World Trade Center Turku aamiaisseminaari 22-1-2015
Digitaalisella aikakaudella tietoliikenne on kasvanut runsaasti ja samalla myös tietoturvariskit ovat lisääntyneet. Miten tietoturvaosaaminen vaikuttaa toimittajan valintaan ja mitä ohjelmistohankkeessa pitää huomioida tietoturvan osalta? Tieto on yritykselle tärkeää pääomaa ja kilpailutekijä, minkä vuoksi sen suojaamiseen
kannattaa panostaa. Kokonaisvaltainen tietoturva muodostuu monesta muustakin tekijästä kuin vain palomuurista ja virustorjuntaohjelmistosta. Miten yritys voi
suojautua verkossa ja voiko teknologiaan luottaa?
2. Always pass on what you have learned.
Yoda
Otto Sunnari
Sofokus: Konsultointi, myynti
@osunnari
otto.sunnari@sofokus.com
http://fi.linkedin.com/in/ottosunnari
3. • Mitä on tietoturva
• Miksi se on tärkeää
• Mistä se koostuu? Sähköinen ja analoginen tieto
• Uhat, riskit
• Suojausmenetelmät
• GSISS 2015
• Salasanahygienia
• Tietoturva toimittajan valinnassa
• Tietoturva järjestelmän toimituksissa
• Mistä tietoa saa?
• Sofokus esittely
SISÄLTÖ
4. Tietoturva (tai tietoturvallisuus) tarkoittaa
tietojen, palvelujen, järjestelmien ja
tietoliikenteen suojaamista.
MITÄ ON TIETOTURVA?
Wikipedia
18. • Tiedä mitä tietoa sinulla on ja missä se sijaitsee
• Arvioi miten arvokasta se on ja mitä tapahtuisi
jos se häviäisi
• Huolehdi tiedon suojaamisesta
• Skaalaa
YHTEENVETO
21. SALASANAHYGIENIA
Passwords are like underwear: you don’t let people see it, you should
change it very often, and you shouldn’t share it with strangers.
Chris Pirillo
http://chris.pirillo.com/
22. 1. Pitkä (12+ merkkiä) ja mOn1muTk@in3N
2. Eri salasanat eri järjestelmiin
3. Vaihda usein ja heti
4. Varmista palautusmahdollisuudet
5. Pidä tallessa
6. Älä paljasta kenellekään
6 HYVÄÄ SALASANA KÄYTÄNTÖÄ
http://www.google.com/goodtoknow/online-safety/passwords/
http://lifehacker.com/5876541/use-this-infographic-to-pick-a-good-strong-password
http://www.darkreading.com/risk-management/7-tips-to-toughen-passwords/d/d-id/1104754?
25. Companies spend millions of dollars on
firewalls, encryption and secure access
devices, and it’s money wasted, because
none of these measures address the
weakest link in the security chain.
VAIKUTTAJA: KEVIN MITNICK
Kevin Mitnick
https://twitter.com/kevinmitnick
https://www.mitnicksecurity.com/
Kirja: The Art of Deception (2002)
26. • ”kadotettu” USB-tikku löytyy parkkipaikalta
• 60% löytäjistä käyttää sitä koneessaan
• Stuxnet levitettiin tällä menetelmällä?
CASE: USB-TIKKU PARKKIPAIKALLA
http://thenextweb.com/insider/2011/06/28/us-govt-plant-usb-sticks-in-security-study-60-of-subjects-take-the-bait/
http://www.wired.com/2011/06/the-dropped-drive-hack/
27. • ”Hunajapurkki” -kikka
• Avoin langaton verkko nimetty ”Öppen gäst”
• 100 tietoturva-asiantuntijaa, toimittajaa ja
poliitikkoa meni halpaan
• Hakkeri pystyi seuraamaan netinkäyttöä,
sähköposteja ja pikaviestejä
CASE: KONFERENSSIN AVOIN WLAN
http://www.verkkouutiset.fi/kotimaa/hakkeri_salen_kokous-30635
http://www.thelocal.se/20150114/young-pirate-hacks-into-top-security-conference
http://nyheter24.se/debatt/786990-ung-pirat-darfor-har-vi-massovervakat-folk-och-forsvars-konferens-i-salen
28. 1. Verifioitu osaaminen aiemmissa projekteissa
2. Sertifikaatit (Esim. ISO/IEC 27001:2005)
3. Prosessit (VAHTI)
4. Työkalut (Esim. OWASP WebScarab)
TOIMITTAJAN VALINTA
www.vm.fi/vahti
29. VERKKOPALVELU - PALVELIN
• Suojaus SSL sertifikaatilla suositeltavaa (myös
Google palkitsee)
• Oletus kirjautumisosoitteet muutettava
• Oletus ylläpitotunnukset muutettava
30. VERKKOPALVELU - OHJELMISTO
• Tietoturvatason tiukennukset ehdottomia
• Ilman ylläpitoa tietoturvataso laskee nopeasti
• Myös lisäosat pitää päivittää
• Tietokantatunnuksien oikeuksia tulee rajoittaa
• Tiedostojen siirto suojatusti (SFTP)
• Salasanojen ja käyttäjätunnusten käsittely
31. OHJELMISTOYLLÄPITO
• Liian usein sivuutetaan
• Palvelun omistaja on vastuussa
• Palvelimen käyttöjärjestelmästä huolehtiminen
• Asennetun sovelluksen huolehtiminen (esim.
Magento, WordPress).
• Monitorointipalvelu
• Varmuuskopiointi
• Tekninen tuki
http://www.sofokus.com/blogi/miksi-maksaisin-yllapidosta/
32. CASE: SHELLSHOCK 2014
• Linux käyttöjärjestelmän sisältä löytyi haavoittuvuus
• Hyökkääjän on mahdollista suorittaa haluamiaan
komentoja palvelimella
https://www.viestintavirasto.fi/tietoturva/varoitukset/2014/varoitus-2014-02.html
https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409251726.html
34. • Kokenut
• 14v yritystasolla, henkilötasolla jopa 20v
• Vakavarainen
• 100% yksityisomisteinen, vahva tase
• Erikoistunut
• Open Source pohjaiset verkkoliiketoimintaratkaisut
• Innovatiivinen
• Useita palkittuja ja tuottavia uusia konsepteja
• Tulosorientoitunut
• Toimintaa ohjaavat liiketoimintatavoitteet
• Palveleva
• 100% tyytyväisyystakuu
Vuoden Yritys
Turussa 2014
37. Always pass on what you have learned.
Yoda
Otto Sunnari
Sofokus: Konsultointi, myynti
@osunnari
otto.sunnari@sofokus.com
http://fi.linkedin.com/in/ottosunnari