W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE

805 views

Published on

Järjestötilaisuus - W3 Rekkari

http://w3.fi/tiedotteet/rekkari-esitykset.php

Kevään ykkösseminaari!
2.3.2012, perjantai kello 14.00-17.00, Holiday Inn, Messukeskus

Kenelle seminaari on tarkoitettu?
Järjestöjen, yhdistysten ja liittojen päättäjille, tietotekniikka- ja viestintävastaaville henkilöille.

1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
805
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
3
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE

  1. 1. Tietoturva ja käyttäytyminen intranetissä Jyrki J.J. Kasvi Tietoyhteiskunnan kehittämiskeskus TIEKE
  2. 2. Avoimuuden aika:Olet sitä mitä jaat• Tieto on samanlaista kuin raha, se tuottaa uutta tietoa ja hyödyttää yhteiskuntaa vain kun sitä käytetään ja investoidaan. – Rahasäiliöön säilötyllä rahalla ei ole arvoa … eikä suljettuun tietokantaan säilötyllä tiedolla. – Tietoturva ei saa olla tiedon ”rahasäiliö”• ”Tieto ei ole enää valtaa, tiedon jakaminen on.” » Teemu Arina• “The best way to get value from data is to give it away” » Neelie Kroes, Vice-President of the European Commission and Commissioner of the Digital Agenda
  3. 3. Tekniikan ja ihmisen tasapaino• Intranetin tekninen tietoturva ”helppoa” – Runsaasti valmiita työvälineitä – Epäsymmetrinen rintama, puolustuksen on tukittava kaikki aukot, hyökkääjälle riittää yksi… – Intranetin toiminnan ja käytön poikkeamien automaattinen seuranta• Intranetin sosiaalinen tietoturva vaikeaa – Tekninen tietoturva aiheuttaa riskikäyttäytymistä – Koulutus ja perehdytys, miksi ja miten tietoturvaa – Käyttäjien oikeuksien hallinta (tieto, ylläpito) – Järjestelmän käytöstä jäätävä jäljet• Kannattaa keskittyä kriittisiin järjestelmiin – Ajantasainen riskianalyysi
  4. 4. Reproduced from XKCD under a Creative Commons Attribution-NonCommercial 2.5 License Lähtökohdaksi ihminen
  5. 5. Verkostoitunut toimintatapanäkyy myös intranetissä Projektit Asiakkuudet Kumppanuudet Kokoukset Intranet Internet Palomuuri
  6. 6. Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.
  7. 7. Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi. Slammer pääsi järjestelmään alihankkijan ja voimayhtiön intranettien välille luodun dokumentoimattoman, palomuurin kiertäneen yhteyden kautta
  8. 8. Tietomurtolähtöinen tietoturva• Tietoturva pettää ennemmin tai myöhemmin! – Aukotonta tietoturvaa ei ole – Jopa tietoturvayhtiöiden järjestelmiin on murtauduttu• Minimoidaan tietomurron tai hyökkäyksen haitat ennakolta jo suunnitteluvaiheessa – Vain välttämätöntä tietoa kerätään ja käytetään – Kriittiset tietovarannot kryptataan – Järjestelmien segmentointi ja kerrostaminen – Skaalautuvat järjestelmät• Valmis toimintamalli _kun_ tietoturva pettää – Tiedottaminen käyttäjille, viranomaisille ja asiakkaille – Resursoitu ajantasainen palautumissuunnitelma
  9. 9. Hyökkäyksiin varautuminen• Hyökkääjälle voi riittää toiminnan lamauttaminen – Palvelun tasoa ja kapasiteettia on pystyttävä skaalaamaan nopeasti• Liikkuva maali – Tekniikka ja maailma muuttuvat nopeasti – Tietoturvaa ja kuormituksen sietokykyä on testattava säännöllisesti (case Stuk)• Myös yleisön suuri kiinnostus voi ylikuormittaa järjestelmät – Intranet ja ulkoiset palvelut pidettävä erillään
