Abuse-toiminnan ajankohtaiset ilmiöt Viestintäviraston Abuse-seminaari Saku Tolvanen Tietoturvapäällikkö Elisa Oyj Mitä, miksi ja milloin Luotettavuus SVTSL Tietoturva Muuta Mennyt vuosi Ilmoitusten käsittely SVTSL Väärinkäytös 2
Abusen mitä, miksi ja milloin Turvataan yrityksen ja sen asiakkaiden käyttämien tietojen turvallisuutta Seurataan tietoturvan uhkien ja häiriöiden vaikutusta omaan toimintaan ja sopeutetaan toimintaa vastaamaan muuttuvia haasteita Vaatimukset tulevat mm. asiakkailta, laeista ja määräyksistä Varmistetaan osaltaan toiminnan jatkuvuutta Kohtuullinen käsittelyaika Automaation avulla varmistetaan, että aikaa riittää myös kehittämiseen ja vaativien keikkojen hoitamiseen riittävällä laadulla 3 Vanhat uhat ovat hoidossa? HS 17.11.2009 4
Vai olivatko? Automaation kautta kulkevat Arvio peruskeikoista tammi.08 maalis.08 touko.08 heinä.08 syys.08 marras.08 tammi.09 maalis.09 touko.09 heinä.09 syys.09 marras.09 5 Mistä näitä liittymiä oikein tulee? Automaattisesti yksilöidyt liittymät /kk ADSL loka.07 joulu.07 helmi.08 huhti.08 kesä.08 elo.08 loka.08 joulu.08 helmi.09 huhti.09 kesä.09 elo.09 loka.09 joulu.09 kk 6
Luottamus ilmoituksen lähteeseen Luotettavana pysyvä lähde mahdollistaa ilmoitusten automatisoinnin Mikä on rajana luotettavan statuksen menetykselle / saamiselle? Ilmoituksen luotettavuus vaikuttaa myös mahdollisuuksiin hoitaa keikkaa, koska vaikutuksen merkittävyyden arviointi on joskus pelkkää kuulopuhetta Vääriä positiivisia ilmoituksia tulee vastaan äärimmäisen harvoin luotettavista lähteistä saaduista ilmoituksista joiden aikaleimat ovat kunnossa. Luottamus asiakkaan haluun korjata ongelmat 7 Abuse-asiakkaiden selkiyttäminen Miten ylläpitää riittävää tasoa ilmoitusten käsittelyssä? Miten hoitaa niihin toimijoihin kohdistuvat abuse-ilmoitukset, joilla on omaa abuse/cert/csirt toimintaa. Pääosa ilmoituksista koskee kuluttajaliittymiä Ilmoituksia tulee verkko-osoitteen perusteella asiakkaiden sähköpostien verkkotunnuksien perusteella koskien kilpailijoiden toimintaa Koska näkyvissä vain jäävuoren huippu pitäisi yksittäiset tapaukset saada asiakkaiden tiedoksi. 8
Ilmoitusten jaottelu Puhtaat kilpailijat Ilmoituksen lähettäjät ohjataan toimittamaan ilmoitukset oikeaan osoitteeseen. Kilpailijat joiden ostamaa verkkoyhteyttä ilmoitus koskee Ilmoitukset toimitetaan lähteestä riippuen eteenpäin joko muokattuna tai alkuperäisessä muodossaan. Asiakkaat joilla Abuse/CERT/CSIRT tms. toimintaa Asiakkaiden kanssa sovitaan tarvittavat menettelyt Asiakkaat joita koskevien ilmoitusten selvittämisessä tarvitaan tietoja Elisan myymistä järjestelmistä Mahdollisuuksien mukaan pyritään toimittamaan vain tarvittava tieto ongelman poistamiseksi Asiakkaat jotka vastaavat itse päätelaitteidensa tietoturvallisuudesta Tarvittaessa asiakas voi ostaa tukea ongelman selvittämiseen myös Elisalta. Onko ilmoituksessa kyse tietoturvallisuudesta vai väärinkäytöksestä? 9 Sähköisen viestinnän tietosuojalaki 9, 19 ja 20 Tietoturvasta huolehtiminen 13 Teleyrityksen ja lisäarvopalvelun tarjoajan käsittelyoikeus väärinkäytöstapauksissa 13 a-k Yhteisötilaajan oikeudet ja velvollisuudet 10
Mikä on tietoturvasta huolehtimista? Vikatilanne? -> 14 saa tutkia ja hutkia Tietoturvan häiriö -> 20 onko uhka merkittävä / automaattisesti hoidettavissa ilman puuttumista tunnistamistietoihin? Merkittävä ja välitön uhka tietoturvalle tai viestintämahdollisuudelle? -> 20 saa tutkia ja hutkia jos löytää lakiin sopivat keinot Väärinkäytös sopimusehtojen, netiketin, tietoturvallisuusperiaatteiden tms. määritysten mukaan ja vähemmän merkittävät tietoturvallisuuteen liittyvät ongelmat -> 13 saa tutkia ja hutkia jos ennakkoehdot täyttyvät 11 13i Ennakkoilmoitus ja vuosittainen selvitys tietosuojavaltuutetulle väärinkäytöstapauksissa Tehtävä ennen muiden 13 kohtien käsittelyä Pitääkö tehdä myös muiden pykälien osalta, kun käsitellään tunnistamistietoja? Raja väärinkäytöksen selvittämisen ja tietoturvasta huolehtimisen osalta häilyvä 12
Tunnistamistiedot tietoturvatyössä rajanvetoa lähteenä tietosuojavaltuutetun toimiston 20.10.2009 esitys Peukalosäännöt? Väärinkäytöksen selvittäminen, kun turvataan organisaation taloudellisia intressejä, selvitetään tekijää ja uhkan ensijaisesti sisäisiä Tietoturvasta huolehtimista, kun turvataan tietoverkkoja ja niiden viestäntämahdollisuuksia, Estetään uhkaavaa toimintaa ja uhat ovat ensisijaisesti ulkoisia 13 Termien määrittelyä tietoturva vs. väärinkäytös Haittaohjelma Ohjelma jonka luotettava taho on määritellyt haitalliseksi / Mikä tahansa ohjelma joka on kielletty? Liikennemäärä Merkittävä haitta verkon toiminnalle / normaalia kohinaa? Roskaposti Merkittävä haitta palvelimien toiminnalle / yksittäisen viestin aiheuttama estolistau tai estolistauksen uhka Khalastelu Maksuvälinetietojen khalastelua / muiden tunnisteiden khalastelua 14
Muuta Yhteisötilaajan roolissa tehdyt ratkaisut voivat vaikuttaa myös muiden lakien kautta kustannuksiin Tekijänoikeuksien postitoimisto? http://www.minedu.fi/opm/tiedotteet/2009/08/luovien_sisael tojen_luvaton_verkkojakelu.html?lang=fi Luovien sisältöjen luvaton verkkojakelu 15 Kysymyksiä? 16
Kiitos saku.tolvanen@elisa.fi abuse@elisa.fi cert@elisa.fi 17