Petteri jarvinen tietoturva ja tietosuoja 120510_ramk

1,831 views

Published on

Published in: Education, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,831
On SlideShare
0
From Embeds
0
Number of Embeds
20
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Petteri jarvinen tietoturva ja tietosuoja 120510_ramk

  1. 1. Tietoturva ja tietosuoja Petteri Järvinen Rovaniemi 12.5.2010
  2. 2. Uutisia, joita et ole kuullut Tietoturvan myönteistä kehitystä <ul><li>Netti ei kaatunut vuonna 2006 – eikä 2009 </li></ul><ul><li>Matkapuhelimet eivät vieläkään levitä viruksia </li></ul><ul><li>Tiedonkalastelu (phishing) ei todellinen ongelma </li></ul><ul><li>” Suomi on netin turvallisin maa” </li></ul><ul><li>Mutta: </li></ul><ul><li>Rikolliset oppivat koko ajan uusia kikkoja </li></ul><ul><li>Tieto vaatii jatkuvaa huolellisuutta sen käytössä </li></ul><ul><li>Uusia haasteita: pilvipalvelut, omat tietokoneet, liian osaavat käyttäjät, yhteisöpalvelut... </li></ul><ul><li>Epävarmuus siitä, mitä saa tehdä ja mitä ei </li></ul>
  3. 3. <ul><li>Katuvalojen ohjausta siirretään nettiin? </li></ul><ul><li>Palveluita ulkoistetaan säästöjen vuoksi </li></ul><ul><li>Turvallisuus maksaa </li></ul>
  4. 5. Professori uskoi saavansa jättiperinnön &quot;Professori menetti noin 20 000 euroa tavoitellessaan yli 20 miljoonan dollarin perintöä. Tapauksen juuret juontuvat viime vuoden kevääseen, kun professoriin otettiin yhteyttä sähköpostilla. Kirjoittaja väitti olevansa afrikkalaisvaltion entisen presidentin poika, joka joutui poliittisista syistä piileskelemään. Hän halusi kuitenkin paeta maasta ja oli valmis lähettämään professorille perintönsä 27 miljoonaa USA:n dollaria. Tilanteet etenivät niin, että professorin piti mennä Sveitsiin Zürichiin hakemaan pankista rahat tietyn henkilön nimissä olevalta tililtä. Hänelle selvisi, ettei annetussa osoitteessa ollut kyseistä pankkia, mutta sen sijaan toinen pankki. Professori ei Sveitsiin mennyt, mutta lähetti vielä kolme eri kertaa rahaa. Professori teki elokuussa ilmoituksen Helsingin poliisille. Poliisi katsoi, ettei petosrikoksen tunnusmerkistö jutussa täyty ja lopetti tutkinnan. Se katsoi myös, ettei yleisen elämänkokemuksen mukaan ole tosiuskottavaa, että täysin tuntematon ulkomaan kansalainen lähettäisi nimellistä kulukorvausta vastaan toiseen maahan tuntemattomalle 27 miljoonaa dollaria.&quot; (IL 27.11.2007)
  5. 6. Psykologi haksahti &quot;Helsingin poliisille tehtiin toinenkin ilmoitus vastaavantapaisesta tapauksesta, kun psykologi menetti 10 000 euroa havitellessaan suurta lottovoittoa. Hän sai kesäkuussa 2007 kirjeen, jonka mukaan hän oli voittanut Espanjassa 615 000 euron lottovoiton. Lottovoiton lunastamiseksi hän lähetti kolmena kertana rahaa Espanjaan yhteensä noin 5 600 euroa. Osa rahoista ohjautui Etelä-Koreaan. Psykologi sai muutaman viikon kuluttua puhelun, jossa kerrottiin, että häntä oli huijattu, sillä hänen voittamansa lottopotti olikin 786 000 euroa. Tämän lunastamiseksi psykologi lähetti vielä neljä kertaa rahaa Espanjaan, yhteensä noin 4 000 euroa. Luvattuja voittorahoja ei tullut, mutta sen sijaan hän sai väärennetyn 400 000 euron shekin. Poliisi päätti tässäkin jutussa esitutkinnan.&quot; (IL 27.11.2007)
