2. Seminaarin sisältö
8:00 Ilmoittautuminen ja maittava aamiainen
8:30 Avaussanat
Senior-konsultti Pasi Lehtiniemi, Sovelto
Senior-konsultit Thomas Hughes ja Jukka Vuola, Sovelto
8:40
Katsaus tietoturvan tilaan ja uhkiin Suomessa
• Mitä tietoturvauhkia on nyt ja mitä on tulossa?
• Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä
9:00
Heikosti hoidetun tietoturvan kustannukset
• Mitä maksaa heikosti hoidettu tietoturva?
• Voiko hyvin hoidettu tietoturva olla kilpailuetu?
9:30
9:50
10:00
Tietoturvan kokonaishallinta
• Tietoturvan osa-alueet
• Tietoturvan hallintajärjestelmät
• Sovelton tietoturvakoulutusohjelma
• Tietoturvaosaamisen sertifiointi
• Tilaisuus päättyy
2
3. Tietoturvan tila Suomessa
• Mitä tietoturvauhkia on nyt ja mitä on tulossa?
• Käytännön demonstraatio tietoturvahaavoittuvuuden
hyödyntämisestä
3
5. Tietoturvauhat tulevaisuudessa
5
Tietoturvarikollisuuden kehittyminen alana
• Kohdistetut hyökkäykset kasvussa
• Pienemmät organisaatiot ja kielialueet
kiinnostavat myös
• Crime as a Service, Hacking as a Service
Älykkäät laitteet ja tietojen tallennus
• Mobiilit laitteet, mobiili tieto, BYOD
• Pilvipalvelut
Uudet teknologiat, uudet haavoittuvuudet
• Webtekniikat: HTML5, CSS
• Langaton viestintä: NFC, WLAN, Bluetooth
• Sosiaalinen media
Blackhole server:
1 vko: 200 USD
3 kk: 700 USD
1 v: 1500 USD
8. Heikon tietoturvan kustannukset
• Kustannukset on huomattavasti helpompi todeta jälkikäteen
• Suorat (kustannus)vaikutukset + epäsuorat (kustannus)vaikutukset
• Osaa kustannusvaikutuksista ei saada koskaan näkyviksi
8
IPR:n menettäminen …. luottamuksellisen tiedon menettäminen
…pörssikurssikeinottelu … vaihtoehtokustannukset … häiriöt palveluihin ja
työsuhteisiin …vähentyneen luottamuksen verkkopalveluja kohtaan …
tietoverkkojen turvallisuuden parantaminen ja hyökkäyksistä toipuminen …
ulkopuolisten konsulttien käyttö … alennusten antaminen asiakkaille ..
tietomurron kohteeksi joutuneen yrityksen maineelle aiheutuva vahinko
Lähteet: 1) McAfee, The economic impact of cybercrime and cyber espionage, 07/2013.
http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf
2) 2013 Cost of Data Breach Study: Global Analysis, Ponemon institute & Symantec
http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013
9. Kyberrikollisuuden kustannukset
globaalisti
Toiminta Arvioitu kustannus (€) % BKT:sta
Piratismi 750 milj. – 12 mrd. 0.008% - 0.02%
Huumekauppa 650 mrd. 1.2%
Kyberrikollisuus 225 mrd. – 750 mrd. 0.4 % - 1.4%
9
Lähde: McAfee, The economic impact of cybercrime and cyber espionage, 07/2013.
http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf
"Kyberrikollisuus on (finanssi)alalla kirjanpitorikoksia, petoksia, korruptiota ja jopa
rahanpesua suurempi ongelma ja (aiheuttaa) mittavia tappioita, selvityksessä
todetaan."
Lähde: Pricewaterhousecoopersin raportti, uutinen Tietoviikko, 30.3.2012, 12:18
10. Mikä on riskin hinta?
• Tietoturva on riskienhallintaa
• Kustannuksia arvioitaessa on aina suhteutettava riskiin
varautumisen ja riskin toteutumisen kustannukset
• Sosiaali- ja terveysviraston koneiden puhdistaminen maksoi
kaupungille lähes 100 000 euroa (HS 16.7.2013) – mitä olisi
maksanut ennaltaehkäisy?
10
11. Helsingin Sanomien analyysi aiheesta
11
Aiheen analyysi Helsingin Sanomissa 16.7.2013
http://www.hs.fi/kaupunki/a1373861123551
12. Riskille hinta
• Kysymys: Mikä organisaatio on erikoistunut riskien
analysointiin ja hinnoitteluun?
• Mitä tietoturvavakuutuksia antavan vakuutusyhtiön täytyy selvittää
saadakseen luotua
• riskiprofiilin organisaatiolle
• hinnan organisaatiolle annettavalle tietoturvavakuutukselle?
• Esimerkiksi tällainen Philadelphia Insurance Company
• Loss Experience (Historiadata)
• Riskien kontrollointi
• Henkilötarkistukset
• Vastuukysymykset
12
13. Hyvin hoidettu tietoturva kilpailuetuna
• Kilpailuetu, elossa pysymisen edellytys vai laillisen toiminnan
perusta?
• Miten tietoturva tuodaan esille mainonnassa?
