Askeleet kohti turvallista verkkopalvelua. Tietoturva verkkopalvelun elinkaaren aikana

1. SECOND NATURE SECURITY OY I KEILARANTA 1, 02150 ESPOO, FINLAND I +358 10 322 9000 I INFO@2NS.FI I WWW.2NS.FI
Askeleet kohti tietoturvallista verkkopalvelua
Jani Manninen

2. Sisältö
 Yritys ja puhuja
 Verkkopalveluiden tietoturva ja uhat
 Tietoturva verkkopalvelun elinkaaren aikana
 Yleiset puutteet
 Käytännön neuvoja
 Yhteenveto

3. Puhuja
Jani Manninen
COO, Tietoturva-asiantuntija
@Jani_Manninen

4. 2NS – Second Nature Security Oy
 Tietoturva-auditoinnit
 Organisaation tietoturvan
kehittäminen
 Sovelluskehityksen tietoturva

5. Asiakkaita
Satoja asiakkaita vuosien aikana:
 Pienet ja suuret yritykset
 Julkishallinto
 Ohjelmistoyritykset
 Pankki- ja vakuutuslaitokset
 Kauppa
 Teollisuus

6. Haavoittuvuudet
Yli 95 % tarkastamistamme verkkopalveluista sisältää
haavoittuvuuksia, jotka mahdollistavat palvelun
väärinkäytön

7. Verkkopalvelun tietoturva
Verkkosovellus
Kirjastot / komponentit
Palvelinohjelmisto
Tietokanta
Käyttöjärjestelmä
Virtualisointiympäristö
Verkkoyhteydet
TekniikkaIhmiset
Osaaminen
Toimintatavat
Varautuminen poikkeuksiin

8. Verkkopalveluun kohdistuvat uhat
 Tietojen varastaminen
 Taloudellisen hyödyn tavoittelu
 Koneajan varastaminen
 Ilkivalta
 Maine
 Mieti mitä uhkia vastaan suojaudut

9. Verkkopalvelun elinkaari
Vaatimukset Rakentaminen Tuotanto
Käytöstä
poisto
Tietoturva mukaan koko elinkaaren ajan
Huom! sovelluskehitysprosessi voi vaihdella

10. Vaatimukset Rakentaminen Tuotanto
Käytöstä
poisto
Vaatimukset
 Uhkamallinnus – mitä uhkia palveluun kohdistuu?
 Palvelun riskikartoitus – uhkamallinnus pohjana
 Tietoturvavaatimukset – hallitaan riskejä
 Ulkoiset vaatimukset
 Toteutustiimillä mahdollisuus lähteä toteuttamaan riittävän
tietoturvallista palvelua

11. Vaatimukset Rakentaminen Tuotanto
Käytöstä
poisto
Rakentaminen
 Tiimin tietoturvaosaaminen
 Teknisten ratkaisuiden määrittely ja toteutus
 Tietoturvatestaus
 Varautuminen tietoturvapäivityksiin
 Turvallinen verkkosovellus ja alusta valmiina käyttöönottoon

12. Vaatimukset Rakentaminen Tuotanto
Käytöstä
poisto
Tuotanto
 Tietoturvapäivitykset – päivitysten seuraaminen
 Tietoturvatapahtumista toipuminen
 Verkkopalvelun kehittäminen
 Jatkuva tietoturvatestaus
 Palvelun tietoturvan ylläpito vaatii jatkuvaa toimintaa

13. Vaatimukset Rakentaminen Tuotanto
Käytöstä
poisto
Käytöstä poisto
 Arkistointi / konvertointi
 Tietojen turvallinen tuhoaminen
 Käytöstä poistoja myös tuotannon aikana
 Ei vuodeta luottamuksellisia tai hävitetä tarpeellisia
tietoja elinkaaren lopussa

14. Ulkoistuskumppani
Sovelluskehittäjä
Vastuut
 Riippuu
toimitusmallista
 Varmista ettei jää
aukkokohtia
 Onko kaikki toimijat
riittävällä tasolla?
 Vaadi tietoturvaa!
Verkkosovellus
Kirjastot / komponentit
Palvelinohjelmisto
Tietokanta
Käyttöjärjestelmä
Virtualisointiympäristö
Verkkoyhteydet
?

15. Yleiset puutteet
 Räätälöidyt verkkosovellukset reikäisiä
 Puutteellinen päivitysprosessi
 Toipuminen poikkeustilanteissa
 Puutteellinen osaaminen

16. Käytännön vinkit
 Tietoturva ei ole hankalaa, pienillä parannuksilla
suuri vaikutus

17. Yhteenveto
 Verkkopalvelut jatkuvan uhan alla
 Vaadi toimittajilta tietoturvaa
 Verkkopalvelun tietoturva on jatkuva prosessi
 Käytä asiantuntijoita tarvittaessa

18. Lisätietoja
 Tietoturva-asiantuntija: www.2ns.fi
 Lisätietoja haavoittuvuuksista: www.owasp.org
 Kyberturvallisuuskeskus: www.cert.fi

19. Kysymyksiä?

20. SECOND NATURE SECURITY OY I KEILARANTA 1, 02150 ESPOO, FINLAND I +358 10 322 9000 I INFO@2NS.FI I WWW.2NS.FI
Kiitos!
www.2ns.fi www.twitter.com/2ns_fi
www.twitter.com/Jani_Manninen