Pilvi- ja kapasiteettipalvelut, virtualisointi – uhat ja mahdollisuudet valtionhallinnossa" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
Pilvipalvelut - vääjäämättömyys vai mahdottomuus käsiteltynä tietoturvan, arkkitehtuurin sekä tarkastuksen näkökulmista. Esitetty ISACA Helsingin kuukausikokouksessa 17.2.2011.
Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...Sonera
Soneran Jari Kentän esitys Tietoturvatapahtumasta 2014, aiheena Kiinteistöautomaatio- ja turvajärjestelmät. Lue lisää Soneran tietoturvapalveluista: http://bit.ly/1mny9aG.
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
Digitaalisten verkkopalveluiden tietoturvan perusteet viestintä- ja markkinointipäättäjille. Tietoturva sosiaalisessa mediassa. Tietovastuun käsite. Esitetty MIFin digitaalisen viestinnän koulutusohjelmassa keväällä 2013 (c) Nixu Oy, Petri Kairinen
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Sonera
Titta Penttilän esitys Tietoturva 2013 -tapahtumasta. Sisältö: 1) Käsitteet tutuiksi, 2) Millä edellytyksillä henkilötietoja voi siirtää ulkoistuskumppanille? 3) Tietosuojalainsäädännön huomioiminen ulkoistamisprosessin eri vaiheissa. Koko tutkimus osoitteessa: http://slidesha.re/Ua023Y.
Luonto- ja ohjelmapalveluiden asiakasturvallisuus -koulutukset Lapin ja Kainuun alueella loka-marraskuussa 2018. Mervi Murtonen ja Jaakko Leinonen / Tukes
Pilvi- ja kapasiteettipalvelut, virtualisointi – uhat ja mahdollisuudet valtionhallinnossa" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
Pilvipalvelut - vääjäämättömyys vai mahdottomuus käsiteltynä tietoturvan, arkkitehtuurin sekä tarkastuksen näkökulmista. Esitetty ISACA Helsingin kuukausikokouksessa 17.2.2011.
Kiinteistöautomaatio- ja turvajärjestelmät - Tietoturvatapahtuma 2014 - Jari ...Sonera
Soneran Jari Kentän esitys Tietoturvatapahtumasta 2014, aiheena Kiinteistöautomaatio- ja turvajärjestelmät. Lue lisää Soneran tietoturvapalveluista: http://bit.ly/1mny9aG.
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
Digitaalisten verkkopalveluiden tietoturvan perusteet viestintä- ja markkinointipäättäjille. Tietoturva sosiaalisessa mediassa. Tietovastuun käsite. Esitetty MIFin digitaalisen viestinnän koulutusohjelmassa keväällä 2013 (c) Nixu Oy, Petri Kairinen
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Sonera
Titta Penttilän esitys Tietoturva 2013 -tapahtumasta. Sisältö: 1) Käsitteet tutuiksi, 2) Millä edellytyksillä henkilötietoja voi siirtää ulkoistuskumppanille? 3) Tietosuojalainsäädännön huomioiminen ulkoistamisprosessin eri vaiheissa. Koko tutkimus osoitteessa: http://slidesha.re/Ua023Y.
Luonto- ja ohjelmapalveluiden asiakasturvallisuus -koulutukset Lapin ja Kainuun alueella loka-marraskuussa 2018. Mervi Murtonen ja Jaakko Leinonen / Tukes
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
Kalajoen yrityspalveluiden järjestämässä turvallisuuspainotteisessa tietoiskuseminaarissa 16.2.2017 pitämäni esitys kyberturvallisuudesta, organisaatioiden ja tietojärjestelmien suojaamisesta sekä EU:n uuden tietosuoja-asetuksen mukanaan tuomista vaatimuksista.
Esitys sisältää myös yleistä tietoa elfGROUP Kyberturvallisuuspalvelut Oy:stä ja elfGROUP:n tarjoamista pilvi- ja kyberturvallisuuspalveluista.
Elisa webinaari 23.10.2019, asiantuntijoina Matti Väliniemi ja Jukka Niiranen, aiheena Microsoft 365 tietoturvapalvelut mm. Dynamics 365:n kaltaisille liiketoimintasovelluksille pilvessä.
