SlideShare a Scribd company logo

Pilvipalvelut ja tietoturva - 24.5.2011

Tomppa Järvinen
Tomppa Järvinen

Pilvipalvelut ja tietoturva, tietoturvapäivä 24.5.2011

Education
1 of 25
Download to read offline
Pilviteknologia ja tietoturva Aalto-yliopiston tietoturvapäivä 24.5.2011 Tomi Järvinen Aalto -yliopiston IT 1/26 24.5.2011
Sisältö • mitä ovat pilvipalvelut • pilvipalvelut toimittajan näkökulmasta • pilvipalvelut asiakkaan näkökulmasta • pilvipalvelut käyttäjälle • mitä palvelut maksavat • tietoturva • tutkittua • ongelmallista tietoturvan kannalta • tietoturvaetuja, niitäkin on.. • tietoturva yksityisen käyttäjän kannalta • esimerkkejä tietoturva ongelmista, rikoksista • pilvipalvelut Aallossa • pilvipalveluiden käsittely Aallossa • aallon vaatimukset pilvipalveluille 3/26
Mitä ovat pilvipalvelut, tai mikä ihmeen pilvi • News-ryhmät, IRC, forumit tai vaikka hostingpalveluiden tarjoajat ovat tarjonneet samoja asioita jo netin alkuajoista lähtien.. • Markkinointitermi joka on nyt tuotteistettu ja otettu laajalti käyttöön. ”IBM alkaa myydä "sinistä pilveä””, Tietokone 2007 • 2006 Amazon julkisti EC2 palvelun • Yhtä yleisesti hyväksyttyä määrittelyä ei ole, Pilvipalvelu on käsite tai kielikuva, jolla tarkoitetaan verkon kautta käytettäviä palveluita. Pilvipalvelu on ”vain” toimintamalli, jolla yhdistetään uusia ja vanhoja palveluita • Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille. 4/26
Pilvipalvelut toimittajien mukaan Accenture: ”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”. Tai: ”Pilvipalvelut ovat tyypillisesti paikasta riippumattomia, verkon kautta käytettäviä palveluja. Organisaation tai yksityisen henkilön tarvitsemat sovellukset, palvelut tai tiedot sijaitsevat tällöin ”pilvessä”, eli palveluntarjoajan palvelimilla. Palveluntarjoaja voi olla yritys itse, yhteistyökumppani tai ulkopuolinen yritys. ” • Palveluntarjoajille pakettiratkaisu ilman asiakaskohtaisia räätälöintejä • Ostajille helposti käyttöönotettavia palveluita, mutta vaikeita räätälöidä. 5/26
Pilvipalvelut yliopistolle Voivat tarjota • lähes rajattomat resurssit • resurssit ja kustannukset todellisen käytön mukaan • virtuaalisointi, dynaamiset muunneltavat resurssit • edulliset ohjelmistokulut • maantieteellisesti hajautettu • säästöjä investoinneissa • korkea käytettävyys. 6/26
Pilvipalvelut opetuksessa 7/26 etäluentoja yhteisöjä reaaliaikaista etäopetusta tietokantoja laskentatehoa portaaleja julkaisukanavia Virtual-World-Wide-university :)
Pilvipalvelut yksittäiselle käyttäjälle Yksittäisen käyttäjän näkökulmasta • bloggaus, Twitter, Wordpress • sähköposti, gmail • tiedostojen jako, Dropbox • Web presence, facebook, linkedin • media, itunes, Grooveshark Paikasta riippumattomia, usein ilmaisia sovelluksia, eivät vaadi eritystä asennusta tai IT-osaamista Yliopiston IT Yksikön näkökulmasta Palveluita hankitaan ja otetaan käyttöön itsenäisesti, ilman IT-yksikköä, jolloin tekninen tarkistus yhteensopivuudesta jää pois, ei osata ajatella lisenssiehtoja, tietoturvariskejä jne. Ongelmia… 8/26
Mitä pilvi maksaa, kustannukset? Washington Post lehdellä oli tarve muuntaa 17 000 PDF dokumenttia toiseen muotoon. Perinteisellä tavalla työ olisi kestänyt noin 8700 tuntia. 200 vuokrattua palvelininstanssia käyttäen työ kesti 9 tuntia ja hinnaksi tuli 144 dollaria • Amazon EC2 , Laskentatehoa painottava instanssi 0.29-1.16$/h (Unix/Windows) • RackSpace, Muisti/levytila 8Gt/320Gt 0.48$/h Toisaalta “Sony PlayStation Network attack shows Amazon EC2 is a hackers' paradise” http://www.ibtimes.com/articles/146224/20110516/.... http://goo.gl/3NS0l Houkuttelevia palveluita, MUTTA.. missä data on? Kuka siihen pääsee,? Toimittajan työntekijät? Tiedonsiirron pullonkaulat? Tietosuoja? Tiedon tuhoutuminen? Tiedon eristäminen tai salaaminen? Lisenssiehdot? Rikollisen käytön tutkinta?Lock-in, ei saada tietoa takaisin, tai toiselle?.... 9/26
Pilvipalvelut vs. Tietoturva 10/26 CA Technologies ja Ponemon Institute julkaisivat äskettäin kattavan tutkimuksen tulokset. Toimittajien vastauksista:
Pilvipalvelut vs. Tietoturva Yhteenveto CA & Ponemon institute tutkimuksen tuloksista • turvallisuutta ei koeta tärkeänä • toimittajan ovat keskittyneet tarjoamaan asiakkaiden haluamia ominaisuuksia mahdollisimman halvalla ja nopeasti • toimittajat eivä itsekään lupaa että asiakkaiden tiedot ovat riittävästi suojattu. The key finding in this study is that providers of cloud computing resources are not focused on security in the cloud. Rather, their priority is delivering the features their customers want such as low cost solutions with fast deployment that improves customer service and increases the efficiency of the IT function. As a result, providers in our study conclude that they cannot warrant or provide complete assurance that their products or services are sufficiently secure.
