ݺߣ

ݺߣShare a Scribd company logo

Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevät 2013

Nixu Corporation
Nixu Corporation

Digitaalisten verkkopalveluiden tietoturvan perusteet viestintä- ja markkinointipäättäjille. Tietoturva sosiaalisessa mediassa. Tietovastuun käsite. Esitetty MIFin digitaalisen viestinnän koulutusohjelmassa keväällä 2013 (c) Nixu Oy, Petri Kairinen

1 of 25
Tietoturvallisuus verkkopalveluissa MIF – digitaalisen viestinnän koulutusohjelma, 7.5.2013 Petri Kairinen, Nixu Oy 25.11.2013 © Nixu 2013 1
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 2
Tavoitteet?  Ymmärrän, mitä tietoturvallisuudella tarkoitetaan.  Tiedostan riskit uutta verkkopalvelua rakennettaessa.  Osaan kysyä oikeita kysymyksiä yhteistyökumppaneiltani.  Hahmotan tietoturvallisen toimintatavan SoMen käytössä. 25.11.2013 © Nixu 2013 3
25.11.2013 © Nixu 2013 4
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 5
Verkottuva yhteiskunta IHMISET muodostavat sosiaalisia verkostoja ja käyttävät huoletta verkon pilvipalveluja Älykkäät tietojärjestelmät mahdollistavat ULKOISTAVAT YRITYKSET ovat riippuvaisia yhteyksistä arvoketjun alihankkijoihin INFRASTRUKTUURI muuttuu älykkääksi – ubiikit, integroidut järjestelmät toimivat taustalla 25.11.2013 © Nixu 2013 6
Yritysten toiminta ja arvo perustuvat enenevissä määrin digitaaliseen omaisuuteen 25.11.2013 © Nixu 2013 7
Mustia ja harmaita pilviä horisontissa  “75 % of organizations report increase in attacks from the Internet” – Ernst&Young: “Global Information Security Survey 2012”  “97 % of breaches resulting in loss of records could have been avoided through use of simple or intermediate controls” – Verizon: “2012 Data Breach Investigation Report” Bring Your Own Device Luonnonkatastrofit 25.11.2013 © Nixu 2013 Kybersodankäynti Yksityisyydensuo ja Järjestäytynyt rikollisuus Pilvipalvelut Teollisuusvakoilu Haktivistiryhmät 8
Tiedon luokittelu Kumppaniverkosto Poikkeamien hallinta Vaatimustenhallinta Johtamismalli 25.11.2013 © Nixu 2013 Tekninen suojaus Käyttäjähallinta Riskienhallinta Tietoturvatietoisuus Jatkuvuussuunnittelu 9
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 10
Tietoturvan tilanne tällä hetkellä 25.11.2013 © Nixu 2013 11
Yksityisyydensuoja  Kuluttajaverkkopalveluiden huomioitava kiristyvä yksityisyydensuoja – EU:ssa valmisteilla uusi asetus – Ilmoitusvelvollisuus – Sakko max 2% liikevaihdosta  Ilman tietoturvaa ei voi olla yksityisyydensuojaa, mutta hyvä tietoturva ei takaa yksityisyydensuojaa 25.11.2013 © Nixu 2013 12
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 13
Riskienhallinta uutta verkkopalvelua kehitettäessä Turvallinen ohjelmistototeutus Oikeat valinnat suunnittelussa Riskien ymmärtäminen 25.11.2013 © Nixu 2013 14
