SlideShare a Scribd company logo

Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf

J
japijapi

Palveluntarjoajien kyberturvakyvykkyyden varmistaminen Esitys Kyberturvallisuus 2023 seminaarissa 11.9.23

Technology
1 of 18
Download to read offline
Palveluntarjoajien kyberturvakyvykkyyden varmistaminen Kyberturvallisuus 2023 11.9.2023 Jari Pirhonen Security Lead, Finland Tietoevry Tech Services X: @japi999 Bluesky: @japi.bsky.social
Public 11 Sept 2023 Public 11 Sept 2023 Esityksen pääviestit • Kyberturvallisuus (tieto- ja digi- turvallisuus) on määriteltävä ja sovittava yhdessä palveluntarjoajan kanssa • Sovi tietoturvavastuista ja palvelutasoista selkeästi ja kirjallisesti – muista raportointi ja mittaaminen • Seuraa palvelun tietoturvatasoa • Tee jatkuvaa yhteistyötä, riskiarviointia ja tietoturvan parantamista yhdessä palveluntarjoajan kanssa • Pilvipalvelut ovat turvallisia – kunhan ne hankitaan, konfiguroidaan, suojataan ja hallitaan huolellisesti 2
Public 11 Sept 2023 Kansallinen toimialojen kyberkypsyyden selvitys 2022 Lähde: Huoltovarmuuskeskus Kaikkia toimialoja yhdistävänä heikkoutena voitiin pitää kolmansien osapuolten riskienhallintaa, joka jää osa-alueista heikoimmaksi koko selvityksen skaalassa. Haasteita oli toimialasta riippuen joko omien pääasiallisten kumppaneiden hallinnassa tai toimitusketjujen kokonaisuuden ymmärtämisessä. Usein toistuva haaste läpi toimialojen liittyi juuri epäselvyyksiin omien ja toimittajien vastuiden välillä. Toimitusketjujen kautta realisoituvia kyberuhkia pidettiin yhtenä kriittisimmistä riskeistä monella toimialalla. 3
Public 11 Sept 2023 EU pakottaa organisaatiot huomioimaan palveluketjujen tietoturvan 4
Kyberturvallisuudessa on paljon huomioitavaa Tieto-, kyber- ja digitaalinen turvallisuus Riskien hallinta Sovellusten turvallisuus Tietoturvatietoisuuden kehittäminen Laitteiden turvallisuus Turvallisuusstandardit ja - kehikot Operointi Johtaminen Arkkitehtuuri Uhkatiedustelu Vaatimustenmukaisuus Jatkuvuuden hallinta, resilienssi Toimittajasuhteiden hallinta ja palveluiden turvallisuus Tietosuoja Tarkastaminen 5
Digitalisaation vaikutuksia • Arvoketjuista legomalliin • Kumppaneiden ja integraatioiden määrä lisääntyy • Palveluketjut pitenevät ja monimutkaistuvat • Yleensä huono näkyvyys 1. tason taakse • Organisaatioilla ei yleensä ole hyvää kuvaa siitä, kuinka ja mitä tietoa kumppaneiden kanssa jaetaan • Tietoturvassa on keskityttävä oleelliseen, kaikkea ei voi hallita – luottamuksen rooli kasvaa • Tietoturvayllätyksiä voi aiheuttaa taho, joka ei ole kontrollissasi • Tietosi voivat olla pilvessä tietämättäsi • Toimitusketjuhyökkäysten mahdollisuus kasvaa 6 Photo by DALL-E via Bing
Selvitä tietoturvatarpeesi • Kuvaa mitä tietoturvallinen palvelu tarkoittaa organisaatiollesi • Käsiteltävät tiedot • Tietojen luottamuksellisuus- ja käsittelyvaatimukset • Käyttäjät • Kriittiset sovellukset / järjestelmät • Jatkuvakäyttöisyysvaatimukset (SLA) • Riskit liiketoiminnalle • Selvitä palvelun tietoturvataso • Toimittajan turvallisuustoiminnan periaatteet ja hallintamalli • Palvelun tietoturvalupaus, tietoturvakuvaus ja tietoturvatoimenpiteet • Turvallisuussertifikaatit ja auditointiraportit • Palveluntarjoajan kumppanit • Sovi tietoturvavaatimuksista ja -tehtävistä kirjallisesti • Sanktiot 7
