kyberturvallisuus - organisaation ja tietojen suojaaminen, eu:n tietosuoja-asetukset
TRANSCRIPT
Kyberturvallisuus – organisaation ja tietojen suojaaminen,EU:n tietosuoja-asetukset
Tuomas Tonteri, yrittäjä, toimitusjohtajaelfGROUP Kyberturvallisuuspalvelut Oy
Tietopäivä suurten tilaajien vaatimuksiin alihankintaverkostoille16.2.2017, Kalajoki
kyberturvallisuus | elfgroup.fi
elfGROUP – Kyberturvallisuudesta kilpailuetua
elfGROUP Kyberturvallisuuspalvelut Oy on suomalainen sähköisten tietojen turvalliseen hallintaan erikoistunut yritys, jonka ratkaisut suojaavat yritysten liiketoiminnan kyberturvallisuusriskeiltä.
elfGROUP tuottaa kyberturvallisuuden asiantuntijapalveluita ja pilvipalveluita kaikenkokoisille yrityksille. elfGROUP on perustettu v.2010 ja sen liikevaihto on ~0,85M€ (2016). Yrityksen palveluksessa työskentelee 12 kyberturvallisuuden ammattilaista.
elfGROUP varmistaa, että kyberturvallisuuden suojausmenetelmät ja yrityksen käytännöt ovat riittävät ja oikeassa suhteessa liiketoiminnan riskeihin.
kyberturvallisuus | elfgroup.fi
Kyberturvallisuudesta kilpailuetua● Millainen on teidän tietoturvataso? Milloin sitä on viimeksi mitattu ja verrattu tavoitetasoon?
– Kilpailuetu: Asiakkaat valitsevat uskottavan ja kyberturvallisuudesta huolehtivan toimittajan.
● Onko teillä kartoitettu liiketoiminnan kyberturvallisuusriskit?– Kilpailuetu: Riskit ovat tiedostettuja, harkittuja ja hallittuja. Liiketoiminta on vakaampaa.
● Yli puolet tietovuodoista alkavat sisäpuolelta (IBM Cybersecurity Intelligence Index) ja lähes 60% yrityksistä lähtevistä työntekijöistä vie sensitiivistä liiketoimintadataa (Ponemon Institute) – ovatko nykyiset suojauspanostuksenne samassa suhteessa?– Kilpailuetu: Valvonta, suojaukset → sensitiivistä tietoa vuotaa vähemmän.
kyberturvallisuus | elfgroup.fi
Kyberturvallisuudesta kilpailuetua
● Tietosuojalaki muuttuu 2018, ovatko muutokset ja vastuut selvillä?– Kilpailuetu: Vastuiden ymmärtäminen auttaa tekemään kerralla oikein ja vähentää
turhaa työtä. Vaatimukset täyttävä IT-ympäristö tukee organisaation liiketoimintaa ja toimii hallitun kasvun mahdollistajana. Selvitykset ja hankkeet ovat monella yrityksellä jo menossa, mutta vielä useammalla kokonaan aloittamatta.
● Voitteko puolueettomasti vakuuttaa yrityksenne kyberasioiden olevan kunnossa?– Kilpailuetu: Ulkopuolinen kyberturvallisuussertifiointi työkaluksi
asiakasviestintään.
kyberturvallisuus | elfgroup.fi
Tietoturvariskit● Sisäiset riskit – henkilöstö ja tietoturvapolitiikka
– Tiedon häviäminen sekä tietojen varastaminen– Väärinkäytökset ja mahdollisuus jälkien peittämiseen– Tietoisuuden ja parhaiden käytäntöjen tuntemuksen puute, kiire, oikotiet
● Ulkoiset riskit – DDOS, huijausviestit, haitta- ja kiristysohjelmat– Lamauttavat tai estävät liiketoiminnan, maineen kärsiminen
– Haetaan taloudellista hyötyä (identiteettivarkaudet, toimitusjohtajahuijaukset)– Fyysiset varkaudet, ilkivalta, tunkeutuminen
● Järjestelmätason riskit – ohjelmistot, laitteet, tietoverkot, online-palvelut– Puutteita päivityksissä, virheitä asetuksissa tai loogisissa kokonaisuuksissa
– Mahdollistavat haittaohjelmien pääsyn, tietovuodot ja tietomurron yrityksen verkkoon
kyberturvallisuus | elfgroup.fi
Kyberturvallinen organisaatio● Johdon tuki kyberturvallisuustyölle, kartoitus ja strategia● Henkilöstö ja toimintatavat; koulutus, prosessit, dokumentaatio● Tietovarastot; eheys, luotettavuus, saatavuus ja varmistaminen● Tiedon luokittelu ja suojausperiaatteiden ymmärtäminen● Tietojärjestelmät; kehitys, operointi, käyttö, segmentointi, pääsynvalvonta● Kumppanit, tietovirrat, integraatiot, rajapinnat● Julkisten verkkojen ja sosiaalisen median käyttö
● Luottamuksellisuus● Eheys● Saatavuus● Alkuperän ja tunnistettujen identiteettien kiistattomuus● Tapahtumien vastuuttaminen, todentaminen ja seurattavuus● Kiistämättömyys
… irroitetaan johdot ja sammutetaan laitteet?
