Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 12. Luento Taloushallinnon turvallisuus ja kertaus Taloushallintoon liittyvät riskit ja turvaamistoimenpiteet Rahan ja arvo-omaisuuden säilytys ja käsittely Talousrikokset 1
Yhteiskunnan motiivi Rikosten selvittäminen on helppoa siinä kohdassa, missä raha pestään Käteinen raha voi olla harmaata Käteisen muuttaminen lailliselta näyttäväksi rahaksi on tärkeää Rahan pitää olla puhdasta myös verottajan mielestä Taloushallinto yrityksessä Tuottaa tietoa johdon käyttöön Huolehtii yrityksen omaisuudesta Pyörittää käytännön raha-asioita 2
Taloushallinto tiedon tuottajana Pitkällä tähtäimellä Raportit Ennusteet Antaa johdolle mahdollisuuden tehdä strategisia päätöksiä yrityksen tulevaisuudesta Lyhyellä tähtäimellä Rahatilanne Reskontra Varmistaa, että yritys ei joudu maksuvaikeuksiin Data Warehouse Tietosammio Useat tahot kaatavat tietoa sammioon Älykkäät ohjelmat kokoavat ja yhdistelevät tietoja Yhdistelmätiedot esitetään pelkistettynä johdolle Lopputuloksen yhteys alkuperään katoaa 3
Raportoinnin uhat Esitetty tieto on väärää Yksittäinen väärä tieto vaikuttaa Mittausmenetelmä on väärä (systemaattinen virhe) Tulokset yhdistetään väärin Tiedon perusteella tehdään vääriä päätöksiä Liikkeenjohdollinen ongelma Ei liity turvallisuuteen Turvaamistoimenpiteet Tietojen lisääminen hallittua Varmistetaan tietojen oikeellisuus jo ennen sammioon kaatamista Säilytetään metatietona alkuperä ja luotettavuus Varmistetaan tulokset rinnakkaisilla menetelmillä Käsittelyohjelmien oikeellisuus Versionhallinta Parametrien hallinta 4
Kirjanpito Lokitieto yrityksen rahankäytöstä Mihin tarkoitukseen Kuka Mahdollistaa raportoinnin Mahdollistaa valvonnan Kirjanpitojärjestelmät Kirjanpito on lähes aina tietokoneella Tiedot tulevat valmiina Tilaus-, varasto- ja palkkajärjestelmistä Pankista Tietojen eheys tärkeää Jälkikäteen tapahtuva muuttaminen estettävä Säädökset edellyttävät tietojen säilyttämistä vuosien ajan 5
Maksuliikenne Maksuliikenteellä tarkoitetaan yrityksen suorittamia ja vastaanottamia maksuja Tapahtuu yleensä rahalaitoksen välityksellä Myyjä lähettää laskun ostajalle, joka maksaa sen pankin välityksellä Maksuliikenteen uhat Raha menee väärälle tilille Tilinumero muuttunut matkalla Maksetaan väärä summa Maksu jää hoitamatta Maksetaan olematon lasku 6
Turvallisuustoimenpiteet Laskuille on olemassa hyväksymiskäytäntö Ostoreskontra ja kirjanpito yhdessä valvovat maksatusta Vaarallisten työyhdistelmien estäminen Vaaralliset työyhdistelmät Laskun hyväksymisessä on useita työvaiheita Sama henkilö ei saa olla useassa roolissa Esimerkiksi Hyväksyjä ei saa olla myös maksaja Maksaja ei saa maksaa omalle tililleen Tehtäviä pitäisi kierrättää Poikkeavuudet paljastuvat helpommin, kun uusi henkilö alkaa hoitaa tehtäviä 7
Omaisuuden hallinta Yrityksen omaisuutta pitää hallita niin, että se ei katoa, pilaannu tai menetä arvoaan on mahdollisimman tehokkaassa käytössä Tiedetään mitä, missä, kuinka arvokasta, kenellä Turvataan hukkumiselta, rikkoontumiselta, varastamiselta Omaisuus ja rikollisuus Oma henkilökunta Varastaa tarpeeseen Mm. työkaluja, toimistotarvikkeita, osia kotitietokoneeseen Ulkopuoliset Varastaa myydäkseen Pientä, arvokasta ja helposti myytävää 8
Uhat Varastaminen Raha, arvotavara, autot, tietokoneet Katoaminen Käyttötavara Väärinkäyttö Työkalut Turvallisuustoimenpiteet Kirjanpito Tiedetään mitä omistetaan ja missä se on Omistajuus Tiedetään, kuka vastaa mistäkin tavarasta Menettelytavat Kuka saa hankkia, luovuttaa ja poistaa omaisuutta 9
Byrokratia Välttämätön osa hyvää hallintoa Varmistaa päätöksenteon yhdenmukaisuuden ja dokumentoinnin Päätös ei vaihtele henkilöittäin eikä päivittäin Talousrikokset Talousrikos on rikos, joka tehdään toimistossa Apuvälineenä voi olla esim. väärennös Väärennetään kirjanpitoa, tehdään kuitteja, jätetään maksuja maksamatta, varastetaan yhtiön omaisuutta, annetaan väärää tietoa,..., tehdään konkurssi 10
