Kyberosaaja 17.5.21

Kyberturvallisuuden osaaja, Aalto PRO
Tietojärjestelmien ja ohjelmistojen turvallisuus
17.5.2021
Jari Pirhonen, turvallisuusjohtaja
TietoEVRY
TIETOTURVAN JOHTAMINEN JA HALLINTA
STANDARDIT JA PARHAAT KÄYTÄNNÖT
RISKIEN HALLINTA
KUMPPANIEN TIETOTURVAKYVYKKYYS
OHJELMISTOJEN TURVALLISUUS

© Aalto University Professional Development - Kyberturvallisuuden osaaja - JaPi
Digital advantage for businesses and societies
Bringing global capabilities to the Nordics in Digital
Consulting and Cloud & Infrastructure services
Scaling the Nordic mindset globally in Industry Software,
Financial Services and Product Development Services
Delivery centers within EU and globally:
Ukraine, Poland, Czech Republic, India, China and the Baltics
The market leader
in digital services in
Norway, Sweden
and Finland
India
Poland
#1 in Nordic
China
Czech Republic Ukraine
Estonia,
Latvia,
Lithuania
More than
10 000
customers
Turnover of
approximately
EUR 3 billion
24 000
professionals
globally
Investments in
technology and
services more
than
EUR 100
million* per year
*incl. capital
expenditure and
operational costs
Serving
customers in
over 90
countries
worldwide
2

TietoEVRY
Security
Services
Prevent
Respond
Detect
Protect
Preventive efforts to mitigate
cybersecurity incidents, and to ensure
resilience and cybersecurity hygiene.
• Identity & Access Management
• Privileged Account Management
• Continuity & Recovery planning
• Security Awareness training
Detection of cybersecurity incidents,
events and suspicious activity.
• Endpoint Detection & Response
• SIEM
• Event Monitoring
• Threat Hunting
• Threat Intelligence
Identify
• Risk Advisory
• Cybersecurity Advisor
• Cloud Security Advisory
• Vulnerability Management
• SIEM
• Threat Landscape
• Security Governance
• Information Security Strategy
Protects Confidentiality, Integrity and
Availability of your digital resources
(such as data, infrastructure, ID etc.)
• Content Protection
• Endpoint Protection
• Border and Network Protection
• Security Solution Consultants
Response to stop and reduce impact
of ongoing incidents.
• Endpoint Detection and
Response
• Threat Hunting
• Incident Response
• Forensic Investigations
Identification and visualization of assets, threats, risks, vulnerabilities
etc. to support compliance reporting and decision-making.
Cybersecurity capabilities
3

©2021 Information Security Forum Limited
ISFFAM19112020
2021 ISF MEMBERSHIP DISCUSSION
ABOUT THE INFORMATION SECURITY FORUM
The Information Security Forum (ISF) is recognised and accepted as a leading,
independent authority on information security and risk management.
Not for profit
Member driven
Business focused
Geographical
distribution of active
ISF Live users

©2021 Information Security Forum Limited
ISFFAM19112020
2021 ISF MEMBERSHIP DISCUSSION
ISF CONSULTANCY SERVICES
MEMBER ORG
GOVERNANCE
PROCESS
TECHNOLOGY
PEOPLE
COMPLIANCE
RISK
ISF RESOURCES SUPPORT YOUR SECURITY ARRANGEMENTS

TIETOTURVAN JOHTAMINEN JA HALLINTA
Chief executives don't want a security manager
who constantly tells them what they can't do.
They want people who will help them to push
the boundaries without unduly compromising
the company. This means they need people
who understand the realities of doing
business and who are not security purist.
-- Demos: The business of resilience

MIKSI AUTOSSA ON JARRUT?
17.5.2021 7

TIETOTURVAN AJURIT
TAHTO
→ Laadukkuus, häiriöttömyys, luottamus
→ Kilpailukyky, digitaalisuus
PAKKO
→ Lait, asetukset, toimialavaatimukset
PELKO
→ Riskien hallinta, varautuminen
17.5.2021 8

Tietotekninen
turvallisuus
Tietoturvallisuus
Kyberturvallisuus
Digitaalinen
turvallisuus
Tietotekninen turvallisuus (IT-turvallisuus, ICT-
turvallisuus) keskittyy tietojen, tietojärjestelmien ja
tietoverkkojen tekniseen suojaamiseen. Fokus teknisissä
ratkaisuissa, tietoturvatuotteissa ja teknisessä osaamisessa.
Tietoturvallisuus huomioi tietojen suojaamisen laaja-
alaisesti riippumatta tiedon olomuodosta, sijainnista tai
käsittelytavasta. Kokonaisvaltainen näkökulma huomioiden
organisaation tavoitteet, ihmiset, prosessit, teknologian ja
ulkoiset riippuvuudet. Fokus organisaation sekä sen
palvelujen, prosessien ja tietojen suojaamisessa.
Kyberturvallisuus keskittyy yhteiskunnan kriittisten
toimintojen keskinäisriippuvuuteen, toimivuuteen ja
verkottuneen toimintaympäristön tietoturvallisuuteen
kokonaisuutena. Fokus yhteiskunnan toimivuuden
varmistamisessa.
Digitaalinen turvallisuus korostaa digitalisoitumisen,
automatisoinnin, teollisen internetin, esineiden internetin ja
niistä johtuvan liiketoiminnan ja toimintamallien muutoksen
vaikutuksia tietoturvallisuuteen. Fokus
(tietoturva)toimintatapojen muutoksessa.
MIKÄ KYBER?
Luotettavuus
Tunne
Kestävyys
Todistettavuus
Ymmärrettävyys
Vahingoittamattomuus
Tietosuoja
Jäljitettävyys
Kiistämättömyys
Luottamuksellisuus
Oikeellisuus
Saatavuus
17.5.2021 9

ÄLÄ HÄMÄÄNNY TERMEISTÄ
17.5.2021 © Aalto University Professional Development - Kyberturvallisuuden osaaja - JaPi 10

KUKAAN EI HALLITSE KAIKKEA
Lähde: https://www.linkedin.com/pulse/map-cybersecurity-domains-version-20-henry-jiang-ciso-cissp/
17.5.2021 11

OSAAJAPULA?
• Tietoturvaosaajista on pulaa – mutta niin on muistakin osaajista
• Sovelluskehitys, tekoäly, data-analytiikka, robotiikka, pilvipalvelut,…
• Yritykset hakevat usein valmiita osaajia, jolloin uutena alalle tulo on haastavaa
• Palveluntarjoajat ja konsulttitalot hakevat enemmän teknistä erityisosaamista, muut yritykset
liiketoimintalähtöistä moniosaamista
• Teknisten osaajien vaihtuvuus suurta, moniosaajia hankala löytää, kasvupolku teknisestä
asiantuntijasta tietoturvapäälliköksi haastava
• Yhtenäistä käsitystä suurimmista osaamistarpeista ei ole
• Esiin nousee mm. pilvipalvelujen tietoturva, IAM, sovellustietoturva, auditointi, tietoturvatietoisuuden
kehittäminen, tekninen tietoturva, riskien arviointi, johtaminen
• Tietoturva-asiantuntijuutta pidetään edelleen erityisosaamisena sen sijaan, että osaamista
kasvatettaisiin ja integroitaisiin muun tekemisen yhteyteen
• Edelleen kysyntää perustietoturvaosaamiselle, jonka pitäisi olla esim. tietojärjestelmäylläpidon,
tietoverkkoasiantuntijoiden tai sovelluskehittäjien hallussa
• Puuttuu hyvä ymmärrys siitä, mistä osaamisesta on pula ja mitä uusille alalle tulijoille pitäisi
kouluttaa
• Ammatillisessa koulutuksessa koetetaan kattaa koko tietoturvakenttä ja fokus teknisessä osaamisessa
17.5.2021 © Aalto University Professional Development - Kyberturvallisuuden osaaja - JaPi
Kts. https://www.slideshare.net/japijapi/cybersecurity-skillsgap-2021
12