Pilvipalvelut ja tietoturva 12/26 Toinen tuore tutkimus. toteuttaja Context Information Security, Maaliskuu 2011; Assessing Cloud Node Security, White paper
Pilvipalvelut ja tietoturva 13/26 Context Information Security White paper, Maaliskuu 2011 , Node = Instanssi Pass Fail Unknown Findings Node Hardening 0% 100% 0 Default Nodes are Insecure User Management Methods 0% 0% 100% Not Permitted to Test Virtual Disk Separation 50% 50% 0% Flawed Disk Management Node Memory Separation 100% 0% 0% IP Network Separation 25% 75% 0% Internal Networks Insecure
Pilvipalveluiden tietoturvaongelmia Tietoturvaan liittyviä riskejä ja uhkia – tiedon häviäminen tai tietovuoto – tunnusten kaappaaminen – pilviteknologiasta aiheutuvat haavoittuvuudet (esim. rajapinnat) – tiedon fyysinen sijainti – omien tietoturvakäytäntöjen ulottaminen ulkopuoliseen palveluun, (esim. pääsynhallinta) – jaettu alusta, tiedon eristäminen tai salaaminen – pilven rikollinen tai häiriötä aiheuttava käyttö – uusi konsepti, tuntemattomat uhat 14/26
Pilvipalveluiden tietoturvaedut Yliopistolle • maantieteellisesti hajautettu • korkea käytettävyys. Virtualisointi, vikasietoisuus • homogeenisuus, samanlaisia ”koneita”, helpompi testaus, päivitys, eristetty testiympäristö • suuri toimija mahdollistaa monipuoliset turvamekanismit • hyökkäysten torjunta (IDS) • lokitus, • palomuuri • mahdollisuus virtuaalisiin verkkoihin, salatut yhteydet • mahdollisuus kryptata kaikki data, • mahdollisuus rakentaa monipuolinen Honeynet, testata järjestelmiä hyökkäyksiä vastaan. • suojautuminen DDOS hyökkäyksiä vastaan, tai hajautettu verkkohyökkäys • edullinen ja helposti käyttöönotettava järjestelmien palautus (Disaster recovery) 15/26
Yksityisen käyttäjän riskit – Facebook, Twitter, tms. tilin kaappaus – Identiteetin kaappaus, mitä tietoja ja mihin voi laittaa – haittaohjelmien levitys, koneen kaappaus – väärennetyt sovellukset (FakeAV), – kalastelu, urkitaan tunnuksia, luottokortti, salasanat – oman datan menetys, vika palvelussa tai tarjoaja lopettaa – omien tietojen, tiedostojen päätyminen vääriin käsiin. Mitään ei saa kokonaan takaisin – ”maine”, ”julkisuus”, vahingossa tai ajattelematta kirjoitetut viestit 16/26
Yksityisen käyttäjän suojautuminen • hyvä salasana – tarpeeksi vaikea, muistisääntö tai salasanojen hallintaohjelma (katso salasanaohje) – ei samaa salasanaa Aallon järjestelmissä • käytä vain koneelta jonka käyttöjärjestelmä ja ohjelmat päivitetty, erityisesti selain ja sen lisäosat • älä avaa liitteitä jos et ole 100% varma sisällöstä ja lähettäjästä • noudata varovaisuutta palvelujen käytössä. Tietoturvatoteutuksissa ”saattaa” olla puutteita. • palveluissa on helppo esiintyä toisena henkilönä. Saadessasi yhteydenoton uudelta henkilöltä varmista hänen oikea henkilöllisyytensä • ”Työminä” vs ”nettiminä” • harkitse mitä kirjoitat, missä, ja mitä tietoja itsestäsi kerrot 17/26
Esimerkkejä tietovuodoista tai muista ongelmista Palvelusta riippuen on mahdollista että palvelun sisältämät tiedot sijaitsevat ainoastaan palveluntarjoajan järjestelmässä. Tällöin on riski että järjestelmän vikaantumisen takia kaikki asiakkaan materiaali menetetään. • Amazon pilvijärjestelmä vikaantui huhtikuussa 2011, osalla asiakkaita katkos kesto yli 24h, http://www.theregister.co.uk/2011/04/29/amazon_ec2_outage_post_mortem/ • Googlen suositun verkkosähköpostin Gmailin järjestelmävirheen takia jopa 150 000 käyttäjän sähköpostit katosivat palvelusta. http://www.digitoday.fi/tietoturva/2011/02/28/gmail-kadotti-viestit-paniikkikohtaus- alkaa/20112896/66 • 4.1.2011 Hotmail sähköpostipalvelussa katosi tietoja noin 17 000 käyttäjältä. http://www.pcworld.com/businesscenter/article/215365/hotmail_data_loss_reveals_cl oud_trust_issues.html • Jopa kokonaisen operaattorin toiminta saattaa olla vaarassa. Lokakuussa 2009 tapahtui T-Mobilen käyttämässä Microsoftin pilvipalvelussa massiivinen tiedon katoaminen 18/26