Riskienhallinta Sisältää luottamuksellisia tietoja tai maksutapahtumia Kumppani extranet projektienhallintaan Kirjautumista vaativat asiointisivut, verkkokaupat, Pääsy rajatusta verkosta Julkiset palvelut Viestinnällinen intranet 25.11.2013 © Nixu 2013 wwwsivusto, tiedotusk anavat Ei sisällä luottamuksellisia tietoja 15
Oikeat valinnat suunnittelussa  Mitä turvaosaamista palveluntuottajalta vaaditaan?  Miten palvelu on erotettu muista palveluista?  Miten saatavuus varmistetaan?  Miten ja ketkä ylläpitokäyttöliittymään pääsevät?  Miten käyttäjätietoja hallitaan?  Kuinka palvelua ylläpidetään?  Kenelle turvavastuu palvelusta kuuluu? 25.11.2013 © Nixu 2013 16
Turvallinen ohjelmistototeutus  WWW:ssä sovellus ja palvelinratkaisu ratkaisevat, ei palomuuri  Alustapalvelimet tulee koventaa eli poistaa turhat ohjelmat  OWASP Top-10 hyvä vaatimusluettelo kehittäjälle  Turvaa tulisi miettiä jo toteutuksessa yhdessä kehittäjän kanssa  Riskipitoisissa palveluissa on hyvä tehdä loppuauditointi 25.11.2013 © Nixu 2013 17
BONUS: 3 vinkkiä palvelunestohyökkäyksen varalta 1. Suunnittele ennalta vastuut ja toiminta tilanteessa, jossa palvelusi ei ole saatavilla. 2. Luo uinuva varapalvelu muuhun konesaliin tai pilviympäristöön. 3. Pidä käsillä myös voit vaihtoehtoinen tiedotusväline (sms, facebook, twitter), jolla ohjaat uuteen palveluun. 25.11.2013 © Nixu 2013 18
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 19
Sosiaalinen media ja tietoturva 25.11.2013 © Nixu 2013 20
Mitä riskejä käyttöön liittyy?  Keskeiset uhat – – – – haittaohjelmat asentuvat tietoa vuodetaan vahingossa tunnukset varastetaan henkilökohtaiset tiedot  Tyypillinen suojautuminen – käyttöpolitiikka – teknologia – tietoisuus 25.11.2013 © Nixu 2012
Muistilista  Uniikki ja riittävän mutkikas salasana – Huomioi myös yhdistetyt tunnukset – Salasanan palautus  suojaa myös tämä tili  Tarkista sovellukset, plug-init ja tykkäykset – Käy läpi, päivitä tai poista, säännöllisesti  Selainpäivitykset – Päivitä säännöllisesti (help/about  check)  Aavista – Epäilyttävä tarina / linkki / tweet sosiaalisessa mediassa  älä avaa suoraa linkkiä, vaan hae hakukoneella asia ja avaa vain luotettavat linkit  Pidä virustorjunta ajan tasalla 25.11.2013 © Nixu 2013 22
Yhteenveto 25.11.2013 © Nixu 2013 23
Yhteenveto  Tietoturvallisuus on agendalla syystä. Se ei ole pelkkää tekniikkaa vaan paljolta vastuuttamista  Uuden verkkopalvelun turvallinen pystyttäminen lähtee riskianalyysistä  Toteutuksen suunnittelu ja oikeat vaatimukset auttavat 25.11.2013 © Nixu 2013 24
Pidetään kivaa siellä verkossa! KIITOS! 25.11.2013 © Nixu 2013 25