VANHA JA UUSI AJATTELUMALLI
13

Fyysiset suojaukset
Kameravalvonta
Luotetut toimihenkilöt
Kulunvalvonta
Toiminnan valvonta
Turva-alueet
Poikkeamiin reagointi
Hälytysjärjestelmä
FYYSINEN PANKKIKONTTORI
17.5.2021 14

VERKKOPANKKI
Fyysiset suojaukset
Kameravalvonta
Luotetut toimihenkilöt
Kulunvalvonta
Toiminnan valvonta
Turva-alueet
Tietojen ja tietoliikenteen salaus
Palvelunestohyökkäyksen torjunta
Hyökkäysten havainnointi ja esto
Lokien hallinta ja seuranta, audit trail
Turvallinen asennus, jatkuva ylläpito
Tietoturvallinen, auditoitu sovellus
Käyttäjien vahva tunnistus
Suojatut laitetilat
Varmuuskopiot
Turvallinen arkkitehtuuri, palomuurit
Hälytysjärjestelmä
Palvelujen monentaminen
Palvelun todentaminen
17.5.2021 15

TIETOTURVARATKAISUT MÄÄRÄYTYVÄT YMPÄRISTÖN MUKAAN

Järvessä kasvaa levää. Joka
päivä levälautan koko tuplaantuu.
Kestää 48 päivää, ennen kuin
koko järvi on levän peitossa.
Kauanko kestää, että puolet
järvestä on levän peittämää?
TEKNOLOGISEN KEHITYKSEN
NOPEUS YLLÄTTÄÄ
17.5.2021 17

DIGITALISAATIO HAASTAA
TURVALLISUUSOSAAJAT
• Ihmisten käyttäytymisen, markkinoiden dynamiikan ja yritysten
ydintoimintojen muutos teknologian mahdollistamana (*).
1. Palveluita siirretään verkkoon
2. Toimintamalleja tehostetaan
3. Luodaan uusia palveluita
• Perusedellytykset: Nopeus, kokeilu, datan jalostaminen, asiakasymmärrys,
mahdollistava IT, digiosaaminen ja turvallisuuden hallinta.
→Tietoturva-ammattilaisten on mukauduttava ketteryyteen,
kokeilukulttuuriin, epävarmuuteen, riskien sietoon, avoimuuteen,
asiakaslähtöisyyteen ja jatkuvaan muutokseen.
(*) Lähde: Digitalisaatio – Yritysjohdon käsikirja
17.5.2021 18

TIEDOT
TIEDOT ON SUOJATTAVA KOKO ELINKAAREN AIKANA!
Luottamuksellisuus
Oikeellisuus (eheys)
Saatavuus
Kiistämättömyys
Jäljitettävyys
Tietosuoja
Luonti
Tallennus
Käsittely
Siirto,
jako
Arkistointi
Poisto
TIEDOT
17.5.2021
Pilvi
Mobiili
IoT Ohjelmisto-
robotit
Ohjelmisto-
rajapinnat
Tekoäly
ICS
VR/AR
5G
19

TIETOTURVAN JATKUVA KEHITTÄMINEN
Määritellään
tietoturvan
hallinnan
ympäristö
Tunnistetaan
suojattavat
kohteet
Tunnistetaan
ja
analysoidaan
riskit
Valitaan ja
otetaan
käyttöön
suojauskeinot
Valvotaan
riskejä sekä
tietoturvaa
Parannetaan
riskien ja
tietoturvan
hallintaa Ihmiset
Tiedot
Tilat
Järjestelmät
Prosessit
Palvelut
Kumppanit
SUUNNITTELE
SUOJAA
ARVIOI
KEHITÄ
17.5.2021 20

Markkinaosuus
Maine
Laillisuus
Liiketoiminnan
jatkuvuus
Auditoinnit
Sakot
Taloudellinen
menetys
Tietojen ja
palvelujen
luotettavuus ja
toimivuus
Henkilöstön
tietosuoja
Asiakkaiden
luottamus
Tavaramerkkien
maine
Toimitus-
johtaja
Talous-
johtaja
Tieto-
hallinto-
johtaja
Henkilöstö-
johtaja
Markkinointi-
johtaja
Tietoturva on organisaation johtoryhmän vastuulla
YLIN JOHTO ON TILIVELVOLLINEN
17.5.2021
Gartner: By 2025, 40% of boards of directors will have a dedicated cybersecurity committee
overseen by a qualified board member, up from less than 10% today.
21

KOLMEN PUOLUSTUSLINJAN MALLI
Hallinnon kontrollit
Kontrollien tehokkuuden
mittaus
Talous
Riskien hallinta
Turvallisuus
Tietosuoja
Laatu
Vaatimustenmukaisuus
Sisäinen tarkastus
Hallitus Johtoryhmä
Ulkoiset
tarkastukset
Lainsäätäjä
Vastaa itsenäisesti
organisaation hallinnon,
riskien hallinnan ja
sisäisten kontrollien
varmistamisesta.
Organisaation asenne
Vastaa strategian
luomisesta ja
kommunikoinnista,
tavoitteista ja
riskinottohalukkuudesta
0 3
2
1
Hallitus ja
johtoryhmä
Liiketoimintayksiköt
CIO
CFO, CSO, CISO,
CRO, CQO, CCO, CPO
CIA
Vastaa liiketoimintariskeistä
ja niiden hallinnasta
organisaation riskistrategian
ja riskinottohalukkuuden
mukaisesti.
Vastaa tehokkaasta,
itsenäisestä valvonnasta.
Tukee ja haastaa 1. linjan
riskinottoa, mutta ei omista
riskejä eikä vastaa niiden
hallinnasta.
22

MITÄ CISO DUUNAA? Moderni tietoturvajohtaja:
• Ymmärtää organisaation tavoitteet
• Tasapainottaa riskit ja mahdollisuudet
• Ymmärtää teknologiaa riittävästi
• Tuntee regulaation ja liiketoimintavaatimukset
• Seuraa kehitystrendejä, soveltaa
• Perustelee sopivat ratkaisut
• Arvioi ja kehittää tietoturvaa jatkuvasti
• Sietää riskejä
• Huomioi käyttäjät
Venn kuvion lähde: Pete Lindström / IDC
17.5.2021 23

TIETOTURVA ORGANISAATION TUKENA
Kilpailuetu
Parhaat käytännöt,
standardit
Liiketoimintavaatimukset
Lainmukaisuus
17.5.2021
• Tietoturvan tarkoitus
→ Organisaation strategiaan nivoutunut,
liiketoimintaprosesseihin integroitunut
• Osaamistarve
→ Liiketoiminta- ja riskienhallinta-osaamista
tietoturvaosaamisen lisäksi, innovatiivisuus
• Tehtävät
→ Riskienhallinta + vaatimustenmukaisuus + tuki
• Kommunikointi
→ Riskiperustainen tietoturvatietoisuus
• Mittarit
→ BSC, KPI, ROSI, kustannukset, tehokkuus
24

TIETOTURVALLISUUDEN JOHTAMISMALLI (ESIMERKKI)
Hallitus
Tietoturvajohtaja
Tietoturvan virtuaalitiimi/-verkosto
Johtajat
Yksiköiden johtoryhmät
Johtoryhmä
Tietoturvan ohjausryhmä
Esimiehet
Tiimit,Henkilöstö
Strateginen
Taktinen
Operatiivinen
Strategia,
resurssit
Toteutus
Ohjaus
(kokonaisuus)
Ohjaus
(yksikkö,
osasto)
Seuranta
Valvonta
Mittaaminen
Raportointi

