Tietoturva kuntoon lakilekalla? Tietoturvatapahtuma 2009 Timo Lehtimäki Johtaja Verkot ja turvallisuus
Tietoturva kuntoon lakilekalla? Pikakurssi kansalliseen lainsää äädäntöön
Tietoturvan määritelmä Viestinnän sisältö Tietosuoja Henkilötiedot Luottamuksellisuus Eheys Tunnistamistiedot Käytettävyys
... ja sama sanallisesti Sähköisen viestinnän tietosuojalaissa tietoturvalla tarkoitetaan tietojen: Luottamuksellisuutta -> Tiedot ovat vain niiden käyttöön oikeutettujen saatavilla Eheyttä > Tietoja ei voida muuttaa muiden kuin siihen oikeutettujen toimesta Käytettävyyttä -> Tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä
Tietoturvalainsäädäntö on laaja kokonaisuus Eräitä keskeisiä kansallisia lakeja: Suomen perustuslaki Sähköisen viestinnän tietosuojalaki (verkko- ja viestintäpalveluiden tietoturva) Viestintämarkkinalaki (verkko- ja viestintäpalveluiden teknisen toteuttamisen tietoturva) Henkilötietolaki (henkilötietojen käsittelyn tietoturva) Rikoslaki (rangaistussäännökset) Laki yksityisyyden suojasta työelämässä Laki viranomaisen toiminnan julkisuudesta Laki turvallisuusselvityksistä... ja joitain muita + määräyksiä, suosituksia jne.
Lainsäädäntö insinöörin näkökulmasta Johtopäätös: Suomessa ei ole tietoturvaa koskevaa yleislakia manuaali puuttuu?! Monimutkaisuus on haaste kukin laki pitää lukea moneen kertaan: mitä laissa lukee ja mitä laissa ei lue lakia ei voi lukea putkinäöllä/pistemäisesti; DSP:n pipelinen toiminta tai parallel movet tai direct memory access onkin lasten leikkiä lisäksi pitää tuntea ympäröivä lainsäädäntö mihin tästä saa valittaa ;)
Poimintoja: sähköisen viestinnän tietosuojalaki Teleyrityksellä velvollisuus huolehtia verkkojensa ja palvelujensa tietoturvallisuudesta huolehdittava käyttäjien tietojen luottamuksellisuudesta, eheydestä ja käytettävyydestä Tietoturvaloukkausten torjuminen ja tietoturvaan kohdistuvien häiriöiden poistaminen oikeus estää tietoturvaa vaarantavien viestien välittyminen haittaohjelmien poistaminen viesteistä Tiedottaminen tietoturvaloukkauksista ja niiden uhkista
Poimintoja: henkilötietolaki ja rikoslaki Henkilötietojen käsittelyn tietoturva rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen tietoturvan varmistamiseksi Tietoturva rikoslaissa tietojen luottamuksellisuus salassapitorikokset viestintäsalaisuuden loukkaus tietojen käytettävyys tietoliikenteen häirintä tietojärjestelmän häirintä tietojen eheys tietomurto
Tietoturva kuntoon lakilekalla? Lakiuudistuksia tulossa
Sähköisen viestinnän tietosuojalaki/muutoksia1 Tunnistamistietojen käsittely tilastollista analyysiä ja teknistä kehittämistä varten koskee teleyrityksiä, lisäarvopalvelun tarjoajia ja yhteisötilaajia tarkoitus mahdollistaa palveluiden kehittäminen muutoinkin kuin teknisessä mielessä (vrt. nykyinen laki) Yhteisötilaajalle laajempi tunnistamistietojen käsittelyoikeus väärinkäytöstapauksissa oikeus käsitellä tunnistamistietoja selvitettäessä: viestintäverkon ja maksullisten tietoyhteiskunnan palvelujen luvatonta käyttöä viestintäpalvelujen ohjeen vastaista käyttöä yrityssalaisuuksien oikeudetonta paljastamista käsittelyoikeus ei koske viestin sisältöä
Sähköisen viestinnän tietosuojalaki/muutoksia2 Toimenpiteet tietoturvan toteuttamiseksi tavoitteena saattaa säännös vastaamaan nykyisiä tarpeita uutena oikeutena verkkourkintaviestien suodattaminen käyttäjien tietoturva CERT-FI:lle oikeus luovuttaa tunnistamistietoja muussa valtiossa toimivalle viranomaiselle tai muulle taholle Käsittelyaikataulu valiokuntakäsittely päättynyt eduskunta käsittelee Q1/2009 mahdollinen voimaantulo Q2-Q3/2009
Tietoturva kuntoon lakilekalla? Kansainvälinen lainsää äädäntö pelastaa?
