mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
TRANSCRIPT
22.1.2015Otto Sunnari
VERKOSTA BISNESTÄ Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
Always pass on what you have learned.Yoda
Otto SunnariSofokus: Konsultointi, myynti
@osunnari
http://fi.linkedin.com/in/ottosunnari
• Mitä on tietoturva• Miksi se on tärkeää• Mistä se koostuu? Sähköinen ja analoginen tieto• Uhat, riskit• Suojausmenetelmät• GSISS 2015• Salasanahygienia• Tietoturva toimittajan valinnassa• Tietoturva järjestelmän toimituksissa• Mistä tietoa saa?• Sofokus esittely
SISÄLTÖ
Tietoturva (tai tietoturvallisuus) tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista.
MITÄ ON TIETOTURVA?
Wikipedia
SIIS MITÄ?
• Henkilökohtainen tieto• Yrityksen tieto• Asiakkaiden tieto
HENKILÖKOHTAINEN TIETO
• Yksityisyyden loukkaus• Omaisuusrikos• Identiteettivarkaus
YRITYKSEN TIETO
• Liikesalaisuudet• Asiakasrekisterit• Maine ja raha
ASIAKKAIDEN TIETO
• Maksutiedot• Asiakasprojektit• Data ja raha
• Roskaposti (Spam)• Haittaohjelmat (Malware)• Rogue security software• Virukset• Troijalaiset• Madot• Vakoiluohjelmat• Tietojen kalastelu (Phishing)• Botnet• Rootkit
TIETOTURVAUHKIA
• Tekninen• Fyysinen• Hallinnollinen• Näiden yhdistelmä => tehokas turva
SUOJAUSMENETELMÄT
GSISS 2015
http://www.pwc.com/gx/en/consulting-services/information-security-survey/download.jhtml
Global State of Information Security® Survey 2015
Täysi raportti täältä:
• 2015 yli miljardi uutta mobiililaitetta• Suojakoodien ja kryptauksen puute• Selaimen kautta tietomurrot• Haittaohjelmat (jopa 75000 uutta / päivä)• Tietoturvan pirstaloituminen• Suora pääsy pilveen
MOBIILILAITTEIDEN RISKIT
http://www.tivi.fi/cio/kannettavien+tietoturvariskit+paisuvat/a731786?
• Puuttuva ohjeistus ja/tai prosessit• Vanhentuneet järjestelmät• Salauksen puuttuminen• Varmuuskopioiden puuttuminen• BYO• Ihmiset
YLEISET RISKIT ORGANISAATIOISSA
http://www.berrydunn.com/news-detail/top-10-information-security-risks
• Tiedä mitä tietoa sinulla on ja missä se sijaitsee• Arvioi miten arvokasta se on ja mitä tapahtuisi
jos se häviäisi• Huolehdi tiedon suojaamisesta• Skaalaa
YHTEENVETO
• https://www.viestintavirasto.fi/tietoturva.html• http://www.tietoturva.fi/• https://www.f-secure.com/en/web/labs_global/home
LISÄÄ TIETOA
KAHVIA NY?
SALASANAHYGIENIA
Passwords are like underwear: you don’t let people see it, you should change it very often, and you shouldn’t share it with strangers.
Chris Pirillohttp://chris.pirillo.com/
1. Pitkä (12+ merkkiä) ja mOn1muTk@in3N2. Eri salasanat eri järjestelmiin3. Vaihda usein ja heti4. Varmista palautusmahdollisuudet5. Pidä tallessa6. Älä paljasta kenellekään
6 HYVÄÄ SALASANA KÄYTÄNTÖÄ
http://www.google.com/goodtoknow/online-safety/passwords/http://lifehacker.com/5876541/use-this-infographic-to-pick-a-good-strong-passwordhttp://www.darkreading.com/risk-management/7-tips-to-toughen-passwords/d/d-id/1104754?
AgileBits https://agilebits.com/
SplashData http://www.splashdata.com/
LastPass https://lastpass.com/
SALASANAT TALTEEN
DEMO
Companies spend millions of dollars on firewalls, encryption and secure access devices, and it’s money wasted, because none of these measures address the weakest link in the security chain.
