2. Public 11 Sept 2023
Public 11 Sept 2023
Esityksen
pääviestit • Kyberturvallisuus (tieto- ja digi-
turvallisuus) on määriteltävä ja sovittava
yhdessä palveluntarjoajan kanssa
• Sovi tietoturvavastuista ja
palvelutasoista selkeästi ja kirjallisesti –
muista raportointi ja mittaaminen
• Seuraa palvelun tietoturvatasoa
• Tee jatkuvaa yhteistyötä, riskiarviointia
ja tietoturvan parantamista yhdessä
palveluntarjoajan kanssa
• Pilvipalvelut ovat turvallisia – kunhan ne
hankitaan, konfiguroidaan, suojataan ja
hallitaan huolellisesti
2
3. Public 11 Sept 2023
Kansallinen toimialojen kyberkypsyyden selvitys 2022
Lähde: Huoltovarmuuskeskus
Kaikkia toimialoja yhdistävänä heikkoutena voitiin pitää kolmansien
osapuolten riskienhallintaa, joka jää osa-alueista heikoimmaksi koko
selvityksen skaalassa. Haasteita oli toimialasta riippuen joko omien
pääasiallisten kumppaneiden hallinnassa tai toimitusketjujen
kokonaisuuden ymmärtämisessä. Usein toistuva haaste läpi toimialojen
liittyi juuri epäselvyyksiin omien ja toimittajien vastuiden välillä.
Toimitusketjujen kautta realisoituvia kyberuhkia pidettiin yhtenä
kriittisimmistä riskeistä monella toimialalla.
3
4. Public 11 Sept 2023
EU pakottaa organisaatiot huomioimaan palveluketjujen tietoturvan
4
5. Kyberturvallisuudessa on paljon huomioitavaa
Tieto-,
kyber- ja
digitaalinen
turvallisuus
Riskien hallinta
Sovellusten turvallisuus
Tietoturvatietoisuuden
kehittäminen
Laitteiden turvallisuus
Turvallisuusstandardit ja -
kehikot
Operointi
Johtaminen
Arkkitehtuuri
Uhkatiedustelu
Vaatimustenmukaisuus
Jatkuvuuden hallinta,
resilienssi
Toimittajasuhteiden hallinta
ja palveluiden turvallisuus
Tietosuoja
Tarkastaminen
5
6. Digitalisaation vaikutuksia
• Arvoketjuista legomalliin
• Kumppaneiden ja integraatioiden määrä lisääntyy
• Palveluketjut pitenevät ja monimutkaistuvat
• Yleensä huono näkyvyys 1. tason taakse
• Organisaatioilla ei yleensä ole hyvää kuvaa siitä, kuinka ja
mitä tietoa kumppaneiden kanssa jaetaan
• Tietoturvassa on keskityttävä oleelliseen, kaikkea ei voi
hallita – luottamuksen rooli kasvaa
• Tietoturvayllätyksiä voi aiheuttaa taho, joka ei ole kontrollissasi
• Tietosi voivat olla pilvessä tietämättäsi
• Toimitusketjuhyökkäysten mahdollisuus kasvaa
6
Photo by DALL-E via Bing
7. Selvitä tietoturvatarpeesi
• Kuvaa mitä tietoturvallinen palvelu tarkoittaa organisaatiollesi
• Käsiteltävät tiedot
• Tietojen luottamuksellisuus- ja käsittelyvaatimukset
• Käyttäjät
• Kriittiset sovellukset / järjestelmät
• Jatkuvakäyttöisyysvaatimukset (SLA)
• Riskit liiketoiminnalle
• Selvitä palvelun tietoturvataso
• Toimittajan turvallisuustoiminnan periaatteet ja hallintamalli
• Palvelun tietoturvalupaus, tietoturvakuvaus ja tietoturvatoimenpiteet
• Turvallisuussertifikaatit ja auditointiraportit
• Palveluntarjoajan kumppanit
• Sovi tietoturvavaatimuksista ja -tehtävistä kirjallisesti
• Sanktiot
7
9. Palvelua toimitetaan sopimuksen mukaisesti – sovi turvallisuudesta
1. Sitoutuminen turvallisuustavoitteisiin
