2. Avoimuuden aika:
Olet sitä mitä jaat
• Tieto on samanlaista kuin raha, se
tuottaa uutta tietoa ja hyödyttää
yhteiskuntaa vain kun sitä käytetään ja investoidaan.
– Rahasäiliöön säilötyllä rahalla ei ole arvoa …
eikä suljettuun tietokantaan säilötyllä tiedolla.
– Tietoturva ei saa olla tiedon ”rahasäiliö”
• ”Tieto ei ole enää valtaa, tiedon jakaminen on.”
» Teemu Arina
• “The best way to get value from data is to give it away”
» Neelie Kroes, Vice-President of the European Commission and
Commissioner of the Digital Agenda
3. Tekniikan ja ihmisen tasapaino
• Intranetin tekninen tietoturva ”helppoa”
– Runsaasti valmiita työvälineitä
– Epäsymmetrinen rintama, puolustuksen on tukittava kaikki
aukot, hyökkääjälle riittää yksi…
– Intranetin toiminnan ja käytön poikkeamien automaattinen
seuranta
• Intranetin sosiaalinen tietoturva vaikeaa
– Tekninen tietoturva aiheuttaa riskikäyttäytymistä
– Koulutus ja perehdytys, miksi ja miten tietoturvaa
– Käyttäjien oikeuksien hallinta (tieto, ylläpito)
– Järjestelmän käytöstä jäätävä jäljet
• Kannattaa keskittyä kriittisiin järjestelmiin
– Ajantasainen riskianalyysi
4. Reproduced from XKCD under a Creative Commons Attribution-NonCommercial 2.5 License
Lähtökohdaksi ihminen
6. Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.
7. Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.
Slammer pääsi järjestelmään alihankkijan ja voimayhtiön intranettien välille
luodun dokumentoimattoman, palomuurin kiertäneen yhteyden kautta
8. Tietomurtolähtöinen tietoturva
• Tietoturva pettää ennemmin tai myöhemmin!
– Aukotonta tietoturvaa ei ole
– Jopa tietoturvayhtiöiden järjestelmiin on murtauduttu
• Minimoidaan tietomurron tai hyökkäyksen haitat
ennakolta jo suunnitteluvaiheessa
– Vain välttämätöntä tietoa kerätään ja käytetään
– Kriittiset tietovarannot kryptataan
– Järjestelmien segmentointi ja kerrostaminen
– Skaalautuvat järjestelmät
• Valmis toimintamalli _kun_ tietoturva pettää
– Tiedottaminen käyttäjille, viranomaisille ja asiakkaille
– Resursoitu ajantasainen palautumissuunnitelma
9. Hyökkäyksiin varautuminen
• Hyökkääjälle voi riittää toiminnan lamauttaminen
– Palvelun tasoa ja kapasiteettia on pystyttävä
skaalaamaan nopeasti
• Liikkuva maali
– Tekniikka ja maailma muuttuvat nopeasti
– Tietoturvaa ja kuormituksen sietokykyä on testattava
säännöllisesti (case Stuk)
• Myös yleisön suuri kiinnostus voi ylikuormittaa
järjestelmät
– Intranet ja ulkoiset palvelut pidettävä erillään
10. Varjoista valoon
• Kuluttaja-IT kehittyy niin nopeasti, että työnantajan IT ja
tiedonhallintakäytännöt vaikuttavat antiikkisilta
– Työtä halutaan tehdä omilla työvälineillä omaan tapaan
• Jos työpaikan IT hidastaa työntekoa, se kierretään ja
sivuutetaan
– Niksit jäykän tietoturvan kiertämiseksi leviävät nopeasti
– Esim. miten työssä tarvittava Skype saadaan toimimaan
intrassa, vaikka sen käyttö olisi kielletty ja estetty
• Työntekijät tietävät parhaiten, millaista tietotekniikkaa
tarvitsevat
– Varjo-IT on mahdollisuus, ilmaista palvelukehitystä
• Varjo-IT haastaa ohjauksen, tietoturvan, dokumentit, …
– Turvallinen pääsy Intraan työntekijöiden omilla välineillä mistä vain
12. CC SA Attribution Sugree
Skaalausta
pilvestä
• Tiedot, sovellukset ja laskenta ovat
siirtymässä omista konesaleista pilveen
– Pääomia ei tarvitse sitoa infraan
• Oma infra ei enää rajoita tietohallinnon kehittämistä
– Optimoi laskentapasiteetin ja resurssien käyttöä
• Esim. Iso-Britannian G-Cloud-hankkeen laskettiin säästävän £3,2
mrd vuodessa
• ... ja muuttumassa on-demand palveluiksi
– Kun tiedot ja sovellukset ovat eri pilvissä ja rajapinnat
hallussa, palvelun toimittajaa voi vaihtaa
• Pilvipalveluiden laskutus on käyttöperusteista
– Tiedonhallintaprosessit on optimoitava uudelleen
• Pilvi ei tunne maantieteellisiä rajoja
– mutta rajoilla on väliä
13. Rajoilla on väliä
• Palveluntarjoaja, asiakas,
data ja laskenta voivat sijaita eri maissa
– Esim. Yhdysvaltojen ja EU:n tietoturvaa ja yksityisyyden
suojaa koskevat määräykset ja viranomaisten tiedonsaanti-
oikeudet ovat epäyhtenäiset
– Suhteessa viranomaisiin ratkaisevaa on ollut palvelimen
sijaintipaikka
• Kansainvälisiä pelisääntöjä ei ole, ja kansallisetkin
ennakkotapaukset puuttuvat
– Esim. tietoturvan taso on sopimusten varassa
• Palvelinfarmien resursseja käytetään Internetin välityksellä
– Jos yhteys pilveen katkeaa, katoavat myös tiedot ja palvelut
– Kuka hallitsee Internetin toimintaa?
14. (Epä)sosiaalinen
toimintaympäristö
• Sähköinen media tuo joissain henkilöissä esiin heidän
pimeimmän puolensa
– Usenetin flame-sodat 1980-luvulla
– Intranet-keskusteluja on seurattava ja ylilyönteihin puututtava
• Sosiaalinen pääoma ei ole kehittynyt teknologian tahdissa
– Asymmetrinen, epäsynkroninen, kasvoton kommunikointi on
psykologisesti haastavaa
• Ihmiset ovat netissä käsittämättömän luottavaisia
– Henkilö- ja tunnistetietoja luovutetaan helposti khalastelijoille
– Myös hyvin taitavaa henkilötietojen urkintaa esim.
väärennetyillä kirjautumissivuilla
– Urkinta voidaan kohdistaa myös yksittäiseen avainhenkilöön
– Kaikkien tiedettävä periaatteet, joilla oma it-ylläpito kysyy
käyttäjien tietoja!
15. Haktivismi
CC 2.0 Generic Vincent Diamante
• Digitaaliset vigilantit tarttuneet nettiyhteisöjä
turhauttaviin ongelmiin
– Kohteina suuryrityksiä, viranomaisia, poliitikkoja ja
rikollisjärjestöjä
– Ei oikeusturvaa eikä valitusoikeutta
– Pikemminkin yhteisö tai kulttuuri kuin perinteinen
organisaatio
• Luokattoman heikko tietoturva helpottanut iskuja
– Moni haktivistien isku paljastuu vasta julkaisusta
– Ihmisten luottamus tietoturvaan romahtanut
– Hyvä läksy nettipalveluiden ylläpitäjille ja käyttäjille