  6. 7. Tarvitaanko virustorjunta? Tottakai, mutta ei välttämättä virustorjuntaohjelmaa <ul><li>Ohjelmien ongelmia: </li></ul><ul><li>vuosittaiset kustannukset </li></ul><ul><li>vääriä hälytyksiä </li></ul><ul><li>yhteensopivuusongelmia </li></ul><ul><ul><li>McAfee, F-secure… </li></ul></ul><ul><li>” mistä tiesin kun ei ohjelma varoittanut?” </li></ul><ul><li>Kokeilemisen arvoinen vaihtoehto: </li></ul><ul><li>rajoitetut käyttäjäoikeudet </li></ul><ul><li>palomuuri (windows + laite) </li></ul><ul><li>päivitykset </li></ul><ul><li>oma varovaisuus </li></ul>
  7. 8. Torjuntaohjelmat ovat bisnestä
  8. 9. Tullut 4.5.2010, 130 kt Skannattu 10.5. klo 9
  9. 10. Tullut 10.5.2010, 139 kt Skannattu 10.5. klo 8:53
  10. 11. Pelotteluohjelmat (”scareware”) <ul><li>Apu-, optimointi- ja turvaohjelmia, joita mainostetaan hyvämaineisilla sivuilla (DriverScanner, RegistryBooster ym.) </li></ul><ul><ul><li>jopa selvällä suomella </li></ul></ul><ul><li>Tyrkyttävät itseään aktiivisesti </li></ul><ul><li>Pyrkivät pelottelemaan ja rahastamaan </li></ul><ul><li>Osa voi jopa lisätä viruksia järjestelmään ja vaatia rahaa niiden poistamisesta </li></ul>
  11. 12. Yhteisöpalvelut <ul><li>Henkilökohtaisen hölmöilyn vaara </li></ul><ul><ul><li>Obama varoitti koululaisia yhteisöpalveluista (9/2009) </li></ul></ul><ul><ul><li>&quot;Minulla ei ole mitään salattavaa” -- eikö tosiaan?? </li></ul></ul><ul><li>Tiedot voivat paljastua bugien ym. vuoksi </li></ul><ul><ul><li>&quot;Facebook paljasti käyttäjän piilottamia tietoja&quot; (HS 22.3.2009) </li></ul></ul><ul><ul><li>haittaohjelmat, &quot;hauskat&quot; sovellukset </li></ul></ul><ul><li>Keitä ovat ystäväsi? </li></ul><ul><ul><li>pitääkö pomo hyväksyä ystäväksi? </li></ul></ul><ul><ul><li>tarvitaanko SoMe-pelisääntöjä, vai riittääkö maalaisjärki? </li></ul></ul><ul><li>Millä Facebook ja muut nettipalvelut elävät? </li></ul><ul><ul><li>&quot;Facebookin rahoitus on herättänyt myös Suomen suojelupoliisin kiinnostuksen. Tietoa ei ole, mistä rahoitusta varsinaisesti tulee, suojelupoliisista kommentoidaan.&quot; (Kauppalehti 12.7.2009) </li></ul></ul>
  12. 14. Mitä yritys saa valvoa/estää? <ul><li>Tiedostojen tulostuksen </li></ul><ul><ul><li>jokainen tulostus näkyy lokeista; lomakuvien tulostukset voivat tulla kalliiksi </li></ul></ul><ul><li>Tiedostojen kopioinnin </li></ul><ul><ul><li>määritellään tiedostojen ja hakemistojen käyttöoikeudet </li></ul></ul><ul><li>Usb-porttien käytön </li></ul><ul><ul><li>ulospäin kopiointi voidaan estää rekisteriasetuksella (XP sp2 lähtien) </li></ul></ul><ul><li>Tekniset estot </li></ul><ul><ul><li>surffaus osoitteen tai sivulla esiintyvien sanojen perusteella </li></ul></ul><ul><ul><li>palvelujen rajoittaminen palomuurin porttien kautta </li></ul></ul><ul><ul><li>sähköpostin lähetyksen kielto esim. kilpailijalle </li></ul></ul>