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama. Esitetty Ohjelmistoyrittäjät ry:n 'Tietosuoja ja tietoturva verkkoliiketoiminnassa -seminaarissa' 21.1.2015 (c) Nixu Oyj, Mikko Nurmi
Lue Nixun sivuilta lisää tietoturvapoikkeaman hallintapalvelustamme: https://www.nixu.com/fi/ratkaisut/nixu-csirt
Miksi miettiä vahvojen tunnusten hallintaa organisaatioissa. Vahvat tunnukset ovat oikeuksia, joilla on suuret oikeudet esimerkiksi tiedostoihin tai ohjelmien asennukseen ja ajoon.
Vahvoja tunnuksia on useilla henkilöillä organisaatiossa, kuten IT, kehittäjät tai liiketoimintakäyttäjillä. Usein ulkoistetuilla toiminnoilla ja käyttäjillä (kuten IT) on vahvoja tunnuksia. Kuinka siis hallita vahvoja tunnuksia ja salasanoja?
Esityksessä käydään läpi NetIQ:n eri ratkaisujen vaihtoehtoja. Esitys pidetty 17.9.2015
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
Tietoisuus ja mielipiteet kyberturvallisuudesta lisääntyvät, mutta taloudelliset reunaehdot koskettavat jokaista meistä.
CGI Suomen johtava tietoturva-asiantuntija Jan Mickos kertoo, miten saavutetaan kustannustehokas kyberturva.
Datatalouden ja tekoälyn regulaatio – missä mennään?Mindtrek
Track | Sustainable and Future-proof Tech
Joonas Mikkilä, Senior Advisor, Technology Industries Finland
Mindtrek Conference
3rd of October 2023.
Tampere, Finland
www.mindtrek.org
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
Kalajoen yrityspalveluiden järjestämässä turvallisuuspainotteisessa tietoiskuseminaarissa 16.2.2017 pitämäni esitys kyberturvallisuudesta, organisaatioiden ja tietojärjestelmien suojaamisesta sekä EU:n uuden tietosuoja-asetuksen mukanaan tuomista vaatimuksista.
Esitys sisältää myös yleistä tietoa elfGROUP Kyberturvallisuuspalvelut Oy:stä ja elfGROUP:n tarjoamista pilvi- ja kyberturvallisuuspalveluista.
Elisa webinaari 23.10.2019, asiantuntijoina Matti Väliniemi ja Jukka Niiranen, aiheena Microsoft 365 tietoturvapalvelut mm. Dynamics 365:n kaltaisille liiketoimintasovelluksille pilvessä.
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama. Esitetty Ohjelmistoyrittäjät ry:n 'Tietosuoja ja tietoturva verkkoliiketoiminnassa -seminaarissa' 21.1.2015 (c) Nixu Oyj, Mikko Nurmi
Lue Nixun sivuilta lisää tietoturvapoikkeaman hallintapalvelustamme: https://www.nixu.com/fi/ratkaisut/nixu-csirt
Miksi miettiä vahvojen tunnusten hallintaa organisaatioissa. Vahvat tunnukset ovat oikeuksia, joilla on suuret oikeudet esimerkiksi tiedostoihin tai ohjelmien asennukseen ja ajoon.
Vahvoja tunnuksia on useilla henkilöillä organisaatiossa, kuten IT, kehittäjät tai liiketoimintakäyttäjillä. Usein ulkoistetuilla toiminnoilla ja käyttäjillä (kuten IT) on vahvoja tunnuksia. Kuinka siis hallita vahvoja tunnuksia ja salasanoja?
Esityksessä käydään läpi NetIQ:n eri ratkaisujen vaihtoehtoja. Esitys pidetty 17.9.2015
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
Tietoisuus ja mielipiteet kyberturvallisuudesta lisääntyvät, mutta taloudelliset reunaehdot koskettavat jokaista meistä.
CGI Suomen johtava tietoturva-asiantuntija Jan Mickos kertoo, miten saavutetaan kustannustehokas kyberturva.
Datatalouden ja tekoälyn regulaatio – missä mennään?Mindtrek
Track | Sustainable and Future-proof Tech
Joonas Mikkilä, Senior Advisor, Technology Industries Finland
Mindtrek Conference
3rd of October 2023.
Tampere, Finland
www.mindtrek.org
This document discusses digital security and the challenges of securing systems in a changing technological landscape. It notes that terminology around information, cyber, and digital security can be confusing, and that security requirements need to be defined on a case-by-case basis. It emphasizes that security risks will continue to increase as digitalization accelerates, and that security professionals must adapt to embrace changes like cloud computing, IoT, and new technologies. The document concludes that data and trust are key currencies, that security enables digitalization when done well, and that effective security requires balancing risks with opportunities through good design principles and lifelong learning.
