tietoturvan huomiointi järjestelmähankinnoissa
TRANSCRIPT
SECOND NATURE SECURITY OY I KEILARANTA 1, 02150 ESPOO, FINLAND I +358 10 322 9000 I [email protected] I WWW.2NS.FI
Second Nature Security
Tietoturvan huomioinI järjestelmähankinnoissa
Second Nature Security
Sisältö
§ EsiOely
§ NykyIlanne
§ Tietoturvan oikea taso
§ Mitä huomioida tarjouspyynnössä?
§ Uhkamallinnus
Second Nature Security
Puhuja
Juho Ranta
CTO, Vanhempi Ietoturva-‐asiantunIja
TwiOer: twiOer.com/JuhoRanta
Second Nature Security
2NS – Second Nature Security Oy
§ Tietoturva-‐auditoinnit
§ OrganisaaIon Ietoturvan kehiOäminen
§ Sovelluskehityksen Ietoturva Second Nature Security
Second Nature Security
Asiakkaita
Satoja asiakkaita vuosien aikana
§ Pienet ja suuret yritykset
§ Julkishallinto
§ Ohjelmistoyritykset
§ Pankki-‐ ja vakuutuslaitokset
§ Kauppa
§ Teollisuus
Second Nature Security
Nyky;lanne
Lähes kaikki tarkastamamme palvelut sisältävät haavoiOuvuuksia – näistä merkiOävässä osassa on
krii_siä haavoiOuvuuksia.
Yhteistä monilla palveluilla on se, eOei Ietoturvaa ole huomioitu järjestelmää hankkiessa.
Second Nature Security
Miksi huomioida ;etoturva jo hankintavaiheessa?
Kun Ietoturva huomioidaan järjestelmiä hankkiessa, on siihen panostaminen kehitysvaiheessa helpompaa.
Tällöin myös haavoiOuvuuksien määrä jää merkiOäväsI pienemmäksi.
Second Nature Security
Tietoturvan oikea taso
0
20
40
60
80
100
120
140
1 21 41 61 81 101
Kustan
nus
Riski
Riskin odotusarvollinen tappio Riskin pienentämisen kustannus Kustannus yhteensä
Second Nature Security
Tietoturvan oikea taso
0
20
40
60
80
100
120
140
1 21 41 61 81 101
Kustan
nus
Riski
Riskin odotusarvollinen tappio Riskin pienentämisen kustannus Kustannus yhteensä
Vähemmän kontrolleja à Riskitaso kasvaa à Hyväksikäytön todennäköisyys kasvaa
Second Nature Security
Tietoturvan oikea taso
0
20
40
60
80
100
120
140
1 21 41 61 81 101
Kustan
nus
Riski
Riskin odotusarvollinen tappio Riskin pienentämisen kustannus Kustannus yhteensä
Kontrollien määrä kasvaa à Riskitaso pienenee à Kustannukset riskitason pienentämiselle kasvavat
Second Nature Security
Tietoturvan oikea taso
0
20
40
60
80
100
120
140
1 21 41 61 81 101
Kustan
nus
Riski
Riskin odotusarvollinen tappio Riskin pienentämisen kustannus Kustannus yhteensä
Riski on sopivalla tasolla
Second Nature Security
Tietoturvavaa;mukset kehiteCävälle järjestelmälle
Tarjouspyyntö
Valmiit ohjeistukset / listaukset:
VahI OWASP Top 10
SANS/CWE Top 25
Uhkat / ulkopuoliset vaaImukset
Laki Sopimukset / Standardit
Muut havaitut uhkat
Second Nature Security
Tietoturvavaa;mukset ylläpitoon
VaadiOu vasteaika korjauksille tulee perustua haavoiOuvuuksien krii_syyteen.
Second Nature Security
Tietoturvavaa;mukset jatkokehityksessä
Samat vaaImukset koskevat myös jatkokehitysprosesseja – tämän lisäksi on suositeltavaa
päiviOää vaaImukset säännöllisin välein.
Second Nature Security
Uhkamallinnus
Uhkamallinnuksen tavoiOeena on kartoiOaa järjestelmän kannalta krii_simmät riskit sekä selviOää
menetelmät, joilla pienennetään riskejä.
Second Nature Security
Uhkamallinnus
Uhkien kartoitus Kartoitetaan
toteutumisvaaImukset uhkille
Miten uhkan toteutuminen voidaan
estää?
Second Nature Security
Uhkamallinnus
Kontrolli
Toteutumisen ehdot
Uhka KäyOäjän Ietojen
lukeminen
Pääsy toisen käyOäjän profiiliin
PuuOeellinen auktorisoinI
Pyyntöjen auktorisoinI
Pääsy Ietokantaan
SQL-‐injekIo
Prepared statemenIen
käyOö
Palvelimelle pääsy
Palvelimen kovetus
Uhrin työasemalle
pääsy
VälimuisIn lukeminen
VälimuisIin tallentamisen estäminen
Second Nature Security
Valmiit ohjeistukset ja listaukset
Älä keksi pyörää uudestaan – valmiita ohjeistuksia sekä haavoiOuvuuslistauksia on suositeltavaa käyOää.
Second Nature Security
Yhteenveto
§ Huomioi Ietoturva jo tarjouspyynnöissä
§ Mitä krii_sempi järjestelmä, sitä enemmän Ietoturvaan tulee panostaa
§ Tarjouspyyntöön: – Hyödynnä valmista materiaalia
– Uhkamallinnuksen tulokset
– VaaImukset lakien, sopimusten ja standardien noudaOamiseksi
– Vasteajat korjaukselle, mikäli kumppani tulee ylläpitämään järjestelmää
SECOND NATURE SECURITY OY I KEILARANTA 1, 02150 ESPOO, FINLAND I +358 10 322 9000 I [email protected] I WWW.2NS.FI
Second Nature Security
Kiitos mielenkiinnosta!
twiOer.com/JuhoRanta