Tietoturvallisuus tietoyhteiskunnan ytimessä Olli-Pekka Soini CISSP, CISA, CISM, CRISC Information Security and Risk Management Consultant 16.3.2011
Tietoyhteiskunta ja tietoturva - seminaari Lohja 16.3.2011
MISTÄ LÄHDETÄÄN? Tietoturvallisuus kohdistuu tietoon, etenkin sellaiseen, joka on formaalissa (kirjallisessa muodossa). Tietoturvallisuuden osat ovat Luottamuksellisuus: tieto on vain niiden käytettävissä, joilla on oikeus siihen Eheys: tieto on oikein, loogista, eikä sitä ole asiattomasti muokattu Käytettävyys ja saatavuus: tietoa voidaan käyttää Tietoyhteiskunta on yhteiskunta, jossa tiedon merkitys ihmimillisessä toiminnassa on erittäin suuri Väite: tietoturvallisuus on tietoyhteiskunnan ytimessä 3
TIETOYHTEISKUNTA Tietoyhteiskunta on pitkä historiallisen kehityksen tulos 1. Agraariyhteiskuntaa edeltäjät Erilaisia metsästäjä-keräilijä yhteisöjä Tyypillinen ammatti: metsästäjä Ei kirjallista tietoa 2. Maatalousyhteiskunta Alkoi noin 8000 3500 eaa. Tyypillinen ammatti: maanviljelijä Vähän kirjallista tietoa 3. Teollisuusyhteiskunta alkoi n.1750 1850 Tehdastyöläinen Kirjallista tietoa 4. Tietoyhteiskunta (palveluyhteiskunta, jälkiteollinen yhteiskunta) Alkoi noin 1970 2000 Konttorityöntekijä Kirjalista tietoa valtavasti 4
MIKSI TIETOTURVALLISUUS ON TIETOYHTEISKUNNAN YTIMESSÄ? 5
1) VERKOTTUMINEN 6
VERKOTTUMINEN Liikenne ja tietoliikenne ovat kehittyneet jatkuvasti Toimijat ovat tulleet suuremmiksi ja mutkikkaammiksi Yritysten koko kasvaa Tarvitsemme tavaroita laajemmalta säteeltä kuin ennen Toimiakseen systeemit vaativat toisten systeemien toimintaa, entistä vähemmän on autonomista Sähköä tarvitaan vähän kaikkialla, tietoliikennettä myös Mitä kaikkea pitääkään toimia, jotta Facebook toimii? Verkoissa on vaihdantaa, yleensä tiedon vaihtoa 7 hyppyä USA:n presidentistä Verkko ei toimi ilman tietoa, ja tiedon turvaa - TIETOTURVALLISUUS 7
VERKOTTUMINEN Agraariyhteiskunta Teollisuusyhteiskunta Tietoyhteiskunta 8
VERKOTTUMINEN Seppä takoi auran, eikä sepät olleet riippuvaisia toisistaan Varhaisen Massey Fergusonin valmistus saattoi loppua, jos tavarantoimitukset takkusivat, mutta John Deereen sillä ei ollut vaikutusta Tietoyhteiskunnassa tuotanto pysähtyy ilman tietovirtoja, ongelmat yhtäällä säteilevät laajalti Verkottumisen ytimessä on tietoliikenne ja tietojen käsittely, joiden turvallisuuden ytimessä on tietoturvallisuus 9
2) TIETO ON ARVOKASTA 10
TIETO ON ARVOKASTA Tuotannontekijöitä ovat Työ Koneet Maa Luonnonvarat Tieto Työ on aina ollut tärkeä tuotannontekijä, mutta muiden merkitys on vaihdellut Maatalousyhteiskunnassa maa oli tärkeää Teollisuusyhteiskunnassa luonnonvarat ja koneet Tietoyhteiskunnassa tieto 11
TIETO ON ARVOKASTA Tiedolla on merkitystä monessa suhteessa Kilpailuetu Tiedolla muovista, silikonista ja metalleista tulee tietokone Tiedolla voidaan tehdä aivan uusia asioita Toisaalta, formaalissa muodossa olevaa tietoa kohtaa monet vaarat Se on helppo kopioida tai tuhota Tietoa on poikkeuksellinen hyödyke, sillä sitä voi jakaa ilman, että se vähenee toisaalta, sitä voi varastaa, ilman, että kukaan huomaa mitään Jotta tietoyhteiskunnan arvokkain tuotannontekijä pystyisi hyödyttämään meitä kaikkia, se tarvitsee turvaa, TIETOTURVAA 12
ARVOKASTA ERI YHTEISKUNNISSA Maatalousyhteiskunnassa Teollisuusyhteiskunnassa Tietoyhteiskunnassa public void receiveemailverificationlink(string encryptedrequestparameter) throws EmailVerificationException { thelogger.info("receiveemailverificationlink " + encryptedrequestparameter); String realparameter = decrypt(encryptedrequestparameter, "email.verification.link.parameter.cryptovariable"); 13 String values[] = realparameter.split(":"); if (values == null values.length!= 2) { thelogger.warning("malformed decrypted parameter"); throw new EmailVerificationException("Malformed decrypted parameter"); }
3) KAIKKIALLE SULAUTUNUT TIETO 14
SULAUTUNUT TIETOTURVALLISUUS Yhteiskunnallinen kehitys on aina limittynyt ja vanha on tehostunut uuden innovaatioilla Maatalouden tuotanto kasvoi voimakkaasti teollisen vallankumouksen myötä Tietokoneet ovat tehostaneet mekaanisia koneita Tieto Teollisuus Maatalous 15