• Alennukset vakuutuksista, voitetut asiakkuudet
13
15. Yritysturvallisuus ja tietoturva
15
• Toimitilaturvallisuus
• Henkilöturvallisuus
• Toiminnan turvallisuus
• Tietoturvallisuus
• Pelastustoiminta
• Työsuojelu
• Ympäristönsuojelu
• Varautuminen ja valmiussuunnittelu
• Turvallisuus- ja riskienhallinta
• Ulkomaantoimintojen turvallisuus
1. Hallinnollinen turvallisuus
2. Henkilöstöturvallisuus
3. Fyysinen turvallisuus
4. Tietoliikenneturvallisuus
5. Laitteistoturvallisuus
6. Ohjelmistoturvallisuus
7. Tietoaineistoturvallisuus
8. Käyttöturvallisuus
Tietoturvallisuus
16. Liiketoiminnasta tulevia vaatimuksia
tietoturvalle
• Käytettävyys
• Ylläpidettävyys
• Integroitavuus nykyisiin järjestelmiin
• Nopeasti käyttöönotettava
• Toimii eri jaluistoilla
• Uudelleenkäytettävyys
• Muokattavuus
• Tukee kansainvälisiä standardeja ja vaatimuksia
• Pienet operointikustannukset
• Mitattavaa tietoturvaa
• Tietoturva, jolla on ROI
16
18. Tietoturvallisuuden hallintajärjestelmä
• Tietoturvan suhteen hallintajärjestelmä mahdollistaa
organisaation:
• asiakkaiden ja muiden sidosryhmien tietoturvavaatimuksien
toteuttamisen
• suunnitelmien ja aktiviteettien kehittämisen
• tietoturvatavoitteiden toteutumisen
• säädösten, lakien ja toimialakohtaisten määräysten täyttämisen
• informaatio-omaisuuden hallinnoinnin sillä tavalla, että se mahdollistaa
jatkuvan kehittämisen ja organisaation tavoitteiden muokauttamisen
ympäristön vaatimuksiin
• ISMS (Information Security Management System)
• TTHJ (Tietoturvan hallintajärjestelmä)
18
Otetaan
kaikki
"säätyypit"
huomioon
19. Tietoturvallisuuden hallintajärjestelmä
• "osa yleistä toimintajärjestelmää, joka luodaan ja toteutetaan toimintariskien
arviointiin perustuen ja jota käytetään, valvotaan, katselmoidaan,
ylläpidetään ja parannetaan tavoitteena hyvä tietoturvallisuus “ (1)
• ”Sisältää organisaatiorakenteen, politiikat, suunnittelu- ja
kehittämistoimenpiteet, vastuut, menettelytavat, menetelmät, prosessit,
mittarit ja resurssit." (1)
• On osa organisaation yleistä hallintajärjestelmää ja näin ollen merkittävässä
roolissa on liiketoimintariskien arviointi
• Sisältää tietoturvan suunnittelun, toteutuksen, käytön, valvonnan,
seurannan, ylläpidon ja jatkuvan kehittämisen
• Hallintajärjestelmien tulisi sisältää tietoturvan johtaminen, hallinnointi ja ja
valvonta
• Hallintajärjestelmä ei ole kasa dokumentteja vaan monitahoinen prosessi
jota on valvottava ja kehitettävä jatkuvasti
191) VAHTI 8/2008 Valtionhallinnon tietoturvasanasto
20. Demingin PDCA-sykli ja TTHJ
20
Vaatimukset ja
odotukset
tietoturvallisuudelle
Hallittu
tietoturvallisuus
SUUNNITTELE
TTHJ:n vaikutuspiirin
määritys ja riskien
arviointi
TOTEUTA
TTHJ:n suunnittelu ja
toteutus
TARKASTA
TTHJ:n seuranta ja
arviointi
TOIMI
TTHJ:n kehittäminen
P
D
C
A
24. ISO27001 – ISO27002 määritykset
24
ISO27001
IS Management Standard
ISO27002
Code of Practice
• Kuinka ISMS tulisi
1) perustaa
2) toteuttaa
3) valvoa
4) ylläpitää
• Yleisiä ohjeita ja periaatteita
- 133 tietoturvakontrollia
- 39 kategoriaa
- Riskienhallinnan merkitystä
korostetaan
• Organisaatio voi sertifoitua - Organisaatio ei voi sertifoitua
25. Sovelton tietoturvaan liittyvä koulutustarjonta
25
15 kurssipäivää
• 2013 – 2014 toteutuva koululutuskokonaisuus
• Kurssit julkisessa tarjonnassa
+ välillisesti tietoturvaan liittyvät aiheet (ITIL, kokonaisarkkitehtuurit jne.)
Riskien hallinta,
jatkuvuus ja
varautuminen
1pvTietoturva-
prosessit ja
menetelmät
1pv
Tietoturvan
perusteet
1pv
PKI ja
varmenteet
MS-ympäristössä
3pv
Lähiverkkojen
tietoturva
2pv
Tekninen
tietoturva
2pv
Tietoturvalliset
etäkäyttöratkaisut
ja BYOD
1pv
Www-palvelun
haavoittuvuudet ja
tietokantojen
tietoturva
2pv
Palvelujen
suojaaminen,
on-premises ja
pilvessä
2pv