W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE

  • 473 views
Uploaded on

Järjestötilaisuus - W3 Rekkari …

Järjestötilaisuus - W3 Rekkari

http://w3.fi/tiedotteet/rekkari-esitykset.php

Kevään ykkösseminaari!
2.3.2012, perjantai kello 14.00-17.00, Holiday Inn, Messukeskus

Kenelle seminaari on tarkoitettu?
Järjestöjen, yhdistysten ja liittojen päättäjille, tietotekniikka- ja viestintävastaaville henkilöille.

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to like this
No Downloads

Views

Total Views
473
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
1
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Tietoturva ja käyttäytyminen intranetissä Jyrki J.J. Kasvi Tietoyhteiskunnan kehittämiskeskus TIEKE
  • 2. Avoimuuden aika:Olet sitä mitä jaat• Tieto on samanlaista kuin raha, se tuottaa uutta tietoa ja hyödyttää yhteiskuntaa vain kun sitä käytetään ja investoidaan. – Rahasäiliöön säilötyllä rahalla ei ole arvoa … eikä suljettuun tietokantaan säilötyllä tiedolla. – Tietoturva ei saa olla tiedon ”rahasäiliö”• ”Tieto ei ole enää valtaa, tiedon jakaminen on.” » Teemu Arina• “The best way to get value from data is to give it away” » Neelie Kroes, Vice-President of the European Commission and Commissioner of the Digital Agenda
  • 3. Tekniikan ja ihmisen tasapaino• Intranetin tekninen tietoturva ”helppoa” – Runsaasti valmiita työvälineitä – Epäsymmetrinen rintama, puolustuksen on tukittava kaikki aukot, hyökkääjälle riittää yksi… – Intranetin toiminnan ja käytön poikkeamien automaattinen seuranta• Intranetin sosiaalinen tietoturva vaikeaa – Tekninen tietoturva aiheuttaa riskikäyttäytymistä – Koulutus ja perehdytys, miksi ja miten tietoturvaa – Käyttäjien oikeuksien hallinta (tieto, ylläpito) – Järjestelmän käytöstä jäätävä jäljet• Kannattaa keskittyä kriittisiin järjestelmiin – Ajantasainen riskianalyysi
  • 4. Reproduced from XKCD under a Creative Commons Attribution-NonCommercial 2.5 License Lähtökohdaksi ihminen
  • 5. Verkostoitunut toimintatapanäkyy myös intranetissä Projektit Asiakkuudet Kumppanuudet Kokoukset Intranet Internet Palomuuri
  • 6. Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.
  • 7. Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi. Slammer pääsi järjestelmään alihankkijan ja voimayhtiön intranettien välille luodun dokumentoimattoman, palomuurin kiertäneen yhteyden kautta
  • 8. Tietomurtolähtöinen tietoturva• Tietoturva pettää ennemmin tai myöhemmin! – Aukotonta tietoturvaa ei ole – Jopa tietoturvayhtiöiden järjestelmiin on murtauduttu• Minimoidaan tietomurron tai hyökkäyksen haitat ennakolta jo suunnitteluvaiheessa – Vain välttämätöntä tietoa kerätään ja käytetään – Kriittiset tietovarannot kryptataan – Järjestelmien segmentointi ja kerrostaminen – Skaalautuvat järjestelmät• Valmis toimintamalli _kun_ tietoturva pettää – Tiedottaminen käyttäjille, viranomaisille ja asiakkaille – Resursoitu ajantasainen palautumissuunnitelma
  • 9. Hyökkäyksiin varautuminen• Hyökkääjälle voi riittää toiminnan lamauttaminen – Palvelun tasoa ja kapasiteettia on pystyttävä skaalaamaan nopeasti• Liikkuva maali – Tekniikka ja maailma muuttuvat nopeasti – Tietoturvaa ja kuormituksen sietokykyä on testattava säännöllisesti (case Stuk)• Myös yleisön suuri kiinnostus voi ylikuormittaa järjestelmät – Intranet ja ulkoiset palvelut pidettävä erillään
