Tietoturva ja käyttäytyminen intranetissä

Jyrki J.J. Kasvi

Tietoyhteiskunnan kehittämiskeskus TIEKE

Avoimuuden aika: Olet sitä mitä jaat • Tieto on samanlaista kuin raha, se

tuottaa uutta tietoa ja hyödyttää yhteiskuntaa vain kun sitä käytetään ja investoidaan.

– Rahasäiliöön säilötyllä rahalla ei ole arvoa … eikä suljettuun tietokantaan säilötyllä tiedolla.

– Tietoturva ei saa olla tiedon ”rahasäiliö”

• ”Tieto ei ole enää valtaa, tiedon jakaminen on.” » Teemu Arina

• “The best way to get value from data is to give it away” » Neelie Kroes, Vice-President of the European Commission and

Commissioner of the Digital Agenda

Tekniikan ja ihmisen tasapaino

• Intranetin tekninen tietoturva ”helppoa”

– Runsaasti valmiita työvälineitä

– Epäsymmetrinen rintama, puolustuksen on tukittava kaikki aukot, hyökkääjälle riittää yksi…

– Intranetin toiminnan ja käytön poikkeamien automaattinen seuranta

• Intranetin sosiaalinen tietoturva vaikeaa

– Tekninen tietoturva aiheuttaa riskikäyttäytymistä

– Koulutus ja perehdytys, miksi ja miten tietoturvaa

– Käyttäjien oikeuksien hallinta (tieto, ylläpito)

– Järjestelmän käytöstä jäätävä jäljet

• Kannattaa keskittyä kriittisiin järjestelmiin

– Ajantasainen riskianalyysi

Lähtökohdaksi ihminen

Re

pro

du

ce

d fro

m X

KC

D u

nd

er a

Cre

ativ

e C

om

mo

ns A

ttribu

tion

-No

nC

om

me

rcia

l 2.5

Lic

en

se

Verkostoitunut toimintatapa näkyy myös intranetissä

Intranet Internet Palomuuri

Projektit

Asiakkuudet

Kumppanuudet

Kokoukset

Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.

Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.

Slammer pääsi järjestelmään alihankkijan ja voimayhtiön intranettien välille

luodun dokumentoimattoman, palomuurin kiertäneen yhteyden kautta

Tietomurtolähtöinen tietoturva

• Tietoturva pettää ennemmin tai myöhemmin!

– Aukotonta tietoturvaa ei ole

– Jopa tietoturvayhtiöiden järjestelmiin on murtauduttu

• Minimoidaan tietomurron tai hyökkäyksen haitat ennakolta jo suunnitteluvaiheessa

– Vain välttämätöntä tietoa kerätään ja käytetään

– Kriittiset tietovarannot kryptataan

– Järjestelmien segmentointi ja kerrostaminen

– Skaalautuvat järjestelmät

• Valmis toimintamalli _kun_ tietoturva pettää

– Tiedottaminen käyttäjille, viranomaisille ja asiakkaille

– Resursoitu ajantasainen palautumissuunnitelma

Hyökkäyksiin varautuminen

• Hyökkääjälle voi riittää toiminnan lamauttaminen

– Palvelun tasoa ja kapasiteettia on pystyttävä skaalaamaan nopeasti

• Liikkuva maali

– Tekniikka ja maailma muuttuvat nopeasti

– Tietoturvaa ja kuormituksen sietokykyä on testattava säännöllisesti (case Stuk)

• Myös yleisön suuri kiinnostus voi ylikuormittaa järjestelmät

– Intranet ja ulkoiset palvelut pidettävä erillään

Varjoista valoon

• Kuluttaja-IT kehittyy niin nopeasti, että työnantajan IT ja tiedonhallintakäytännöt vaikuttavat antiikkisilta

– Työtä halutaan tehdä omilla työvälineillä omaan tapaan

• Jos työpaikan IT hidastaa työntekoa, se kierretään ja sivuutetaan

– Niksit jäykän tietoturvan kiertämiseksi leviävät nopeasti

– Esim. miten työssä tarvittava Skype saadaan toimimaan intrassa, vaikka sen käyttö olisi kielletty ja estetty