EU-sääntely Sähköisen viestinnän direktiivipaketti sähköisen viestinnän tietosuojadirektiivi henkilötietodirektiivi Komission ehdotuksilla on kolme päätavoitetta: parantaa sääntelyä tehostaa sisämarkkinoita edistää kuluttajien oikeuksia Etenemisaikataulu EU:n teleministerineuvosto päätti sähköisen viestinnän direktiivipaketin sisällöstä 27.11.2008 Euroopan parlamentin toisen käsittelyn äänestys on kaavailtu huhtikuulle 2009 arvio implementoinnista kansalliseen lainsäädäntöön 7/2010
Keskeiset tietoturvan ja -suojan muutosehdotukset Ei suuria asiallisia muutoksia, vaan esitetyt uudistukset vastaavat sisällöltään pitkälti nykytilannetta Suomessa Näillä siis mennään...
Tietoturva kuntoon lakilekalla? Tietoturvan lakicase: FRA
FRA: Ruotsin signaalitiedustelu Havainnot: Suomen ulkomaan yhteyksien tietoliikenteestä ylivoimainen valtaosa kulkee Ruotsin kautta Viron liikenteestä iso osa kulkee Suomen kautta osa Venäjältä lähtevästä tietoliikenteestä kulkee Suomen kautta Ruotsi ilmoittanut ulottavansa SIGINT-toimet myös kaapeleissa kulkevaan liikenteeseen Mitä sitten: kansallisella lainsäädännöllä ei mitään vaikutusta vieraan valtion alueella toimenpiteet: tietoisuuden lisääminen >90 %
Tietoturva kuntoon lakilekalla? Tietoturvatilanne tänään
Tunnistettuja trendejä 1. Haittaohjelmien kehittäjät tähtäävät sähköisten asiointipalvelujen heikoimpaan lenkkiin loppukäyttäjien hallussa olevat tietojärjestelmien heikkoudet huoleton käyttökulttuuri 2. Kohdistetut hyökkäykset ( päivitä, kovenna, käytä suojatekniikoita, varmuuskopioi ) ( nettifiksuus ) Social Engineering -menetelmät viety huippuunsa hyödynnetään ohjelmistohaavoittuvuuksia, joihin ei ole korjauksia 3. Laajamittaiset ohjelmistohaavoittuvuudet tuote- tai valmistajatason sijaan protokolla- ja arkkitehtuuritason ongelmia tätä ei otettu suunnittelussa huomioon Käyttäjätunnisteiden varastamisesta ollaan siirtymässä sovellusistuntojen kaappaamiseen.
Tunnistettuja MEGAtrendejä Uhkien kehitys uudet ja keskeneräiset teknologiat, mobiiliuhkat, reagointiaika, uhkien kohdistuminen Osaamisen vähyys uudet protokollat, uudet käyttöjärjestelmät, IP-pohjaiset verkot Yhteiskunnan suurempi riippuvuus esim. toiminnanohjausjärjestelmät, SCADA, CIP, CIIP Tuottavuusvaatimukset enemmän vähemmällä
Mutta... Muutakin jännää on tulossa Internetin tulevaisuus: Kaukoitä ja kehitysmaat ottavat vallan voimakkaan kasvun alueet kuten Afrikka, Aasia tuovat uuden ulottuvuuden kulttuurierot ja lainsäädännön poikkeavuus lainsäädännön harmonisointiin ei ole mitään realistisia mahdollisuuksia näin nopealla aikataululla entäpä tekninen yhteistyö?
Tekninen yhteistyö Euroopassa...
...ja vertailun vuoksi Afrikassa CERT Tunisia
Tietoturva kuntoon lakilekalla? Miten Suomi osaa uida?
