Vartti tunnista

Tietoturva: onko sinulla varaa olla investoimatta siihen?Aamiaisseminaari 23.8.2013

Seminaarin sisältö8:00 Ilmoittautuminen ja maittava aamiainen

8:30 AvaussanatSenior-konsultti Pasi Lehtiniemi, SoveltoSenior-konsultit Thomas Hughes ja Jukka Vuola, Sovelto

8:40Katsaus tietoturvan tilaan ja uhkiin Suomessa• Mitä tietoturvauhkia on nyt ja mitä on tulossa?• Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä

9:00Heikosti hoidetun tietoturvan kustannukset • Mitä maksaa heikosti hoidettu tietoturva?• Voiko hyvin hoidettu tietoturva olla kilpailuetu?

9:30

9:50

10:00

Tietoturvan kokonaishallinta• Tietoturvan osa-alueet• Tietoturvan hallintajärjestelmät

• Sovelton tietoturvakoulutusohjelma• Tietoturvaosaamisen sertifiointi

• Tilaisuus päättyy

2

Tietoturvan tila Suomessa

• Mitä tietoturvauhkia on nyt ja mitä on tulossa?

• Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä

3

Tietoturvan tila Suomessa

• 1-3.2013:1 169 tietoturvatapausta

• 2012: 4208 tietoturvatapausta

• Lähde: CERT-FI:n tietoturvakatsaukset 2012ja 2013

4

Tietomurrot

6.5% - 13%

Haittaohjelma-tartunnat

50%+

Kiristyshaitta-ohjelmat

Ohjelmistojen haavoittuvuudet

Palvelunesto-hyökkäykset

Tietoturvauhat tulevaisuudessa

5

Tietoturvarikollisuuden kehittyminen alana• Kohdistetut hyökkäykset kasvussa• Pienemmät organisaatiot ja kielialueet

kiinnostavat myös• Crime as a Service, Hacking as a Service

Älykkäät laitteet ja tietojen tallennus• Mobiilit laitteet, mobiili tieto, BYOD• Pilvipalvelut

Uudet teknologiat, uudet haavoittuvuudet• Webtekniikat: HTML5, CSS• Langaton viestintä: NFC, WLAN, Bluetooth• Sosiaalinen media

Blackhole server:1 vko: 200 USD3 kk: 700 USD1 v: 1500 USD

Demo:Tietoturvahaavoittuvuuksien hyödyntäminen käytännössä

6

Heikosti hoidetun tietoturvan kustannukset

• Mitä maksaa heikosti hoidettu tietoturva?

• Voiko hyvin hoidettu tietoturva olla kilpailuetu?

7

Heikon tietoturvan kustannukset

• Kustannukset on huomattavasti helpompi todeta jälkikäteen

• Suorat (kustannus)vaikutukset + epäsuorat (kustannus)vaikutukset

• Osaa kustannusvaikutuksista ei saada koskaan näkyviksi

8

IPR:n menettäminen …. luottamuksellisen tiedon menettäminen

…pörssikurssikeinottelu … vaihtoehtokustannukset … häiriöt palveluihin ja

työsuhteisiin …vähentyneen luottamuksen verkkopalveluja kohtaan …

tietoverkkojen turvallisuuden parantaminen ja hyökkäyksistä toipuminen …

ulkopuolisten konsulttien käyttö … alennusten antaminen asiakkaille ..

tietomurron kohteeksi joutuneen yrityksen maineelle aiheutuva vahinko

Lähteet: 1) McAfee, The economic impact of cybercrime and cyber espionage, 07/2013.http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf2) 2013 Cost of Data Breach Study: Global Analysis, Ponemon institute & Symantechttp://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013

Kyberrikollisuuden kustannuksetglobaalisti

Toiminta Arvioitu kustannus (€) % BKT:sta

Piratismi 750 milj. – 12 mrd. 0.008% - 0.02%

Huumekauppa 650 mrd. 1.2%

Kyberrikollisuus 225 mrd. – 750 mrd. 0.4 % - 1.4%

9

Lähde: McAfee, The economic impact of cybercrime and cyber espionage, 07/2013.http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf

"Kyberrikollisuus on (finanssi)alalla kirjanpitorikoksia, petoksia, korruptiota ja jopa rahanpesua suurempi ongelma ja (aiheuttaa) mittavia tappioita, selvityksessä todetaan."

Lähde: Pricewaterhousecoopersin raportti, uutinen Tietoviikko, 30.3.2012, 12:18

Mikä on riskin hinta?

• Tietoturva on riskienhallintaa

• Kustannuksia arvioitaessa on aina suhteutettava riskiin varautumisen ja riskin toteutumisen kustannukset

• Sosiaali- ja terveysviraston koneiden puhdistaminen maksoi kaupungille lähes 100 000 euroa (HS 16.7.2013) – mitä olisi maksanut ennaltaehkäisy?

10

Helsingin Sanomien analyysi aiheesta

11

Aiheen analyysi Helsingin Sanomissa 16.7.2013

http://www.hs.fi/kaupunki/a1373861123551

Riskille hinta

• Kysymys: Mikä organisaatio on erikoistunut riskien analysointiin ja hinnoitteluun?

• Mitä tietoturvavakuutuksia antavan vakuutusyhtiön täytyy selvittää saadakseen luotua• riskiprofiilin organisaatiolle • hinnan organisaatiolle annettavalle tietoturvavakuutukselle?

• Esimerkiksi tällainen Philadelphia Insurance Company• Loss Experience (Historiadata)• Riskien kontrollointi• Henkilötarkistukset• Vastuukysymykset

12

Hyvin hoidettu tietoturva kilpailuetuna

• Kilpailuetu, elossa pysymisen edellytys vai laillisen toiminnan perusta?

• Miten tietoturva tuodaan esille mainonnassa?

• Alennukset vakuutuksista, voitetut asiakkuudet

13

Vartti tunnista

Tietoturvan osa-alueet ja hallintajärjestelmät

Yritysturvallisuus ja tietoturva

15

• Toimitilaturvallisuus• Henkilöturvallisuus• Toiminnan turvallisuus• Tietoturvallisuus• Pelastustoiminta• Työsuojelu• Ympäristönsuojelu• Varautuminen ja valmiussuunnittelu• Turvallisuus- ja riskienhallinta• Ulkomaantoimintojen turvallisuus

1. Hallinnollinen turvallisuus2. Henkilöstöturvallisuus3. Fyysinen turvallisuus4. Tietoliikenneturvallisuus5. Laitteistoturvallisuus6. Ohjelmistoturvallisuus7. Tietoaineistoturvallisuus 8. Käyttöturvallisuus

Tietoturvallisuus

Liiketoiminnasta tulevia vaatimuksiatietoturvalle• Käytettävyys

• Ylläpidettävyys

• Integroitavuus nykyisiin järjestelmiin

• Nopeasti käyttöönotettava

• Toimii eri jaluistoilla

• Uudelleenkäytettävyys

• Muokattavuus

• Tukee kansainvälisiä standardeja ja vaatimuksia

• Pienet operointikustannukset

• Mitattavaa tietoturvaa

• Tietoturva, jolla on ROI

16

Tietoturvan hallinta kokonaisuutena

17Miten suojaamisen kokonaisuutta voisi hallita?

Tietomurrot

6.5% - 13%Kiristyshaitta

-ohjelmat

Ohjelmistojen haavoittuvuudet

Palvelunesto-hyökkäykset

Haittaohjelma-tartunnat

50%+

Tietoturvallisuuden hallintajärjestelmä• Tietoturvan suhteen hallintajärjestelmä mahdollistaa

organisaation:• asiakkaiden ja muiden sidosryhmien tietoturvavaatimuksien

toteuttamisen• suunnitelmien ja aktiviteettien kehittämisen• tietoturvatavoitteiden toteutumisen• säädösten, lakien ja toimialakohtaisten määräysten täyttämisen• informaatio-omaisuuden hallinnoinnin sillä tavalla, että se mahdollistaa

jatkuvan kehittämisen ja organisaation tavoitteiden muokauttamisenympäristön vaatimuksiin

• ISMS (Information Security Management System)

• TTHJ (Tietoturvan hallintajärjestelmä)

18

Otetaan kaikki "säätyypit" huomioon

Tietoturvallisuuden hallintajärjestelmä

• "osa yleista toimintajarjestelmaa, joka luodaan ja toteutetaan toimintariskienarviointiin perustuen ja jota kaytetaan, valvotaan, katselmoidaan, yllapidetaan ja parannetaan tavoitteena hyva tietoturvallisuus “ (1)

• ”Sisaltaa organisaatiorakenteen, politiikat, suunnittelu- ja kehittamistoimenpiteet, vastuut, menettelytavat, menetelmat, prosessit, mittarit ja resurssit." (1)

• On osa organisaation yleistä hallintajärjestelmää ja näin ollen merkittävässä roolissa on liiketoimintariskien arviointi

