietoturvaa (3.28)
3.56 Vaadittavuus tai odotus, joka on ilmaistu tai yleisesti oletettu tai pakollinen. Eli organisaation sisällä merkitty vaatimuksena tai käytäntönä. Merkitty esimerkiksi dokumentoiduissa tiedoissa.
3.58 Toiminnan arviointi jolla määritetään sopivuus, riittävyys ja tehokkuus (3.20) asetettujan tavoitteiden (3.49) saavuttamiseksi.
3.77 Haavoittuvuus
Omaisuuden tai hallinnan heikkous jota voidaan käyttää hyväksi uhkien kautta.
ISO 27032 1-5 Ohjelmistotietotuvan turvallisuustekniikat
Tämä standardi tarjoaa viitekehyksen sovellusturvallisuuden hallintaan. Se soveltuu kaiken kokoisille organisaatioille ja auttaa varmistamaan sovelluksen turvallisuuden tämän koko elinkaaren ajan. Kattaen itse ohjelmiston prosessit sekä viittaavat tietokannat/tiedot.
Standardi koostuu viidestä osa-aluueesta jotka ovat (hyvin vapaasti itse suomennettuna)
1. Yleiskäsitteet ja konseptit.
2. Organisaation normaalien käytäntöjen yleispohja
3. Ohjelmaturvallisuuden hallintaprosessi
4. Ohjelmistoturvallisuuden vahvistus/kelpuutus
5. Protokollat ja ohjelmistoturvan tietorakenneVäittämät laatulöpinät podcastista.
Podcastissa esitettiin seuraavat väittämät:
1. Mikään ohjelmisto ei ole täysin tietoturvallinen.
2. Hallinnollinen tietoturva on teknisen tietoturvan edellytys.
3. Automaattitestaus on tärkeä osa ohjelmistotietoturvaa.
4. Ohjelmistoa suunnittellaessa käyttäjä voidaan ohjata tietoturvallisemmaksi.
5. Tietoturvan suunnittelu lähtee suojellun tiedon arkaluonteisuuden merkityksellä.Pääosin olin täysin samaa mieltä tehdyistä kommenteista ja asiantuntijan näkemyksestä. Erityisesti olen itsekin törmännyt ongelmaan, jossa tietoturvan liian suuri alleviivaus on itsessään este työlle. Tietoturva on rakennettava tekemisen ympärille, ei sen yläpuolelle.
Hyvä järjestelmä on intuitiivinen käyttää ja samalla käyttää hyviä tietoturvamenetelmiä. Ja kaikki data on tärkeää. Osa liiketoiminnasta perustuu aina luottamukseen ja yhteiseen kauppaan. Siispä yksikin bitti väärissä käsissä on aina huonoa liiketoimintaa.
Myös kommentti tilanteista jossa 99/100 ei ole tarpeeksi hyvä, oli tärkeä. Tietoturva joko toimii tai ei toimi. Ja kaikki tietoturva toimii kunnes se ei toimi. Riskit on vain minimoitava hyvällä organisoinnilla ja pohjarakenteella.
Olen myös täysin samaa mieltä, että hallinnollisessa tietoturvassa on puhuttava samaa ”jargonia” kuin teknisessä tietoturvassa. Jos hallinto ei puhu samaa kieltä teknisten suorittajien kanssa, ongelmakohtia on vaikea ymmärtää.
Riskienhallintasuunnitelma.
Itselläni kotilabra on lähtenyt luontevasti kasvamaan samassa suhteessa, kun olen palveluita rakentanut omaan kotiini tässä muutaman vuoden aikana. Tämän standardisointi-kokonaisuuden seurauksena/inspiroimana tein muutamat muutokset labraani seuraten suosittua reikäjuustoteoriaa.
Eli pyrin muuttamaan käytäntöjäni omissa järjestelmissä niin, että yhden suojamekanismin pettäminen ei johtaisi koko järjestelmän kompromissiin.
Tämä työ on nyt alkava ja kiinni myös raudasta mitä minulla on käytettävänä tai tulevaisuudessa ostettavana. Vaikka en omista juuri hallittuja eth-jakajia niin voin strukturoida portit niin, että reunalaitteessa jakajat tuovat aina kohdistetun vlan järjestelmän dataa sisään.
