w3 rekkari: tietoturva ja käyttäytyminen intranetissä jyrki kasvi, tieke
DESCRIPTION
Järjestötilaisuus - W3 Rekkarihttp://w3.fi/tiedotteet/rekkari-esitykset.phpKevään ykkösseminaari!2.3.2012, perjantai kello 14.00-17.00, Holiday Inn, MessukeskusKenelle seminaari on tarkoitettu?Järjestöjen, yhdistysten ja liittojen päättäjille, tietotekniikka- ja viestintävastaaville henkilöille.TRANSCRIPT
Tietoturva ja käyttäytyminen intranetissä
Jyrki J.J. Kasvi
Tietoyhteiskunnan kehittämiskeskus TIEKE
Avoimuuden aika: Olet sitä mitä jaat • Tieto on samanlaista kuin raha, se
tuottaa uutta tietoa ja hyödyttää yhteiskuntaa vain kun sitä käytetään ja investoidaan.
– Rahasäiliöön säilötyllä rahalla ei ole arvoa … eikä suljettuun tietokantaan säilötyllä tiedolla.
– Tietoturva ei saa olla tiedon ”rahasäiliö”
• ”Tieto ei ole enää valtaa, tiedon jakaminen on.” » Teemu Arina
• “The best way to get value from data is to give it away” » Neelie Kroes, Vice-President of the European Commission and
Commissioner of the Digital Agenda
Tekniikan ja ihmisen tasapaino
• Intranetin tekninen tietoturva ”helppoa”
– Runsaasti valmiita työvälineitä
– Epäsymmetrinen rintama, puolustuksen on tukittava kaikki aukot, hyökkääjälle riittää yksi…
– Intranetin toiminnan ja käytön poikkeamien automaattinen seuranta
• Intranetin sosiaalinen tietoturva vaikeaa
– Tekninen tietoturva aiheuttaa riskikäyttäytymistä
– Koulutus ja perehdytys, miksi ja miten tietoturvaa
– Käyttäjien oikeuksien hallinta (tieto, ylläpito)
– Järjestelmän käytöstä jäätävä jäljet
• Kannattaa keskittyä kriittisiin järjestelmiin
– Ajantasainen riskianalyysi
Lähtökohdaksi ihminen
Re
pro
du
ce
d fro
m X
KC
D u
nd
er a
Cre
ativ
e C
om
mo
ns A
ttribu
tion
-No
nC
om
me
rcia
l 2.5
Lic
en
se
Verkostoitunut toimintatapa näkyy myös intranetissä
Intranet Internet Palomuuri
Projektit
Asiakkuudet
Kumppanuudet
Kokoukset
Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.
Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.
Slammer pääsi järjestelmään alihankkijan ja voimayhtiön intranettien välille
luodun dokumentoimattoman, palomuurin kiertäneen yhteyden kautta
Tietomurtolähtöinen tietoturva
• Tietoturva pettää ennemmin tai myöhemmin!
– Aukotonta tietoturvaa ei ole
– Jopa tietoturvayhtiöiden järjestelmiin on murtauduttu
• Minimoidaan tietomurron tai hyökkäyksen haitat ennakolta jo suunnitteluvaiheessa
– Vain välttämätöntä tietoa kerätään ja käytetään
– Kriittiset tietovarannot kryptataan
– Järjestelmien segmentointi ja kerrostaminen
– Skaalautuvat järjestelmät
• Valmis toimintamalli _kun_ tietoturva pettää
– Tiedottaminen käyttäjille, viranomaisille ja asiakkaille
– Resursoitu ajantasainen palautumissuunnitelma
Hyökkäyksiin varautuminen
• Hyökkääjälle voi riittää toiminnan lamauttaminen
– Palvelun tasoa ja kapasiteettia on pystyttävä skaalaamaan nopeasti
• Liikkuva maali
– Tekniikka ja maailma muuttuvat nopeasti
– Tietoturvaa ja kuormituksen sietokykyä on testattava säännöllisesti (case Stuk)
• Myös yleisön suuri kiinnostus voi ylikuormittaa järjestelmät
– Intranet ja ulkoiset palvelut pidettävä erillään
Varjoista valoon
• Kuluttaja-IT kehittyy niin nopeasti, että työnantajan IT ja tiedonhallintakäytännöt vaikuttavat antiikkisilta
