Uhkatietojen mahdollisuudet korkeakoulujen tietoturvassa

Abstract

Alati muuttuvassa kyberuhkien ympäristössä ennalta varautuminen erilaisiin kyberhyökkäyksiin on yhä tärkeämpää. Jotta hyökkäyksiin voitaisiin ennalta varautua, tarvitaan tietoa. Uhkatieto ja sen jakaminen sidosryhmien kesken voi olla osa ratkaisua ennalta varautumisessa. Kun sidosryhmän jäsenet saavat ajoissa tiedon käynnistymässä olevasta kyberhyökkäyksestä, he voivat ottaa tarvittavat varautumiskeinot käyttöön jo ennen hyökkäyksen alkua. Tämä pro gradu -tutkielma tarkasteli uhkatietojen mahdollisuuksia korkeakoulujen tietoturvan kehittämisessä. Uhkatietojen jakamiseen käytettiin MISP-alustaa, joka on avoimen lähdekoodin sovellus uhkatietojen keräämiseen ja jakamiseen. Tutkielman tutkimusmenetelmiksi valittiin kirjallisuuskatsaus sekä konstruktiivinen tutkimusmenetelmä, joka etsii ratkaisua reaalimaailman ongelmiin. Tutkielman lähteiksi valittiin luotettavia, relevantteja, hyvän tason lähteitä. Lopputuloksena havaittiin, että MISP on varteenotettava työkalu uhkatietojen jakamisessa. Integraatioiden muodostaminen toisiin järjestelmiin, tapahtumien jakaminen toisen organisaation kanssa ja uhkatietojen organisointi oli parhaimmillaan yksinkertaista ja suoraviivaista. Toisaalta havaittiin, että MISP on lopulta vain työkalu, varasto, johon uhkatietoa viedään, eikä se yksin ole vastaus tehokkaaseen tietojen jakamiseen ja hyödyntämiseen, vaan lisäksi tarvitaan selkeitä prosesseja, sääntöjä ja standardeja, selkeää lainsäädäntöä sekä motivoituneita ihmisiä työskentelemään uhkatiedon keräämisen, käsittelemisen ja jalostamisen parissa. Lisäksi MISP:n ylläpitäminen ja ongelmien selvittely olivat pahimmillaan reilusti aikaa vieviä prosesseja. MISP-alustassa on potentiaalia, mutta se tarvitsee käyttäjiä, jotka ymmärtävät sen toimintaa ja jotka ovat sitoutuneet yhteisiin pelisääntöihin uhkatietojen jakamisessa.

In the ever-changing environment of cyber threats, it is increasingly important to be prepared in advance for various cyber-attacks. In order to prepare for attacks in advance, information is needed. Threat intel and its sharing among stakeholders can be part of the solution in preparing for the cyber threats in advance. When the stakeholders receive timely information about a cyber-attack that is about to start, they can take the necessary precautions before the attack begins. This master's thesis examined the possibilities of threat information in the development of information security in higher education institutions. The MISP platform was used to share threat information, which is an open-source application for collecting and sharing threat intel. The research methods chosen for the dissertation were a literature review and a constructive research method that seeks solutions to real-world problems. Reliable, relevant, high-quality sources were chosen as sources for the thesis. As a result, it was found that MISP is a viable tool for sharing threat information. Creating integrations with other systems, sharing events with another organization, and organizing threat information was simple and straightforward at best. On the other hand, it was found that in the end MISP is only a tool, a storage, to which threat information is saved, and it alone is not the answer to efficient threat intel sharing and utilization, but it also requires clear processes, rules and standards, clear legislation, and motivated people to collect, handle, and process the threat information. In addition, maintaining MISP and solving errors were quite time-consuming processes at worst. The MISP platform has potential, but it needs users who understand how it works and who are committed to follow agreed rules in sharing threat information.