TIETOTURVAN MITTAAMINEN
Strategia
Esim. budjetti
Prosessit ja
järjestelmäkehitys
Esim. projekti-
katselmoinnit, riskiarviot,
testaus,…
Tietoturvan operointi
Esim. haavoittuvuuksien ja
korjauksien hallinta, poikkeamien
havainnointi,…
Strateginen
• Kohde: toimitusjohtaja, johtoryhmä, hallitus, auditointi-
ja riskikomitea, CSO, CISO
• Onko tietoturvatasomme riittävä ja riskit hallinnassa?
• Ovatko tietoturvakustannukset sopivalla tasolla?
• Tietoturvapanostusten oikea kohdentaminen ja hyödyt
Taktinen
• Kohde: yksiköiden johtoryhmät, CSO, CISO
• Onko prosesseissa ja projekteissa huomioitu
tietoturva riittävästi?
• Tietoturvaratkaisut liiketoiminnan tukena
Operatiivinen
• Kohde: palveluiden, tuotteiden ja
prosessien omistajat
• Toimivatko tietoturvaratkaisut
ja –prosessit?
• Tietoturvaratkaisujen tehokkuus
• toimenpidesuunnitelman edistyminen
• tietoturva- ja poikkeamakustannukset
• korkeiden tietoturvariskien hallinta
• tietoturvakypsyys, toimialavertailu
• vaatimustenmukaisuus, sertifioinnit
• vakavat tietoturvapoikkeamat
• jatkuvuussuunnitelmien kattavuus ja testaus
• tietoturva-auditoinnit
• tietoturvariskit
• havaitut virheet
• tietoturvapoikkeamat
• reagointikyky
• tietoturvakorjausten
kattavuus
• tietoturvakoulutus
• tekniset auditoinnit
17.5.2021 26

MIHIN IT TIETOTURVABUDJETTI UPPOAA?
• NTTSecurity Risk:Value arvioi (2019) yritysten
budjetoivan tietoturvaan keskimäärin 15% IT
budjetista ja 16% operatiivisesta budjetista.
• Deloitten mukaan (2019) finanssiala käyttää 6-
14% (keskiarvo 10%) IT budjetista
kyberturvallisuuteen. Tämä vastaa n. 0.2-0.9%
liikevaihdosta tai 1300-3000 USD per työntekijä.
• Gartnerin mukaan (2021) tietoturva on IT-
osastojen ykkösprioriteetti – data analytiikan ja
pilvipalvelujen ollessa seuraavilla sijoilla
Lähde: IBM/Ponemon 2020 Cost of a Data Breach Study
17.5.2021 27

Infrastruktuurin
kontrollit
Palvelun
kontrollit
Yksilölliset
kontrollit
Prosessi-
kontrollit
Asiakas
Aloita
tästä
Lähde: PwC
Perusasiat kuntoon. Arkkitehtuuri + teknologia
Testaa, tarkista, pidä ajan tasalla. Monitoroi ja
reagoi tarvittaessa.
Aseta turvallinen perustaso ja tarjoa
mahdollisuus parantaa. Tee lisäsuojauksesta
houkuttelevaa.
Varmista, että prosesseissa ei ole heikkoja
kohtia.
Kohtele käyttäjiä asiakkainasi. Mitä itse odotat
palveluiltasi? Ole luottamuksen arvoinen.
FOKUS TEKNIIKASTA KÄYTTÄJIIN
17.5.2021 28

Security culture
Organisations often focus on the technical
(IT) security. Understand that your staff will
never commit to your cyber security
objectives without a good security culture.
• Does organisation have a good security
culture?
• How can the members of a board and
management provide an example?
Cyber security expertise
There is an increasing demand for cyber
security experts and hiring is challenging. It is
vital to recognize the expertise that you will
need now and in the future.
• Does the board have knowledge to make
the right decisions on cyber security?
• What cyber security expertise does
organisation need?
Monitoring your measures
Implementing even the simplest measures
can help alleviate the likelihood or impact of
any deviations.
• How does organisation ensure the
efficiency of its measures?
• How organisation ensure that software
and devices remain up-to-date?
Collaboration
Cyber security is a key issue when
collaborating with service providers or
partners.
• How does organisation ensure that cyber
security is taken into account in all
business decisions?
When worst scenario comes true
Security breaches can have a significant effect
on organisation’s finances, productivity and
reputation.
• Is there an incident management plan?
• Who leads the response to a security
breach?
MITÄ JOHDON TULISI TIETÄÄ?
Assessing the situation
Organisation must be aware of its technical
environment and assess which parts are the
most critical for ensuring the success of its
goals.
• Has organisation communicated its most
important objectives in a clear manner
and ensured that these priorities are also
used to guide cyber security measures?
Risk management
Good risk management goes beyond
compliance. Compliance and security may
overlap, but one can comply with general
security requirements while still using weak
security practices.
• Have board and management clearly
defined how organisation manages risks?
• Is there a process to ensure that decision
makers are provided with the most
comprehensive information possible?
Understanding the threats
When you understand the threats that your
organisation and partners face, you can also
determine the cyber security measures and
investments that you need.
• Which threats are the most significant for
your organisation and why?
• How can organisation stay informed of any
new cyber threats?
Organizational objectives
Cyber security is a key element in the
implementation of organisation’s objectives,
and it can also be a competitiveness factor.
This requires believing in a culture of cyber
security, investing in cyber security practices
and utilising the appropriate measures in its
management.
• Who is responsible for cyber security?
• Do we understand how cyber security
affects the responsibilities of the board
and management?
• Does an organisation employ a process
that will ensure that cyber risks are
included in the list of risks to business?
Lähde: Kyberturvallisuuskeskus, Cyber security and the responsibilities of boards
29

KYBERTURVALLISUUDEN NYKYTILA SUOMESSA
Merkittävimmät yhteiset kehityskohteet
huoltovarmuusnäkökulmasta
• Yhteinen tilannekuva
• Turvallinen ohjelmistokehitys
• Henkilöstön osaaminen
Lähde: Huoltovarmuuskeskuksen Digipooli 2020
Merkittävimmät kehityskohteet yritysten
liiketoiminnan näkökulmasta
• Yrityksen kyberturvallisuusstrategia
• Kyberturvallisuusarkkitehtuuri
• Tekninen jäljitettävyys
17.5.2021 30

KYBERVAKUUTUS
• Kybervakuutusliiketoiminta vielä kohtuullisen pientä, mutta kasvussa. Valtaosa
markkinoista USA:ssa, Euroopassa kasvussa.
• Kyberriskien vaikutuksia ei vielä kunnolla ymmärretä – tietoa ei ole riittävästi.
• Kybervakuutus on ollut Suomessa mahdollinen n. 8 vuotta.
• Voi korvata ulkoisten ja sisäisten toimijoiden aiheuttamia tahallisia ja tahattomia
vahinkoja, jotka aiheutuvat esim. tiedon katoamisesta, sabotaasista, hakkeroinnista,
palvelunestohyökkäyksestä, tietovuodosta, tiedon korruptoitumisesta, järjestelmän
toimimattomuudesta, haittaohjelmasta, inhimillisestä virheestä, ohjelmointivirheestä,
kiristyksestä, 3. osapuolen ongelmista,…
• Ei korvaa fyysisiä vahinkoja (=perinteinen vakuutus).
• Ei korvaa sanktioita Suomessa.
• Ei mahdollisesti korvaa ”kybersotaan” liittyviä vahinkoja.
• Vakuutukseen voi sisältyä tukea tietoturvapoikkeaman ennakointiin, estämiseen,
selvittämiseen ja hallintaan. Samoin lainopillista, viestinnällistä ja teknistä tukea.
• Lunnashaittaohjelmien (ransomware) aiheuttamat vahingot vaikuttavat markkinoihin Kuvan lähde: NetDiligence 2020 Cyber Claims Study
17.5.2021 31

