TIETOTURVAN TULEVAISUUDEN HAASTEET - Tietoturvaa, luottamusta, selviytymiskykyä ja yksityisyydensuojaa

Samankaltaiset tiedostot
SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

Tietoturvallisuuden ja tietoturvaammattilaisen

Forte Netservices Oy. Forte Client Security Services

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Järjestelmäarkkitehtuuri (TK081702) Pilvipalvelut. Pilvipalvelut - lähtökohtia

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Pilvipalveluiden arvioinnin haasteet

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

VALVO JA VARAUDU PAHIMPAAN

Miten yhteiskunnalliset haasteet, julkiset palvelut ja yritysten liiketoiminta kohtaavat vai kohtaavatko?

TEEMME KYBERTURVASTA TOTTA

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Käyttöjärjestelmät(CT50A2602)

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Tietoturvallisuus yhteiskunnan, yritysten ja yksityishenkilöiden kannalta

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

Standardit tietoturvan arviointimenetelmät

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Kyberturvallisuus kiinteistöautomaatiossa

Hyvän digiasiakassuhteen rakentaminen

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Uusia tuulia Soneran verkkoratkaisuissa

Tietoturva ja käyttäjäkohtaisuus älykkäässä verkottamisessa Pekka Isomäki TeliaSonera Finland Oyj

VALTIONEUVOSTON PERIAATEPÄÄTÖKSEN PERUSTELUMUISTIO KANSALLISESTA TIETOTURVASTRATEGIASTA Turvallinen arki tietoyhteiskunnassa Ei tuurilla vaan taidolla

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Älykästä. kulunvalvontaa. toimii asiakkaan omassa tietoverkossa

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Digital by Default varautumisessa huomioitavaa

TEEMME KYBERTURVASTA TOTTA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Pilivipalavelut Cloud Business 2012 Parempaa paikallista pilveä

Miten pilvipalvelut sopivat teidän organisaationne tarpeisiin? Case-esimerkki: M-Files; verkkolevykaaoksesta tehokkaaseen tiedonhallintaan

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Mittaamisen maailmasta muutamia asioita. Heli Valkeinen, erikoistutkija, TtT TOIMIA-verkoston koordinaattori

Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

FlowIT virtaa IT-hankintoihin

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

TIETOTEKNIIKAN KOULUTUSOHJELMA

WEBINAARI CLOUD SOFTWARE SRA- esi;ely

Serve-ohjelman panostus palvelututkimukseen

Viestinnän tulevaisuus

Tietoturva ja viestintä

Teollisuuden kriittiset menestystekijät. Tuotanto-automaation. automaation haasteet. Answers for Industry. Page 1 / 13

Tinkimätöntä tietoturvaa kaikkiin virtuaaliympäristöihin

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

Verkostoautomaatiojärjestelmien tietoturva

Mitä muutoksia pilvipalvelut tulevat aikaansaamaan tietoteknisten ratkaisujen hankinta- ja toimitusmalleissa? Miten pilvipalvelut muokkaavat

Riskienhallinta ja turvallisuus FORUM 2012

[Investing in the Data Center Business]

Turvallisuuden kehittäminen Verohallinnossa. Turvallisuusjohtaja Samuli Bergström

J u k k a V i i t a n e n R e s o l u t e H Q O y C O N F I D E N T I A L

LIITE 2: Jyväskylän Kankaan alueen palveluiden hallinta- ja toimintamallit

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

TEEMME KYBERTURVASTA TOTTA

Toimeksiannon määrittely

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Strategisen tason linjaukset, miten kyberuhkilta opitaan suojautumaan?

Kyberturvallisuudessa on kyse luottamuksesta digitalisaation hyötyihin

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Ennakoiva ja joustava turvallisuuden johtaminen

Tietojärjestelmän osat

Diplomityöseminaari Teknillinen Korkeakoulu

Tosi elävä virtuaalimalli Mika Karaila Tutkimuspäällikkö Valmet Automation

VBE II Tulosseminaari Teknologian valmiusaste. Virtuaalirakentamisen Laboratorio Jiri Hietanen

Turvallisia palveluja ja asumisratkaisuja ikäihmisille

Tutkimus- ja kehittämistoiminnan strategia Hallitus hyväksynyt

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

egate Smart Building Innovation

CIO Forum. Tietohallintojohtajat muutosjohtajina Säästöjä vai uusia valloituksia? Johan Sandell CIO Forum

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Liikenteen sähköiset palvelut Yksityisyyden suoja ja palveluiden häirintä

Sytyke ry:n laivaseminaari Software Technology Transfer Pekka Forselius

Globalisaatio ja asiantuntijapalvelut

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Sosiaaliset mediat ja tietosuoja. Juha Kontturi IT -suunnittelija Turun ammattikorkeakoulu