  • 10. Varjoista valoon• Kuluttaja-IT kehittyy niin nopeasti, että työnantajan IT ja tiedonhallintakäytännöt vaikuttavat antiikkisilta – Työtä halutaan tehdä omilla työvälineillä omaan tapaan• Jos työpaikan IT hidastaa työntekoa, se kierretään ja sivuutetaan – Niksit jäykän tietoturvan kiertämiseksi leviävät nopeasti – Esim. miten työssä tarvittava Skype saadaan toimimaan intrassa, vaikka sen käyttö olisi kielletty ja estetty• Työntekijät tietävät parhaiten, millaista tietotekniikkaa tarvitsevat – Varjo-IT on mahdollisuus, ilmaista palvelukehitystä• Varjo-IT haastaa ohjauksen, tietoturvan, dokumentit, … – Turvallinen pääsy Intraan työntekijöiden omilla välineillä mistä vain
  • 11. Karu arkitodellisuus jää piiloon
  • 12. CC SA Attribution SugreeSkaalaustapilvestä• Tiedot, sovellukset ja laskenta ovat siirtymässä omista konesaleista pilveen – Pääomia ei tarvitse sitoa infraan • Oma infra ei enää rajoita tietohallinnon kehittämistä – Optimoi laskentapasiteetin ja resurssien käyttöä • Esim. Iso-Britannian G-Cloud-hankkeen laskettiin säästävän £3,2 mrd vuodessa• ... ja muuttumassa on-demand palveluiksi – Kun tiedot ja sovellukset ovat eri pilvissä ja rajapinnat hallussa, palvelun toimittajaa voi vaihtaa• Pilvipalveluiden laskutus on käyttöperusteista – Tiedonhallintaprosessit on optimoitava uudelleen• Pilvi ei tunne maantieteellisiä rajoja – mutta rajoilla on väliä
  • 13. Rajoilla on väliä• Palveluntarjoaja, asiakas, data ja laskenta voivat sijaita eri maissa – Esim. Yhdysvaltojen ja EU:n tietoturvaa ja yksityisyyden suojaa koskevat määräykset ja viranomaisten tiedonsaanti- oikeudet ovat epäyhtenäiset – Suhteessa viranomaisiin ratkaisevaa on ollut palvelimen sijaintipaikka• Kansainvälisiä pelisääntöjä ei ole, ja kansallisetkin ennakkotapaukset puuttuvat – Esim. tietoturvan taso on sopimusten varassa• Palvelinfarmien resursseja käytetään Internetin välityksellä – Jos yhteys pilveen katkeaa, katoavat myös tiedot ja palvelut – Kuka hallitsee Internetin toimintaa?
  • 14. (Epä)sosiaalinentoimintaympäristö• Sähköinen media tuo joissain henkilöissä esiin heidän pimeimmän puolensa – Usenetin flame-sodat 1980-luvulla – Intranet-keskusteluja on seurattava ja ylilyönteihin puututtava• Sosiaalinen pääoma ei ole kehittynyt teknologian tahdissa – Asymmetrinen, epäsynkroninen, kasvoton kommunikointi on psykologisesti haastavaa• Ihmiset ovat netissä käsittämättömän luottavaisia – Henkilö- ja tunnistetietoja luovutetaan helposti khalastelijoille – Myös hyvin taitavaa henkilötietojen urkintaa esim. väärennetyillä kirjautumissivuilla – Urkinta voidaan kohdistaa myös yksittäiseen avainhenkilöön – Kaikkien tiedettävä periaatteet, joilla oma it-ylläpito kysyy käyttäjien tietoja!
  • 15. Haktivismi CC 2.0 Generic Vincent Diamante• Digitaaliset vigilantit tarttuneet nettiyhteisöjä turhauttaviin ongelmiin – Kohteina suuryrityksiä, viranomaisia, poliitikkoja ja rikollisjärjestöjä – Ei oikeusturvaa eikä valitusoikeutta – Pikemminkin yhteisö tai kulttuuri kuin perinteinen organisaatio• Luokattoman heikko tietoturva helpottanut iskuja – Moni haktivistien isku paljastuu vasta julkaisusta – Ihmisten luottamus tietoturvaan romahtanut – Hyvä läksy nettipalveluiden ylläpitäjille ja käyttäjille
  • 16. U.S. Army PhotoSukupuolten välinen digikuilu? Keskustelua30.9.2010 www.kasvi.org 16