YHTEENVETO
• Tietoturvallisuuden tavoitteet
– Tietoturvallisuuden nivoutuminen digitaaliseen liiketoimintaan edellyttää
turvallisuus- ja tietoturva-asiantuntijoilta uutta osaamista
– Uutta teknologiaa otetaan käyttöön joka tapauksessa. Älä ole tietoturvaänkyrä,
vaan hae ratkaisuja ja uusia mahdollisuuksia
• Tietoturvallisuuden johtaminen
– Tietoturvallisuuden tarkoitus, tehtävät, osaamisvaateet ja mittarit on johdettava
organisaation tavoitteista/strategiasta
– Sovi vastuut, tunnista riskit, jaa tietoa ja tilannekuvaa
• Tietoturvallisuuden hallinta
– Huolehdit perusasioista – 80% tietoturvasta ei tarvitse tietoturva-asiantuntijaa
– Sovella parhaat käytännöt ja standardit omaan organisaatioosi
– Huomioi käyttäjäkokemus
17.5.2021 32

STANDARDIT JA PARHAAT KÄYTÄNNÖT
Infosec doesn’t need “rock stars”,
ninjas, or geniuses. We need LOTS of
9-5 professionals working on all
aspects of this problem, not just
technical. Think public health, not war.
-- @chadloder

PERUSASIAT KUNTOON!
1. Johdon kannanotto tietoturvallisuuden puolesta ja esimerkillinen toiminta.
2. Tietoturvan kehittämisestä vastaavan nimittäminen ja johdon näkyvä tuki.
3. Suojattavien tietojen ja palvelujen tunnistaminen.
4. Tietoturvan tavoitteiden ja vastuiden määrittely.
5. IT-järjestelmien ja tietoverkkojen huolellinen suunnittelu ja ylläpito
– Asennukset, päivitykset, varmistukset, lokitukset,
käyttäjätunnusten ja –oikeuksien hallinta, haittaohjelmantorjunta,
vahva käyttäjien tunnistaminen, etäkäytön suojaus,…
6. Henkilökunnan koulutus ja motivointi tietoturvatietoiseen käyttäytymiseen.
7. Salassapitosopimukset: avainhenkilöt, kumppanit, palvelutoimittajat.
8. Tietoturvan vaatiminen kumppaneilta ja palveluntarjoajilta.
9. Häiriötilanteisiin ja tietoturvaloukkauksiin varautuminen.
10.Kokonaisuuden huomioiminen:
Organisaatio + ihmiset + prosessit + teknologia.
17.5.2021 34

TIETOTURVAN VIITEKEHYKSIÄ JA STANDARDEJA

• ISO (International Organization for
Standardization ) 2005 luoma standardi,
viimeksi uudistettu 2017
• Kattaa tietoturvan hallintajärjestelmän
(ISMS)
• Vaatii yritykseltä määrämuotoisen tavan
toimia
• Toimintatapa on todennettavissa
sertifikaatilla
ISO 27001
36

TIETOTURVALLISUUDEN HALLINTAJÄRJESTELMÄ – ISO/IEC 27001:2017
1. Tietoturvapolitiikat (2 hallintakeinoa)
– Johdon ohjaus
2. Tietoturvallisuuden organisointi (7)
– Sisäinen organisaatio, mobiililaitteet ja etätyö
3. Henkilöstöturvallisuus (6)
– Työsuhteen alussa, aikana, muuttuessa ja päättyessä
4. Suojattavan omaisuuden hallinta (10)
– Vastuut, tietojen luokittelu, tietovälineiden käsittely
5. Pääsynhallinta (14)
– Liiketoiminnalliset vaatimukset, pääsyoikeuksien hallinta,
käyttäjän vastuut, järjestelmät ja sovellukset
6. Salaus (2)
– Hallinta
7. Fyysinen ja ympäristön turvallisuus (15)
– Turva-alueet, laitteet
8. Käyttöturvallisuus (14)
– Toimintaohjeet ja velvollisuudet, haittaohjelmilta suojautuminen,
varmuuskopiointi, kirjaaminen ja seuranta, ohjelmistot, haavoittuvuuksien
hallinta, auditoinnit
9. Viestintäturvallisuus (7)
– Verkon turvallisuus, tietojen siirtäminen
10.Järjestelmien hankkiminen, kehittäminen ja ylläpito (13)
– Turvallisuusvaatimukset, kehitys- ja tukiprosessit, testiaineistot
11.Suhteet toimittajiin (5)
– Tietoturva toimittajasuhteissa, palveluiden hallinta
12.Tietoturvahäiriöiden hallinta (7)
– Toimintamalli
13.Liiketoiminnan jatkuvuuden hallinta (4)
– Tietoturvallisuuden jatkuvuus, vikasietoisuus
14.Vaatimustenmukaisuus (8)
– Lainsäädäntö ja sopimukset, katselmoinnit
14
kategoriaa
114
hallintakeinoa
35
aluetta
17.5.2021 37

THE STANDARD OF GOOD PRACTICE
FOR INFORMATION SECURITY 2020
17.5.2021 38

Security Governance Establish, maintain and monitor an information security governance framework, which enables
the organisation's governing body to set clear direction for, and demonstrate their commitment
to, information security and risk management.
Information Risk
Assessment
Conduct regular information risk assessments for target environments in a rigorous,
consistent manner, using a systematic, structured methodology.
Security Management Establish a information security function, which is assigned adequate authority and resources
to run information security-related projects; promote information security throughout the
organisation. Develop a comprehensive, approved information security policy and
communicate it to all individuals.
People Management Embed information security into the employment life cycle. Maintain a comprehensive,
ongoing security awareness programme, to promote and embed expected security behaviour
in all individuals.
Information
Management
Establish an information classification scheme, which applies to information of all types,
supported by guidelines to help protect information against corruption, loss and unauthorised
disclosure.
Physical Asset
Management
Protect physical assets, including systems and network equipment; office equipment; and
specialist equipment throughout their life cycle, addressing the information security
requirements for their acquisition, maintenance and disposal.
ISF SECURITY PRINCIPLES 1/3

System Development Develop business applications in accordance with an approved system development life cycle,
which includes applying industry good practice and incorporating information security during
each stage of the life cycle: requirements; design; acquisition; build; testing; implementation;
decommission.
Business Application
Management
Incorporate security controls into business applications to protect the confidentiality and
integrity of information when it is input to, processed by and output from these applications.
System Access Restrict access to business applications, mobile devices, systems and networks to authorised
individuals for specific business purposes.
System Management Design systems to cope with current and predicted workloads and configure them in a
consistent, accurate manner to protect them, and the information they process and store,
against: malfunction; cyber attack; unauthorised disclosure; corruption; and loss. Manage the
security of systems by performing backups of essential information and software, applying a
rigorous change management process and monitoring performance against agreed service
level agreements.
Networks and
Communications
Design physical, wireless and voice networks to: be reliable and resilient; prevent unauthorised
access; encrypt connections; and detect suspicious traffic.
40

Supply Chain
Management
Identify and manage information risk throughout each stage of relationships with external
suppliers, by embedding information security requirements in formal contracts and obtaining
assurance that they are met.
Technical Security
Management
Build a sound technical security infrastructure, applying security architecture principles and
integrating technical security solutions, which include: malware protection; identity and access
management; intrusion detection; and information leakage protection. Deploy approved
cryptographic solutions in a consistent manner across the organization.
Threat and Incident
Management
Manage threats and vulnerabilities associated with business applications, systems and
networks by: scanning for technical vulnerabilities; maintaining up-to-date patch levels;
performing continuous security event monitoring; acting on threat intelligence and protecting
information against targeted cyber attacks. Establish a comprehensive and approved
information security incident management framework.
Local Environment
Management
Protect critical facilities and services against: targeted cyber attacks; unauthorised physical
access; accidental damage; loss of power; fire; and other environmental or natural hazards.
Business Continuity Develop, maintain and regularly test business continuity plans and arrangements for critical
business processes and applications throughout the organisation.
Security Monitoring
and Improvement
Conduct thorough, independent and regular audits of the security status of target
environments.
41