kyberturvallisuus | elfgroup.fi
EU:n tietosuoja-asetus(EU GDPR / General Data Protection Regulation)
● Asetus tulee 25.5.2018 voimaan astuessaan korvaamaan Suomen henkilötietolain
● Tietosuoja-asetus vaikuttaa kaikkiin suomalaisiin yrityksiin ja organisaatioihin, joissa käsitellään henkilötietoja
● Tarkempia sääntelyjä, rekisteröityjen oikeudet● Asetuksen myötä tietoturvan vaarantuminen voi viimeistään olla
konkreettinen taloudellinen uhka liiketoiminnalle
kyberturvallisuus | elfgroup.fi
EU:n tietosuoja-asetus(EU GDPR / General Data Protection Regulation)
● “Rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä siirtymäaikana, vastaavatko...”● Rekisterinpitäjän on toteutettava toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei
oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
● Rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita noudatetaan.● “Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen
tietojen tuhoamiseen. Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa. Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa.”
Tietosuoja.fi – tietosuojavaltuutetun toimiston opas: Miten valmistautua EU:n tietosuoja-asetukseen? 24.1.2017
kyberturvallisuus | elfgroup.fi
Miten tietosuoja-asetus vaikuttaakonkreettisesti yritysten toimintaan?
● Henkilötiedot tulee muokata siten, ettei niistä saa helposti selville ketä tieto koskee.● On taattava järjestelmien jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus.● On lisättävä sisäistä valvontaa ja ottaa käyttöön vuosittainen menettely käytäntöjen valvontaan.● Rekisterinpitäjä saa tallentaa vain välttämättömät tiedot (tietojen minimointivaatimus).● Virheelliset tiedot on poistettava tai oikaistava (täsmällisyysvaatimus).● Isojen ja kriittistä tietoa käsittelevien yritysten on nimettävä tietosuojavastaava.● Rekisterinpitäjällä on vastuu henkilötietojen käsittelijöistä ja alihankkijoista.● Suojaustoimet pystyttävä osoittamaan auditoitavalla tavalla, koskee myös alihankkijoita.● Alihankkijoiden ja kumppaneiden kanssa on tehtävä kirjallinen sopimus suojatoimista.
kyberturvallisuus | elfgroup.fi
Miten yritys varmistaatietosuojan lainmukaisuuden?
● Otettava huomioon seuraavat tietoturva-asiat:– Hallinnollinen tietoturva (mm. tietoturvapolitiikka ja ohjeistukset)– Fyysinen tietoturva (mm. kulunvalvonta, laite- ja toimitilojen fyysinen suojaaminen)– Laitteistoturvallisuus (mm. virustorjunnat, seuranta ja hälytykset)– Ohjelmistoturvallisuus (mm. ohjelmistojen testaus, tietoturvapäivitykset)– Tietoaineistoturvallisuus (mm. rekisterien suojaaminen, käytön valvonta)– Tietoliikenneturvallisuus (mm. palomuurit, hyökkäysten tunnistus ja valvonta)– Henkilöstöturvallisuus (mm. koulutus, ohjeistukset ja vastuiden määrittely)– Jatkuvuuden hallinta (mm. suunnitelmallisuus ja vioista toipuminen)
kyberturvallisuus | elfgroup.fi
Jos tietosuoja vaarantuu?