Esimerkkejä tietovuodoista tai muista ongelmista Palvelun käyttäjällä ei ole aina mahdollisuutta tarkistaa palvelun luotettavuutta. Vaikka kyseessä olisi suurikin asiakas, palveluntarjoaja saattaa kieltäytyä kertomasta yksityiskohtia tavasta joilla asiakkaan materiaalia säilytetään tai käsitellään. • IRS, USA:n verovirasto pyysi lupaa Amazon EC2 pilvipalvelun auditointiin, Amazon kieltäytyi. Palvelun ongelmista aiheutuu valtavia taloudellisia menetyksiä. Sony PlayStation Network -käyttäjien luottokorttitietoja varastettiin tietomurron seurauksena. (noin 70 000 Suomessa, yli 7 miljoonaa http://www.cert.fi/varoitukset/2011/varoitus-2011-01.html • Heartland maksupalvelussa tapahtui massiivinen tietovuoto. http://www.pcworld.com/article/158038/heartland_has_no_hea Palvelu saattaa lopettaa toimintansa esimerkiksi yrityskaupan johdosta. • Yahoo hankki 1999 Geocities kotisivupalvelun 3.5 Miljardilla dollarilla, 2009 palvelu suljettiin. 19/26
Pilvipalvelut Aallossa, mitä on tekeillä, Kevään aikana on valmisteltu pilvipalveluohjeistusta Aalto-yliopiston käyttöön • yleinen pilvipalveluohje • koulutusmateriaalia • riskianalyysipohja • Wiki-sivu palveluiden käsittelyyn • kyselyt • listaukset suositelluista tai hyväksytyistä palveluista • keskustelu • sosiaalisen median käyttäytymissäännöt Ohjeistus ja sivut pyritään julkaisemaan alkukesästä 2011 20/26
Pilvipalvelut Aallossa – käyttäjän näkymä Ota aina yhteyttä asiakkuuspäälliköihin • Jos tarvitaan kokonaan uusi ratkaisu, niin hankinta tehdään yhteistyössä asiakkuuspäälliköiden kanssa • valitaan sopiva käytössä oleva palvelu - IT-palveluluettelo - palveluiden Wiki-sivu, Palveluiden Wiki-sivu • ehdotukset uusista palveluista, pyynnöt ohjautuvat aiheesta vastaavalle yksikölle • keskustelua palveluista • haku hyväksytyistä ja suositelluista palveluista Palvelun tai ratkaisun valinta tehdään vaatimusten perusteella TARVE Jos käyttöön liittyy jotain seuraavista • henkilötietojen käsittelyä • salassa pidettävää materiaalia • pankkitietojen käsittelyä • ylläpitovaatimuksia, käytettävyys 24/7 • lisenssejä • kustannuksia • suuri käyttäjämäärä, useita yksiköitä Jos palvelua tarvitaan pienen yhteisön käyttöön tai tarve on henkilökohtaiselle palvelulle, esim: • materiaalin jako • verkkotyöskentely • ”web presence” • henkilökohtainen verkkopalvelu • bloggaus • yhteisötyöskentely
Pilvipalvelut Aallossa Yliopiston vaatimukset palvelulle riippuvat käyttötarkoituksesta! Jos käyttöön liittyy jotain seuraavista • henkilötietojen käsittelyä • salassa pidettävää materiaalia • pankkitietojen käsittelyä • ylläpitovaatimuksia, käytettävyys 24/7 • lisenssejä • kustannuksia • suuri käyttäjämäärä, useita yksiköitä Asiakkaat, käyttäjä, yksiköt, tulee kehottaa ottamaan yhteyttä asiakkuuspäälliköihin Palvelun hankinnan sekä käyttöönoton aikana tulee tarkastella vaatimuksia ja varmistaa että kaikki pakolliset vaatimukset täyttyvät. 22/26
Yliopiston vaatimukset pilvipalvelulle Hyvä vaatimusmäärittely ja riskianalyysi, vaatimukset huomioitava sopimuksessa. Ota yhteys asiakkuuspäällikköön ja hankinta-asiantuntijaan • lokien kerääminen, kerätään tietoa palvelun tapahtumista ja sen käyttäjistä • auditointi - tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen taho. • tietoliikenteen salaus • läpinäkyvyys palvelun toimintaan • käyttäjien ja pääsyoikeuksien hallinta • toimittajan selvitys, tausta, omistajat 23/26
Yliopiston vaatimukset palvelulle • EU ulkopuolisen toimittajan tulee olla Safe harbor listalla, sitoutunut noudattamaan Safe harbor sopimuksen ehtoja tietosuojasta, taataan EU taso. • materiaalin täydellinen poistaminen palvelusta • materiaalin varmistuskäytäntöjen soveltuvuus omiin vaatimuksiin • palveluntarjoajan tai materiaalin maantieteellinen sijainti otettava huomioon • tiedon omistajuuden tulee säilyä yliopistolla • standardien tuki, tiedon siirtäminen toiselle palveluntarjoajalle, tai omaan haltuun tulee olla aina mahdollista. 24/26
Linkkejä Sosiaalisen median ohjeita • Vahti - Sosiaalisen median tietoturvaohje http://goo.gl/aI4p8 • Itä-Suomen yliopisto SOME ohje, http://www.uef.fi/some • EDU.fi - opettajan verkkopalvelu SOME ohje http://goo.gl/Sl2Zs • Helsingin Yliopiston Sosiaalisen median ohjeet http://wiki.helsinki.fi/display/hulibviestinta/Sosiaalisen+median+ohjeet Tutkimuksia pilviteknologiasta • Context Information Security http://www.contextis.co.uk/resources/white-papers/assessing-cloud- node-security/ • CA Technologies and the Ponemon Institute recently released the results cloud security survey. http://www.ca.com/~/media/Files/IndustryResearch/security-of-cloud-computing-providers-final- april-2011.pdf Uutisia • Think file-hosting sites guard your private data? Think again http://www.theregister.co.uk/2011/05/08/file_hosting_sites_under_attack/ • Dropbox Lied to Users About Data Security http://www.wired.com/threatlevel/2011/05/dropbox-ftc/