Ohjelmiston toteutussuunnitelma

Turvallisempi huominen

Kuluttajien ostoskorit 2020 Päivi Timonen, tutkimusjohtaja Kuluttajatutkimuskeskus Maaseudun yrittäjyysseminaari Heureka

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

IoT-järjestelmän ja ulkovalaistuksen ohjauksen hankinta -markkinavuoropuhelutilaisuus

IBM Iptorin pilven reunalla

ANVIA PILVI. kotimaisia pilvipalveluita yrityksille 24/7

Vihdin kunnan tietoturvapolitiikka

Vaivattomasti parasta tietoturvaa

Mistä on kyse ja mitä hyötyä ne tuovat?

Tekesin rooli teollisuuden palveluliiketoiminnan uudistamisessa

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Transkriptio:

TIETOTURVAN TULEVAISUUDEN HAASTEET - Tietoturvaa, luottamusta, selviytymiskykyä ja yksityisyydensuojaa Reijo Savola VTT Rovaniemi 21.09.2010

SISÄLTÖ Yleistä Uhkia Ratkaisusuuntia Johtopäätöksiä 2

TIETOTURVA ON HORISONTAALINEN HAASTE Tietoturvaa tarvitaan kaikkialla, missä tarvitaan tiedon suojaamista ja hallintaa liiketoiminnan tai muun toiminnan näkökulmasta. Tarvitaan mm. teknistä, oikeustieteellistä, liiketoiminta-, johtamis- sekä psykologista osaamista Tietoturvanhallinta organisaatioissa ja tietoturvatyö tekniikassa vaatii laajaa poikkitieteellistä osaamista. Nykypäivänä tietoturva on monissa sovelluksissa mukana sivuroolissa. 3

TIETOTURVAA MONELLA TASOLLA Tietoturvallisuus tärkeää yhteiskunnan kriittisille toiminnoille ja perusrakenteille Tietoturvatyö mahdollistaa liiketoimintaa ja on myös tärkeä osa sitä Tietoyhteiskunnassa yksityiset ihmiset joutuvat hallitsemaan tietoturvaa ja yksityisyydensuojaansa Yhteiskunta Liiketoiminta Yksityiset ihmiset Teknisten järjestelmien, tuotteiden ja palveluiden suunnittelunaikainen tietoturvatyö ja elinkaaren aikainen tietoturvanhallinta on erittäin haastavaa Tekniikka, palvelut, tuotteet 4

Tietoturvatyössä joudutaan tekemään jatkuvasti kompromisseja tietoturvallisuuden, kustannustehokkuuden ja käytettävyyden välimaastossa TIETOTURVAN KOMPROMISSIT Tietoturvallisuus, luotettavuus, yksityisyydensuoja Riittävä taso Tavoitteena on tilanteeseen riittävä tietoturvataso Ylilyönnit johonkin suuntaan toisten vaatimusten kustannuksella aiheuttavat vastareaktioita: Esim. tietoturvatyö voidaan nähdä jopa teknologisen ja taloudellisen kehityksen jarruna isoissakin T&K-yrityksissä Tietoturvan käytettävyyden merkitys kasvaa Käytettävyys Kustannustehokkuus 5

UHKAT LISÄÄNTYVÄT TUOTTEISSA, PALVELUISSA JA UUSILLA ALOILLA Uhka: Monimutkaistuminen Tuotteiden, palvelujen ja tietoverkkojen monimutkaistuminen on haaste tietoturvalle, koska kokonaisuutta on vaikeampi hallita. Tietoturvanhallinta vaatii kokonaisymmärrystä. Uhka: Laatuongelmat Markkinoiden asettamat aikatauluvaatimukset vaikuttavat heikentävästi tuotteiden toteutuksen laatuun. Huonosta laadusta aiheutuu tietoturvauhkia. 6

OHJELMISTOLAATU, TIETOTURVA JA YKSITYISYYDENSUOJA Tietoturvaan tarvitaan hyvää ohjelmistolaatua, mutta se ei riitä Yksityisyydensuojaan-tietosuojaan tarvitaan hyvää tietoturvaa, mutta se ei riitä Nykyään hjelmistokehitystalot painivat enimmäkseen ohjelmistolaadun ongelmien kanssa 7