  13. 15. MUTTA: <ul><li>Estojen toimivuutta ei saa valvoa </li></ul><ul><ul><li>loki syntyy yleensä automaattisesti, ei saa katsoa </li></ul></ul><ul><li>Webmail-posteja vaikea kieltää </li></ul><ul><ul><li>ja mahdoton valvoa, salattu ssl-yhteys estää sisällön näkemisen </li></ul></ul><ul><li>Kännykälläkin pääsee nettiin ja sähköpostiin </li></ul><ul><ul><li>3g-dataa ei voi valvoa, menee suoraan operaattorille </li></ul></ul><ul><li>Viestintä (lähes) kaiken valvonnan ulkopuolella </li></ul><ul><ul><li>vain hieman raotettavissa tunnistetietojen osalta </li></ul></ul><ul><li>Organisaation kokonaisetu ratkaisee </li></ul><ul><ul><li>onko estoyrityksistä lopulta enemmän haittaa kuin hyötyä? </li></ul></ul>
  14. 16. Työpaikan tietosuoja <ul><li>” Lex Sokia” (2009) antaa poikkeuksellisen suojan suomalaisille </li></ul><ul><li>Työntekijän työsähköposteja ei voi mitenkään lukea ilman suostumusta </li></ul><ul><li>3G-datasiirto kiertää kaikki rajoitukset </li></ul><ul><li>LYST- ja Lex Nokia –menettelyitä ei ole vielä mikään yritys käyttänyt </li></ul><ul><li>… mutta noudattavatko yritykset lakia, jos sen rikkominen on helppoa eikä siitä jää kiinni? </li></ul>
  15. 17. Kohti pilveä <ul><li>PC:stä tullut liian monimutkainen ylläpitää </li></ul><ul><li>pilviajattelu: ohjelmat ja tietovarastot siirtyvät verkkoon, käyttäjällä yksinkertainen pääte, tietotekniikka muuttuu ostettavaksi palveluksi </li></ul><ul><li>Windowsin aika alkaa olla ohi - pilvimalli tulee olemaan samanlainen murros kuin oli mikrotietokone 25 vuotta sitten </li></ul>
  16. 18. Pilven edut ja haitat <ul><li>Toimivat kaikilla koneilla, missä tahansa </li></ul><ul><ul><li>ei asennuksia, ei päivityksiä, ei huolta </li></ul></ul><ul><ul><li>tiedot eivät unohdu kotiin tai työpaikalle </li></ul></ul><ul><li>Tietoturvan kannalta ongelmallisia </li></ul><ul><ul><li>säilyvätkö tiedot luottamuksellisina? </li></ul></ul><ul><ul><li>onko palveluilla jatkuvuutta? </li></ul></ul><ul><ul><li>harvassa salattu https-yhteys: wlan-yhteyttä voi vakoilla </li></ul></ul><ul><ul><li>tiedot vain salasanan suojaamina </li></ul></ul><ul><ul><li>kuka urkkii tiedostoja? Verottaja? FRA? </li></ul></ul>
  17. 19. Osaavat käyttäjät <ul><li>&quot;Kaikki, mikä oikeasti toimii, on työpaikalla kiellettyä&quot; </li></ul><ul><li>Käyttäjät pakotetaan huonoihin tietojärjestelmiin </li></ul><ul><ul><li>Windows käynnistyy ja sulkeutuu viisi minuuttia </li></ul></ul><ul><ul><li>tieto ei siirry ohjelmasta toiseen </li></ul></ul><ul><ul><li>tiedostojen työstäminen yhdessä liki mahdotonta </li></ul></ul><ul><ul><li>etäkäyttöä kotoa tai toisesta toimipisteestä ei sallita </li></ul></ul><ul><li>Käyttäjät rakastavat helppoa ja toimivaa </li></ul><ul><ul><li>iPhone, Google Docs, Gmail </li></ul></ul><ul><ul><li>ovat helppoja juuri keskitetyn hallinnan ja tietoturvan puuttumisen vuoksi </li></ul></ul><ul><ul><li>työn vaatimukset nyt ristiriidassa välineiden kanssa </li></ul></ul><ul><li>Mikä ratkaisuksi </li></ul><ul><ul><li>kontrollin kiristäminen? vai omien järjestelmien kilpailukyvyn parantaminen? </li></ul></ul><ul><ul><li>oma miniläppäri 3G-datayhteydellä työpöydälle surffausta varten? </li></ul></ul>