2. Toimittajan henkilöstön vaitiolositoumukset ja
tarvittaessa turvallisuusselvitykset
3. Luottamuksellisen tiedon suojaaminen
4. Tietosuojasta huolehtiminen
5. Sitoutumista valittuihin
turvallisuusstandardeihin ja käytäntöihin
6. Valittujen turvallisuusratkaisujen palvelutaso
7. Palvelun riittävän turvallisuustason
osoittaminen
8. Palveluun liittyvien henkilöiden
turvallisuusosaamisen varmistaminen
9. Palvelun ja tietojen eriyttäminen muista
asiakkaista
10. Sovitut toimintatavat työskennellessä
asiakkaan tiloissa
11. Mahdollisuus palvelun tarkastukseen ja
vertaisarviointiin
12. Turvallisuuden huomiointi sovelluksissa ja
sovelluskehityksessä
13. Jatkuvuussuunnittelua ja suunnitelmien
testaamista
14. Tietojen turvallinen poisto käytöstä
poistettavilta laitteilta
15. Säännöllistä raportointia ja mittareita
16. Poikkeamien ilmoittamista ja ripeää
käsittelyä – myös läheltä piti tilanteissa
17. Sitoutumista sanktioihin
18. Turvallisuuden jatkuvaa kehittämistä ja
yhteistyötä
9
10. Photo by Randy Fath on Unsplash
RA(S)CI –taulukko
auttaa selkeyttämään
vastuut
RA(S)CI – taulukko
• Responsible - suorittaa
• Accountable – vastaa/valvoo
• Support - tukee
• Consulted - neuvoo
• Informed – saa tiedon
10
12. Koeteltuja mittareita
• Tietoturvasertifiointi (esim. ISO 27001)
• Tietoturvatarkastusten havainnot (esim. ISAE 3402)
• Tietoturvaskannausten havainnot
• Tietoturvakorjausten asennusaika ja peitto
• Tietoturvapoikkeamat
• Tietoturvariskit ja niiden hallinta
• Jatkuvuussuunnitelmat ja testausten toteutuminen
• Vertaisarviointi (ISF Healthcheck, KTK Kybermittari)
12
Photo by DALL-E via Bing
13. Hyvät ja huonot uutiset
• Turvallisuussopimus sitouttaa kumppanit hyvin
• Varaa reilusti aikaa sopimusvääntöön
• Sopimusneuvottelijat eivät aina ymmärrä turvallisuus-
palveluiden ja mittareiden käytännön vaatimuksia
• Turvallisuussopimus määräävänä sopimuksena ilman
mahdollisuutta poikkeuksiin saattaa tuhota ketteryyden
• Sopivien (sanktioitavien) mittareiden määrittely on haastavaa,
mutta kannattaa
• Turvallisuusopimusta on hiottava lähes jokaisen kumppanin kanssa
• Turvallisuusvaatimuksia voidaan käyttää tekosyynä tekemisiin tai
tekemättä jättämisiin
• Vaatimustenmukaisuus ei välttämättä tarkoita riittävää tietoturvaa
• Muista vanha totuus: sopimukset laaditaan yhteisymmärryksessä,
mutta niitä tulkitaan pahimmillaan täyden erimielisyyden vallitessa
Photo by Elijah O'Donnell on Unspla
13
14. Public 11 Sept 2023
Pilvipalveluissa luottamus palveluntarjoajaan korostuu
Lähde: Kyberturvallisuuskeskus, Pilvipalveluiden_tietoturva_organisaatioille
Monipilvi
• toimintaympäristö, jossa organisaatio
käyttää enemmän kuin kahta
pilvipalvelua, useammalta kuin yhdeltä
pilvipalvelujen toimittajalta. Nämä voivat
olla niin julkisen pilven tai yksityisen
pilven palveluita useissa eri
ympäristöissä.
Suvereenipilvi
• Pilvipalvelu, jossa kaikki data, mukaan
lukien metatiedot, pysyy suvereenilla
maaperällä. Se estää ulkomaisten tahojen
pääsyn dataan kaikissa olosuhteissa.