UHKAT LISÄÄNTYVÄT TUOTTEISSA, PALVELUISSA JA UUSILLA ALOILLA Uhka: Tieto- ja viestintätekniikan laaja hyödyntäminen ICT-alan perusratkaisut leviävät perinteisille aloille, joissa järjestelmällistä tietoturvanhallintakulttuuria ei ole ollut. Haasteet ovat valtavat. Uhka: Tieto- ja viestintätekniikan käyttö yhteiskunnalle kriittisissä järjestelmissä Yhteiskunnalle kriittiset rakenteet ja järjestelmät käyttävät myös yhä enemmän ICT-alan perusratkaisuja, jotka kytkevät tietoturvan ja yleisen turvallisuuden uhkia yhteen. Riippuvuussuhteiden hallinta on erityisen haasteellista. 8

LUOTTAMUS YLEISESTI LUOTTAMUS YHTEISTYÖKUMPPANEIHIN Liiketoimintataso Palvelutaso Tekninen taso Luottamus pitäisi voida osoittaa ja todentaa TUOTTEEN TAI PALVELUN LOPPUKÄYTTÄJÄN NÄKÖKULMA Luottamus palveluntarjoajaan Luottamus laitteisiin, teknisiin ratkaisuihin PALVELUNTARJOAJAN NÄKÖKULMA Luottamus asiakkaisiin Luottamus yhteistyökumppaineihin Luottamus teknisiin ratkaisuihin VASTUUT? Vastuuasiat eivät ole selviä vielä nykyisin arvoketjuissa 9

ESIMERKKI: LUOTTAMUS PILVIPALVELUISSA LUOTTAMUS PILVIPALVELUISSA: Luottamus yksityisyydensuojaan ja liiketoimintaan PILVIPALVELUT (CLOUD SERVICES) YLEISTYVÄT Joustavuus, skaalautuvuus: ei tarvitse investoida kalliisiin tietojärjestelmäratkaisuihin LUOTTAMUS TIETOTURVAAN? Tuntematon riskiprofiili pilvipalvelun käyttäjän näkökulmasta Palvelun rakenteelliset ja toiminnalliset piirteet uudenlaisia informaation hallinnan näkökulmasta, jopa koko palvelu voidaan kaapata (vaikutus suuri) Teknisten ratkaisujen on oltava skaalautuvia -- monet tekniset komponentit ja rajapinnat uudenlaisessa käytössä LUOTTAMUS YKSITYISYYDENSUOJAAN/TIETOSUOJAAN? Tietosuojalainsäädännön ongelmat: erilainen eri puolilla maailmaa, palvelukonseptin ja tekniikan näkökulmasta vanhentunut, kuitenkin pilvipalvelut kättelyssä globaaleja Miten rekisterin omistaja voi käyttää pilvipalveluja? Vastuut? Valtiollinen ylimonitorointi: tietoa suuresta määrästä ihmisiä yhdessä paikassa Toissijainen käyttö: käyttäjäprofilointi, tiedon myyminen eteenpäin LUOTTAMUS PALVELUN SAATAVUUTEEN? Evidenssi on riittämätöntä Palvelutarjoajan liiketoiminta voi joutua hankaluuksiin nykyisellään Palvelu voidaan myydä Palvelun voi omistaa kokonaan eri taho kuin palvelusopimuksesta käy ilmi Palveluntarjoja ei voi hallita järjestelmää välttämättä yhden palvelunkäyttäjän toiveiden mukaan Lähteet: Cloud Security Alliance, World Privacy Forum, VTT:n tekemät haastattelut Cloud SW SHOK-projektissa keväällä 2010 10

MUKAUTUVUUS JA SELVITYMISKYKY TEKNISISSÄ JÄRJESTELMISSÄ Tulevaisuutta teknisissä järjestelmissä ovat (laajamittaisesti käytössä 2025, kokeiluja ja erikoiskäyttöä jo nykyään): SELF-ADAPTATION Mukautuminen ylätason konseptina SELF-RESILIENCE / SURVIVABILITY Järjestelmän kyky selviytyä missiostaan todellisessa käyttöympäristössä jossa on uhkia Yhä tärkeämpi ominaisuus SELF-HEALING Toipuminen poikkeustilanteissa Voidaanko tekniset järjestelmät opettaa huolehtimaan selviytymiskykyisiksi Ja huolehtimaan itse tietoturvastaan? SELF-PROTECTION Dynaaminen kontrollien hallinta uhkien mukaan Automatiikka vaatii pitkällistä uhkakirjastointia ja mittareita 11