Eli työkaluna käytetään virtuaaliverkkoja segmentoimaan kokonaisuutta (VLAN)
Tämä johti koko järjestelmän uudelleen johdottamiseen, sekä oman sisäisen mahdollisimman ”helpon” järjestelmän ymmärtämiseen. Itse käytin ”linnunrata” kirjasarjaa pohjana.
10 Syvä miete (Management)
10.42.10.0/x
Laitteiden Aivot. vPro, IP-KVM, ubiquiti hallintajärjestelmä, rautojen UEFI. Pääsy sallittu vain Liftaajat-verkosta, salasanan takana ja wireguard kättelyllä/oikealla fyysisellä portilla.
33 Kultasydän (Palvelut)
10.42.33.0/x
Palveluiden Koti. Mm dns, tekoäly, r-proxy, 3d printtaus, virtuaalikoneet, raid yms. Jokainen palvelu salasanan takana + pääsy vain liftaajista. Voidaan käyttää whitelistia hyödyksi.
42 Liftaajat (Luotetut)
10.42.42.0/x
Luotetut Liftaajat. Arthur, Marvin ja muut henkilökohtaiset/perheen laitteet, jotka tarvitsevat pääsyn kaikkialle. Wireguard toimii tällä tasolla (rajoitettu CIDR osoiteavaruus).
53 Maailmanlopun ravintola (IoT/Yleinen wlan)
10.42.53.0/24
”Enimmäkseen harmiton”. Yhteinen alue IoT-laitteille ja wlanille. Löyhästi eristetty. Palvelut saavutettavissa mac-osoite-perusteisesti. Suojattu wifin-salauksella.
99 Vogon aluskanta (Punainen labra)
10.42.99.0/24
”Vastarinta on hyödytöntä!”. Täysin eristetty testaus/karanteeniympäristö.
Näillä pystyn paremmin sulkemaan palveluita toisistaan. Esimerkiksi jos joku onnistuisi rikkoutumaan langattomaan verkkooni niin seuraavalle tasolle pääsy edellyttää WireGuardia. Jos joku onnistuisi rikkoutumaan wireguardin läpi, edessä on salasanat ja jos joku onnistuu rikkomaan salasanat niin edessä on vielä tarve fyysiselle portille.
Kaikki erikseen on tehtävissä, mutta kokonaisuus vaatii jo paljon suurempaa ponnistelua.
Lopun kuvat vain näyttämään millä tein työtä ja miten itse piirsin suunnitelman (tässä tärkeintä, että itse ymmärsin mitä tein). Koko setti oli yllättävän monimutkainen.
Loppusanat
Standardisointi on erittäin hyvä työkalu vastuun, luottamuksen ja hallinnoinnin työkalupakissa. Hyvin rakennettu standardimalli tekee kaikesta muusta työstä helppoa ja edistää hyvien käytäntöjen ylläpitoa.
Lähteet https://terokarvinen.com/sovellusten-hakkerointi/ Larin ja Teron kurssin pohjamateriaalit. Tämä osana läksyjä.
https://en.wikipedia.org/wiki/Swiss_cheese_model Reikäjuustoteorian wiki
https://www.arter.fi/podcast/laatulopinat-podcast-tietoturvallisuus-ohjelmistokehityksessa-tarkastele-kokonaisuutta-ja-hyodynna-viitekehykset/ Laatulöpinät osana pohjatietoina
https://www-iso-org.translate.goog/standard/iso-iec-27000-family?_x_tr_sl=en&_x_tr_tl=fi&_x_tr_hl=fi&_x_tr_pto=sc Iso-standardeista lisätietoja
https://fi.wikipedia.org/wiki/Virtuaalilähiverkko Virtuaaliverkot
Raportissa käytetty Googlen gemma3:27b-it-iq (LM Studio) mallia ISO-mallien standardisoinnin selvennykseen ja konseptien ymmärtämiseen. https://lmstudio.ai https://huggingface.co/google/gemma-3-27b-it
Kuvat optimoitu https://optimage.app
Koska saan linkittää https://www.kirjasampo.fi/fi/kulsa/kauno%253Aateos_1704
Käytetty aika Standardit, podcast, konsepti ja kirjoitus n 2h Oman järjestelmän uusiminen parempaan kuntoon n 12h ->