Petos Joka, hankkiakseen itselleen tai toiselle oikeudetonta taloudellista hyötyä taikka toista vahingoittaakseen, erehdyttämällä tai erehdystä hyväksi käyttämällä saa toisen tekemään tai jättämään tekemättä jotakin ja siten aiheuttaa taloudellista vahinkoa erehtyneelle tai sille, jonka eduista tällä on ollut mahdollisuus määrätä, on tuomittava petoksesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi. Kavallus Joka anastaa hallussaan olevia varoja tai muuta irtainta omaisuutta, on tuomittava kavalluksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi kuudeksi kuukaudeksi. 11
Vilpillinen ostaja Ostaminen muuttuu petokseksi, jos asiakkaalla ei ole aikomustakaan maksaa Ostetaan, hukataan ja jätetään lasku maksamatta Väärien tietojen käyttö Lasku lähetetään väärälle henkilölle Väärät luottokorttitiedot Väärien tietojen antaminen Esimerkiksi alennusten saamiseksi Vilpillinen myyjä Tavara ei vastaa sovittua Toimitetaan eri tavaraa kuin tilattu Hinta ei vastaa sovittua Laskutetaan enemmän Otetaan etumaksu eikä toimiteta Lähetetään aiheettomia laskuja 12
Vilpillinen yhteistyökumppani Voi olla vilpillinen ostaja tai myyjä Tietojen väärinkäyttö Oma henkilökunta Tulevien maksujen pimitys Jätetään tilittämättä Ohjataan omalle tilille Lähtevien maksujen huijaus Maksetaan itselle aiheettomia maksuja Ohjataan lähteviä maksuja omalle tilille Ulkopuolisten erehdyttäminen Ostetaan itselle yrityksen nimissä Tietojen väärinkäyttö Esim. osakekaupat 13
Kertaus Turvallisuuden tarkoitus Organisaation varsinainen toiminta ei häiriinny odottamattomien tapahtumien vuoksi Omaisuutta ei menetetä Ihmiset eivät vahingoitu Maine ei pilaannu 14
Vaatimuksia asettavat Ulkoiset tahot viranomaiset asiakkaat yhteistyökumppanit Sisäiset tahot profiloituminen segmentoituminen strategia Vaatimusten täyttäminen Noudatamme määräyksiä Vaatimukset tulevat oman organisaation ulkopuolelta Oma motivaatio? 15
Tavoitteet ja laki Laki asettaa vaatimuksia, johto päättää noudatetaanko Toisaalta lain vaatimukset voivat olla liian alhaiset turvallisuus on keino varmistaa toiminta laatua on vaikea käskeä lailla Turvallisuus ja tehokkuus Turvallisuuden tehtävänä on estää häiriöitä varsinaisessa toiminnassa Tehokas toiminta edellyttää häiriöttömyyttä Jos kaikki aika kuluu sotkujen siivoamisessa ei aikaa riitä varsinaiselle työlle 16
Motivaatio Turvallisuus on häiriöiden estämistä Turvallisuus on kulujen pienentämistä Turvallisuus on laiskuutta Turvallisuustyötä tehdään oman edun takia Turvallisuus keinona profiloitua Monet asiakkaat ovat valmiita ostamaan turvallista tuotetta ja myös maksamaan siitä Monet asiakkaat haluaavat siirtää osan riskistä alihankkijalle ja edellyttävät tiettyä turvatasoa tai toimintavarmuutta Turvallisille tuotteille ja palveluille on olemassa omat markkinansa, jossa hinta ei välttämättä ole tärkein valintaperuste 17
Turvallisuus liiketoimintaverkossa Alihankkijat ovat osa riskienhallintaa Riski siirretään alihankkijalle Alihankkijan huolehdittava omasta toimitusvarmuudestaan Onko kyse ulkoisista vaatimuksista vai brandistä? Yhteinen turvallisuus verkostossa Yhdessä toimivien yritysten täytyy profiloitua samalla tavalla Yksi huono yritys voi pilata monen hyvän yrityksen maineen Turvallinen ja laadukas myyjä tarvitsee turvallisen ja laadukkaan ostajan 18
Turvallisuuden organisointi perinteisesti Yrityksissä on määräysten mukaan oltava joukko vastaavia henkilöitä Suojelujohtaja, valmiuspäällikkö, työsuojelupäällikkö,... Turvallisuustietoisessa yrityksessä on myös turvallisuuspäällikkö Turvallisuuspäällikkö tekee ohjeet turvallisuusasioissa (=ovien lukitseminen) ja valvoo niiden noudattamista Toi minna n turvallisuus Toim itilaturvallisuus Henkilöturvallisuus Tieto Henkilö Materia Maine Tietotekninen tur vallisuus 19