Recommended

Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Mirva Tapaninen
 
Yhteisöllisyys (sisäinen ja ulkoinen) ja some, Yammer
Yhteisöllisyys (sisäinen ja ulkoinen) ja some, YammerYhteisöllisyys (sisäinen ja ulkoinen) ja some, Yammer
Yhteisöllisyys (sisäinen ja ulkoinen) ja some, YammerTimo Rainio
 
Infrastructure at Scale: Apache Kafka, Twitter Storm & Elastic Search (ARC303...
Infrastructure at Scale: Apache Kafka, Twitter Storm & Elastic Search (ARC303...Infrastructure at Scale: Apache Kafka, Twitter Storm & Elastic Search (ARC303...
Infrastructure at Scale: Apache Kafka, Twitter Storm & Elastic Search (ARC303...
Amazon Web Services
 
Real time Analytics with Apache Kafka and Apache Spark
Real time Analytics with Apache Kafka and Apache SparkReal time Analytics with Apache Kafka and Apache Spark
Real time Analytics with Apache Kafka and Apache Spark
Rahul Jain
 
интересно о крокодилах
интересно о крокодилахинтересно о крокодилах
интересно о крокодилахchely111chely
 
How to make land use inventories meaningful
How to make land use inventories meaningfulHow to make land use inventories meaningful
How to make land use inventories meaningful
sneapa
 
Ela's 18th birthday
Ela's 18th birthdayEla's 18th birthday
Ela's 18th birthday
baliling
 
Pysch ch.1 pre-test
Pysch ch.1 pre-testPysch ch.1 pre-test
Pysch ch.1 pre-test
Jake Jensen
 

Recommended

Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Mirva Tapaninen
 
Yhteisöllisyys (sisäinen ja ulkoinen) ja some, Yammer
Yhteisöllisyys (sisäinen ja ulkoinen) ja some, YammerYhteisöllisyys (sisäinen ja ulkoinen) ja some, Yammer
Yhteisöllisyys (sisäinen ja ulkoinen) ja some, YammerTimo Rainio
 
Infrastructure at Scale: Apache Kafka, Twitter Storm & Elastic Search (ARC303...
Infrastructure at Scale: Apache Kafka, Twitter Storm & Elastic Search (ARC303...Infrastructure at Scale: Apache Kafka, Twitter Storm & Elastic Search (ARC303...
Infrastructure at Scale: Apache Kafka, Twitter Storm & Elastic Search (ARC303...
Amazon Web Services
 
Real time Analytics with Apache Kafka and Apache Spark
Real time Analytics with Apache Kafka and Apache SparkReal time Analytics with Apache Kafka and Apache Spark
Real time Analytics with Apache Kafka and Apache Spark
Rahul Jain
 
интересно о крокодилах
интересно о крокодилахинтересно о крокодилах
интересно о крокодилахchely111chely
 
How to make land use inventories meaningful
How to make land use inventories meaningfulHow to make land use inventories meaningful
How to make land use inventories meaningful
sneapa
 
Ela's 18th birthday
Ela's 18th birthdayEla's 18th birthday
Ela's 18th birthday
baliling
 
Pysch ch.1 pre-test
Pysch ch.1 pre-testPysch ch.1 pre-test
Pysch ch.1 pre-test
Jake Jensen
 
Ingles
InglesIngles
Ingles
Diana0496
 
Comercial2013
Comercial2013Comercial2013
Comercial2013hmnava
 
Basic dos commands
Basic dos commandsBasic dos commands
Basic dos commands
Kirti Garg
 
Presentation2
Presentation2Presentation2
Presentation2
Alba Villanueva
 
Павел Богданов
Павел БогдановПавел Богданов
Павел БогдановOleg Samoilow
 
กิจกรรม It news
กิจกรรม It newsกิจกรรม It news
กิจกรรม It news
Pop Saranai
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Pilvipalvelut
PilvipalvelutPilvipalvelut
PilvipalvelutElias Aarnio
 
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Immo Salo
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Petri Aukia
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
guest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
Kim Westerlund
 
Verkkoaseman pilvipalvelut
Verkkoaseman pilvipalvelutVerkkoaseman pilvipalvelut
Verkkoaseman pilvipalvelutVerkkoasema Oy
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019
lokori
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Immo Salo
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016
rierjarv
 
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
Gapps
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABC
Harto Pönkä
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavat
TIEKE Finnish Information Society Development Centre
 
Mission impossible
Mission impossible Mission impossible
Mission impossible
Jyrki Kasvi
 
Mission impossible
Mission impossibleMission impossible
Mission impossible
TIEKE Finnish Information Society Development Centre
 
Espoon palveluväyläkokemuksia
Espoon palveluväyläkokemuksiaEspoon palveluväyläkokemuksia
Espoon palveluväyläkokemuksiaSitra / Hyvinvointi
 

More Related Content

Viewers also liked

Ingles
InglesIngles
Ingles
Diana0496
 
Comercial2013
Comercial2013Comercial2013
Comercial2013hmnava
 
Basic dos commands
Basic dos commandsBasic dos commands
Basic dos commands
Kirti Garg
 