  10. 10. Varjoista valoon• Kuluttaja-IT kehittyy niin nopeasti, että työnantajan IT ja tiedonhallintakäytännöt vaikuttavat antiikkisilta – Työtä halutaan tehdä omilla työvälineillä omaan tapaan• Jos työpaikan IT hidastaa työntekoa, se kierretään ja sivuutetaan – Niksit jäykän tietoturvan kiertämiseksi leviävät nopeasti – Esim. miten työssä tarvittava Skype saadaan toimimaan intrassa, vaikka sen käyttö olisi kielletty ja estetty• Työntekijät tietävät parhaiten, millaista tietotekniikkaa tarvitsevat – Varjo-IT on mahdollisuus, ilmaista palvelukehitystä• Varjo-IT haastaa ohjauksen, tietoturvan, dokumentit, … – Turvallinen pääsy Intraan työntekijöiden omilla välineillä mistä vain
  11. 11. Karu arkitodellisuus jää piiloon
  12. 12. CC SA Attribution SugreeSkaalaustapilvestä• Tiedot, sovellukset ja laskenta ovat siirtymässä omista konesaleista pilveen – Pääomia ei tarvitse sitoa infraan • Oma infra ei enää rajoita tietohallinnon kehittämistä – Optimoi laskentapasiteetin ja resurssien käyttöä • Esim. Iso-Britannian G-Cloud-hankkeen laskettiin säästävän £3,2 mrd vuodessa• ... ja muuttumassa on-demand palveluiksi – Kun tiedot ja sovellukset ovat eri pilvissä ja rajapinnat hallussa, palvelun toimittajaa voi vaihtaa• Pilvipalveluiden laskutus on käyttöperusteista – Tiedonhallintaprosessit on optimoitava uudelleen• Pilvi ei tunne maantieteellisiä rajoja – mutta rajoilla on väliä
  13. 13. Rajoilla on väliä• Palveluntarjoaja, asiakas, data ja laskenta voivat sijaita eri maissa – Esim. Yhdysvaltojen ja EU:n tietoturvaa ja yksityisyyden suojaa koskevat määräykset ja viranomaisten tiedonsaanti- oikeudet ovat epäyhtenäiset – Suhteessa viranomaisiin ratkaisevaa on ollut palvelimen sijaintipaikka• Kansainvälisiä pelisääntöjä ei ole, ja kansallisetkin ennakkotapaukset puuttuvat – Esim. tietoturvan taso on sopimusten varassa• Palvelinfarmien resursseja käytetään Internetin välityksellä – Jos yhteys pilveen katkeaa, katoavat myös tiedot ja palvelut – Kuka hallitsee Internetin toimintaa?
  14. 14. (Epä)sosiaalinentoimintaympäristö• Sähköinen media tuo joissain henkilöissä esiin heidän pimeimmän puolensa – Usenetin flame-sodat 1980-luvulla – Intranet-keskusteluja on seurattava ja ylilyönteihin puututtava• Sosiaalinen pääoma ei ole kehittynyt teknologian tahdissa – Asymmetrinen, epäsynkroninen, kasvoton kommunikointi on psykologisesti haastavaa• Ihmiset ovat netissä käsittämättömän luottavaisia – Henkilö- ja tunnistetietoja luovutetaan helposti khalastelijoille – Myös hyvin taitavaa henkilötietojen urkintaa esim. väärennetyillä kirjautumissivuilla – Urkinta voidaan kohdistaa myös yksittäiseen avainhenkilöön – Kaikkien tiedettävä periaatteet, joilla oma it-ylläpito kysyy käyttäjien tietoja!
  15. 15. Haktivismi CC 2.0 Generic Vincent Diamante• Digitaaliset vigilantit tarttuneet nettiyhteisöjä turhauttaviin ongelmiin – Kohteina suuryrityksiä, viranomaisia, poliitikkoja ja rikollisjärjestöjä – Ei oikeusturvaa eikä valitusoikeutta – Pikemminkin yhteisö tai kulttuuri kuin perinteinen organisaatio• Luokattoman heikko tietoturva helpottanut iskuja – Moni haktivistien isku paljastuu vasta julkaisusta – Ihmisten luottamus tietoturvaan romahtanut – Hyvä läksy nettipalveluiden ylläpitäjille ja käyttäjille
  16. 16. U.S. Army PhotoSukupuolten välinen digikuilu? Keskustelua30.9.2010 www.kasvi.org 16

×