Kumppanin tietoturvatason arviointi vaatii resursseja Lähde: Information Security Forum 8
Palvelua toimitetaan sopimuksen mukaisesti – sovi turvallisuudesta 1. Sitoutuminen turvallisuustavoitteisiin 2. Toimittajan henkilöstön vaitiolositoumukset ja tarvittaessa turvallisuusselvitykset 3. Luottamuksellisen tiedon suojaaminen 4. Tietosuojasta huolehtiminen 5. Sitoutumista valittuihin turvallisuusstandardeihin ja käytäntöihin 6. Valittujen turvallisuusratkaisujen palvelutaso 7. Palvelun riittävän turvallisuustason osoittaminen 8. Palveluun liittyvien henkilöiden turvallisuusosaamisen varmistaminen 9. Palvelun ja tietojen eriyttäminen muista asiakkaista 10. Sovitut toimintatavat työskennellessä asiakkaan tiloissa 11. Mahdollisuus palvelun tarkastukseen ja vertaisarviointiin 12. Turvallisuuden huomiointi sovelluksissa ja sovelluskehityksessä 13. Jatkuvuussuunnittelua ja suunnitelmien testaamista 14. Tietojen turvallinen poisto käytöstä poistettavilta laitteilta 15. Säännöllistä raportointia ja mittareita 16. Poikkeamien ilmoittamista ja ripeää käsittelyä – myös läheltä piti tilanteissa 17. Sitoutumista sanktioihin 18. Turvallisuuden jatkuvaa kehittämistä ja yhteistyötä 9
Photo by Randy Fath on Unsplash RA(S)CI –taulukko auttaa selkeyttämään vastuut RA(S)CI – taulukko • Responsible - suorittaa • Accountable – vastaa/valvoo • Support - tukee • Consulted - neuvoo • Informed – saa tiedon 10
Sovi jatkuvasta yhteistyöstä Palvelun kokonaisseuranta → turvallisuustilanne, eskaloinnit Turvallisuuden yhteistyökokoukset → jatkuva yhteistyö, raportointi, riskit Sovitut toimintamallit → tietoturvavaatimusten toteutus, RA(S)CI Palvelusopimus → SLA, mittarit, sanktiot Turvallisuussopimus → tietoturvavaatimukset ja -tavoitteet Tarkastukset ja arvioinnit → ulkoinen tarkastus, vertaisarviointi 11
Koeteltuja mittareita • Tietoturvasertifiointi (esim. ISO 27001) • Tietoturvatarkastusten havainnot (esim. ISAE 3402) • Tietoturvaskannausten havainnot • Tietoturvakorjausten asennusaika ja peitto • Tietoturvapoikkeamat • Tietoturvariskit ja niiden hallinta • Jatkuvuussuunnitelmat ja testausten toteutuminen • Vertaisarviointi (ISF Healthcheck, KTK Kybermittari) 12 Photo by DALL-E via Bing
Hyvät ja huonot uutiset • Turvallisuussopimus sitouttaa kumppanit hyvin • Varaa reilusti aikaa sopimusvääntöön • Sopimusneuvottelijat eivät aina ymmärrä turvallisuus- palveluiden ja mittareiden käytännön vaatimuksia • Turvallisuussopimus määräävänä sopimuksena ilman mahdollisuutta poikkeuksiin saattaa tuhota ketteryyden • Sopivien (sanktioitavien) mittareiden määrittely on haastavaa, mutta kannattaa • Turvallisuusopimusta on hiottava lähes jokaisen kumppanin kanssa • Turvallisuusvaatimuksia voidaan käyttää tekosyynä tekemisiin tai tekemättä jättämisiin • Vaatimustenmukaisuus ei välttämättä tarkoita riittävää tietoturvaa • Muista vanha totuus: sopimukset laaditaan yhteisymmärryksessä, mutta niitä tulkitaan pahimmillaan täyden erimielisyyden vallitessa Photo by Elijah O'Donnell on Unspla 13