This document summarizes a presentation on cybersecurity realities by Jari Pirhonen, Security Director at Samlink. The presentation covers:
- An introduction of Pirhonen and his background in cybersecurity.
- Key topics in cybersecurity including digitalization trends, security objectives, the state of threats, and the importance of security governance.
- Challenges in the financial sector including legacy systems, critical infrastructure dependencies, and recent phishing and malware attacks on banks in Finland.
- Essential steps for organizations to improve security governance such as securing management support, assigning security responsibilities, identifying critical assets, training staff, and considering people, processes, technology, and suppliers.
The document discusses principles of information security and service design. It advocates designing security into systems from the start rather than adding it as an afterthought. Following human and organizational needs and understanding risk appetite are important. Security should be user-friendly, fail safely with separation of duties, and avoid relying solely on obscurity. As technology shrinks, security challenges will also need to adapt rapidly.
2. Public 11 Sept 2023
Public 11 Sept 2023
Esityksen
pääviestit • Kyberturvallisuus (tieto- ja digi-
turvallisuus) on määriteltävä ja sovittava
yhdessä palveluntarjoajan kanssa
• Sovi tietoturvavastuista ja
palvelutasoista selkeästi ja kirjallisesti –
muista raportointi ja mittaaminen
• Seuraa palvelun tietoturvatasoa
• Tee jatkuvaa yhteistyötä, riskiarviointia
ja tietoturvan parantamista yhdessä
palveluntarjoajan kanssa
• Pilvipalvelut ovat turvallisia – kunhan ne
hankitaan, konfiguroidaan, suojataan ja
hallitaan huolellisesti
2
3. Public 11 Sept 2023
Kansallinen toimialojen kyberkypsyyden selvitys 2022
Lähde: Huoltovarmuuskeskus
Kaikkia toimialoja yhdistävänä heikkoutena voitiin pitää kolmansien
osapuolten riskienhallintaa, joka jää osa-alueista heikoimmaksi koko
selvityksen skaalassa. Haasteita oli toimialasta riippuen joko omien
pääasiallisten kumppaneiden hallinnassa tai toimitusketjujen
kokonaisuuden ymmärtämisessä. Usein toistuva haaste läpi toimialojen
liittyi juuri epäselvyyksiin omien ja toimittajien vastuiden välillä.
Toimitusketjujen kautta realisoituvia kyberuhkia pidettiin yhtenä
kriittisimmistä riskeistä monella toimialalla.
3
4. Public 11 Sept 2023
EU pakottaa organisaatiot huomioimaan palveluketjujen tietoturvan
4
5. Kyberturvallisuudessa on paljon huomioitavaa
Tieto-,
kyber- ja
digitaalinen
turvallisuus
Riskien hallinta
Sovellusten turvallisuus
Tietoturvatietoisuuden
kehittäminen
Laitteiden turvallisuus
Turvallisuusstandardit ja -
kehikot
Operointi
Johtaminen
Arkkitehtuuri
Uhkatiedustelu
Vaatimustenmukaisuus
Jatkuvuuden hallinta,
resilienssi
Toimittajasuhteiden hallinta
ja palveluiden turvallisuus
Tietosuoja
Tarkastaminen
5
6. Digitalisaation vaikutuksia
• Arvoketjuista legomalliin
• Kumppaneiden ja integraatioiden määrä lisääntyy
• Palveluketjut pitenevät ja monimutkaistuvat
• Yleensä huono näkyvyys 1. tason taakse
• Organisaatioilla ei yleensä ole hyvää kuvaa siitä, kuinka ja
mitä tietoa kumppaneiden kanssa jaetaan
• Tietoturvassa on keskityttävä oleelliseen, kaikkea ei voi
hallita – luottamuksen rooli kasvaa
• Tietoturvayllätyksiä voi aiheuttaa taho, joka ei ole kontrollissasi
• Tietosi voivat olla pilvessä tietämättäsi
• Toimitusketjuhyökkäysten mahdollisuus kasvaa
6
Photo by DALL-E via Bing
7. Selvitä tietoturvatarpeesi