Presentation2
Presentation2Presentation2
Presentation2
Alba Villanueva
 
Павел Богданов
Павел БогдановПавел Богданов
Павел БогдановOleg Samoilow
 
กิจกรรม It news
กิจกรรม It newsกิจกรรม It news
กิจกรรม It news
Pop Saranai
 

Viewers also liked (6)

Ingles
InglesIngles
Ingles
 
Comercial2013
Comercial2013Comercial2013
Comercial2013
 
Basic dos commands
Basic dos commandsBasic dos commands
Basic dos commands
 
Presentation2
Presentation2Presentation2
Presentation2
 
Павел Богданов
Павел БогдановПавел Богданов
Павел Богданов
 
กิจกรรม It news
กิจกรรม It newsกิจกรรม It news
กิจกรรม It news
 

Similar to Pilvipalvelut ja tietoturva - 24.5.2011

Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Immo Salo
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Petri Aukia
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
guest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
Kim Westerlund
 
Verkkoaseman pilvipalvelut
Verkkoaseman pilvipalvelutVerkkoaseman pilvipalvelut
Verkkoaseman pilvipalvelutVerkkoasema Oy
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019
lokori
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Immo Salo
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016
rierjarv
 
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
Gapps
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABC
Harto Pönkä
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavat
TIEKE Finnish Information Society Development Centre
 
Mission impossible
Mission impossible Mission impossible
Mission impossible
Jyrki Kasvi
 
Mission impossible
Mission impossibleMission impossible
Mission impossible
TIEKE Finnish Information Society Development Centre
 
Palveluväyläkokemuksia, Espoon palveluväyläpilotti
Palveluväyläkokemuksia, Espoon palveluväyläpilottiPalveluväyläkokemuksia, Espoon palveluväyläpilotti
Palveluväyläkokemuksia, Espoon palveluväyläpilotti
Sitra / Hyvinvointi
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-Nebula
Telia Inmics-Nebula
 
Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to
 
Tietoturva ja Internet (luento)
Tietoturva ja Internet (luento)Tietoturva ja Internet (luento)
Tietoturva ja Internet (luento)
Tieto- ja viestintätekniikkakoulu
 

Similar to Pilvipalvelut ja tietoturva - 24.5.2011 (20)

Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
 
Pilvipalvelut
PilvipalvelutPilvipalvelut
Pilvipalvelut
 
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Verkkoaseman pilvipalvelut
Verkkoaseman pilvipalvelutVerkkoaseman pilvipalvelut
Verkkoaseman pilvipalvelut
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016
 
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABC
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavat
 
Mission impossible
Mission impossible Mission impossible
Mission impossible
 
Mission impossible
Mission impossibleMission impossible
Mission impossible
 
Espoon palveluväyläkokemuksia
Espoon palveluväyläkokemuksiaEspoon palveluväyläkokemuksia
Espoon palveluväyläkokemuksia
 
Palveluväyläkokemuksia, Espoon palveluväyläpilotti
Palveluväyläkokemuksia, Espoon palveluväyläpilottiPalveluväyläkokemuksia, Espoon palveluväyläpilotti
Palveluväyläkokemuksia, Espoon palveluväyläpilotti
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-Nebula
 
Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013
 
Tietoturva ja Internet (luento)
Tietoturva ja Internet (luento)Tietoturva ja Internet (luento)
Tietoturva ja Internet (luento)
 

More from Tomppa Järvinen

Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
Tomppa Järvinen
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012
Tomppa Järvinen
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Tomppa Järvinen
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016
Tomppa Järvinen
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for development
Tomppa Järvinen
 
Information security and research data
Information security and research dataInformation security and research data
Information security and research data
Tomppa Järvinen
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015
Tomppa Järvinen
 
Data protection in Practice
Data protection in PracticeData protection in Practice
Data protection in Practice
Tomppa Järvinen
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Tomppa Järvinen
 
Safe use of cloud - alternative cloud
Safe use of cloud - alternative cloudSafe use of cloud - alternative cloud
Safe use of cloud - alternative cloud
Tomppa Järvinen
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Tomppa Järvinen
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaTomppa Järvinen
 
Service goes accessible_2013_sh
Service goes accessible_2013_shService goes accessible_2013_sh
Service goes accessible_2013_sh
Tomppa Järvinen
 

More from Tomppa Järvinen (13)

Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for development
 
Information security and research data
Information security and research dataInformation security and research data
Information security and research data
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015
 
Data protection in Practice
Data protection in PracticeData protection in Practice
Data protection in Practice
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
 
Safe use of cloud - alternative cloud
Safe use of cloud - alternative cloudSafe use of cloud - alternative cloud
Safe use of cloud - alternative cloud
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
 
Service goes accessible_2013_sh
Service goes accessible_2013_shService goes accessible_2013_sh
Service goes accessible_2013_sh
 