Public 11 Sept 2023 Pilvipalveluissa luottamus palveluntarjoajaan korostuu Lähde: Kyberturvallisuuskeskus, Pilvipalveluiden_tietoturva_organisaatioille Monipilvi • toimintaympäristö, jossa organisaatio käyttää enemmän kuin kahta pilvipalvelua, useammalta kuin yhdeltä pilvipalvelujen toimittajalta. Nämä voivat olla niin julkisen pilven tai yksityisen pilven palveluita useissa eri ympäristöissä. Suvereenipilvi • Pilvipalvelu, jossa kaikki data, mukaan lukien metatiedot, pysyy suvereenilla maaperällä. Se estää ulkomaisten tahojen pääsyn dataan kaikissa olosuhteissa. Tallennettavaa ja käsiteltävää tietoa ei koskaan siirretä maarajojen yli ja tiedot pysyvät vain yhden lainkäyttöalueen piirissä. IaaS PaaS SaaS 14 Tekninen osaaminen Luottamus Tekninen osaaminen Luottamus
Public 11 Sept 2023 15 Pilvi muuttaa toimintaa • Arkkitehtuuri- ja toimintamallimuutos • Toimijoiden ja sovellusten lukumäärä kasvaa • Ketteryys- ja tehokkuusvaatimukset kasvavat • Ei enää selkeää kontrollipistettä, kuten yrityksen palomuuri • Infraa muokataan sovelluksissa, kaikkeen on sovellusrajapinta • Shift-left, DevSecOps • Pilvipalveluiden tietoturvallisuus vaihtelee • Palvelumallilla, palveluntarjoajalla ja palvelulla merkitystä • Isoilla/tunnetuilla toimijoilla pääsääntöisesti hyvä tietoturvataso • Kaikkea tietoa ei saa kirjallisesti • Pilvipalvelussa tietoturvaa ei hoideta perinteisin keinoin • Pilvipalvelun uudenlaiset käyttötavat • Pilvipalvelussa saatavat ratkaisut • Tietoturvan hallintaan ei välttämättä ole hybridi-mallia • Pilvipalvelusta voi saada käyttöön tietoturvaratkaisuja, jotka muuten olisivat liian kalliita tai työläitä • Lokien talletus, analytiikka, tietovuotojen ehkäiseminen, tietoturvapoikkeamien havainnointi,…
Pilvipalveluiden erityishaasteita ja sudenkuoppia Varmista erityisesti: • Käytettävä palvelu- ja/tai hankintamalli • Tietojen omistajuus, käyttö- ja käsittelyoikeudet • Tietojen / palvelun / palvelimien maantieteellinen sijainti • Sopimukseen sovellettava lainsäädäntö ja oikeuspaikka • Varmuuskopiointi • Tietojen salaus ja avainhallinta • Asiakkaiden tietojen eriyttäminen • Tietoturvaloukkausten ja häiriötilanteiden käsittely • Pilvitietoturvaosaaminen Varo sudenkuoppia: • Pilvipalveluntarjoajan häviäminen markkinoilta • Käyttöehtojen yksipuolinen muutos • Pilveen sopivat lisenssit • Rajoitetut auditointimahdollisuudet • Toiminta (ulkomaan) internet-yhteyksien varassa • Tietoturvapoikkeamien tutkiminen hankaloituu • Pääkäyttäjän tunnus on kriittinen • Palvelun tarjoaminen poikkeusoloissa • Palvelun lopetus ja tietojen palautus • Suhtautuminen valtiollisiin toimijoihin 16
Public 11 Sept 2023 17 • Kyberturvallisuus (tieto- ja digi-turvallisuus) on määriteltävä ja sovittava yhdessä palveluntarjoajan kanssa • Sovi tietoturvavastuista ja palvelutasoista selkeästi ja kirjallisesti – muista raportointi ja mittaaminen • Seuraa palvelun tietoturvatasoa • Tee jatkuvaa yhteistyötä, riskiarviointia ja tietoturvan parantamista yhdessä palveluntarjoajan kanssa • Pilvipalvelut ovat turvallisia – kunhan ne hankitaan, konfiguroidaan, suojataan ja hallitaan huolellisesti Lisävinkkejä: • Digipooli: Kyberturva ICT-sopimuksissa (linkki) • Digipooli: Varautuminen ja toiminta kyberhäiriötilanteissa (linkki) • Digipooli: Huoltovarmuutta pilvipalveluilla (linkki) • VM: Suositus tietoturvallisuudesta hankinnoissa (linkki) • NCSC-UK: Supply chain security (linkki) Pääviestit kertauksena
Don’t tell me what you value. Show me your budget, and I’ll tell you what you value. -- Joe Biden