SULAUTUNUT TIETOTURVALLISUUS Yhteiskunnallinen kehitys on kumulatiivista Vanha yhteiskunta säilyy pitkään eikä sen tulokset katoa Maataloustuotanto kasvoi, vaikka yhteiskunta siirtyi teollisuusyhteiskuntaan Teollisuustuotannon arvo on jatkanut kasvuaan jopa Iso-Britanniassa Uusi on lisännyt vanhan tuottavuutta Vanha ja uusi ovat sulautuneet Lopulta vanha ei ole toiminut ilma uutta Siispä, Tietoturvallisuus on tietoyhteiskunnan ytimessä, koska ilman tietojärjestelmiä maatalous, teollisuus ja palvelut eivät toimi. 16
4) TURVALLISUUTTA ARVOSTETAAN 17
TURVALLISUUTTA ARVOSTETAAN ENEMMÄN Turvallisuuden ymmärtämisessä Maslowin (1908-1970) tarvehierarkia on hyvä malli Ensin pyritään täyttämää fyysiset perustarpeet, ja vasta näiden tultua tyydytetykdi, havitellaan ylempiä tasoja Peto tappaa heti, vilu päivissä, nälkä viikoissa, mutta kuinka pian kuolo korjaa, jos ei toimi? Turvallisuuden tarve (engl. safety) on heti fyysisten perustarpeiden jälkeen. Mihin kohtaan kuuluu tietoturva (engl. security) 18
MASLOW 19
TURVALLISUUTTA ARVOSTETAAN ENEMMÄN Esi-agraariyhteiskunnassa turvallisuusuhkien kärjessä olivat taudit, pedot ja nälkä Tietototurvallisuutta ei oikein saa istutettua tänne: tieto oli ihmisten aivoissa, vain korkeakulttuureissa oli tietoa kirjoituksina Turvallisuus oli todella tärkeää: uhkia oli paljon Agraariyhteiskunnassa ruokaa alkoi olla, pedot saatiin pois Tietoturva alkoi tulla mukaan, kun tietoa alettiin kirjoittaa laajassa mitassa Uhat vähenivät Teollisuusyhteiskunnassa elintaso alkoi nousta reippaasti Vatsat olivat täynnä, mutta auton alle saattoi jäädä Tietoa oli tallennetussa muodossa: tietoturvallisuus alkoi esiintyä omana ilmiönään 20
TURVALLISUUTTA ARVOSTETAAN ENEMMÄN Tietoyhteiskunnassa perinteisen turvallisuuden uhat ovat vähentyneet Ihmisten perustarpeet ovat keskimäärin tyydytetyt, ja havittelemme tarvehierarkian korkeampia tasoja Näitä tasoja uhkaavat asiat ovat enemmän tietoturvallisuusuhkia kuin perinteisen turvallisuuden uhkia Haluamme turvallisuutta entistä enemmän Vuonna 1970 oli 1000 liikenteessä kuollutta aivan liikaa Vuonna 2010 oli 250 liikenteessä kuollutta aivan liikaa Siispä, Tietoturvallisuus on tietoyhteiskunnan ytimessä, koska se suojaa asioita, joita tavoittelemme. 21
JA MUUTAMA SYY LISÄÄ Mutta mitä on tapahtunut edellisten muutosten lisäksi? 1. Tietoa on paljon, ja se on tallennettu muodossa, jossa sitä voidaan käsitellä. Tietoturvallisuuden suojauskohteita on paljon 2. Tietyt asiat ovat tulleet todella halvoiksi miljoonalle postia muutamalla eurolla Tietojenkäsittelykapasiteetti maksaa uskomattoman vähän, ja sitä on kenen tahansa saatavilla 3. Ihmisen pimeä puoli hakee uuden alustan, jolla toimia, tietoyhteiskunnassa tietoverkot Huijattu on maailman sivu, nyt sitä tehdään verkossa 4. Power to People: yksittäisen ihmisen mahdollisuudet saada aikaan jotain ovat aivan toiset kuin ennen 22
ESIMERKKI: RAHA Raha on vaihdon väline, arvon mitta ja laskentayksikkö Ennen rahataloutta käytiin vaihtokauppaa, jossa hyödykkeet vaihdettiin suoraan toisiin. Ensimmäisissä rahatalouksissa raha on arvometallia, yleensä kultaa tai hopeaa kultaraha-aika Kolikon arvo oli suoraan verrannollinen sen sisältämään arvometalliin Inflaation sain aikaan kultapitoisuuden alentaminen Tietoturvallisuudella ei merkitystä Seuraavassa vaiheessa elettiin setelitaloudessa Kulta oli keskuspankilla, joka käytti sitä setelinannon katteena Setelit oli ainakin periaatteessa vaihdettaviksi kullaksi. Esim USA:n dollari oli 1/35 unssia kultaa. Tietoturvallisuudella oli merkitystä: tieto keskuspankin kultavarojen hupenemisesta oli hyvin, hyvin luottamuksellista, kuten tieto devalvaatiosta Setelien aitous (integrity) oli tärkeää 23
ESIMERKKI: RAHA Nyt elämme tilirahan aikaa, jolloin raha on numeroita tietokoneissa Transaktioiden määrä on noussut huimasti Tietoturvallisuus on erittäin tärkeää Maksujärjestelmän kaatuminen tuo äkkiä suuret vahingot Mistä oikean tilirahan erottaa väärennetystä? 24
RAHA Esi-argaariyhtesikunta Agraariyhteiskunta Teollisuusyheteiskunta Tietoyhteiskunta 25
www.digia.com