– Työtä halutaan tehdä omilla työvälineillä omaan tapaan
• Jos työpaikan IT hidastaa työntekoa, se kierretään ja sivuutetaan
– Niksit jäykän tietoturvan kiertämiseksi leviävät nopeasti
– Esim. miten työssä tarvittava Skype saadaan toimimaan intrassa, vaikka sen käyttö olisi kielletty ja estetty
• Työntekijät tietävät parhaiten, millaista tietotekniikkaa tarvitsevat
– Varjo-IT on mahdollisuus, ilmaista palvelukehitystä
• Varjo-IT haastaa ohjauksen, tietoturvan, dokumentit, …
– Turvallinen pääsy Intraan työntekijöiden omilla välineillä mistä vain
Karu arkitodellisuus jää piiloon
Skaalausta pilvestä
• Tiedot, sovellukset ja laskenta ovat
siirtymässä omista konesaleista pilveen
– Pääomia ei tarvitse sitoa infraan
• Oma infra ei enää rajoita tietohallinnon kehittämistä
– Optimoi laskentapasiteetin ja resurssien käyttöä
• Esim. Iso-Britannian G-Cloud-hankkeen laskettiin säästävän £3,2
mrd vuodessa
• ... ja muuttumassa on-demand palveluiksi
– Kun tiedot ja sovellukset ovat eri pilvissä ja rajapinnat
hallussa, palvelun toimittajaa voi vaihtaa
• Pilvipalveluiden laskutus on käyttöperusteista
– Tiedonhallintaprosessit on optimoitava uudelleen
• Pilvi ei tunne maantieteellisiä rajoja
– mutta rajoilla on väliä
C
C S
A A
ttribution S
ugre
e
Rajoilla on väliä
• Palveluntarjoaja, asiakas,
data ja laskenta voivat sijaita eri maissa
– Esim. Yhdysvaltojen ja EU:n tietoturvaa ja yksityisyyden
suojaa koskevat määräykset ja viranomaisten tiedonsaanti-
oikeudet ovat epäyhtenäiset
– Suhteessa viranomaisiin ratkaisevaa on ollut palvelimen
sijaintipaikka
• Kansainvälisiä pelisääntöjä ei ole, ja kansallisetkin
ennakkotapaukset puuttuvat
– Esim. tietoturvan taso on sopimusten varassa
• Palvelinfarmien resursseja käytetään Internetin välityksellä
– Jos yhteys pilveen katkeaa, katoavat myös tiedot ja palvelut
– Kuka hallitsee Internetin toimintaa?
(Epä)sosiaalinen toimintaympäristö
• Sähköinen media tuo joissain henkilöissä esiin heidän
pimeimmän puolensa
– Usenetin flame-sodat 1980-luvulla
– Intranet-keskusteluja on seurattava ja ylilyönteihin puututtava
• Sosiaalinen pääoma ei ole kehittynyt teknologian tahdissa
– Asymmetrinen, epäsynkroninen, kasvoton kommunikointi on
psykologisesti haastavaa
• Ihmiset ovat netissä käsittämättömän luottavaisia
– Henkilö- ja tunnistetietoja luovutetaan helposti khalastelijoille
– Myös hyvin taitavaa henkilötietojen urkintaa esim.
väärennetyillä kirjautumissivuilla
– Urkinta voidaan kohdistaa myös yksittäiseen avainhenkilöön
– Kaikkien tiedettävä periaatteet, joilla oma it-ylläpito kysyy
käyttäjien tietoja!
Haktivismi
• Digitaaliset vigilantit tarttuneet nettiyhteisöjä turhauttaviin ongelmiin
– Kohteina suuryrityksiä, viranomaisia, poliitikkoja ja rikollisjärjestöjä
– Ei oikeusturvaa eikä valitusoikeutta
– Pikemminkin yhteisö tai kulttuuri kuin perinteinen organisaatio
• Luokattoman heikko tietoturva helpottanut iskuja
– Moni haktivistien isku paljastuu vasta julkaisusta
– Ihmisten luottamus tietoturvaan romahtanut
– Hyvä läksy nettipalveluiden ylläpitäjille ja käyttäjille
CC 2.0 Generic Vincent Diamante
30.9.2010 www.kasvi.org 16
Sukupuolten välinen digikuilu?
Keskustelua
U.S. Army Photo