● Tietoturvaloukkauksesta on ilmoitettava viranomaisille 72 tunnin kuluessa tapahtuneesta.● Rekisteröidylle on ilmoitettava välittömästi tietoturvaloukkaustilanteesta, jos tietovuoto
aiheuttaa suuren riskin henkilötietojen suojalle tai yksityisyydelle.● Määrättävien sakkojen tulisi olla tehokkaita ja varoittavia (suurimmillaan 20 milj. €)● Sakkojen ohella on käytettävissä myös lievempiä keinoja kuten huomautus tai varoitus● Sakkojen määräytymiseen vaikuttavat mm. rikkomisen vakavuus, laajuus, tahallisuus,
henkilötietojen käsittelijän vastuun aste, yhteistyön aste valvontaviranomaisen kanssa tietosuojasäännösten rikkomisen korjaamiseksi
kyberturvallisuus | elfgroup.fi
SFS-ISO/IEC 27002:2013Tietoturvallisuuden hallintakeinojen menettelyohjeet
Lähde:
http://w
ww.a
lienco
ders
.org
/conte
nt/ch
anges-
to-is
o-2
7001-w
hats
-new-
in-the-2
013-is
o-2
7001-u
pdate
/
Tietoturvapolitiikat
Tietoturvallisuuden organisointi
Suojattavan omaisuuden hallinta
Pääsynhallinta
Viestintäturvallisuus
Fyysinen turvallisuus
Käyttöturvallisuus
Vaatimustenmukaisuus
Henkilöstöturvallisuus
Tietoturvahäiriöiden hallinta
Liiketoiminnan jatkuvuuden hallintaanliittyviä tietoturvanäkökohtia
Järj. hankkiminen, kehittäminen ja ylläpito
Suhteet toimittajiin
Salaus
kyberturvallisuus | elfgroup.fi
Kyberturvallisuuskartoituksesta sertifiointiin
Kartoitus
Riskit ja tavoitetaso
IT-arkkitehtuurindokumentaatio
Kehityssuunnitelma
→ Liiketoiminnan ymmärtäminen, kyberriskien tunnistaminen→ Liiketoiminnan tietotekniset vaatimukset→ Tietovarastojen sijainti ja luokittelu
Verkot, profilointi, skannaukset
Sovellukset ja palvelimet
Prosessit ja käytännöt
Dokumentaatio ja haastattelut
ISO 27000CyberSafe
Cyber Essentials
Arviointi jatietoturva-
testaus
1
2
Nykytilan kuvaus
Kehityshanke3
Sertifiointiarvio4
Valvonta jauudelleen-sertifiointi5
Kyberturvallisuudesta kilpailuetua | elfgroup.fi
Tietoturvakartoitus Tietoturvan kehittäminen Tietoturvallinentoimintaympäristö
Liiketoiminnan tietoturvariskit
Kehityssuunnitelma
IT-ympäristönsuojausmekanismit
CyberSafe-sertifiointi
Kriittiset tietoturva-parannukset
Tietoturvatestaus ja suojausten parantaminen
Liiketoiminnan jatkuvuudenvarmistaminen
Tietoturvallisetpilvi ja -integraatiopalvelut
Tiedon varmistaminen, jakaminen, käytön valvonta
Jatkuva kehittäminen
Prosessi tietoturvalliseen toimintaympäristöön
kyberturvallisuus | elfgroup.fi
Kyberturvallisuuspalvelut
elfSURVEY – Kartoitus ja suojauksen suunnittelu
elfSWEEP – Aukkojen tunnistaminen ja tukkiminen
elfATTACK – Järjestelmien hakkeritestaus
elfCLOUD – Palvelimet, tietopääoman suojaaminen elfBUS – Turvalliset, hajautetut tietovirrat
Cybe
rSaf
e-se
rtifi
oint
i
elfWATCH – Jatkuva infravalvonta, tietovirta-analysointi ja suojausten ylläpitopalvelu
elfGUARD – Ylläpidetty ja valvottu palomuuri- ja tietoturvallinen VPN-etäyhteyspalvelu
“CyberSafe-sertifiointi on erinomainen keino vakuuttaa asiakkaat ja yhteistyökumppanit yritystoiminnan hyvästä kyberturvallisuustasosta.”
elfBRAIN – Tietoturva-asiantuntijat ohjelmistokehitykseen & koodi- ja arkkitehtuurikatselmointeihin