More Related Content

Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevät 2013

  • 1. Tietoturvallisuus verkkopalveluissa MIF – digitaalisen viestinnän koulutusohjelma, 7.5.2013 Petri Kairinen, Nixu Oy 25.11.2013 © Nixu 2013 1
  • 2. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 2
  • 3. Tavoitteet?  Ymmärrän, mitä tietoturvallisuudella tarkoitetaan.  Tiedostan riskit uutta verkkopalvelua rakennettaessa.  Osaan kysyä oikeita kysymyksiä yhteistyökumppaneiltani.  Hahmotan tietoturvallisen toimintatavan SoMen käytössä. 25.11.2013 © Nixu 2013 3
  • 5. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 5
  • 6. Verkottuva yhteiskunta IHMISET muodostavat sosiaalisia verkostoja ja käyttävät huoletta verkon pilvipalveluja Älykkäät tietojärjestelmät mahdollistavat ULKOISTAVAT YRITYKSET ovat riippuvaisia yhteyksistä arvoketjun alihankkijoihin INFRASTRUKTUURI muuttuu älykkääksi – ubiikit, integroidut järjestelmät toimivat taustalla 25.11.2013 © Nixu 2013 6
  • 7. Yritysten toiminta ja arvo perustuvat enenevissä määrin digitaaliseen omaisuuteen 25.11.2013 © Nixu 2013 7
  • 8. Mustia ja harmaita pilviä horisontissa  “75 % of organizations report increase in attacks from the Internet” – Ernst&Young: “Global Information Security Survey 2012”  “97 % of breaches resulting in loss of records could have been avoided through use of simple or intermediate controls” – Verizon: “2012 Data Breach Investigation Report” Bring Your Own Device Luonnonkatastrofit 25.11.2013 © Nixu 2013 Kybersodankäynti Yksityisyydensuo ja Järjestäytynyt rikollisuus Pilvipalvelut Teollisuusvakoilu Haktivistiryhmät 8
  • 10. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 10
  • 11. Tietoturvan tilanne tällä hetkellä 25.11.2013 © Nixu 2013 11
  • 12. Yksityisyydensuoja  Kuluttajaverkkopalveluiden huomioitava kiristyvä yksityisyydensuoja – EU:ssa valmisteilla uusi asetus – Ilmoitusvelvollisuus – Sakko max 2% liikevaihdosta  Ilman tietoturvaa ei voi olla yksityisyydensuojaa, mutta hyvä tietoturva ei takaa yksityisyydensuojaa 25.11.2013 © Nixu 2013 12
  • 13. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 13
  • 14. Riskienhallinta uutta verkkopalvelua kehitettäessä Turvallinen ohjelmistototeutus Oikeat valinnat suunnittelussa Riskien ymmärtäminen 25.11.2013 © Nixu 2013 14
  • 15. Riskienhallinta Sisältää luottamuksellisia tietoja tai maksutapahtumia Kumppani extranet projektienhallintaan Kirjautumista vaativat asiointisivut, verkkokaupat, Pääsy rajatusta verkosta Julkiset palvelut Viestinnällinen intranet 25.11.2013 © Nixu 2013 wwwsivusto, tiedotusk anavat Ei sisällä luottamuksellisia tietoja 15
  • 16. Oikeat valinnat suunnittelussa  Mitä turvaosaamista palveluntuottajalta vaaditaan?  Miten palvelu on erotettu muista palveluista?  Miten saatavuus varmistetaan?  Miten ja ketkä ylläpitokäyttöliittymään pääsevät?  Miten käyttäjätietoja hallitaan?  Kuinka palvelua ylläpidetään?  Kenelle turvavastuu palvelusta kuuluu? 25.11.2013 © Nixu 2013 16
  • 17. Turvallinen ohjelmistototeutus  WWW:ssä sovellus ja palvelinratkaisu ratkaisevat, ei palomuuri  Alustapalvelimet tulee koventaa eli poistaa turhat ohjelmat  OWASP Top-10 hyvä vaatimusluettelo kehittäjälle  Turvaa tulisi miettiä jo toteutuksessa yhdessä kehittäjän kanssa  Riskipitoisissa palveluissa on hyvä tehdä loppuauditointi 25.11.2013 © Nixu 2013 17
  • 18. BONUS: 3 vinkkiä palvelunestohyökkäyksen varalta 1. Suunnittele ennalta vastuut ja toiminta tilanteessa, jossa palvelusi ei ole saatavilla. 2. Luo uinuva varapalvelu muuhun konesaliin tai pilviympäristöön. 3. Pidä käsillä myös voit vaihtoehtoinen tiedotusväline (sms, facebook, twitter), jolla ohjaat uuteen palveluun. 25.11.2013 © Nixu 2013 18
  • 19. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 19
  • 20. Sosiaalinen media ja tietoturva 25.11.2013 © Nixu 2013 20
  • 21. Mitä riskejä käyttöön liittyy?  Keskeiset uhat – – – – haittaohjelmat asentuvat tietoa vuodetaan vahingossa tunnukset varastetaan henkilökohtaiset tiedot  Tyypillinen suojautuminen – käyttöpolitiikka – teknologia – tietoisuus 25.11.2013 © Nixu 2012
  • 22. Muistilista  Uniikki ja riittävän mutkikas salasana – Huomioi myös yhdistetyt tunnukset – Salasanan palautus  suojaa myös tämä tili  Tarkista sovellukset, plug-init ja tykkäykset – Käy läpi, päivitä tai poista, säännöllisesti  Selainpäivitykset – Päivitä säännöllisesti (help/about  check)  Aavista – Epäilyttävä tarina / linkki / tweet sosiaalisessa mediassa  älä avaa suoraa linkkiä, vaan hae hakukoneella asia ja avaa vain luotettavat linkit  Pidä virustorjunta ajan tasalla 25.11.2013 © Nixu 2013 22
  • 24. Yhteenveto  Tietoturvallisuus on agendalla syystä. Se ei ole pelkkää tekniikkaa vaan paljolta vastuuttamista  Uuden verkkopalvelun turvallinen pystyttäminen lähtee riskianalyysistä  Toteutuksen suunnittelu ja oikeat vaatimukset auttavat 25.11.2013 © Nixu 2013 24
  • 25. Pidetään kivaa siellä verkossa! KIITOS! 25.11.2013 © Nixu 2013 25

Editor's Notes

  1. Oleellista tässä on korostaa palveluiden ja tuotannon jatkumista, kuten kuvatkin antavat ymmärtää, kun asiaa kuvataan tuotannosta ja liiketoiminnasta vastaaville johtajille. Tietoturvallisuus on tuotanto- ja tukiprosessien laatu & tukifunktio, joka osaltaan varmistaa tuotannon ja liiketoiminnan vakautta!