KYBERMITTARI • Mittari perustana U.S. Department of Energy
Cybersecurity Capability Maturity Model (C2M2)
• Raportointi myös National Institute of Standards
and Technology Cybersecurity Framework (NIST
CSF) mallin mukaisesti
• Taso 0 – Organisaatio ei toteuta
kyberturvallisuuden hallintaan liittyviä käytäntöjä
• Taso 1 – Organisaatio toteuttaa käytäntöjä
tapauskohtaisesti ja tekeminen ei ole säännöllistä
• Taso 2 – Organisaatiolla dokumentoidut
säännöllisesti toistettavat ja ylläpidettävät
kyberturvallisuuden hallinnan mallit, vastuut ja
valtuudet kyberturvallisuuden toteuttamiseksi on
määritetty.
• Taso 3 – Organisaatio toteuttaa kyberturvallisuutta
riskilähtöisesti, koko organisaation kattavia
toimintamalleja ylläpidetään jatkuvasti ja
kyberturvallisuudelle on määritetty tavoitteet, joita
mitataan säännöllisesti.
Lähde: Kyberturvallisuuskeskus
42

RISKIEN HALLINTA
The major difference between a thing that
might go wrong and a thing that cannot
possibly go wrong is that when a thing that
cannot possibly go wrong goes wrong it
usually turns out to be impossible
to get at or repair.
-- The Hitchhiker's Guide to the Galaxy

PUNNITSE RISKIT JA MAHDOLLISUUDET
Lisääntyvät tietoturva- ja tietosuojavaatimukset
Digitaalisten ympäristöjen kompleksisuus
Muutoksen nopeus
Kehittyvät tietoturvauhat
teknologia
liiketoiminta
tietoturva
regulaatio
Innovaatiot
Aika
Pilviteknologia, robotiikka, tekoäly, lennokit,
lohkoketjut, 3D tulostus, kvanttiteknologia, 5G,
autonomiset laitteet, esineiden internet (IoT),
älykkäät kaupungit, lisätty todellisuus,…
44

MÄÄRITELMIÄ
Riskinottohalu on riskin määrä, jonka organisaatio on valmis
ottamaan pyrkiessään asettamiinsa tavoitteisiin
Riskinsietokyky on riskin suuruus, johon organisaatio on valmis
sitoutumaan riskien määrittelyn jälkeen.
Riskienhallinta on toiminto, jolla johdetaan ja ohjataan
organisaation riskejä.
Riski tarkoittaa epävarmuuden vaikutusta tavoitteisiin,
poikkeamaa odotetusta. Vaikutus voi olla myönteinen tai
kielteinen odotettuun verrattuna.
Riskienhallintapolitiikka sisältää organisaation päättämät,
kuvaamat ja dokumentoimat riskienhallintaan liittyvät periaatteet
ja tavoitteet.
Staattinen riski kohdistuu omaisuuteen, dynaaminen riski
tavoitteeseen. Tietoriski kohdistuu tietoon tai tiedon olomuotoon.
46

RISKIKAAVA
Uhka
Uhka-
tapahtuma
Haavoittuvuus
Vaikutus
toiminnalle
Tietoriski
Toden-
näköisyys
Vaikutus Riski
Mahdollistaa Hyödyntää Aiheuttaa
Hyväksy
Pienennä
Vältä
Siirrä
47

RISKIENHALLINNAN VIITEKEHYS
VAHTI: Ohje riskienhallintaan
Riskiluokkia esim.
• Strategiset riskit
• Taloudelliset riskit
• Liikeriskit
• Sopimusriskit
• Operatiiviset riskit
• Henkilöriskit
• Tietoriskit
• Tuoteriskit
• Projektiriskit
• Vahinkoriskit
• Keskeytysriskit
• Paloriskit
• Rikosriskit
• Ympäristöriskit
48

TIETOTURVAN SUHDE RISKIENHALLINTAAN
Yrityksen toiminnan jatkuminen
(liiketoiminnan olemassaolon perusedellytys)
Tietoturvallisuuden ja operatiivisten riskien hallinnan ohjausmenettelyt
Riskienhallinnan ohjaus
(luo puitteet toiminnan jatkumisen turvaamiselle)
Operatiiviset riskit, tietosuoja ja
vaatimustenmukaisuus
Prosessit,
palvelut
Tietoturvallisuus
Järjestelmät
Henkilöt,
identiteetit
Tieto
Tilat,
materiaalit
49

TARVITTAVIEN INVESTOINTIEN ARVIOINTI
• Riskiarvio
• Toimenpidesuunnitelma
• Kustannuslaskelma
• Tarvittavat resurssit
• ROI, ROSI, CINI?
• Ratkaisuvaihtoehdot:
minimiratkaisu vs.
optimaalinen ratkaisu vs.
maksimaalinen tietoturva
Esimerkki
• Uhan arvioidaan toteutuvan 3 vuoden välein, ARO 33%
• Ilman suojausta toteutuneen uhan vaikutukset euroina 290-350 k€
• Suojauksen ollessa käytössä vaikutukset 1-10 k€
• Suojautumiskulut 4 k€/kk
→
• ROSI ~160 k€ (3 v) 64% varmuustasolla
• Break-even ARO 13% (uhka toteutuu 7-8 v. välein)
• 80% varmuustaso, jos ARO 50% (uhka toteutuu joka 2. vuosi)
50

KYBERRISKIT

RISKIPROFIILIT
• Riskihakuinen ”maksaa” riskistä
• Riskinvälttäjä ”maksaa” riskin
pienentämisestä
• Riskiprofiilit vaikuttavat
riskien arviointiin
• Riskiprofiilit voivat vaihdella
tilanteiden tai ajanhetkien
mukaan

FIILIS VS. JÄRKI RISKIENHALLINNASSA
• Vältämme riskejä varmistaaksemme tuotot - hyväksymme helpommin tappion
aiheuttavia riskejä
• Tapahtumien todennäköisyys on helposti manipuloitavissa. Arvostamme
näennäistä varmuutta enemmän kuin epävarmuuden vähentämistä – vaikka
lopputulos olisi sama
• Sama omaisuus on arvokkaampi itsellä kuin toisella
• Useampi peräkkäinen menetys tuntuu isommalta kuin yksi iso,
kokonaisarvoltaan samansuuruinen menetys
• Olemme taipuvaisempia hyväksymään tekemättä jättämisen riskin kuin
mahdollisen muutoksen aiheuttaman riskin
• Välitön tuotto/tappio tuntuu merkittävämmältä kuin sama tuotto/tappio
tulevaisuudessa
• Meillä on pyrkimys vahvistaa tehtyjä päätöksiä sen sijaan, että arvioimme
objektiivisesti nykytilannetta

YHTEENVETO
• Riskien arviointi on perusta oikeantasoisten tietoturva-
toimenpiteiden löytämiseksi
• Riskien arviointiin, hallintaan ja raportointiin tarvitaan
formaalit toimintamallit
• Riskejä ei voi totaalisesti poistaa – on ymmärrettävä
jäännösriski
• Kyberriskit ulottuvat lähes kaikkeen toimintaan
• Riskien oikea arviointi ei ole helppoa – huomioi erilaiset
riskiprofiilit ja ajatusvirheet
17.5.2021 54

KUMPPANIEN TIETOTURVAKYVYKKYYS
Never trust anyone you don't understand.
-- Jack Trout

VERKOSTOITUMISEN VAIKUTUKSIA
• Kumppaneiden määrä lisääntyy, palveluketjut pitenevät
• Aidossa kumppanuudessa ei ole isäntää eikä renkiä
• Kumppaneita tulee ja menee
• Monimutkaisuus ja integraatiot lisääntyvät
• Yleensä huono näkyvyys 1. tason taakse
• Liian tiukat turvallisuusvaatimukset ja –sopimukset
voivat tuhota ketteryyden
• Tietoturvassa on keskityttävä oleelliseen, kaikkea ei voi hallita
• Tietoturvayllätyksiä voi aiheuttaa taho, joka ei ole kontrollissasi
• Organisaatioilla ei ole hyvää kuvaa siitä, kuinka ja mitä tietoa
kumppaneiden kanssa jaetaan.
• Tietosi voivat olla pilvessä tietämättäsi
• Toimitusketjuhyökkäykset, esim. SolarWinds, Exchange
17.5.2021 56