Suomessa on maailman puhtaimmat verkot? Haittaohjelmahavainnot / laajakaista-asiakkaat, Q1/2006 = 100 100 90 80 70 60 Kuva: Google Security Blog 50 40 30 20 10 0 Q1/2006 Q2/2006 Q3/2006 Q4/2006 Q1/2007 Q2/2007 Q3/2007 Q4/2007
Suomessa on maailman puhtaimmat verkot? The World's Most Overall Overall The World's Overall Overall Dangerous Country rank in rank in Safest Country rank in rank in Web Domains 2008 2007 Web Domain 2008 2007 (ranked in order) (ranked in order) Hong Kong (.hk) 1 28 Finland (.fi) 74 70 PR of China (.cn) 2 11 Japan (.jp) 72 57 Philippines (.ph) 4 19 Norway (.no) 71 68 Romania (.ro) 5 4 Slovenia (.si) 70 62 Russia (.ru) 8 7 Colombia (.co) 69 64 Lähde: McAfee Kuva: INTECO 25
Mitä sitten? A) Ei voida jäädä laakereilla lepäämään, Suomi ei ole lintukoto puhtaus == Suomesta ei juuri generoida hyökkäyksiä, mutta se ei suojaa meitä ulkoapäin tulevilta hyökkäyksiltä - maailma on millisekuntien päässä! hyökkääjällä on edelleen edut puolellaan: kohde, aika, tekniikka B) Tietoturvahaasteet kasvavat jatkuvasti monimutkaisuus ja ammattimaisuus kasvaa taloudelliset intressit merkittävässä kasvussa toistaiseksi jokainen vuosi on ollut edeltäjäänsä haastavampi C) Vielä on PALJON parannettavaa matoepidemioita ei enää ole eihän... no jos onkin niin niiltä osataan kyllä suojautua - vei miten se menikään... nämä scifi-jutut ei meitä koske, kuka olisi kiinnostunut meidän tiedoista...
Tietoturva kuntoon lakilekalla? Yhteenveto
Tietoturva kuntoon lakilekalla? Lainsäädäntö antaa puitteet toiminnalle välttämätön minimivaatimus, mahdollistaja mitään ei kuitenkaan tapahdu pelkän lain voimin kansainvälinen tilanne lainsäädännössä on lapsellinen ja säilyy sellaisena pitkäääääään Tekemisellä saadaan aikaan tuloksia ruikutus lainsäädännön puitteista ei johda eteenpäin pykäläviidakkoon ei välttämättä löydy sopivaa sapelia oman toiminnan ja yhteistyön jatkuva kehittäminen vie eteenpäin
Mitä sitten pitäisi tehdä? Selvittäkää tietoturvan vaikutukset liiketoiminnalle tuottavuustekijöiden kriittinen tarkastelu: kuinka saadaan ICT optimoimaan toimintoja ja prosesseja ja mikä on tietoturvallisuuden vaikutus toiminnan jatkuvuus on keskeinen arvioitava tekijä oma osaaminen ja avun tarve punnittava - kaikkea ei kannata tehdä itse tietoturvainvestoinnit edelleen vaatimattomia, mutta suorastaan kohtuuttomia suhteessa tarvekartoitukseen Asettakaa uusia vaatimuksia palveluntarjoajille tietoturva on ammattilaisten puuhaa: läpinäkyvät tietoturvapalvelut haastetta toimijoille: mitä tietoturvapalveluita tarvitaan, innovatiivisuus on vielä varhaista
Väitteitä Tietoturvarikokset yli 99% tietoturvarikoksista jää selvittämättä Miksi? #1) ei edes yritetä selvittää #2) selvitys katkeaa syystä tai toisesta Selvitettyjen rikosten tuomiot suuri osa tuomioista jää tuomitsematta tai tuomio on merkitykseltään vähäinen Miksi? #1) seuraukset vaikeasti mitattavissa tai osoitettavissa #2) rikoksen tunnusmerkistö puutteellinen Haaste: tutkikaa pitävätkö väitteet paikkansa, palataan ensi vuonna aiheeseen!
Pohjatietoja tietotekniikkarikoksista Satunnaisia poimintoja...velvoitettu korvaamaan 876 euroa...velvoitettava korvaamaan työvoimakustannuksia 309 euroa...kohtuullinen korvaus on 400 euroa Syyksi luetut rikokset: lievä luvaton käyttö, 8 päiväsakkoa a 6 euroa = 48 euroa Tiivistelmä tuomioista symbolisella tasolla eletään tekijöitä silitellään ja uhreille kylmää kättä vaikutukset maineeseen?
TURVALLINEN ARKI TIETOYHTEISKUNNASSA -Ei tuurilla vaan taidolla!