MILLAISTA ON KANSALAISEN TIETOTURVA JATKOSSA? Loppukäyttäjien tavoitteet tuotekehitykseen jatkossa Kuluttajat ovat riittävän tietoturvatietoisia (tietoisia tyypillisistä uhkista ja ratkaisuista) tietoturva kuin lukutaito! Esim. yksityisyys: riittävä järkeily myös netissä ollessa; mitä kannattaa kertoa itsestään ja miten käyttäytyä huijausyritysten (mm. kalastelu) tunnistaminen reaktiivinen torjunta: haittaohjelmilta varautuminen ja torjunnan ajantasaisuus Kuluttajat voivat luottaa käyttämiinsä tuotteisiin, palveluihin ja järjestelmiin riittävällä tasolla tietoturvan suhteen Tietoturvanhallintaa ei tehdä liian hankalaksi tavallisille käyttäjille. Tietoturvanhallintaan ei saa tarvita tietokone-eksperttiä, vaan sen on onnistuttava helposti, jos omaa perustietämyksen käytettävistä tuotteista ja palveluista. Kuluttajien yksityisyydensuojaa ei saa loukata tuotteilla tai palveluilla. 12

Panostusta lisättävä ennakoivaan tietoturvatyöhön (ennen kuin on liian myöhäistä)! Myöhäisen vaiheen ratkaisut eivät yksinomaan riitä! Tulevaisuudessa palomuurien, antivirus-tuotteiden ja muiden reaktiivisempien ratkaisujen teho ei yksinomaan riitä torjumaan tietoturvauhkia. Tietoturvaan on pakko panostaa ennaltaehkäisevästi! Tarvitaan enemmän tietoturvatyötä jo tuotteiden ja järjestelmien kehityksen alkuvaiheessa ja koko tuotekehityksen ajan. 13

MITEN ENNALTAEHKÄISEVYYTTÄ VOIDAAN LISÄTÄ Analysoimalla riittävästi uhkia ja haavoittuvuuksia Järjestelmätason uhka- ja haavoittuvuusanalyysi on yhä lapsenkengissään. Insinöörit tarvitsevat helpompia mekanismeja tähän. Tietoturvan varmistusmenetelmillä (epäsuoraa mittaamista ) Varmistukseen kuuluvat mm. tietoturvatestaus, tietoturvamonitorointi ja tietoturvatarkastus, operational security assurance. Tietoturvatietoisuuden lisäämisellä Asiantuntijatasonkaan tietoturvan ymmärtäminen ei ole vielä itsestäänselvyys, vaan kaukana siitä. Tietoisuuden lisäämiseen täytyy panostaa huomattavasti koulutuksella! 14

TIETOTURVAN MITTAAMINEN JA METRIIKAT Efficiency Vaatimukset Mittauksen kohde Mittausmenetelmät constraints Effectiveness constraints Mittauksen kohde voi olla esim. Tekninen järjestelmä Tuote tai palvelu Organisaatio yms. 15 enables Correctness An activity cannot be managed well if it cannot be measured.

TIETOTURVATUTKIMUSTA TARVITAAN RATKAISUJEN KEHITTÄMISEKSI VTT:n tietoturvatutkimuksen ja -kehityksen painopistealueita ovat: tietoturvan mittaaminen mukautuva tietoturva ja selviytymiskyky tietoturvan varmistus (security assurance): tietoturvatestaus, -monitorointi, -tarkastus uhka- ja haavoittuvuuskartoitus verkkotietoturva mobiilitietoturva ja turvalliset ohjelmistoalustaja arkkitehtuuriratkaisut tietojärjestelmien turvallisuus multimodaaliset tunnistusmenetelmät yhteiskunnalle kriittisten perusrakenteiden tietoturva sisällönsuojaus 16

JOHTOPÄÄTÖKSIÄ TIETOTURVA, LUOTTAMUS, SELVIYTYMISKYKY JA YKSITYISYYDENSUOJA Teknislähtöinen tietoturvakenttä on laajentunut kattamaan pitkälti näitä 4 ominaisuutta Osittain päällekkäisiä asioita Kaikkia näitä näkökulmia tarvitaan tuotteita, palveluita ja järjestelmiä kehitettäessä TEKNOLOGIAN JA PALVELUMALLIEN TRENDIT LUOVAT UUSIA HAASTEITA Monimutkaisuus ja ohjelmistolaatu ongelmia teknologian näkökulmasta Luottamuksen merkitys kasvaa, erityisesti pilvipalveluissa Onnistuuko tietoturvatietouden lisääminen vaikuttamaan riittävästi markkinoihin vai tarvitaanko vakavia esimerkkejä epäonnistuneesta liiketoiminnasta? ENNALTAEHKÄISEVIÄ RATKAISUJA Järjestelmä- ja teknologiavalintaratkaisut Tietoturvan varmentaminen tuotekehityksessä ja palveluissa Tietoturvamittareiden (indikaattorien) käyttö TIETOTURVATIETOISUUTTA INSINÖÖREILLEKIN Kokonaisvaltainen ymmärtäminen Tietoturvatietouden laaja lisääminen ja johdon sitouttaminen 17

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute