tietoturva - onko sinulla varaa olla investoimatta siihen?
DESCRIPTION
Sovelto Aamiaisseminaari 23.8.2013 Thomas Hughes Jukka VuolaTRANSCRIPT
Vartti tunnista
Tietoturva: onko sinulla varaa olla investoimatta siihen?Aamiaisseminaari 23.8.2013
Seminaarin sisältö8:00 Ilmoittautuminen ja maittava aamiainen
8:30 AvaussanatSenior-konsultti Pasi Lehtiniemi, SoveltoSenior-konsultit Thomas Hughes ja Jukka Vuola, Sovelto
8:40Katsaus tietoturvan tilaan ja uhkiin Suomessa• Mitä tietoturvauhkia on nyt ja mitä on tulossa?• Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä
9:00Heikosti hoidetun tietoturvan kustannukset • Mitä maksaa heikosti hoidettu tietoturva?• Voiko hyvin hoidettu tietoturva olla kilpailuetu?
9:30
9:50
10:00
Tietoturvan kokonaishallinta• Tietoturvan osa-alueet• Tietoturvan hallintajärjestelmät
• Sovelton tietoturvakoulutusohjelma• Tietoturvaosaamisen sertifiointi
• Tilaisuus päättyy
2
Tietoturvan tila Suomessa
• Mitä tietoturvauhkia on nyt ja mitä on tulossa?
• Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä
3
Tietoturvan tila Suomessa
• 1-3.2013:1 169 tietoturvatapausta
• 2012: 4208 tietoturvatapausta
• Lähde: CERT-FI:n tietoturvakatsaukset 2012ja 2013
4
Tietomurrot
6.5% - 13%
Haittaohjelma-tartunnat
50%+
Kiristyshaitta-ohjelmat
Ohjelmistojen haavoittuvuudet
Palvelunesto-hyökkäykset
Tietoturvauhat tulevaisuudessa
5
Tietoturvarikollisuuden kehittyminen alana• Kohdistetut hyökkäykset kasvussa• Pienemmät organisaatiot ja kielialueet
kiinnostavat myös• Crime as a Service, Hacking as a Service
Älykkäät laitteet ja tietojen tallennus• Mobiilit laitteet, mobiili tieto, BYOD• Pilvipalvelut
Uudet teknologiat, uudet haavoittuvuudet• Webtekniikat: HTML5, CSS• Langaton viestintä: NFC, WLAN, Bluetooth• Sosiaalinen media
Blackhole server:1 vko: 200 USD3 kk: 700 USD1 v: 1500 USD
Demo:Tietoturvahaavoittuvuuksien hyödyntäminen käytännössä
6
Heikosti hoidetun tietoturvan kustannukset
• Mitä maksaa heikosti hoidettu tietoturva?
• Voiko hyvin hoidettu tietoturva olla kilpailuetu?
7
Heikon tietoturvan kustannukset
• Kustannukset on huomattavasti helpompi todeta jälkikäteen
• Suorat (kustannus)vaikutukset + epäsuorat (kustannus)vaikutukset
• Osaa kustannusvaikutuksista ei saada koskaan näkyviksi
8
IPR:n menettäminen …. luottamuksellisen tiedon menettäminen
…pörssikurssikeinottelu … vaihtoehtokustannukset … häiriöt palveluihin ja
työsuhteisiin …vähentyneen luottamuksen verkkopalveluja kohtaan …
tietoverkkojen turvallisuuden parantaminen ja hyökkäyksistä toipuminen …
ulkopuolisten konsulttien käyttö … alennusten antaminen asiakkaille ..
tietomurron kohteeksi joutuneen yrityksen maineelle aiheutuva vahinko
Lähteet: 1) McAfee, The economic impact of cybercrime and cyber espionage, 07/2013.http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf2) 2013 Cost of Data Breach Study: Global Analysis, Ponemon institute & Symantechttp://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013
Kyberrikollisuuden kustannuksetglobaalisti
Toiminta Arvioitu kustannus (€) % BKT:sta
Piratismi 750 milj. – 12 mrd. 0.008% - 0.02%
Huumekauppa 650 mrd. 1.2%
Kyberrikollisuus 225 mrd. – 750 mrd. 0.4 % - 1.4%
9
Lähde: McAfee, The economic impact of cybercrime and cyber espionage, 07/2013.http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf
"Kyberrikollisuus on (finanssi)alalla kirjanpitorikoksia, petoksia, korruptiota ja jopa rahanpesua suurempi ongelma ja (aiheuttaa) mittavia tappioita, selvityksessä todetaan."
Lähde: Pricewaterhousecoopersin raportti, uutinen Tietoviikko, 30.3.2012, 12:18
Mikä on riskin hinta?
• Tietoturva on riskienhallintaa
• Kustannuksia arvioitaessa on aina suhteutettava riskiin varautumisen ja riskin toteutumisen kustannukset
• Sosiaali- ja terveysviraston koneiden puhdistaminen maksoi kaupungille lähes 100 000 euroa (HS 16.7.2013) – mitä olisi maksanut ennaltaehkäisy?
10
Helsingin Sanomien analyysi aiheesta
11
Aiheen analyysi Helsingin Sanomissa 16.7.2013
http://www.hs.fi/kaupunki/a1373861123551
Riskille hinta
• Kysymys: Mikä organisaatio on erikoistunut riskien analysointiin ja hinnoitteluun?
• Mitä tietoturvavakuutuksia antavan vakuutusyhtiön täytyy selvittää saadakseen luotua• riskiprofiilin organisaatiolle • hinnan organisaatiolle annettavalle tietoturvavakuutukselle?
• Esimerkiksi tällainen Philadelphia Insurance Company• Loss Experience (Historiadata)• Riskien kontrollointi• Henkilötarkistukset• Vastuukysymykset
12
Hyvin hoidettu tietoturva kilpailuetuna
• Kilpailuetu, elossa pysymisen edellytys vai laillisen toiminnan perusta?
• Miten tietoturva tuodaan esille mainonnassa?
• Alennukset vakuutuksista, voitetut asiakkuudet
13
Vartti tunnista
Tietoturvan osa-alueet ja hallintajärjestelmät
Yritysturvallisuus ja tietoturva
15
• Toimitilaturvallisuus• Henkilöturvallisuus• Toiminnan turvallisuus• Tietoturvallisuus• Pelastustoiminta• Työsuojelu• Ympäristönsuojelu• Varautuminen ja valmiussuunnittelu• Turvallisuus- ja riskienhallinta• Ulkomaantoimintojen turvallisuus
1. Hallinnollinen turvallisuus2. Henkilöstöturvallisuus3. Fyysinen turvallisuus4. Tietoliikenneturvallisuus5. Laitteistoturvallisuus6. Ohjelmistoturvallisuus7. Tietoaineistoturvallisuus 8. Käyttöturvallisuus
Tietoturvallisuus
Liiketoiminnasta tulevia vaatimuksiatietoturvalle• Käytettävyys
• Ylläpidettävyys
• Integroitavuus nykyisiin järjestelmiin
• Nopeasti käyttöönotettava
• Toimii eri jaluistoilla
• Uudelleenkäytettävyys
• Muokattavuus
• Tukee kansainvälisiä standardeja ja vaatimuksia
• Pienet operointikustannukset
• Mitattavaa tietoturvaa
• Tietoturva, jolla on ROI
16
Tietoturvan hallinta kokonaisuutena
17Miten suojaamisen kokonaisuutta voisi hallita?
Tietomurrot
6.5% - 13%Kiristyshaitta
-ohjelmat
Ohjelmistojen haavoittuvuudet
Palvelunesto-hyökkäykset
Haittaohjelma-tartunnat
50%+
Tietoturvallisuuden hallintajärjestelmä• Tietoturvan suhteen hallintajärjestelmä mahdollistaa
organisaation:• asiakkaiden ja muiden sidosryhmien tietoturvavaatimuksien
toteuttamisen• suunnitelmien ja aktiviteettien kehittämisen• tietoturvatavoitteiden toteutumisen• säädösten, lakien ja toimialakohtaisten määräysten täyttämisen• informaatio-omaisuuden hallinnoinnin sillä tavalla, että se mahdollistaa
jatkuvan kehittämisen ja organisaation tavoitteiden muokauttamisenympäristön vaatimuksiin
• ISMS (Information Security Management System)
• TTHJ (Tietoturvan hallintajärjestelmä)
18
Otetaan kaikki "säätyypit" huomioon
Tietoturvallisuuden hallintajärjestelmä
• "osa yleista toimintajarjestelmaa, joka luodaan ja toteutetaan toimintariskienarviointiin perustuen ja jota kaytetaan, valvotaan, katselmoidaan, yllapidetaan ja parannetaan tavoitteena hyva tietoturvallisuus “ (1)