VAIKUTTAJA: KEVIN MITNICK
Kevin Mitnick
https://twitter.com/kevinmitnickhttps://www.mitnicksecurity.com/Kirja: The Art of Deception (2002)
• ”kadotettu” USB-tikku löytyy parkkipaikalta• 60% löytäjistä käyttää sitä koneessaan• Stuxnet levitettiin tällä menetelmällä?
CASE: USB-TIKKU PARKKIPAIKALLA
http://thenextweb.com/insider/2011/06/28/us-govt-plant-usb-sticks-in-security-study-60-of-subjects-take-the-bait/http://www.wired.com/2011/06/the-dropped-drive-hack/
• ”Hunajapurkki” -kikka• Avoin langaton verkko nimetty ”Öppen gäst”• 100 tietoturva-asiantuntijaa, toimittajaa ja
poliitikkoa meni halpaan• Hakkeri pystyi seuraamaan netinkäyttöä,
sähköposteja ja pikaviestejä
CASE: KONFERENSSIN AVOIN WLAN
http://www.verkkouutiset.fi/kotimaa/hakkeri_salen_kokous-30635http://www.thelocal.se/20150114/young-pirate-hacks-into-top-security-conferencehttp://nyheter24.se/debatt/786990-ung-pirat-darfor-har-vi-massovervakat-folk-och-forsvars-konferens-i-salen
1. Verifioitu osaaminen aiemmissa projekteissa2. Sertifikaatit (Esim. ISO/IEC 27001:2005)3. Prosessit (VAHTI)4. Työkalut (Esim. OWASP WebScarab)
TOIMITTAJAN VALINTA
www.vm.fi/vahti
VERKKOPALVELU - PALVELIN
• Suojaus SSL sertifikaatilla suositeltavaa (myös Google palkitsee)
• Oletus kirjautumisosoitteet muutettava• Oletus ylläpitotunnukset muutettava
VERKKOPALVELU - OHJELMISTO
• Tietoturvatason tiukennukset ehdottomia• Ilman ylläpitoa tietoturvataso laskee nopeasti• Myös lisäosat pitää päivittää• Tietokantatunnuksien oikeuksia tulee rajoittaa• Tiedostojen siirto suojatusti (SFTP)• Salasanojen ja käyttäjätunnusten käsittely
OHJELMISTOYLLÄPITO
• Liian usein sivuutetaan• Palvelun omistaja on vastuussa• Palvelimen käyttöjärjestelmästä huolehtiminen• Asennetun sovelluksen huolehtiminen (esim.
Magento, WordPress).• Monitorointipalvelu• Varmuuskopiointi• Tekninen tuki
http://www.sofokus.com/blogi/miksi-maksaisin-yllapidosta/
CASE: SHELLSHOCK 2014
• Linux käyttöjärjestelmän sisältä löytyi haavoittuvuus• Hyökkääjän on mahdollista suorittaa haluamiaan
komentoja palvelimella
https://www.viestintavirasto.fi/tietoturva/varoitukset/2014/varoitus-2014-02.htmlhttps://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409251726.html
VAIKUTTAJA: MIKKO HYPPÖNEN
https://twitter.com/mikkohttp://mikko.hypponen.com/
• Kokenut• 14v yritystasolla, henkilötasolla jopa 20v
• Vakavarainen• 100% yksityisomisteinen, vahva tase
• Erikoistunut• Open Source pohjaiset verkkoliiketoimintaratkaisut
• Innovatiivinen• Useita palkittuja ja tuottavia uusia konsepteja
• Tulosorientoitunut• Toimintaa ohjaavat liiketoimintatavoitteet
• Palveleva• 100% tyytyväisyystakuu
Vuoden Yritys Turussa 2014
3
4555
ASIANTUNTIJAA
K/A KASVUPROSENTTI
ARVIOITU LIIKEVAIHTO 2014 (MILJOONAA EUROA)
superanalytics.fi someco.fi kompozure.com sofokus.com
KUULUMME DIGITAALISEN ASIANTUNTIJUUDEN KLUSTERIIN:
Lippujärjestelmää testanneista asiakkaista 100% käyttäisi tai suosittelisi sitä ystävilleen.
Tomi LohikoskiToimitusjohtaja Muumimaailma
Always pass on what you have learned.Yoda
Otto SunnariSofokus: Konsultointi, myynti
@osunnari
http://fi.linkedin.com/in/ottosunnari