• Kuvaa mitä tietoturvallinen palvelu tarkoittaa organisaatiollesi
• Käsiteltävät tiedot
• Tietojen luottamuksellisuus- ja käsittelyvaatimukset
• Käyttäjät
• Kriittiset sovellukset / järjestelmät
• Jatkuvakäyttöisyysvaatimukset (SLA)
• Riskit liiketoiminnalle
• Selvitä palvelun tietoturvataso
• Toimittajan turvallisuustoiminnan periaatteet ja hallintamalli
• Palvelun tietoturvalupaus, tietoturvakuvaus ja tietoturvatoimenpiteet
• Turvallisuussertifikaatit ja auditointiraportit
• Palveluntarjoajan kumppanit
• Sovi tietoturvavaatimuksista ja -tehtävistä kirjallisesti
• Sanktiot
7
9. Palvelua toimitetaan sopimuksen mukaisesti – sovi turvallisuudesta
1. Sitoutuminen turvallisuustavoitteisiin
2. Toimittajan henkilöstön vaitiolositoumukset ja
tarvittaessa turvallisuusselvitykset
3. Luottamuksellisen tiedon suojaaminen
4. Tietosuojasta huolehtiminen
5. Sitoutumista valittuihin
turvallisuusstandardeihin ja käytäntöihin
6. Valittujen turvallisuusratkaisujen palvelutaso
7. Palvelun riittävän turvallisuustason
osoittaminen
8. Palveluun liittyvien henkilöiden
turvallisuusosaamisen varmistaminen
9. Palvelun ja tietojen eriyttäminen muista
asiakkaista
10. Sovitut toimintatavat työskennellessä
asiakkaan tiloissa
11. Mahdollisuus palvelun tarkastukseen ja
vertaisarviointiin
12. Turvallisuuden huomiointi sovelluksissa ja
sovelluskehityksessä
13. Jatkuvuussuunnittelua ja suunnitelmien
testaamista
14. Tietojen turvallinen poisto käytöstä
poistettavilta laitteilta
15. Säännöllistä raportointia ja mittareita
16. Poikkeamien ilmoittamista ja ripeää
käsittelyä – myös läheltä piti tilanteissa
17. Sitoutumista sanktioihin
18. Turvallisuuden jatkuvaa kehittämistä ja
yhteistyötä
9
10. Photo by Randy Fath on Unsplash
RA(S)CI –taulukko
auttaa selkeyttämään
vastuut
RA(S)CI – taulukko
• Responsible - suorittaa
• Accountable – vastaa/valvoo
• Support - tukee
• Consulted - neuvoo
• Informed – saa tiedon
10
12. Koeteltuja mittareita
• Tietoturvasertifiointi (esim. ISO 27001)
• Tietoturvatarkastusten havainnot (esim. ISAE 3402)
• Tietoturvaskannausten havainnot
• Tietoturvakorjausten asennusaika ja peitto
• Tietoturvapoikkeamat
• Tietoturvariskit ja niiden hallinta
• Jatkuvuussuunnitelmat ja testausten toteutuminen
• Vertaisarviointi (ISF Healthcheck, KTK Kybermittari)
12
Photo by DALL-E via Bing
13. Hyvät ja huonot uutiset
• Turvallisuussopimus sitouttaa kumppanit hyvin
• Varaa reilusti aikaa sopimusvääntöön
• Sopimusneuvottelijat eivät aina ymmärrä turvallisuus-
palveluiden ja mittareiden käytännön vaatimuksia
• Turvallisuussopimus määräävänä sopimuksena ilman
mahdollisuutta poikkeuksiin saattaa tuhota ketteryyden
• Sopivien (sanktioitavien) mittareiden määrittely on haastavaa,
mutta kannattaa
• Turvallisuusopimusta on hiottava lähes jokaisen kumppanin kanssa
• Turvallisuusvaatimuksia voidaan käyttää tekosyynä tekemisiin tai
tekemättä jättämisiin
• Vaatimustenmukaisuus ei välttämättä tarkoita riittävää tietoturvaa
• Muista vanha totuus: sopimukset laaditaan yhteisymmärryksessä,
mutta niitä tulkitaan pahimmillaan täyden erimielisyyden vallitessa
Photo by Elijah O'Donnell on Unspla
13
14. Public 11 Sept 2023
Pilvipalveluissa luottamus palveluntarjoajaan korostuu
Lähde: Kyberturvallisuuskeskus, Pilvipalveluiden_tietoturva_organisaatioille
Monipilvi
• toimintaympäristö, jossa organisaatio
käyttää enemmän kuin kahta
pilvipalvelua, useammalta kuin yhdeltä
pilvipalvelujen toimittajalta. Nämä voivat
olla niin julkisen pilven tai yksityisen
pilven palveluita useissa eri
ympäristöissä.