• Työntekijät tietävät parhaiten, millaista tietotekniikkaa tarvitsevat

– Varjo-IT on mahdollisuus, ilmaista palvelukehitystä

• Varjo-IT haastaa ohjauksen, tietoturvan, dokumentit, …

– Turvallinen pääsy Intraan työntekijöiden omilla välineillä mistä vain

Karu arkitodellisuus jää piiloon

Skaalausta pilvestä

• Tiedot, sovellukset ja laskenta ovat

siirtymässä omista konesaleista pilveen

– Pääomia ei tarvitse sitoa infraan

• Oma infra ei enää rajoita tietohallinnon kehittämistä

– Optimoi laskentapasiteetin ja resurssien käyttöä

• Esim. Iso-Britannian G-Cloud-hankkeen laskettiin säästävän £3,2

mrd vuodessa

• ... ja muuttumassa on-demand palveluiksi

– Kun tiedot ja sovellukset ovat eri pilvissä ja rajapinnat

hallussa, palvelun toimittajaa voi vaihtaa

• Pilvipalveluiden laskutus on käyttöperusteista

– Tiedonhallintaprosessit on optimoitava uudelleen

• Pilvi ei tunne maantieteellisiä rajoja

– mutta rajoilla on väliä

C

C S

A A

ttribution S

ugre

e

Rajoilla on väliä

• Palveluntarjoaja, asiakas,

data ja laskenta voivat sijaita eri maissa

– Esim. Yhdysvaltojen ja EU:n tietoturvaa ja yksityisyyden

suojaa koskevat määräykset ja viranomaisten tiedonsaanti-

oikeudet ovat epäyhtenäiset

– Suhteessa viranomaisiin ratkaisevaa on ollut palvelimen

sijaintipaikka

• Kansainvälisiä pelisääntöjä ei ole, ja kansallisetkin

ennakkotapaukset puuttuvat

– Esim. tietoturvan taso on sopimusten varassa

• Palvelinfarmien resursseja käytetään Internetin välityksellä

– Jos yhteys pilveen katkeaa, katoavat myös tiedot ja palvelut

– Kuka hallitsee Internetin toimintaa?

(Epä)sosiaalinen toimintaympäristö

• Sähköinen media tuo joissain henkilöissä esiin heidän

pimeimmän puolensa

– Usenetin flame-sodat 1980-luvulla

– Intranet-keskusteluja on seurattava ja ylilyönteihin puututtava

• Sosiaalinen pääoma ei ole kehittynyt teknologian tahdissa

– Asymmetrinen, epäsynkroninen, kasvoton kommunikointi on

psykologisesti haastavaa

• Ihmiset ovat netissä käsittämättömän luottavaisia

– Henkilö- ja tunnistetietoja luovutetaan helposti khalastelijoille

– Myös hyvin taitavaa henkilötietojen urkintaa esim.

väärennetyillä kirjautumissivuilla

– Urkinta voidaan kohdistaa myös yksittäiseen avainhenkilöön

– Kaikkien tiedettävä periaatteet, joilla oma it-ylläpito kysyy

käyttäjien tietoja!

Haktivismi

• Digitaaliset vigilantit tarttuneet nettiyhteisöjä turhauttaviin ongelmiin

– Kohteina suuryrityksiä, viranomaisia, poliitikkoja ja rikollisjärjestöjä

– Ei oikeusturvaa eikä valitusoikeutta

– Pikemminkin yhteisö tai kulttuuri kuin perinteinen organisaatio

• Luokattoman heikko tietoturva helpottanut iskuja

– Moni haktivistien isku paljastuu vasta julkaisusta

– Ihmisten luottamus tietoturvaan romahtanut

– Hyvä läksy nettipalveluiden ylläpitäjille ja käyttäjille

CC 2.0 Generic Vincent Diamante

30.9.2010 www.kasvi.org 16

Sukupuolten välinen digikuilu?

Keskustelua

U.S. Army Photo