Recommended

Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaValtiokonttori / Statskontoret / State Treasury of Finland
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...
Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...
Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...Sonera
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016Sininen Meteoriitti / Blue Meteorite
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Sonera
 
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusTurvallisuus- ja kemikaalivirasto (Tukes)
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 

Recommended

Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaValtiokonttori / Statskontoret / State Treasury of Finland
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...
Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...
Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...Sonera
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016Sininen Meteoriitti / Blue Meteorite
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Sonera
 
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusTurvallisuus- ja kemikaalivirasto (Tukes)
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13japijapi
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaTomppa Järvinen
 
Palveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysPalveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysSitra
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Tomppa Järvinen
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöjapijapi
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Valtiokonttori / Statskontoret / State Treasury of Finland
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Tomppa Järvinen
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaLiiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaJukka Niiranen
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
 
Datatalouden ja tekoälyn regulaatio – missä mennään?
Datatalouden ja tekoälyn regulaatio – missä mennään?Datatalouden ja tekoälyn regulaatio – missä mennään?
Datatalouden ja tekoälyn regulaatio – missä mennään?Mindtrek
 
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...Petri Vuontela
 
Tietoturvakatsaus 2022
Tietoturvakatsaus 2022Tietoturvakatsaus 2022
Tietoturvakatsaus 2022japijapi
 
Management Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfManagement Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfjapijapi
 

More Related Content

Similar to Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf

Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13japijapi
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaTomppa Järvinen
 
Palveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysPalveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysSitra
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Tomppa Järvinen
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöjapijapi
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Tomppa Järvinen
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaLiiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaJukka Niiranen
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
 
Datatalouden ja tekoälyn regulaatio – missä mennään?
Datatalouden ja tekoälyn regulaatio – missä mennään?Datatalouden ja tekoälyn regulaatio – missä mennään?
Datatalouden ja tekoälyn regulaatio – missä mennään?Mindtrek
 
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...Petri Vuontela
 

Similar to Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf (20)

Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
 
Palveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysPalveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitys
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyö
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuus
 
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
 
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaLiiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
 
Datatalouden ja tekoälyn regulaatio – missä mennään?
Datatalouden ja tekoälyn regulaatio – missä mennään?Datatalouden ja tekoälyn regulaatio – missä mennään?
Datatalouden ja tekoälyn regulaatio – missä mennään?
 
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
 

More from japijapi

Tietoturvakatsaus 2022
Tietoturvakatsaus 2022Tietoturvakatsaus 2022
Tietoturvakatsaus 2022japijapi
 
Management Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfManagement Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfjapijapi
 
EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22japijapi
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021japijapi
 
TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20japijapi
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020japijapi
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998japijapi
 
Aalto cyber-10.4.18
Aalto cyber-10.4.18Aalto cyber-10.4.18
Aalto cyber-10.4.18japijapi
 
Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017japijapi
 
Digitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössäDigitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössäjapijapi
 
Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15japijapi
 
Kokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisestaKokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisestajapijapi
 
Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13japijapi
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010japijapi
 
Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10japijapi
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetjapijapi
 

More from japijapi (18)

Tietoturvakatsaus 2022
Tietoturvakatsaus 2022Tietoturvakatsaus 2022
Tietoturvakatsaus 2022
 
Management Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfManagement Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdf
 
EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
 
Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021
 
TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998
 
Aalto cyber-10.4.18
Aalto cyber-10.4.18Aalto cyber-10.4.18
Aalto cyber-10.4.18
 
Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017
 
Digitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössäDigitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössä
 
Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15
 
Kokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisestaKokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisesta
 
Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
 
Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
 

Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf

  • 1. Palveluntarjoajien kyberturvakyvykkyyden varmistaminen Kyberturvallisuus 2023 11.9.2023 Jari Pirhonen Security Lead, Finland Tietoevry Tech Services X: @japi999 Bluesky: @japi.bsky.social
  • 2. Public 11 Sept 2023 Public 11 Sept 2023 Esityksen pääviestit • Kyberturvallisuus (tieto- ja digi- turvallisuus) on määriteltävä ja sovittava yhdessä palveluntarjoajan kanssa • Sovi tietoturvavastuista ja palvelutasoista selkeästi ja kirjallisesti – muista raportointi ja mittaaminen • Seuraa palvelun tietoturvatasoa • Tee jatkuvaa yhteistyötä, riskiarviointia ja tietoturvan parantamista yhdessä palveluntarjoajan kanssa • Pilvipalvelut ovat turvallisia – kunhan ne hankitaan, konfiguroidaan, suojataan ja hallitaan huolellisesti 2
  • 3. Public 11 Sept 2023 Kansallinen toimialojen kyberkypsyyden selvitys 2022 Lähde: Huoltovarmuuskeskus Kaikkia toimialoja yhdistävänä heikkoutena voitiin pitää kolmansien osapuolten riskienhallintaa, joka jää osa-alueista heikoimmaksi koko selvityksen skaalassa. Haasteita oli toimialasta riippuen joko omien pääasiallisten kumppaneiden hallinnassa tai toimitusketjujen kokonaisuuden ymmärtämisessä. Usein toistuva haaste läpi toimialojen liittyi juuri epäselvyyksiin omien ja toimittajien vastuiden välillä. Toimitusketjujen kautta realisoituvia kyberuhkia pidettiin yhtenä kriittisimmistä riskeistä monella toimialalla. 3
  • 4. Public 11 Sept 2023 EU pakottaa organisaatiot huomioimaan palveluketjujen tietoturvan 4
  • 5. Kyberturvallisuudessa on paljon huomioitavaa Tieto-, kyber- ja digitaalinen turvallisuus Riskien hallinta Sovellusten turvallisuus Tietoturvatietoisuuden kehittäminen Laitteiden turvallisuus Turvallisuusstandardit ja - kehikot Operointi Johtaminen Arkkitehtuuri Uhkatiedustelu Vaatimustenmukaisuus Jatkuvuuden hallinta, resilienssi Toimittajasuhteiden hallinta ja palveluiden turvallisuus Tietosuoja Tarkastaminen 5
  • 6. Digitalisaation vaikutuksia • Arvoketjuista legomalliin • Kumppaneiden ja integraatioiden määrä lisääntyy • Palveluketjut pitenevät ja monimutkaistuvat • Yleensä huono näkyvyys 1. tason taakse • Organisaatioilla ei yleensä ole hyvää kuvaa siitä, kuinka ja mitä tietoa kumppaneiden kanssa jaetaan • Tietoturvassa on keskityttävä oleelliseen, kaikkea ei voi hallita – luottamuksen rooli kasvaa • Tietoturvayllätyksiä voi aiheuttaa taho, joka ei ole kontrollissasi • Tietosi voivat olla pilvessä tietämättäsi • Toimitusketjuhyökkäysten mahdollisuus kasvaa 6 Photo by DALL-E via Bing
  • 7. Selvitä tietoturvatarpeesi • Kuvaa mitä tietoturvallinen palvelu tarkoittaa organisaatiollesi • Käsiteltävät tiedot • Tietojen luottamuksellisuus- ja käsittelyvaatimukset • Käyttäjät • Kriittiset sovellukset / järjestelmät • Jatkuvakäyttöisyysvaatimukset (SLA) • Riskit liiketoiminnalle • Selvitä palvelun tietoturvataso • Toimittajan turvallisuustoiminnan periaatteet ja hallintamalli • Palvelun tietoturvalupaus, tietoturvakuvaus ja tietoturvatoimenpiteet • Turvallisuussertifikaatit ja auditointiraportit • Palveluntarjoajan kumppanit • Sovi tietoturvavaatimuksista ja -tehtävistä kirjallisesti • Sanktiot 7