Pilvipalvelut ja tietoturva - 24.5.2011

  • 1. Pilviteknologia ja tietoturva Aalto-yliopiston tietoturvapäivä 24.5.2011 Tomi Järvinen Aalto -yliopiston IT 1/26 24.5.2011
  • 2. Sisältö • mitä ovat pilvipalvelut • pilvipalvelut toimittajan näkökulmasta • pilvipalvelut asiakkaan näkökulmasta • pilvipalvelut käyttäjälle • mitä palvelut maksavat • tietoturva • tutkittua • ongelmallista tietoturvan kannalta • tietoturvaetuja, niitäkin on.. • tietoturva yksityisen käyttäjän kannalta • esimerkkejä tietoturva ongelmista, rikoksista • pilvipalvelut Aallossa • pilvipalveluiden käsittely Aallossa • aallon vaatimukset pilvipalveluille 3/26
  • 3. Mitä ovat pilvipalvelut, tai mikä ihmeen pilvi • News-ryhmät, IRC, forumit tai vaikka hostingpalveluiden tarjoajat ovat tarjonneet samoja asioita jo netin alkuajoista lähtien.. • Markkinointitermi joka on nyt tuotteistettu ja otettu laajalti käyttöön. ”IBM alkaa myydä "sinistä pilveä””, Tietokone 2007 • 2006 Amazon julkisti EC2 palvelun • Yhtä yleisesti hyväksyttyä määrittelyä ei ole, Pilvipalvelu on käsite tai kielikuva, jolla tarkoitetaan verkon kautta käytettäviä palveluita. Pilvipalvelu on ”vain” toimintamalli, jolla yhdistetään uusia ja vanhoja palveluita • Ubuntusta tunnettu Simon Wardley löysi 67 erilaista määritelmää pilvipalveluille. 4/26
  • 4. Pilvipalvelut toimittajien mukaan Accenture: ”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”. Tai: ”Pilvipalvelut ovat tyypillisesti paikasta riippumattomia, verkon kautta käytettäviä palveluja. Organisaation tai yksityisen henkilön tarvitsemat sovellukset, palvelut tai tiedot sijaitsevat tällöin ”pilvessä”, eli palveluntarjoajan palvelimilla. Palveluntarjoaja voi olla yritys itse, yhteistyökumppani tai ulkopuolinen yritys. ” • Palveluntarjoajille pakettiratkaisu ilman asiakaskohtaisia räätälöintejä • Ostajille helposti käyttöönotettavia palveluita, mutta vaikeita räätälöidä. 5/26
  • 5. Pilvipalvelut yliopistolle Voivat tarjota • lähes rajattomat resurssit • resurssit ja kustannukset todellisen käytön mukaan • virtuaalisointi, dynaamiset muunneltavat resurssit • edulliset ohjelmistokulut • maantieteellisesti hajautettu • säästöjä investoinneissa • korkea käytettävyys. 6/26
  • 7. Pilvipalvelut yksittäiselle käyttäjälle Yksittäisen käyttäjän näkökulmasta • bloggaus, Twitter, Wordpress • sähköposti, gmail • tiedostojen jako, Dropbox • Web presence, facebook, linkedin • media, itunes, Grooveshark Paikasta riippumattomia, usein ilmaisia sovelluksia, eivät vaadi eritystä asennusta tai IT-osaamista Yliopiston IT Yksikön näkökulmasta Palveluita hankitaan ja otetaan käyttöön itsenäisesti, ilman IT-yksikköä, jolloin tekninen tarkistus yhteensopivuudesta jää pois, ei osata ajatella lisenssiehtoja, tietoturvariskejä jne. Ongelmia… 8/26
  • 8. Mitä pilvi maksaa, kustannukset? Washington Post lehdellä oli tarve muuntaa 17 000 PDF dokumenttia toiseen muotoon. Perinteisellä tavalla työ olisi kestänyt noin 8700 tuntia. 200 vuokrattua palvelininstanssia käyttäen työ kesti 9 tuntia ja hinnaksi tuli 144 dollaria • Amazon EC2 , Laskentatehoa painottava instanssi 0.29-1.16$/h (Unix/Windows) • RackSpace, Muisti/levytila 8Gt/320Gt 0.48$/h Toisaalta “Sony PlayStation Network attack shows Amazon EC2 is a hackers' paradise” http://www.ibtimes.com/articles/146224/20110516/.... http://goo.gl/3NS0l Houkuttelevia palveluita, MUTTA.. missä data on? Kuka siihen pääsee,? Toimittajan työntekijät? Tiedonsiirron pullonkaulat? Tietosuoja? Tiedon tuhoutuminen? Tiedon eristäminen tai salaaminen? Lisenssiehdot? Rikollisen käytön tutkinta?Lock-in, ei saada tietoa takaisin, tai toiselle?.... 9/26
  • 9. Pilvipalvelut vs. Tietoturva 10/26 CA Technologies ja Ponemon Institute julkaisivat äskettäin kattavan tutkimuksen tulokset. Toimittajien vastauksista:
  • 10. Pilvipalvelut vs. Tietoturva Yhteenveto CA & Ponemon institute tutkimuksen tuloksista • turvallisuutta ei koeta tärkeänä • toimittajan ovat keskittyneet tarjoamaan asiakkaiden haluamia ominaisuuksia mahdollisimman halvalla ja nopeasti • toimittajat eivä itsekään lupaa että asiakkaiden tiedot ovat riittävästi suojattu. The key finding in this study is that providers of cloud computing resources are not focused on security in the cloud. Rather, their priority is delivering the features their customers want such as low cost solutions with fast deployment that improves customer service and increases the efficiency of the IT function. As a result, providers in our study conclude that they cannot warrant or provide complete assurance that their products or services are sufficiently secure.
