Implementing security controls in existing system

Abstract

The main objective is the investigation of possibilities of elevating existing and old information system to comply with the current information security criteria. The elevation process of one system security is included, in which one system already in production will be made to fulfill the requirements of current national auditing criteria. The subject is topical in the field of cyber security, as according to the national criteria, problems in information security are to be noticed in the planning phase; however, this has proven to be impossible in practice. The current cyber threats and best practice models (VAHTI, ISO207001, KATAKRI, etc.) are used as the theoretical framework. The study was conducted as a qualitative case study divided into three cases. The aim was to find the threats, how to mitigate them and also find the differences between commonly presented practice models and auditing criteria when dealing with an existing and a new system. If the anti-malware software cannot be installed in the target environment, it is not possible to detect security issues taking place when imported data is extracted and used in the environment. If the system is not updateable, then the continuous development and OODA loop will also be easily broken. One broken part of the OODA loop affects the functioning of all other parts. If the system is newly procured, it is easier to keep track of all publicly available information and make contracts limiting all the information usage and publication. In the light of this thesis, it seems to be impossible to measure how the system hardening was carried out if defensive and detection mechanisms are not tested and trained.

Opinnäytetyön päätavoite oli tutkia jo olemassa olevan ja vanhan tietojärjestelmän mahdollisuuksia vastata tämänhetkisiin tietoturvakriteereihin. Työn käytännön osuuden aikana tehtiin yhden järjestelmän turvallisuuden korottaminen, jossa jo tuotannossa olevaa järjestelmää muokattiin siten, että se vastaisi tämänhetkisen kansallisen auditointikriteetistön vaatimuksia. Aihe on ajankohtainen kyberturvallisuuden alalla, sillä kansallisen auditointikriteeristön mukaan tietoturvan ongelmat tulisi ottaa huomioon jo suunnitteluvaiheessa, mutta se on osoittautunut käytännössä mahdottomaksi. Teoreettisena viitekehyksenä on käytetty tämänhetkisiä kyber-uhkia ja parhaita toimintamalleja (VAHTI, ISO207001, KATAKRI, jne.). Tutkimus on toteutettu laadullisena tapaustutkimuksena ja jaettu kolmeen caseen. Tavoite oli löytää uhkia, kuinka rajoittaa niiden vaikutusten haitallisuutta, sekä löytää eroja yleisesti esitettyjen parhaiden toimintamallien ja auditointikriteerien välillä, kun käsitellään vanhaa ja uutta järjestelmää. Jos tietoturvaohjelmistoa ei voida asentaa kohdeympäristöön, ei tapahtuvia turvallisuusseikkoja voida havaita, kun ulkopuolelta tuotua dataa puretaan käyttöön ympäristössä. Jos järjestelmä ei ole päivittyvä, jatkuva kehitys häiriintyy ja OODA-silmukka rikkoutuu herkästi. Jos silmukan yksi osa rikkoutuu, se vaikuttaa myös kaikkien muiden osien toimintaan. Jos järjestelmä on uusi, on helpompi pysyä selvillä kaikesta julkisesti saatavilla olevasta tiedosta sekä tehdä sopimuksia, jotka rajoittavat tiedon käyttöä ja julkaisua. Tulosten valossa vaikuttaisi olevan mahdotonta mitata, miten järjestelmän koventaminen on tehty, jos tunnistus- ja torjuntamenetelmiä ei testata ja niiden käyttöä ei harjoitella.