  18. 20. Kansalaisen todentaminen <ul><li>TUPAS-menetelmä ei enää riitä </li></ul><ul><li>HST-kortista tullut kallis floppi </li></ul><ul><li>Varmenteiden myöntäminen on vapaa elinkeino </li></ul><ul><li>Uusittu laki (617/2009) voimaan 1.9.2009 </li></ul><ul><ul><li>korvasi vuonna 2003 annetun lain sähköisistä allekirjoituksista (14/2003) </li></ul></ul><ul><li>Varmenne sim-kortilla, käyttö kännykällä </li></ul><ul><li>Pankki tai operaattori tarkistaa henkilöllisyyden ennen varmenteen myöntämistä (“ensitunnistaminen”) </li></ul><ul><li>Operaattori perii maksun jokaisesta käytöstä </li></ul><ul><ul><li>www.valimo.com/demo/mobilebank </li></ul></ul>
  19. 21. Vahingossa toisen tunnuksella KELAn palveluihin ” Kela laittoi käyttökieltoon viikko sitten avatun sairauskorvaustietojen kyselyn, kun laitoksen sähköinen asiointipalvelu oli vuotanut lauantaina Kelan asiakkaalle väärän henkilön luottamukselliset tiedot. Tapaus sattui, kun helsinkiläinen Lea Ulmanen oli kirjautumassa Kelan sähköiseen asiointipalveluun. Ulmanen tyrmistyi, kun verkkopalvelu avasi hänen omien etuustietojensa sijasta selailtavaksi tuntemattoman suomalaismiehen tiedot. Näkyvissä oli muun muassa, kuinka paljon ventovieras mies oli toissa vuonna hankkinut korvattavia lääkkeitä. Kelassa tapausta pidetään hyvin vakavana. Helmikuussa 2004 avattua sähköistä asiointipalvelua käyttävät sadattuhannet suomalaiset. Viime vuonna palvelussa käytiin 1,5 miljoonaa kertaa. Omien tietojen selaamisen lisäksi sähköisesti voi esimerkiksi hakea sairauspäivärahaa tai vanhuuseläkettä ja palauttaa, perua tai lakkauttaa opintotuen. &quot;Kyseessä on vakava tietoturvaongelma. Koko sähköisen asioinnin uskottavuus on vaakalaudalla, koska sen täytyy olla virheetöntä&quot;, sanoo tietohallintopäällikkö Markku Kiiski Kelasta. &quot;Se oli hämmästyttävä juttu. Menin tekemään työttömyysilmoitusta netissä omilla Sammon verkkotunnuksilla ja olin yhtäkkiä jonkun toisen ihmisen nettisivulla&quot;, kertoo Ulmanen. &quot;Hölmistyin täysin. Näkyvissä oli kaikki, mitä vieras mies oli Kelan kanssa asioinut, esimerkiksi tietoja sairauspäivärahoista. Aluksi en ymmärtänyt ollenkaan, mitä tapahtui, koska eihän muiden tietoihin pitäisi päästä käsiksi.&quot; (HS 21.5.2008)
  20. 22. Yksityisyys on tulevaisuuden trendi <ul><li>Yhtään järjestelmää ei ole lopetettu </li></ul><ul><ul><li>uusia luodaan koko ajan </li></ul></ul><ul><ul><li>jokainen askel on sinällään perusteltu, mutta mihin ne johtavat? </li></ul></ul><ul><li>Onko yksityisyys tulevaisuuden vihreyttä? </li></ul><ul><ul><li>aluksi luonnonsuojelu oli vain aktivistien asia, sitten tuli puolue ja nykyään kaikki on yhtä vihreää </li></ul></ul><ul><ul><li>onko yksityisyyden suojelu seuraava iso trendi? </li></ul></ul><ul><li>&quot;Minulla ei ole mitään salattavaa?&quot; </li></ul><ul><ul><li>eikö todellakaan? </li></ul></ul><ul><li>Onko vainoharhaisuus tervettä? </li></ul><ul><ul><li>missä kulkee sairauden raja? </li></ul></ul>
  21. 23. Kaupat <ul><li>Kaupoissa kaksihinta-järjestelmä: ostostiedot käytännössä pakko luovuttaa </li></ul><ul><li>Ymmärtävätkö ihmiset mihin antavat luvan? </li></ul><ul><li>Suomi maailman edelläkävijä bonus-ohjelmissa, siksi Euroopan kallein ruoka? </li></ul><ul><li>Käteinen on epäilyttävää, siksi maksajan pitää todistaa henkilöllisyytensä </li></ul><ul><li>Kokeile rahalla maksamista ja suosita sitä myös nuorille </li></ul>
