mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?

22.1.2015Otto Sunnari

VERKOSTA BISNESTÄ Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?

Always pass on what you have learned.Yoda

Otto SunnariSofokus: Konsultointi, myynti

@osunnari

otto.sunnari@sofokus.com

http://fi.linkedin.com/in/ottosunnari

• Mitä on tietoturva• Miksi se on tärkeää• Mistä se koostuu? Sähköinen ja analoginen tieto• Uhat, riskit• Suojausmenetelmät• GSISS 2015• Salasanahygienia• Tietoturva toimittajan valinnassa• Tietoturva järjestelmän toimituksissa• Mistä tietoa saa?• Sofokus esittely

SISÄLTÖ

Tietoturva (tai tietoturvallisuus) tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista.

MITÄ ON TIETOTURVA?

Wikipedia

SIIS MITÄ?

• Henkilökohtainen tieto• Yrityksen tieto• Asiakkaiden tieto

HENKILÖKOHTAINEN TIETO

• Yksityisyyden loukkaus• Omaisuusrikos• Identiteettivarkaus

YRITYKSEN TIETO

• Liikesalaisuudet• Asiakasrekisterit• Maine ja raha

ASIAKKAIDEN TIETO

• Maksutiedot• Asiakasprojektit• Data ja raha

• Roskaposti (Spam)• Haittaohjelmat (Malware)• Rogue security software• Virukset• Troijalaiset• Madot• Vakoiluohjelmat• Tietojen kalastelu (Phishing)• Botnet• Rootkit

TIETOTURVAUHKIA

• Tekninen• Fyysinen• Hallinnollinen• Näiden yhdistelmä => tehokas turva

SUOJAUSMENETELMÄT

GSISS 2015

http://www.pwc.com/gx/en/consulting-services/information-security-survey/download.jhtml

Global State of Information Security® Survey 2015

Täysi raportti täältä:

KYBERRIKOLLISUUS KASVAA

www.pwc.com/gsiss2015

MÄÄRÄ KASVAA

www.pwc.com/gsiss2015

LASKU KASVAA

www.pwc.com/gsiss2015

RISKEJÄ - MOBIILILAITTEET

www.pwc.com/gsiss2015

• 2015 yli miljardi uutta mobiililaitetta• Suojakoodien ja kryptauksen puute• Selaimen kautta tietomurrot• Haittaohjelmat (jopa 75000 uutta / päivä)• Tietoturvan pirstaloituminen• Suora pääsy pilveen

MOBIILILAITTEIDEN RISKIT

http://www.tivi.fi/cio/kannettavien+tietoturvariskit+paisuvat/a731786?

• Puuttuva ohjeistus ja/tai prosessit• Vanhentuneet järjestelmät• Salauksen puuttuminen• Varmuuskopioiden puuttuminen• BYO• Ihmiset

YLEISET RISKIT ORGANISAATIOISSA

http://www.berrydunn.com/news-detail/top-10-information-security-risks

• Tiedä mitä tietoa sinulla on ja missä se sijaitsee• Arvioi miten arvokasta se on ja mitä tapahtuisi

jos se häviäisi• Huolehdi tiedon suojaamisesta• Skaalaa

YHTEENVETO

• https://www.viestintavirasto.fi/tietoturva.html• http://www.tietoturva.fi/• https://www.f-secure.com/en/web/labs_global/home

LISÄÄ TIETOA

KAHVIA NY?

SALASANAHYGIENIA

Passwords are like underwear: you don’t let people see it, you should change it very often, and you shouldn’t share it with strangers.

Chris Pirillohttp://chris.pirillo.com/

1. Pitkä (12+ merkkiä) ja mOn1muTk@in3N2. Eri salasanat eri järjestelmiin3. Vaihda usein ja heti4. Varmista palautusmahdollisuudet5. Pidä tallessa6. Älä paljasta kenellekään

6 HYVÄÄ SALASANA KÄYTÄNTÖÄ

http://www.google.com/goodtoknow/online-safety/passwords/http://lifehacker.com/5876541/use-this-infographic-to-pick-a-good-strong-passwordhttp://www.darkreading.com/risk-management/7-tips-to-toughen-passwords/d/d-id/1104754?

AgileBits https://agilebits.com/

SplashData http://www.splashdata.com/

LastPass https://lastpass.com/

SALASANAT TALTEEN

DEMO

Companies spend millions of dollars on firewalls, encryption and secure access devices, and it’s money wasted, because none of these measures address the weakest link in the security chain.