ULKOISTEN PALVELUJEN HANKINTA
• Kuvaa mitä tietoturvallinen palvelu kussakin tapauksessa tarkoittaa
– Suojattavat tiedot, käyttäjät, riskit liiketoiminnalle
• Selvitä palvelun tietoturvataso
– Toimittajan turvallisuustoiminnan periaatteet ja hallintamalli
– Palvelun turvallisuuskuvaus
– Turvallisuussertifikaatit ja auditointiraportit
– Palveluntarjoajan kumppanit
• Palveluntarjoaja → sovellustoimittaja → integraattori → julkinen pilvi → konekeskus
• Sovi tietoturvavaatimuksista ja -tehtävistä kirjallisesti
– Sanktiot
• Mikäli tietoturvavaatimuksista ei voi erikseen sopia, arvioi palvelun
tietoturvalupaus ja –toimenpiteet huolellisesti
• Tutustu HVK Digipoolin ohjeisiin: Kyberturva ICT-sopimuksissa ja
Varautuminen ja toiminta kyberhäiriötilanteissa
Photo by Alina Grubnyak on Unsplash
17.5.2021 57

KUMPPANIN TIETOTURVATASON ARVIOINTI
17.5.2021
Lähde:ISF
Arviointitapa Toistettavuus Arvioinnin
syvyys
Arvioinnin
laajuus
Kustannus
tehokkuus
Resursoinnin
helppous
Toimenpiteiden
käynnistäminen
Avoimet lähteet (OSINT)
Turvallisuusprofiilit
(security rating)
Omien tietoturva-
ratkaisujen käyttö
Sovittu tiedonjako-
mekanismi
Ítsearviointi
Tietoturva-sertifiointi
Erillinen auditointi
58

VAADI TURVALLISUUSSOPIMUKSELLA
1. Sitoutumista asiakkaan sisäisiin ja ulkoisiin
turvallisuusvaatimuksiin
2. Palveluun liittyvien henkilöiden
vaitiolositoumukset ja tarvittaessa
turvallisuusselvitykset
3. Asiakkaan luottamuksellisen tiedon suojaaminen
4. Tietosuojasta huolehtiminen
5. Sitoutumista valittuihin turvallisuusstandardeihin
ja parhaisiin käytäntöihin
6. Valitsemasi turvallisuusratkaisut ja niiden
palvelutaso
7. Palvelun riittävän turvallisuustason osoittaminen
8. Palveluun liittyvien henkilöiden
turvallisuusosaamisen varmistaminen
9. Palvelun ja tietojen eriyttäminen muista
asiakkaista
10.Sovitut toimintatavat työskennellessä
asiakkaan tiloissa
11.Mahdollisuus palvelun tarkastukseen ja
vertaisarviointiin
12.Turvallisuuden huomiointi sovelluksissa ja
sovelluskehityksessä
13.Jatkuvuussuunnittelua ja suunnitelmien testaamista
14.Tietojen turvallinen poisto käytöstä
poistettavilta laitteilta
15.Säännöllistä raportointia ja mittareita
16.Poikkeamien ilmoittamista ja ripeää
käsittelyä – myös läheltä piti tilanteissa
17.Sitoutumista sanktioihin
18.Turvallisuuden jatkuvaa kehittämistä ja
yhteistyötä
17.5.2021 59

RA(S)CI-TAULUKKO SELKEYTTÄÄ VASTUUT
• Mitä selkeämmin vastuut on määritelty kumppanin
kanssa, sitä vähemmän tulkinnanvaraa myöhemmin.
• Responsible - suorittaa annetun tehtävän
• Accountable - vastaa ja valvoo, että tehtävä tulee valmiiksi
• (Support – tukee aktiviteetin toteuttamista)
• Consulted – antaa tarvittaessa ohjeita ja neuvoja
• Informed – saa tiedon tehtävän suorittamisesta
• Kts. Digipoolin julkaisu: Kyberturva ICT-sopimuksissa
60

MUUTAMIA KOETELTUJA MITTAREITA
• Tietoturvasertifiointi (esim. ISO 27001)
• Tietoturva-arviointiraportti (esim. ISAE 3402)
• Tietoturvaskannausten ja tunkeutumistestausten havainnot
• Tietoturvakorjausten asennusaika ja peitto
• Haittaohjelmatapaukset
• Tietoturvapoikkeamat
• Tietoturvariskit
• Jatkuvuussuunnittelun status
• Vertaisarviointi
17.5.2021 61

KUMPPANIYHTEISTYÖMALLI
Palvelun kokonaisseuranta → turvallisuustilanne, eskaloinnit
Tietoturvallisuuden yhteistyökokoukset → jatkuva yhteistyö, raportointi
Sovitut toimintamallit → tietoturvavaatimusten toteutus, RACI
Palvelusopimus → SLA, mittarit, sanktiot
Turvallisuussopimus → tietoturvavaatimukset ja -tavoitteet
Tarkastukset ja arvioinnit → ulkoinen tarkastus, vertaisarviointi
17.5.2021 62

HYVÄT JA HUONOT UUTISET
• Turvallisuussopimus sitouttaa kumppanit hyvin
• Turvallisuussopimusmalli pakottaa sopimaan palvelun tietoturvasta
• Varaa reilusti aikaa sopimusvääntöön
• Sopimusneuvottelijat eivät aina ymmärrä turvallisuuspalveluiden ja
mittareiden käytännön vaatimuksia
• Turvallisuussopimus määräävänä sopimuksena saattaa hankaloittaa
”kevyempien” palvelujen hankintaa
• Sopivien (sanktioitavien) mittareiden määrittely haastavaa, mutta
kannattaa
• Turvallisuusopimusta on hiottava lähes jokaisen kumppanin kanssa
• Turvallisuusvaatimuksia voidaan käyttää tekosyynä tekemisiin tai
tekemättä jättämisiin
• Muista vanha totuus: sopimukset laaditaan yhteisymmärryksessä, mutta
niitä tulkitaan pahimmillaan täyden erimielisyyden vallitessa
© Aalto University Professional Development - Kyberturvallisuuden osaaja - JaPi Photo by Elijah O'Donnell on Unsplash
17.5.2021 63

PILVEE, PILVEE, PILVEE…
SaaS
PaaS
IaaS
Lähde: Viestintävirasto,
Pilvipalveluiden_tietoturva_organisaatioille
17.5.2021 64

PILVIPALVELUROOLIT
© Aalto University Professional Development - Kyberturvallisuuden osaaja - JaPi 65

ULKOISTAMINEN VAATII JOHTAMISTA
Ohjelmisto
(SaaS)
Alusta
(PaaS)
Infra-
struktuuri
(IaaS)
Yksityinen Yhteisö Hybridi Julkinen
KONTROLLI LUOTTAMUS
KONTROLLI
LUOTTAMUS
Tarvittava
osaaminen
Järjestelmät omassa
vs. palveluntarjoajan
hallussa
Omassa
hallussa
Palvelun-
tarjoajalla
Kumppanuuksien
johtaminen
Projektien
johtaminen
Tekniset taidot
17.5.2021 66

PILVIPALVELU –SOPIMUKSISSA HUOMIOITAVAA
• Käytettävä palvelu- ja/tai hankintamalli
• Kuka omistaa tiedon, kenellä on käyttö- ja käsittelyoikeus
• Tiedon / palvelun / palvelimen maantieteellinen sijainti
• Pilvipalveluun tallennettavia tietoja koskevat rajoitukset
• Pilvipalvelua koskevat tietoturvallisuusvaatimukset
– Tekninen, fyysinen ja henkilöstöturvallisuus
– Tallennetun tiedon varmuuskopiointi
– Tiedon salaaminen siirrettäessä, tiedon tuhoaminen
– Asiakkaiden tietojen erottelu
– Tietoturvaloukkausten ja häiriötilanteiden käsittelyä koskevat menettelyt
• Palvelutasot
• Palvelun tarjoaminen poikkeustilanteissa
• Sopimukseen sovellettava lainsäädäntö ja oikeuspaikka
• Henkilötietojen käsittelyä koskevat vaatimukset
Lähde: Viestintävirasto, Pilvipalveluiden_tietoturva_organisaatioille
17.5.2021 67