Suvereenipilvi
• Pilvipalvelu, jossa kaikki data, mukaan
lukien metatiedot, pysyy suvereenilla
maaperällä. Se estää ulkomaisten tahojen
pääsyn dataan kaikissa olosuhteissa.
Tallennettavaa ja käsiteltävää tietoa ei
koskaan siirretä maarajojen yli ja tiedot
pysyvät vain yhden lainkäyttöalueen
piirissä.
IaaS
PaaS
SaaS
14
Tekninen osaaminen Luottamus
Tekninen
osaaminen
Luottamus
15. Public 11 Sept 2023 15
Pilvi muuttaa toimintaa
• Arkkitehtuuri- ja toimintamallimuutos
• Toimijoiden ja sovellusten lukumäärä kasvaa
• Ketteryys- ja tehokkuusvaatimukset kasvavat
• Ei enää selkeää kontrollipistettä, kuten yrityksen palomuuri
• Infraa muokataan sovelluksissa, kaikkeen on sovellusrajapinta
• Shift-left, DevSecOps
• Pilvipalveluiden tietoturvallisuus vaihtelee
• Palvelumallilla, palveluntarjoajalla ja palvelulla merkitystä
• Isoilla/tunnetuilla toimijoilla pääsääntöisesti hyvä tietoturvataso
• Kaikkea tietoa ei saa kirjallisesti
• Pilvipalvelussa tietoturvaa ei hoideta perinteisin keinoin
• Pilvipalvelun uudenlaiset käyttötavat
• Pilvipalvelussa saatavat ratkaisut
• Tietoturvan hallintaan ei välttämättä ole hybridi-mallia
• Pilvipalvelusta voi saada käyttöön tietoturvaratkaisuja,
jotka muuten olisivat liian kalliita tai työläitä
• Lokien talletus, analytiikka, tietovuotojen ehkäiseminen,
tietoturvapoikkeamien havainnointi,…
16. Pilvipalveluiden erityishaasteita ja sudenkuoppia
Varmista erityisesti:
• Käytettävä palvelu- ja/tai hankintamalli
• Tietojen omistajuus, käyttö- ja
käsittelyoikeudet
• Tietojen / palvelun / palvelimien
maantieteellinen sijainti
• Sopimukseen sovellettava lainsäädäntö ja
oikeuspaikka
• Varmuuskopiointi
• Tietojen salaus ja avainhallinta
• Asiakkaiden tietojen eriyttäminen
• Tietoturvaloukkausten ja häiriötilanteiden
käsittely
• Pilvitietoturvaosaaminen
Varo sudenkuoppia:
• Pilvipalveluntarjoajan häviäminen
markkinoilta
• Käyttöehtojen yksipuolinen muutos
• Pilveen sopivat lisenssit
• Rajoitetut auditointimahdollisuudet
• Toiminta (ulkomaan) internet-yhteyksien
varassa
• Tietoturvapoikkeamien tutkiminen
hankaloituu
• Pääkäyttäjän tunnus on kriittinen
• Palvelun tarjoaminen poikkeusoloissa
• Palvelun lopetus ja tietojen palautus
• Suhtautuminen valtiollisiin toimijoihin
16
17. Public 11 Sept 2023 17
• Kyberturvallisuus (tieto- ja digi-turvallisuus) on määriteltävä
ja sovittava yhdessä palveluntarjoajan kanssa
• Sovi tietoturvavastuista ja palvelutasoista selkeästi ja
kirjallisesti – muista raportointi ja mittaaminen
• Seuraa palvelun tietoturvatasoa
• Tee jatkuvaa yhteistyötä, riskiarviointia ja tietoturvan
parantamista yhdessä palveluntarjoajan kanssa
• Pilvipalvelut ovat turvallisia – kunhan ne hankitaan,
konfiguroidaan, suojataan ja hallitaan huolellisesti
Lisävinkkejä:
• Digipooli: Kyberturva ICT-sopimuksissa (linkki)
• Digipooli: Varautuminen ja toiminta kyberhäiriötilanteissa (linkki)
• Digipooli: Huoltovarmuutta pilvipalveluilla (linkki)
• VM: Suositus tietoturvallisuudesta hankinnoissa (linkki)
• NCSC-UK: Supply chain security (linkki)
Pääviestit kertauksena
18. Don’t tell me what you value. Show me
your budget, and I’ll tell you what you
value.
-- Joe Biden