  • 8. Kumppanin tietoturvatason arviointi vaatii resursseja Lähde: Information Security Forum 8
  • 9. Palvelua toimitetaan sopimuksen mukaisesti – sovi turvallisuudesta 1. Sitoutuminen turvallisuustavoitteisiin 2. Toimittajan henkilöstön vaitiolositoumukset ja tarvittaessa turvallisuusselvitykset 3. Luottamuksellisen tiedon suojaaminen 4. Tietosuojasta huolehtiminen 5. Sitoutumista valittuihin turvallisuusstandardeihin ja käytäntöihin 6. Valittujen turvallisuusratkaisujen palvelutaso 7. Palvelun riittävän turvallisuustason osoittaminen 8. Palveluun liittyvien henkilöiden turvallisuusosaamisen varmistaminen 9. Palvelun ja tietojen eriyttäminen muista asiakkaista 10. Sovitut toimintatavat työskennellessä asiakkaan tiloissa 11. Mahdollisuus palvelun tarkastukseen ja vertaisarviointiin 12. Turvallisuuden huomiointi sovelluksissa ja sovelluskehityksessä 13. Jatkuvuussuunnittelua ja suunnitelmien testaamista 14. Tietojen turvallinen poisto käytöstä poistettavilta laitteilta 15. Säännöllistä raportointia ja mittareita 16. Poikkeamien ilmoittamista ja ripeää käsittelyä – myös läheltä piti tilanteissa 17. Sitoutumista sanktioihin 18. Turvallisuuden jatkuvaa kehittämistä ja yhteistyötä 9
  • 10. Photo by Randy Fath on Unsplash RA(S)CI –taulukko auttaa selkeyttämään vastuut RA(S)CI – taulukko • Responsible - suorittaa • Accountable – vastaa/valvoo • Support - tukee • Consulted - neuvoo • Informed – saa tiedon 10
  • 11. Sovi jatkuvasta yhteistyöstä Palvelun kokonaisseuranta → turvallisuustilanne, eskaloinnit Turvallisuuden yhteistyökokoukset → jatkuva yhteistyö, raportointi, riskit Sovitut toimintamallit → tietoturvavaatimusten toteutus, RA(S)CI Palvelusopimus → SLA, mittarit, sanktiot Turvallisuussopimus → tietoturvavaatimukset ja -tavoitteet Tarkastukset ja arvioinnit → ulkoinen tarkastus, vertaisarviointi 11
  • 12. Koeteltuja mittareita • Tietoturvasertifiointi (esim. ISO 27001) • Tietoturvatarkastusten havainnot (esim. ISAE 3402) • Tietoturvaskannausten havainnot • Tietoturvakorjausten asennusaika ja peitto • Tietoturvapoikkeamat • Tietoturvariskit ja niiden hallinta • Jatkuvuussuunnitelmat ja testausten toteutuminen • Vertaisarviointi (ISF Healthcheck, KTK Kybermittari) 12 Photo by DALL-E via Bing
  • 13. Hyvät ja huonot uutiset • Turvallisuussopimus sitouttaa kumppanit hyvin • Varaa reilusti aikaa sopimusvääntöön • Sopimusneuvottelijat eivät aina ymmärrä turvallisuus- palveluiden ja mittareiden käytännön vaatimuksia • Turvallisuussopimus määräävänä sopimuksena ilman mahdollisuutta poikkeuksiin saattaa tuhota ketteryyden • Sopivien (sanktioitavien) mittareiden määrittely on haastavaa, mutta kannattaa • Turvallisuusopimusta on hiottava lähes jokaisen kumppanin kanssa • Turvallisuusvaatimuksia voidaan käyttää tekosyynä tekemisiin tai tekemättä jättämisiin • Vaatimustenmukaisuus ei välttämättä tarkoita riittävää tietoturvaa • Muista vanha totuus: sopimukset laaditaan yhteisymmärryksessä, mutta niitä tulkitaan pahimmillaan täyden erimielisyyden vallitessa Photo by Elijah O'Donnell on Unspla 13