• Sisältää tietoturvan suunnittelun, toteutuksen, käytön, valvonnan, seurannan, ylläpidon ja jatkuvan kehittämisen

• Hallintajärjestelmien tulisi sisältää tietoturvan johtaminen, hallinnointi ja ja valvonta

• Hallintajärjestelmä ei ole kasa dokumentteja vaan monitahoinen prosessijota on valvottava ja kehitettävä jatkuvasti

191) VAHTI 8/2008 Valtionhallinnon tietoturvasanasto

Demingin PDCA-sykli ja TTHJ

20

Vaatimukset jaodotuksettietoturvallisuudelle

Hallittutietoturvallisuus

SUUNNITTELETTHJ:n vaikutuspiirin

määritys ja riskienarviointi

TOTEUTATTHJ:n suunnittelu ja

toteutus

TARKASTATTHJ:n seuranta ja

arviointi

TOIMITTHJ:n kehittäminen

P

D

C

A

TTHJ- ominaisuuksia

Tietoturvapolitiikka

Tietoturvakäytännötja periaatteet

Tietoturvallisuudenkehittämisuunnitelma

Jatkuvuus- jatoipumissuunnitelma

21

• TTHJ on enemmänkuin kasa dokumentteja

• Tietyt ydindokumentitluodaan yleensä

Tietoturvakulttuuri

• TTHJ:n tulisi kattaa• Ihmiset• Prosessit• Tuotteet, työkalut,

teknologia• Yhteistyökumppanit ja

sidosryhmät

Ylläpitää ja kehittää organisaation tietoturvakulttuuria

Lähestymistapoja tietoturvaan

• Prosessilähtöiset (ISM3, CMMI, Cobit, ISO9001:2000, ISO20000, ITIL/ITSM)

• Kontrollilähtöiset (BSI-ITBPM, ISO27001:2005, ISO13335-4)

• Tuotelähtöiset (Common Criteria / ISO15408)

• Riskienhallintalähtöiset (AS/NZS 4360, CRAMM, EBIOS, ISO 27005, MAGERIT, MEHARI,OCTAVE, SP800-30, SOMAP)

• Best practice lähtöiset (ISO/IEC 17799:2005, Cobit, ISF-SoGP)

• Hyvä vertailu ja kooste eri menetelmistä:http://rm-inv.enisa.europa.eu/methods

22

Tietoturvallisuuden hallintajärjestelmä (ITIL®)

23

YLLÄPIDÄOpiKehitäSuunnitteleToteuta

TOTEUTALuo tietoisuusLuokittelu ja rekisteröintiHenkilöstöturvallisuusFyysinen turvallisuusVerkot, sovellukset, laitteetKäyttöoikeuksien hallintaOhjeistus tietoturvahäiriöiden käsittelystä

EVALUOISisäiset audititUlkoiset audititItsearvioinnitTietoturvahäiriöt (toteutuvat)

SUUNNITTELEPalvelutasosopimuksetUlkoiset hankintasopimuksetSisäiset hankintasopimuksetPolitiikat

KONTROLLOIOrganisoiJaa vastuut

Asiakkaat – Liiketoiminnan tarpeet

ISO27001 – ISO27002 määritykset

24

ISO27001 IS Management Standard

ISO27002Code of Practice

• Kuinka ISMS tulisi1) perustaa2) toteuttaa3) valvoa4) ylläpitää

• Yleisiä ohjeita ja periaatteita

- 133 tietoturvakontrollia- 39 kategoriaa

- Riskienhallinnan merkitystäkorostetaan

• Organisaatio voi sertifoitua - Organisaatio ei voi sertifoitua

Sovelton tietoturvaan liittyvä koulutustarjonta

25

15 kurssipäivää

• 2013 – 2014 toteutuva koululutuskokonaisuus

• Kurssit julkisessa tarjonnassa

+ välillisesti tietoturvaan liittyvät aiheet (ITIL, kokonaisarkkitehtuurit jne.)

Riskien hallinta, jatkuvuus ja

varautuminen

1pvTietoturva-prosessit ja menetelmät

1pv

Tietoturvan perusteet

1pv

PKI ja varmenteet

MS-ympäristössä

3pv

Lähiverkkojen tietoturva

2pv

Tekninen tietoturva

2pv

Tietoturvalliset etäkäyttöratkaisut

ja BYOD

1pv

Www-palvelun haavoittuvuudet ja

tietokantojen tietoturva

2pv

Palvelujen suojaaminen,

on-premises ja pilvessä

2pv

26