Tallennettavaa ja käsiteltävää tietoa ei
koskaan siirretä maarajojen yli ja tiedot
pysyvät vain yhden lainkäyttöalueen
piirissä.
IaaS
PaaS
SaaS
14
Tekninen osaaminen Luottamus
Tekninen
osaaminen
Luottamus
15. Public 11 Sept 2023 15
Pilvi muuttaa toimintaa
• Arkkitehtuuri- ja toimintamallimuutos
• Toimijoiden ja sovellusten lukumäärä kasvaa
• Ketteryys- ja tehokkuusvaatimukset kasvavat
• Ei enää selkeää kontrollipistettä, kuten yrityksen palomuuri
• Infraa muokataan sovelluksissa, kaikkeen on sovellusrajapinta
• Shift-left, DevSecOps
• Pilvipalveluiden tietoturvallisuus vaihtelee
• Palvelumallilla, palveluntarjoajalla ja palvelulla merkitystä
• Isoilla/tunnetuilla toimijoilla pääsääntöisesti hyvä tietoturvataso
• Kaikkea tietoa ei saa kirjallisesti
• Pilvipalvelussa tietoturvaa ei hoideta perinteisin keinoin
• Pilvipalvelun uudenlaiset käyttötavat
• Pilvipalvelussa saatavat ratkaisut
• Tietoturvan hallintaan ei välttämättä ole hybridi-mallia
• Pilvipalvelusta voi saada käyttöön tietoturvaratkaisuja,
jotka muuten olisivat liian kalliita tai työläitä
• Lokien talletus, analytiikka, tietovuotojen ehkäiseminen,
tietoturvapoikkeamien havainnointi,…
16. Pilvipalveluiden erityishaasteita ja sudenkuoppia
Varmista erityisesti:
• Käytettävä palvelu- ja/tai hankintamalli
• Tietojen omistajuus, käyttö- ja
käsittelyoikeudet
• Tietojen / palvelun / palvelimien
maantieteellinen sijainti
• Sopimukseen sovellettava lainsäädäntö ja
oikeuspaikka
• Varmuuskopiointi
• Tietojen salaus ja avainhallinta
• Asiakkaiden tietojen eriyttäminen
• Tietoturvaloukkausten ja häiriötilanteiden
käsittely
• Pilvitietoturvaosaaminen
Varo sudenkuoppia:
• Pilvipalveluntarjoajan häviäminen
markkinoilta
• Käyttöehtojen yksipuolinen muutos
• Pilveen sopivat lisenssit
• Rajoitetut auditointimahdollisuudet
• Toiminta (ulkomaan) internet-yhteyksien
varassa
• Tietoturvapoikkeamien tutkiminen
hankaloituu
• Pääkäyttäjän tunnus on kriittinen
• Palvelun tarjoaminen poikkeusoloissa
• Palvelun lopetus ja tietojen palautus
• Suhtautuminen valtiollisiin toimijoihin
16
17. Public 11 Sept 2023 17
• Kyberturvallisuus (tieto- ja digi-turvallisuus) on määriteltävä
ja sovittava yhdessä palveluntarjoajan kanssa
• Sovi tietoturvavastuista ja palvelutasoista selkeästi ja
kirjallisesti – muista raportointi ja mittaaminen
• Seuraa palvelun tietoturvatasoa
• Tee jatkuvaa yhteistyötä, riskiarviointia ja tietoturvan
parantamista yhdessä palveluntarjoajan kanssa
• Pilvipalvelut ovat turvallisia – kunhan ne hankitaan,
konfiguroidaan, suojataan ja hallitaan huolellisesti
Lisävinkkejä:
• Digipooli: Kyberturva ICT-sopimuksissa (linkki)
• Digipooli: Varautuminen ja toiminta kyberhäiriötilanteissa (linkki)
• Digipooli: Huoltovarmuutta pilvipalveluilla (linkki)
• VM: Suositus tietoturvallisuudesta hankinnoissa (linkki)
• NCSC-UK: Supply chain security (linkki)
Pääviestit kertauksena
18. Don’t tell me what you value. Show me
your budget, and I’ll tell you what you
value.
-- Joe Biden