  • 14. Public 11 Sept 2023 Pilvipalveluissa luottamus palveluntarjoajaan korostuu Lähde: Kyberturvallisuuskeskus, Pilvipalveluiden_tietoturva_organisaatioille Monipilvi • toimintaympäristö, jossa organisaatio käyttää enemmän kuin kahta pilvipalvelua, useammalta kuin yhdeltä pilvipalvelujen toimittajalta. Nämä voivat olla niin julkisen pilven tai yksityisen pilven palveluita useissa eri ympäristöissä. Suvereenipilvi • Pilvipalvelu, jossa kaikki data, mukaan lukien metatiedot, pysyy suvereenilla maaperällä. Se estää ulkomaisten tahojen pääsyn dataan kaikissa olosuhteissa. Tallennettavaa ja käsiteltävää tietoa ei koskaan siirretä maarajojen yli ja tiedot pysyvät vain yhden lainkäyttöalueen piirissä. IaaS PaaS SaaS 14 Tekninen osaaminen Luottamus Tekninen osaaminen Luottamus
  • 15. Public 11 Sept 2023 15 Pilvi muuttaa toimintaa • Arkkitehtuuri- ja toimintamallimuutos • Toimijoiden ja sovellusten lukumäärä kasvaa • Ketteryys- ja tehokkuusvaatimukset kasvavat • Ei enää selkeää kontrollipistettä, kuten yrityksen palomuuri • Infraa muokataan sovelluksissa, kaikkeen on sovellusrajapinta • Shift-left, DevSecOps • Pilvipalveluiden tietoturvallisuus vaihtelee • Palvelumallilla, palveluntarjoajalla ja palvelulla merkitystä • Isoilla/tunnetuilla toimijoilla pääsääntöisesti hyvä tietoturvataso • Kaikkea tietoa ei saa kirjallisesti • Pilvipalvelussa tietoturvaa ei hoideta perinteisin keinoin • Pilvipalvelun uudenlaiset käyttötavat • Pilvipalvelussa saatavat ratkaisut • Tietoturvan hallintaan ei välttämättä ole hybridi-mallia • Pilvipalvelusta voi saada käyttöön tietoturvaratkaisuja, jotka muuten olisivat liian kalliita tai työläitä • Lokien talletus, analytiikka, tietovuotojen ehkäiseminen, tietoturvapoikkeamien havainnointi,…
  • 16. Pilvipalveluiden erityishaasteita ja sudenkuoppia Varmista erityisesti: • Käytettävä palvelu- ja/tai hankintamalli • Tietojen omistajuus, käyttö- ja käsittelyoikeudet • Tietojen / palvelun / palvelimien maantieteellinen sijainti • Sopimukseen sovellettava lainsäädäntö ja oikeuspaikka • Varmuuskopiointi • Tietojen salaus ja avainhallinta • Asiakkaiden tietojen eriyttäminen • Tietoturvaloukkausten ja häiriötilanteiden käsittely • Pilvitietoturvaosaaminen Varo sudenkuoppia: • Pilvipalveluntarjoajan häviäminen markkinoilta • Käyttöehtojen yksipuolinen muutos • Pilveen sopivat lisenssit • Rajoitetut auditointimahdollisuudet • Toiminta (ulkomaan) internet-yhteyksien varassa • Tietoturvapoikkeamien tutkiminen hankaloituu • Pääkäyttäjän tunnus on kriittinen • Palvelun tarjoaminen poikkeusoloissa • Palvelun lopetus ja tietojen palautus • Suhtautuminen valtiollisiin toimijoihin 16
  • 17. Public 11 Sept 2023 17 • Kyberturvallisuus (tieto- ja digi-turvallisuus) on määriteltävä ja sovittava yhdessä palveluntarjoajan kanssa • Sovi tietoturvavastuista ja palvelutasoista selkeästi ja kirjallisesti – muista raportointi ja mittaaminen • Seuraa palvelun tietoturvatasoa • Tee jatkuvaa yhteistyötä, riskiarviointia ja tietoturvan parantamista yhdessä palveluntarjoajan kanssa • Pilvipalvelut ovat turvallisia – kunhan ne hankitaan, konfiguroidaan, suojataan ja hallitaan huolellisesti Lisävinkkejä: • Digipooli: Kyberturva ICT-sopimuksissa (linkki) • Digipooli: Varautuminen ja toiminta kyberhäiriötilanteissa (linkki) • Digipooli: Huoltovarmuutta pilvipalveluilla (linkki) • VM: Suositus tietoturvallisuudesta hankinnoissa (linkki) • NCSC-UK: Supply chain security (linkki) Pääviestit kertauksena
  • 18. Don’t tell me what you value. Show me your budget, and I’ll tell you what you value. -- Joe Biden