  • 11. Pilvipalvelut ja tietoturva 12/26 Toinen tuore tutkimus. toteuttaja Context Information Security, Maaliskuu 2011; Assessing Cloud Node Security, White paper
  • 12. Pilvipalvelut ja tietoturva 13/26 Context Information Security White paper, Maaliskuu 2011 , Node = Instanssi Pass Fail Unknown Findings Node Hardening 0% 100% 0 Default Nodes are Insecure User Management Methods 0% 0% 100% Not Permitted to Test Virtual Disk Separation 50% 50% 0% Flawed Disk Management Node Memory Separation 100% 0% 0% IP Network Separation 25% 75% 0% Internal Networks Insecure
  • 13. Pilvipalveluiden tietoturvaongelmia Tietoturvaan liittyviä riskejä ja uhkia – tiedon häviäminen tai tietovuoto – tunnusten kaappaaminen – pilviteknologiasta aiheutuvat haavoittuvuudet (esim. rajapinnat) – tiedon fyysinen sijainti – omien tietoturvakäytäntöjen ulottaminen ulkopuoliseen palveluun, (esim. pääsynhallinta) – jaettu alusta, tiedon eristäminen tai salaaminen – pilven rikollinen tai häiriötä aiheuttava käyttö – uusi konsepti, tuntemattomat uhat 14/26
  • 14. Pilvipalveluiden tietoturvaedut Yliopistolle • maantieteellisesti hajautettu • korkea käytettävyys. Virtualisointi, vikasietoisuus • homogeenisuus, samanlaisia ”koneita”, helpompi testaus, päivitys, eristetty testiympäristö • suuri toimija mahdollistaa monipuoliset turvamekanismit • hyökkäysten torjunta (IDS) • lokitus, • palomuuri • mahdollisuus virtuaalisiin verkkoihin, salatut yhteydet • mahdollisuus kryptata kaikki data, • mahdollisuus rakentaa monipuolinen Honeynet, testata järjestelmiä hyökkäyksiä vastaan. • suojautuminen DDOS hyökkäyksiä vastaan, tai hajautettu verkkohyökkäys • edullinen ja helposti käyttöönotettava järjestelmien palautus (Disaster recovery) 15/26
  • 15. Yksityisen käyttäjän riskit – Facebook, Twitter, tms. tilin kaappaus – Identiteetin kaappaus, mitä tietoja ja mihin voi laittaa – haittaohjelmien levitys, koneen kaappaus – väärennetyt sovellukset (FakeAV), – kalastelu, urkitaan tunnuksia, luottokortti, salasanat – oman datan menetys, vika palvelussa tai tarjoaja lopettaa – omien tietojen, tiedostojen päätyminen vääriin käsiin. Mitään ei saa kokonaan takaisin – ”maine”, ”julkisuus”, vahingossa tai ajattelematta kirjoitetut viestit 16/26
  • 16. Yksityisen käyttäjän suojautuminen • hyvä salasana – tarpeeksi vaikea, muistisääntö tai salasanojen hallintaohjelma (katso salasanaohje) – ei samaa salasanaa Aallon järjestelmissä • käytä vain koneelta jonka käyttöjärjestelmä ja ohjelmat päivitetty, erityisesti selain ja sen lisäosat • älä avaa liitteitä jos et ole 100% varma sisällöstä ja lähettäjästä • noudata varovaisuutta palvelujen käytössä. Tietoturvatoteutuksissa ”saattaa” olla puutteita. • palveluissa on helppo esiintyä toisena henkilönä. Saadessasi yhteydenoton uudelta henkilöltä varmista hänen oikea henkilöllisyytensä • ”Työminä” vs ”nettiminä” • harkitse mitä kirjoitat, missä, ja mitä tietoja itsestäsi kerrot 17/26
  • 17. Esimerkkejä tietovuodoista tai muista ongelmista Palvelusta riippuen on mahdollista että palvelun sisältämät tiedot sijaitsevat ainoastaan palveluntarjoajan järjestelmässä. Tällöin on riski että järjestelmän vikaantumisen takia kaikki asiakkaan materiaali menetetään. • Amazon pilvijärjestelmä vikaantui huhtikuussa 2011, osalla asiakkaita katkos kesto yli 24h, http://www.theregister.co.uk/2011/04/29/amazon_ec2_outage_post_mortem/ • Googlen suositun verkkosähköpostin Gmailin järjestelmävirheen takia jopa 150 000 käyttäjän sähköpostit katosivat palvelusta. http://www.digitoday.fi/tietoturva/2011/02/28/gmail-kadotti-viestit-paniikkikohtaus- alkaa/20112896/66 • 4.1.2011 Hotmail sähköpostipalvelussa katosi tietoja noin 17 000 käyttäjältä. http://www.pcworld.com/businesscenter/article/215365/hotmail_data_loss_reveals_cl oud_trust_issues.html • Jopa kokonaisen operaattorin toiminta saattaa olla vaarassa. Lokakuussa 2009 tapahtui T-Mobilen käyttämässä Microsoftin pilvipalvelussa massiivinen tiedon katoaminen 18/26