• ”Sisaltaa organisaatiorakenteen, politiikat, suunnittelu- ja kehittamistoimenpiteet, vastuut, menettelytavat, menetelmat, prosessit, mittarit ja resurssit." (1)
• On osa organisaation yleistä hallintajärjestelmää ja näin ollen merkittävässä roolissa on liiketoimintariskien arviointi
• Sisältää tietoturvan suunnittelun, toteutuksen, käytön, valvonnan, seurannan, ylläpidon ja jatkuvan kehittämisen
• Hallintajärjestelmien tulisi sisältää tietoturvan johtaminen, hallinnointi ja ja valvonta
• Hallintajärjestelmä ei ole kasa dokumentteja vaan monitahoinen prosessijota on valvottava ja kehitettävä jatkuvasti
191) VAHTI 8/2008 Valtionhallinnon tietoturvasanasto
Demingin PDCA-sykli ja TTHJ
20
Vaatimukset jaodotuksettietoturvallisuudelle
Hallittutietoturvallisuus
SUUNNITTELETTHJ:n vaikutuspiirin
määritys ja riskienarviointi
TOTEUTATTHJ:n suunnittelu ja
toteutus
TARKASTATTHJ:n seuranta ja
arviointi
TOIMITTHJ:n kehittäminen
P
D
C
A
TTHJ- ominaisuuksia
Tietoturvapolitiikka
Tietoturvakäytännötja periaatteet
Tietoturvallisuudenkehittämisuunnitelma
Jatkuvuus- jatoipumissuunnitelma
21
• TTHJ on enemmänkuin kasa dokumentteja
• Tietyt ydindokumentitluodaan yleensä
Tietoturvakulttuuri
• TTHJ:n tulisi kattaa• Ihmiset• Prosessit• Tuotteet, työkalut,
teknologia• Yhteistyökumppanit ja
sidosryhmät
Ylläpitää ja kehittää organisaation tietoturvakulttuuria
Lähestymistapoja tietoturvaan
• Prosessilähtöiset (ISM3, CMMI, Cobit, ISO9001:2000, ISO20000, ITIL/ITSM)
• Kontrollilähtöiset (BSI-ITBPM, ISO27001:2005, ISO13335-4)
• Tuotelähtöiset (Common Criteria / ISO15408)
• Riskienhallintalähtöiset (AS/NZS 4360, CRAMM, EBIOS, ISO 27005, MAGERIT, MEHARI,OCTAVE, SP800-30, SOMAP)
• Best practice lähtöiset (ISO/IEC 17799:2005, Cobit, ISF-SoGP)
• Hyvä vertailu ja kooste eri menetelmistä:http://rm-inv.enisa.europa.eu/methods
22
Tietoturvallisuuden hallintajärjestelmä (ITIL®)
23
YLLÄPIDÄOpiKehitäSuunnitteleToteuta
TOTEUTALuo tietoisuusLuokittelu ja rekisteröintiHenkilöstöturvallisuusFyysinen turvallisuusVerkot, sovellukset, laitteetKäyttöoikeuksien hallintaOhjeistus tietoturvahäiriöiden käsittelystä
EVALUOISisäiset audititUlkoiset audititItsearvioinnitTietoturvahäiriöt (toteutuvat)
SUUNNITTELEPalvelutasosopimuksetUlkoiset hankintasopimuksetSisäiset hankintasopimuksetPolitiikat
KONTROLLOIOrganisoiJaa vastuut
Asiakkaat – Liiketoiminnan tarpeet
ISO27001 – ISO27002 määritykset
24
ISO27001 IS Management Standard
ISO27002Code of Practice
• Kuinka ISMS tulisi1) perustaa2) toteuttaa3) valvoa4) ylläpitää
• Yleisiä ohjeita ja periaatteita
- 133 tietoturvakontrollia- 39 kategoriaa
- Riskienhallinnan merkitystäkorostetaan
• Organisaatio voi sertifoitua - Organisaatio ei voi sertifoitua
Sovelton tietoturvaan liittyvä koulutustarjonta
25
15 kurssipäivää
• 2013 – 2014 toteutuva koululutuskokonaisuus
• Kurssit julkisessa tarjonnassa
+ välillisesti tietoturvaan liittyvät aiheet (ITIL, kokonaisarkkitehtuurit jne.)
Riskien hallinta, jatkuvuus ja
varautuminen
1pvTietoturva-prosessit ja menetelmät
1pv
Tietoturvan perusteet
1pv
PKI ja varmenteet
MS-ympäristössä
3pv
Lähiverkkojen tietoturva
2pv
Tekninen tietoturva
2pv
Tietoturvalliset etäkäyttöratkaisut
ja BYOD
1pv
Www-palvelun haavoittuvuudet ja
tietokantojen tietoturva
2pv
Palvelujen suojaaminen,
on-premises ja pilvessä
2pv
26