PILVIERIKOISUUKSIA
• Pilvipalveluissa sopimusten ja käyttöehtojen rooli korostuu
• Kokemukseni mukaan pilvipalveluissa tietoturvallisuus on hoidettu hyvin
– Ainakin isoilla/tunnetuilla toimijoilla
– Kaikkea tietoa ei saa kirjallisesti
• Pilvipalvelussa tietoturvaa ei hoideta perinteisin keinoin
– Pilvipalvelun uudenlaiset käyttötavat
– Pilvipalvelussa saatavat ratkaisut
• Pilvipalvelusta voi saada käyttöön tietoturvaratkaisuja, jotka
omassa IT-ympäristössä olisivat liian kalliita tai työläitä
– Lokien talletus, analytiikka, DLP, IDS,…
• Valtiollisten toimijoiden takaportit huolena
• Käyttöehdot ja hinnoittelu voi muuttua ”hetkessä”
17.5.2021 68

SUURIMMAT TIETOTURVAHUOLET PILVESSÄ
Lähde: Cloud Security Alliance, Top threats to cloud computing
Photo by Hugo Jehanne on Unsplash
1. Tietovuodot
2. Konfiguraatiovirheet ja riittämätön muutosten hallinta
3. Puutteellinen pilven turvallisuusstrategia ja -arkkitehtuuri
4. Heikko käyttäjätietojen, pääsyoikeuksien ja salausavainten
hallinta
5. Käyttäjätilin kaappaus
6. Sisäiset väärinkäytökset
7. Turvattomat ohjelmointirajapinnat
8. Riittämätön infrastruktuurin logiikan ja
turvallisuuden kontrolli
9. Meta- ja sovelluskerroksen heikkoudet
10.Riittämätön näkyvyys pilven käyttöön
11.Pilvipalvelujen väärinkäyttö
17.5.2021 69

YHTEENVETO
• Arvioi kumppanin tietoturvataso ja -turvariskit
– Tunnista tietoturvatarpeesi
– Arvioi kumppanin tietoturvakypsyyttä ja toimintaa
• Aseta mitattavat, sanktioidut tietoturvavaatimukset
– Sovi tietoturvavelvoitteista kirjallisesti – mitä
tarkemmin sen paremmin
– Aseta tietoturvatavoitteet – jätä keinot kumppanin
päätettäväksi – mittaa teho
• Älä pelkää pilveä
– Huomioi pilvipalveluiden uudenlaiset käyttötavat ja
sudenkuopat
17.5.2021 70

OHJELMISTOJEN TURVALLISUUS
As a software industry, we’ve continued
to build stuff and throw it all over the wall
and tell operations how to figure out how
to secure it - that won’t scale anymore.
-- Ted Schlein

TIETOJA VUOTAA VALTAVASTI
17.5.2021 Lähde: informationisbeautiful.net
2021
2015
2004
2010
72

DATA BREACH REPORT 2021
https://enterprise.verizon.com/resources/reports/2021-data-breach-investigations-report.pdf
73

HELPPOJA VIRHEITÄ
17.5.2021
”Jag är ingen hackare men det tog
inte mer än fem minuter att hitta de
uppgifter jag hittade, säger
föräldern till Computer Sweden.”
-- @mansj in Computer Sweden
74

ALGORITMEILLA NOPEAT VOITOT – JA TAPPIOT
17.5.2021
Lähde: Motherboard
75

KAIKKI EI OLE FIKSUA, MIKÄ ON MAHDOLLISTA
17.5.2021 76

Riskien arviointi Vaatimukset… Hallittu riski
…ja suunnitelma
FOKUS
SOVELLUSKEHITYKSEN ”KYPSYYSMALLI”
77

TURVALLINEN VERKKOPALVELU
17.5.2021
Asiakas/käyttäjä Verkkopalvelu Kumppanit
→ Käyttäjätunnistus
→ Helppokäyttöisyys
→ Opastus / koulutus
→ Laadukas toteutus
→ Turvallinen arkkitehtuuri
→ Tietosuojan huomiointi
→ Huolellinen ylläpito
→ Häiriöihin varautuminen
→ Tietoturvavaatimukset
→ Tietosuojavaatimukset
→ Salassapitovaatimus
→ SLA / sanktiot
78

LAADUKAS PALVELU
• Sisäänrakennettu tietoturva
• Sisäänrakennettu tietosuoja
• Oletusarvoinen tietoturva ja –suoja
• Tietoturvallinen palvelu <> tietoturvapalvelu
17.5.2021 79

KOODI ON LAKI
• Raha → bittejä
• Lompakko → koodia
• Maksaminen → protokolla
• Kaupankäyntitapahtuma → transaktio
• Pankkiholvi / kassa → tietokanta
• Pankki / kauppa → sovellus
• Pankkitoimihenkilö → algoritmi
• Asiakaspalvelu → robotti
17.5.2021 80

KOODIA ON KAIKKIALLA - PALJON
17.5.2021
Lähde: ISF Threat Horizon 2018
81

KUKA VASTAA OHJELMISTON TOIMIVUUDESTA JA TIETOTURVASTA?
17.5.2021 82

SOVELLUSKEHITYS ON JATKUVASSA MUUTOKSESSA
17.5.2021 83

PERINTEISET LÄHESTYMISTAVAT SOVELLUSTEN TURVAAMISEEN
• Yritetään kovemmin
– Luottamus sovelluskehittäjien henkilökohtaiseen osaamiseen
→ Sovelluskehittäjillä ei välttämättä ole osaamista tuottaa turvallista koodia
• Korjataan myöhemmin
– IT-osasto hoitaa suojaukset palomuureilla ja salauksella
→ Näin ei suojata sovellusta, vaan muuta infrastruktuuria sovellukselta
• Tarkastetaan lopputulos
– Palkataan asiantuntija etsimään valmiin sovelluksen tietoturvavirheet
→ Laatua ei saa pelkästään testaamalla/tarkastamalla
17.5.2021
Nämä tavat eivät toimi!
84

ENSIMMÄISET ASKELEET SOVELLUSTEN TURVAAMISEEN
• Teetä tietoturvatarkastus
– Jos et osaa, hanki apua pahimpien virheiden löytämiseksi
– Käytä tarkastuksen tuloksia oman toiminnan parantamiseen
• Kouluta sovellustietoturvaa
– Siis tekemään hyviä sovelluksia, ei ”hakkerointia”
– Toteutusvirheet vs. suunnittelu- ja arkkitehtuurivirheet
• Selvitä tietoturvavaatimukset
– Hyvin suunniteltu on puoliksi tehty
– Uhka- ja riskianalyysit avuksi
• Tietoturvakatselmoinnit
– Parantaa tekijöiden asennetta, osaamista ja lopputuloksen laatua
• Sovellustietoturvaryhmän perustaminen
– Yhteinen kieli ja sovelluskehityksen ymmärtäminen
17.5.2021 85

TIETOTURVA ON INTEGROITAVA SOVELLUSKEHITYSMALLIIN
• Standardit ja toimialavaatimukset edellyttävät tietoturvan huomioimista
sovelluskehitysprosessissa
– Yleensä keskitytään vain toiminnallisuuteen ja kustannustehokkuuteen
– Apua ja ohjeita kyllä löytyy: BSIMM, SAMM, MS SDL, OWASP,…
• Vältä tietoturvan ”perisynti” – tuotelähtöinen suojausajattelu
– Luo fiksut toimintamallit sen sijaan, että syydät rahaa sovelluksen ”turvakuorrutukseen”
– ”Hakkerointi” on helppoa, kovat tyypit koodaavat laadukasta softaa
• Tietoturvahaasteet lisääntyvät entisestään
– Monimutkaisuus, ketteryys, uudet teknologiat ja toimintamallit
• Tasalaatua keskivertokoodareilla
– Tietoturvakoulutus, sovitut toiminta- ja toteutusmallit, jatkuva testaus
• Sovelluksen turvallisuus on osoitettava
– Hyvä menetelmä ja jäljet sen jalkautumisesta
– Riskiarviot, dokumentit, testaus- ja auditointiraportit
17.5.2021 86