Suojattavat kohteet Erilaiset asiat, jotka ovat arvokkaita organisaatiolle Arvo voi perustua Rahallinen arvo Toiminnallinen arvo Mielikuva-arvo Pakolliset suojausmenetelmät Menetelmät, joiden täytyy olla olemassa kaikissa yrityksissä Perusta kaikille muille toimenpiteille 20
Riski Threat Vulnerability Loss Risk Eliminate risk Minimize risk Accept risk Valinnaiset menetelmät Valinnaisilla menetelmillä rakennetaan varsinainen suojaus Menetelmistä valitaan tilanteeseen ja kohteeseen parhaiten sopivat On tärkeää pitää suojaus yhtä vahvana kaikkialla, vaikka menetelmät vaihtuisivatkin välillä 21
Yritysturvallisuus Fyysinen turvallisuus Alueen sisällä olevat voivat tehdä työtä häiriöttä sisälläolijoita ei tarvitse vahtia pahat on jätetty ulos reitejä on helppo seurata Ei häiritse luvallista kulkua Rakenteellinen paloturvallisuus 22
Turvallisuusvyöhykkeet Tietotekninen turvallisuus Tietoteknisessä turvallisuudessa luodaan erilaisia turvallisuusalueita ja hallitaan pääsyä niille Palomuurit, pääsynvalvonta, salakirjoitus Tietoteknisesä turvallisuudessa havaitaan hyökkäykset ja reagoidaan niihin IDS 23
Järjestelmille asetettavat vaatimukset Laatu Toiminnalliset vaatimukset Ympäristön turvallisuus Luotettavuusvaatimukset Suorituskykyvaatimukset Turvallisuusvaatimukset Tietoturvallisuus Tiedolla 3 ominaisuutta Luottamuksellisuus, eheys, käytettävyys (CIAmalli) Luottamuksellisuus on aito tiedon ominaisuus Eheys ja käytettävyys ovat järjestelmien ominaisuuksia Luottamuksellisen tiedon arvo vähenee, kun tietäjien määrä kasvaa Tieto oikeellisuudesta on olennainen metatieto 24
Henkilöstöturvallisuus Suojataan tietoja ja muuta omaisuutta henkilöturvallisuuden keinoin Toimenpiteet kohdistuvat omaan henkilöstöön Sisäinen turvallisuus Vaikutetaan Haluun toimia turvallisesti Valinta Motivaatio Kykyyn toimia turvallisesti Koulutus Nykyhetken piirteitä Pysyvät menetelmät rapistuvat Nopea vaihtuvuus Sitoutumattomuus Yrityskulttuurien mureneminen Etsitään hetkellisiä keinoja Testit (psykologiset, huume-, käsialajne.) 25
Toiminnan turvallisuus Varsinainen työ tehdään turvallisesti Työsuojelu, paloturvallisuus Vaaralliset työyhdistelmät, päätöksentekoprosessit Normaali toiminta ei aiheuta riskejä Turvallisuudesta vastaa linjaorganisaatio Turvallisuuden ja laadun yhdistäminen Toiminnan varmistaminen Varautuminen Varakapasiteetti, redundanssi Kahdentaminen vikasietoisuus Varatilat Korvaavat verkot ja siirtotiet Varavoima yms Silmukointi Varaosavarastot Rakenteelinen suojaus Henkilöstön varaus Toiminta Priorisointi Resurssiohjaus Käytön rajoitus Korvaavat toiminta- ja käyttötavat Kannibalisointi 26
Tiedottamisen tavoitteet Osapuolet tietävät mitä on tapahtunut Osapuolet osaavat toimia oikein uudessa tilanteessa Luottamus säilyy Viesti saadaan menemään perille organisaation haluamassa muodossa Turvallisuustiedottaminen Kun jotain tapahtuu, tiedottaminen on osa tapahtuman käsittelyä Suunniteltaessa etukäteen toimenpiteitä on suunniteltava myös tiedotus Kuka tiedottaa Kuinka paljon kerrotaan Mitä pyydetään Tiedottamisen onnistuminen vaikuttaa Maineeseen Toiminnan jatkumiseen 27
Tiedottamisen ongelmat Ei ole päätetty, kuka tiedottaa Useita ristiriitaisia viestejä Ketä uskotaan? Tiedottaja ei tiedä riittävästi Viesti on väärä tai epäuskottava Kerrotaan vääriä asioita Paljastuu huijaukseksi Selittelyä Organisaation turvallisuusstrategia Politiikka Julistus, jossa organisaatio kertoo omat näkemyksensä ja tavoitteensa Periaatteet Hyväksyttävä riskitaso, minimiturvataso, toteutusperiaatteet eri osa-alueille, seuranta ja päivittäminen Toimintaohjeet Henkilöstölle jaettavat toimintaohjeet eri tilanteisiin 28
Tentti 6.5. klo 9-12 T1 Syyskuussa ja II tenttikaudella 29