VAIKUTTAJA: KEVIN MITNICK

Kevin Mitnick

https://twitter.com/kevinmitnickhttps://www.mitnicksecurity.com/Kirja: The Art of Deception (2002)

• ”kadotettu” USB-tikku löytyy parkkipaikalta• 60% löytäjistä käyttää sitä koneessaan• Stuxnet levitettiin tällä menetelmällä?

CASE: USB-TIKKU PARKKIPAIKALLA

http://thenextweb.com/insider/2011/06/28/us-govt-plant-usb-sticks-in-security-study-60-of-subjects-take-the-bait/http://www.wired.com/2011/06/the-dropped-drive-hack/

• ”Hunajapurkki” -kikka• Avoin langaton verkko nimetty ”Öppen gäst”• 100 tietoturva-asiantuntijaa, toimittajaa ja

poliitikkoa meni halpaan• Hakkeri pystyi seuraamaan netinkäyttöä,

sähköposteja ja pikaviestejä

CASE: KONFERENSSIN AVOIN WLAN

http://www.verkkouutiset.fi/kotimaa/hakkeri_salen_kokous-30635http://www.thelocal.se/20150114/young-pirate-hacks-into-top-security-conferencehttp://nyheter24.se/debatt/786990-ung-pirat-darfor-har-vi-massovervakat-folk-och-forsvars-konferens-i-salen

1. Verifioitu osaaminen aiemmissa projekteissa2. Sertifikaatit (Esim. ISO/IEC 27001:2005)3. Prosessit (VAHTI)4. Työkalut (Esim. OWASP WebScarab)

TOIMITTAJAN VALINTA

www.vm.fi/vahti

VERKKOPALVELU - PALVELIN

• Suojaus SSL sertifikaatilla suositeltavaa (myös Google palkitsee)

• Oletus kirjautumisosoitteet muutettava• Oletus ylläpitotunnukset muutettava

VERKKOPALVELU - OHJELMISTO

• Tietoturvatason tiukennukset ehdottomia• Ilman ylläpitoa tietoturvataso laskee nopeasti• Myös lisäosat pitää päivittää• Tietokantatunnuksien oikeuksia tulee rajoittaa• Tiedostojen siirto suojatusti (SFTP)• Salasanojen ja käyttäjätunnusten käsittely

OHJELMISTOYLLÄPITO

• Liian usein sivuutetaan• Palvelun omistaja on vastuussa• Palvelimen käyttöjärjestelmästä huolehtiminen• Asennetun sovelluksen huolehtiminen (esim.

Magento, WordPress).• Monitorointipalvelu• Varmuuskopiointi• Tekninen tuki

http://www.sofokus.com/blogi/miksi-maksaisin-yllapidosta/

CASE: SHELLSHOCK 2014

• Linux käyttöjärjestelmän sisältä löytyi haavoittuvuus• Hyökkääjän on mahdollista suorittaa haluamiaan

komentoja palvelimella

https://www.viestintavirasto.fi/tietoturva/varoitukset/2014/varoitus-2014-02.htmlhttps://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409251726.html

VAIKUTTAJA: MIKKO HYPPÖNEN

https://twitter.com/mikkohttp://mikko.hypponen.com/

• Kokenut• 14v yritystasolla, henkilötasolla jopa 20v

• Vakavarainen• 100% yksityisomisteinen, vahva tase

• Erikoistunut• Open Source pohjaiset verkkoliiketoimintaratkaisut

• Innovatiivinen• Useita palkittuja ja tuottavia uusia konsepteja

• Tulosorientoitunut• Toimintaa ohjaavat liiketoimintatavoitteet

• Palveleva• 100% tyytyväisyystakuu

Vuoden Yritys Turussa 2014

3

4555

ASIANTUNTIJAA

K/A KASVUPROSENTTI

ARVIOITU LIIKEVAIHTO 2014 (MILJOONAA EUROA)

superanalytics.fi someco.fi kompozure.com sofokus.com

KUULUMME DIGITAALISEN ASIANTUNTIJUUDEN KLUSTERIIN:

Lippujärjestelmää testanneista asiakkaista 100% käyttäisi tai suosittelisi sitä ystävilleen.

Tomi LohikoskiToimitusjohtaja Muumimaailma

Always pass on what you have learned.Yoda

Otto SunnariSofokus: Konsultointi, myynti

@osunnari

otto.sunnari@sofokus.com

http://fi.linkedin.com/in/ottosunnari