  • 18. Esimerkkejä tietovuodoista tai muista ongelmista Palvelun käyttäjällä ei ole aina mahdollisuutta tarkistaa palvelun luotettavuutta. Vaikka kyseessä olisi suurikin asiakas, palveluntarjoaja saattaa kieltäytyä kertomasta yksityiskohtia tavasta joilla asiakkaan materiaalia säilytetään tai käsitellään. • IRS, USA:n verovirasto pyysi lupaa Amazon EC2 pilvipalvelun auditointiin, Amazon kieltäytyi. Palvelun ongelmista aiheutuu valtavia taloudellisia menetyksiä. Sony PlayStation Network -käyttäjien luottokorttitietoja varastettiin tietomurron seurauksena. (noin 70 000 Suomessa, yli 7 miljoonaa http://www.cert.fi/varoitukset/2011/varoitus-2011-01.html • Heartland maksupalvelussa tapahtui massiivinen tietovuoto. http://www.pcworld.com/article/158038/heartland_has_no_hea Palvelu saattaa lopettaa toimintansa esimerkiksi yrityskaupan johdosta. • Yahoo hankki 1999 Geocities kotisivupalvelun 3.5 Miljardilla dollarilla, 2009 palvelu suljettiin. 19/26
  • 19. Pilvipalvelut Aallossa, mitä on tekeillä, Kevään aikana on valmisteltu pilvipalveluohjeistusta Aalto-yliopiston käyttöön • yleinen pilvipalveluohje • koulutusmateriaalia • riskianalyysipohja • Wiki-sivu palveluiden käsittelyyn • kyselyt • listaukset suositelluista tai hyväksytyistä palveluista • keskustelu • sosiaalisen median käyttäytymissäännöt Ohjeistus ja sivut pyritään julkaisemaan alkukesästä 2011 20/26
  • 20. Pilvipalvelut Aallossa – käyttäjän näkymä Ota aina yhteyttä asiakkuuspäälliköihin • Jos tarvitaan kokonaan uusi ratkaisu, niin hankinta tehdään yhteistyössä asiakkuuspäälliköiden kanssa • valitaan sopiva käytössä oleva palvelu - IT-palveluluettelo - palveluiden Wiki-sivu, Palveluiden Wiki-sivu • ehdotukset uusista palveluista, pyynnöt ohjautuvat aiheesta vastaavalle yksikölle • keskustelua palveluista • haku hyväksytyistä ja suositelluista palveluista Palvelun tai ratkaisun valinta tehdään vaatimusten perusteella TARVE Jos käyttöön liittyy jotain seuraavista • henkilötietojen käsittelyä • salassa pidettävää materiaalia • pankkitietojen käsittelyä • ylläpitovaatimuksia, käytettävyys 24/7 • lisenssejä • kustannuksia • suuri käyttäjämäärä, useita yksiköitä Jos palvelua tarvitaan pienen yhteisön käyttöön tai tarve on henkilökohtaiselle palvelulle, esim: • materiaalin jako • verkkotyöskentely • ”web presence” • henkilökohtainen verkkopalvelu • bloggaus • yhteisötyöskentely
  • 21. Pilvipalvelut Aallossa Yliopiston vaatimukset palvelulle riippuvat käyttötarkoituksesta! Jos käyttöön liittyy jotain seuraavista • henkilötietojen käsittelyä • salassa pidettävää materiaalia • pankkitietojen käsittelyä • ylläpitovaatimuksia, käytettävyys 24/7 • lisenssejä • kustannuksia • suuri käyttäjämäärä, useita yksiköitä Asiakkaat, käyttäjä, yksiköt, tulee kehottaa ottamaan yhteyttä asiakkuuspäälliköihin Palvelun hankinnan sekä käyttöönoton aikana tulee tarkastella vaatimuksia ja varmistaa että kaikki pakolliset vaatimukset täyttyvät. 22/26
  • 22. Yliopiston vaatimukset pilvipalvelulle Hyvä vaatimusmäärittely ja riskianalyysi, vaatimukset huomioitava sopimuksessa. Ota yhteys asiakkuuspäällikköön ja hankinta-asiantuntijaan • lokien kerääminen, kerätään tietoa palvelun tapahtumista ja sen käyttäjistä • auditointi - tarkistetaan palvelun turvallisuus ja toiminta, usein ulkopuolinen taho. • tietoliikenteen salaus • läpinäkyvyys palvelun toimintaan • käyttäjien ja pääsyoikeuksien hallinta • toimittajan selvitys, tausta, omistajat 23/26
  • 23. Yliopiston vaatimukset palvelulle • EU ulkopuolisen toimittajan tulee olla Safe harbor listalla, sitoutunut noudattamaan Safe harbor sopimuksen ehtoja tietosuojasta, taataan EU taso. • materiaalin täydellinen poistaminen palvelusta • materiaalin varmistuskäytäntöjen soveltuvuus omiin vaatimuksiin • palveluntarjoajan tai materiaalin maantieteellinen sijainti otettava huomioon • tiedon omistajuuden tulee säilyä yliopistolla • standardien tuki, tiedon siirtäminen toiselle palveluntarjoajalle, tai omaan haltuun tulee olla aina mahdollista. 24/26
  • 24.
  • 25. Linkkejä Sosiaalisen median ohjeita • Vahti - Sosiaalisen median tietoturvaohje http://goo.gl/aI4p8 • Itä-Suomen yliopisto SOME ohje, http://www.uef.fi/some • EDU.fi - opettajan verkkopalvelu SOME ohje http://goo.gl/Sl2Zs • Helsingin Yliopiston Sosiaalisen median ohjeet http://wiki.helsinki.fi/display/hulibviestinta/Sosiaalisen+median+ohjeet Tutkimuksia pilviteknologiasta • Context Information Security http://www.contextis.co.uk/resources/white-papers/assessing-cloud- node-security/ • CA Technologies and the Ponemon Institute recently released the results cloud security survey. http://www.ca.com/~/media/Files/IndustryResearch/security-of-cloud-computing-providers-final- april-2011.pdf Uutisia • Think file-hosting sites guard your private data? Think again http://www.theregister.co.uk/2011/05/08/file_hosting_sites_under_attack/ • Dropbox Lied to Users About Data Security http://www.wired.com/threatlevel/2011/05/dropbox-ftc/