  22. 25. Autoilu <ul><li>Liikennevalvonnan huomio nopeuksiin, koska niitä on helpoin mitata </li></ul><ul><li>GPS-ruuhkamaksun tulo vain ajan kysymys </li></ul><ul><li>Kuka vielä muistaa maanteiden vapaat nopeudet? </li></ul><ul><li>www.liikenteeseen.fi </li></ul><ul><li>Maanteillä käytössä rekisterikilpien tunnistus </li></ul>
  23. 26. Nettisurffailu <ul><li>Mainostajat, viranomaiset, työnantaja, tiedustelu </li></ul><ul><ul><li>surffauksesta kertovat tunnistetiedot luottamuksellisia vain Suomessa </li></ul></ul><ul><li>Mainosten kohdistaminen todellista tiedettä </li></ul><ul><ul><li>suosituilla saiteilla suuri määrä koodia tutkimassa käyttäjän tietoja </li></ul></ul><ul><ul><li>mainokset välitetään suurilta brokereilta </li></ul></ul><ul><ul><li>miten paljon tätä käytetään Suomessa? </li></ul></ul><ul><li>Jäljet helppo peittää </li></ul><ul><ul><li>anonyymiproxyt, Tor-verkko, avoimet wlan-yhteydet... </li></ul></ul><ul><ul><li>mutta kävijä voidaan silti tunnistaa? </li></ul></ul>
  24. 28. Paikannuspalvelut <ul><li>Matkapuhelimen pitää olla aina päällä; sen sammuttaminen on epäilyttävää </li></ul><ul><li>Uusinta uutta: nettikäyttäjä voidaan paikantaa jopa talon tarkkuudella </li></ul>
  25. 30. Google ja Facebook <ul><li>Ilmainen tuntuu hyvältä </li></ul><ul><li>Google tietää kaiken… myös sinusta </li></ul><ul><li>Mahtava kansallinen etu amerikkalaisille! </li></ul><ul><li>3 mrd hakua päivässä, 85,7 % markkinaosuus </li></ul><ul><li>Facebook ja tietosuoja eivät mahdu samaan lauseeseen </li></ul><ul><ul><li>oletko homo vai hetero? </li></ul></ul><ul><li>Tietojen jälkeen tiedostot </li></ul>&quot;Facebookin rahoitus on herättänyt myös Suomen suojelupoliisin kiinnostuksen. Tietoa ei ole, mistä rahoitusta varsinaisesti tulee, suojelupoliisista kommentoidaan.&quot; (Kauppalehti 12.7.2009)
  26. 32. Kansainvälinen tiedustelu <ul><li>USA:n tiedustelubudjetti Suomen valtion budjetin suuruinen </li></ul><ul><ul><li>NSA:lla 35 000 työntekijää </li></ul></ul><ul><ul><li>kuuntelu siirtynyt verkkoon </li></ul></ul><ul><li>Ruotsin signaalitiedustelu (FRA) valvoo Suomen ja etenkin Venäjän liikennettä </li></ul><ul><ul><li>samoin tekevät lähes kaikki maat, mutta ilman lakeja </li></ul></ul><ul><li>Taloudellinen hyvinvointi osa kansallista turvallisuutta – teollisuusvakoilusta yhä enemmän valtion tehtävä </li></ul>
  27. 33. Lopuksi <ul><li>Yksityisyydestä huolehtiminen vaatii työtä </li></ul><ul><ul><li>ja se maksaa: käteinen on kallista, samoin bonukseton elämä </li></ul></ul><ul><li>Sosiaalinen paine vaikuttaa meihin kaikkiin </li></ul><ul><ul><li>” jos et ole Facebookissa, et seuraa aikaasi”, ”miksei puhelimesi ole päällä?” </li></ul></ul><ul><ul><li>jos aikoo pysyä mukana yhteiskunnassa, vaihtoehtoja ei juuri ole </li></ul></ul><ul><li>Suomen rajojen ulkopuolella on tietoliikenteen villi länsi, jokainen vastaa itsestään </li></ul><ul><ul><li>viestinnän salauksesta pitää huolehtia oma-aloitteisesti </li></ul></ul><ul><ul><li>Suomi on televiestinnän lintukoto - muista se kun liikut tai asioit ulkomailla </li></ul></ul><ul><ul><li>miten paljon valtioihin voi luottaa? Vrt. Mossad </li></ul></ul><ul><li>Mitä tiedoillemme tapahtuu jatkossa? </li></ul><ul><ul><li>entä jos venäläiset tai kiinalaiset ostavat yrityksemme? </li></ul></ul>

×