SOVELLUSKEHITYKSEN TIETOTURVATEHTÄVIÄ
17.5.2021
Vaatimukset ja
käyttötapaukset
Arkkitehtuuri ja
suunnitelma
Ohjelmointi Testaus
Tuotantoon
vienti,
integrointi
Tuotanto ja
ylläpito
Tietoturva- ja
tietosuojavaatimukset,
riskiarvio,
väärinkäyttötapaukset
Uhkamallinnus,
tietoturva-katselmointi,
tietoturvan
testaussuunnitelma
Turvallinen koodi, OWASP
Top 10, koodikatselmoinnit
Automatisoitu tietoturvatestaus
(staattinen, dynaaminen, fuzzing),
riskiarvioon perustuva
tietoturvatestaus, Avoimen
lähdekoodin komponenttien
testaus
Ympäristön kovennus
ulkoinen auditointi,
murtotestaus, HackDay
Tietoturvakorjausten asennus,
varmistukset, monitorointi
säännöllinen
tietoturvaskannaus,
murtotestaukset, poikkeamien
hallinta, BugBounty-ohjelma
87

TIETOTURVASUUNNITTELUN PERIAATTEITA
• KISS
• Tarkista syöte - aina
• Turvallinen, nopea, halpa – valitse kaksi
• Kerroksellinen suojaus (sipulimalli)
• Turvaa virhetilanteet
• Oikeuksien lokerointi
• Neljän silmän periaate kriittisille tehtäville
• Älä luota sokeasti
• Hyvää tietoturvamallia ei tarvitse piilotella
• Käyttäjäystävällinen, intuitiivinen, luottamusta herättävä
17.5.2021
Photo by rawpixel on Unsplash
88

SOVELLUS VOI TOIMIA OIKEIN JA OLLA SILTI TIETOTURVARISKI
17.5.2021 89

OWASP TOP 10 – NOLOT VIRHEET
17.5.2021
Yleinen Mobiili IoT
Injektio Alustan turvaton tai virheellinen käyttö Heikot tai kiinteät salasanat
Puutteellinen käyttäjän tunnistaminen
ja istunnonhallinta
Turvaton tiedon säilytys Turvattomat verkkopalvelut
Arkaluontoisen tiedon julkistaminen Turvaton kommunikointi Ekosysteemin turvattomat rajapinnat
Ulkoiset XML-viittaukset Puutteellinen käyttäjän tunnistaminen ja
istunnonhallinta
Turvallisen päivitysmekanismin puute
Heikko pääsynhallinta Riittämätön salaus Turvattomien tai vanhentuneiden
komponenttien käyttö
Tietoturvan virheellinen konfigurointi Turvaton pääsynhallinta Riittämätön tietosuoja
Verkkosivun rakenne ei säily (XSS) Huonolaatuinen sovelluskoodi Turvaton tietojen siirto tai säilytys
Turvaton tallennetun datan muunnos
sovellusobjektiksi
Sovelluskoodin luvaton muuttaminen Laitehallinnan puute
Tunnettuja virheitä sisältävien
komponenttien käyttö
Sovelluskoodin takaisin mallintaminen Turvattomat oletusasetukset
Riittämätön lokitus ja monitorointi Ylimääräinen, turvaton toiminnallisuus Fyysisesti suojaamattomat laitteet
90

KÄYTÄNNÖSSÄ HAVAITTUJA HAASTEITA
• Osaamisen ja asenteiden kehittäminen kaikilla tasoilla
– Tietoturvavastuu, riskiajattelu, omien ratkaisujen objektiivinen arviointi
• Sovelluskehitysmallin käyttökuri
– Tietoturva täytyy sisällyttää toimintamalleihin ja mallia on noudatettava
• Tietoturva-asiantuntija syndrooma
– Tietoturva ”ulkoistetaan” tiimin ulkopuoliselle ”asiantuntijalle”
• Tarkistuslistafetissi
– Halutaan tarkistuslistoja - jääkö tilaa omalle ajattelulle?
• Tietoturvan ja ketterän kehityksen integrointi
– Tietoturva ei ole hukkaa ja toimiva sovellus on myös turvallinen
• Digitaalisen maailman huima kehitysvauhti
– Uudet teknologiat, rajapinnat, kehitysvälineet
17.5.2021 91

VAADI SOPIMUKSISSA TURVALLISIA SOVELLUKSIA 1/2
• Toimittaja vastaa siitä, että toimitetussa palvelussa käytettävät sovellukset ja
toimitettavat sovellukset ovat tietoturvallisia siten, että:
– Sovelluksiin kohdistuvat tietoturvariskit on arvioitu ja niihin on valittu hallintamenettelyt.
– Tietoturvakriittinen sovelluskoodi (esim. käyttäjätunnistus, käyttövaltuuksien käsittely,
salaus ja salausavainten käsittely) on katselmoitu.
– Sovelluksen ja sen käyttämien komponenttien tietoturvakorjaukset ovat käytössä.
– Sovelluksille on suoritettu tietoturvatestaus ja varmistettu, että OWASP Top 10
haavoittuvuuksia ja ohjelmointivirheistä aiheutuvia vakavia tietoturvavirheitä ei
sovelluksissa ole.
– Sovelluksille on suoritettu 3. osapuolen tekemä tietoturva-auditointi.
• Sovelluksissa havaitut tietoturvaongelmat on viipymättä ilmoitettava ja
korjattava.
17.5.2021 92

VAADI SOPIMUKSISSA TURVALLISIA SOVELLUKSIA 2/2
• Sovellusten suunnitteluun ja toteutukseen osallistuvilla on oltava riittävä
sovellustietoturvaosaaminen
– Projekti- ja systeemityömenetelmissä huomioidaan tietoturvavaatimukset ja –toimenpiteet.
– Sovelluskehitykseen osallistuvilla on tietämys sovellusten tietoturvasuunnittelun periaatteista
ja osaaminen tietoturvallisten sovellusten toteuttamiseksi.
– Sovelluskehittäjillä on tietämys työvälineidensä tietoturvapiirteistä ja heikkouksista.
– Sovelluskehittäjät ovat saaneet koulutusta tietoturvallisten sovellusten tekemiseen ja he
tuntevat yleisimmät sovellusten tietoturvaongelmat (OWASP Top 10) ja niiden välttämistavat.
• Toimittajan on pystyttävä jälkikäteen osoittamaan tietoturvatoimenpiteiden
toteutuminen esim. dokumentaation ja raporttien avulla.
• Sovelluskehitys- ja testausympäristöt on suojattava koodin luvattomalta
paljastumiselta ja muokkaamiselta.
17.5.2021 93

YHTEENVETO
• Sovellukset ovat tietoturvan heikoin lenkki
– Tietoturvaa ei voi tehokkaasti lisätä jälkikäteen
– Tietoturvatuotteet tyypillisesti suojaavat infrastruktuuria, eivät sovelluksia
• Tietoturvatehtävät on integroitava sovelluskehitysmalliin
– Tietoturva on huomioitava jo sovelluksen/palvelun ideointivaiheessa
– Mieti mitä käyttäjät eivät halua tapahtuvan
• Sovelluskehittäjät ja tietoturvallinen koodi avainasemassa
– Automatisoinnilla ja työkaluilla saadaan kiinni turvaton koodi ja
koodausvirheet, mutta ei hyvin koodattua virheellistä toimintaa
• Vaadi tietoturvallisia sovelluksia
– Tietoturvatestattuja ja auditoituja sovelluksia
17.5.2021 94

Kyberosaaja 17.5.21

More Related Content

What's hot

Similar to Kyberosaaja 17.5.21

More from japijapi

Kyberosaaja 17.5.21