Pilvipalvelut tietoturvan näkökulmasta. Mika Jalava Turvanvuoksi Oy Heureka

Samankaltaiset tiedostot
HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietoturvavinkkejä pilvitallennuspalveluiden

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Pilvipalveluiden arvioinnin haasteet

Kymenlaakson Kyläportaali

Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Sosiaaliset mediat ja tietosuoja. Juha Kontturi IT -suunnittelija Turun ammattikorkeakoulu

Varmuuskopiointi Perusteet ja miksi ja miten

Tietoturva ja viestintä

SUOJAA JA HALLINNOI MOBIILILAITTEITASI. Freedome for Business

Jan Hursti, Kehityspäällikkö, Isoworks Oy. Turvallista pilvipalvelua keskisuurille yrityksille

DLP ratkaisut vs. työelämän tietosuoja

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Sähköi sen pal l tietototurvatason arviointi

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

TIETOTURVA. Miten suojaudun haittaohjelmilta

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö

Pikaviestinnän tietoturva

Tietosuojaseloste. Trimedia Oy

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Tiedostojen jakaminen turvallisesti

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Fennian tietoturvavakuutus

Tietokannan tietoturva. Heli Helskyaho Tietoturva-aamupäivä, Oracle House

VISMA SOVELLUSPALVELU. Visman yritysohjelmistot pilvipalveluna

SharePoint verkkopalvelualustana

T Yritysturvallisuuden seminaari

SOSIAALINEN MEDIA APTEEKIN JA ASIANTUNTIJAN TYÖKALUNA

Pilvipalvelujen tietoturvasta

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

Tuunix Oy Jukka Hautakorpi

Kuntarekry.fi. case: pilvipalvelut KL-Kuntarekry Oy / Tuula Nurminen

Peruskyberturvallisuus. Arjessa ja vapaa-ajalla koskee jokaista meitä

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Maatilan tietoturva. Jorma Flinkman, Esedu Seinäjoki

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

TIETOTURVALLISUUDESTA

TIETOTURVAOHJE ANDROID-LAITTEILLE

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

SELVITYS TIETOJEN SUOJAUKSESTA

Tietoturvallisuusliite

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Yritysturvallisuuden perusteet

PK-yrityksen tietoturvasuunnitelman laatiminen

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Luottamuksellinen sähköposti Trafissa

Tietoturvapolitiikka turvallisuuden perusta

VISUAALINEN TIETOTURVASUUNNITELMA PENTTI LIIKANEN

YHDISTYKSEN DIGITAALINEN VIESTINTÄ

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

INHUNT LAW OY:N TIETOSUOJAILMOITUS

Tietoturvaa verkkotunnusvälittäjille

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Yritysturvallisuuden perusteet

IT BACKUP & RESTORE. Palvelimille, työasemille sekä mobiilipäätelaitteille

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

EU:N TIETOSUOJA-ASETUKSET WALMU

R-kioskin uutiskirjettä koskeva tietosuojaseloste

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Oulun Maanmittauskerho ry. Tietosuojaseloste

Hankintariskit haltuun virtualisoinnilla

1. YLEISKUVAUS Palvelun rajoitukset PALVELUKOMPONENTIT Sähköpostipalvelu Sähköpostipalvelun lisäpalvelut...

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Tietosuojaseloste - Työnhakijat

Googlen palvelut synkronoinnin apuna. Kampin palvelukeskus Jukka Hanhinen, Urho Karjalainen, Rene Tigerstedt, Pirjo Salo

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Sopimusten Verkkopankki

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Tietosuojaseloste. Tunne Hoiva Oy:n rekisterit: Asiakasrekisteri Laskutusrekisteri Työnhakijarekisteri Työntekijärekisteri.

Hankinnan problematiikka

Tämän teoksen käyttöoikeutta koskee Creative Commons Nimeä-JaaSamoin 3.0 Muokkaamaton -lisenssi.

Varmaa ja vaivatonta viestintää

Totuus IdM-projekteista

Tietosuojakäytäntö Affordia Oy:ssä v

Järjestelmäarkkitehtuuri (TK081702) Pilvipalvelut. Pilvipalvelut - lähtökohtia

Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Mistä on kyse ja mitä hyötyä ne tuovat?

Transkriptio:

Pilvipalvelut tietoturvan näkökulmasta Mika Jalava Turvanvuoksi Oy Heureka 8.11.2016

Sisältö Muistin virkistys - tietoturvallisuuden perusasioita Mikä muuttuu pilvipalveluissa? Eroja tietoturvan toteutuksessa Kuka vastaa mistäkin? Yksityisyydensuoja Käytännön vinkkejä, palveluntarjoajan valintaa ym. Turvanvuoksi Oy 2

Tietoturvallisuuden perusasioita Kolme osa-aluetta: Tieto ei katoa: käytettävyys Se ei päädy vääriin käsiin: luottamuksellisuus Se säilyy oikeansisältöisenä: eheys Näiden merkitys ei katoa tai muutu pilveen siirryttäessä! Turvanvuoksi Oy 3

Esimerkein... Tieto tai palvelu on käytettävissä silloin kun sitä tarvitaan. Esimerkiksi: Nettipankkiin pääsee ja maksutkin onnistuvat Tieto on luottamuksellista: Sähköpostini luen vain minä, ja minun viestini lukee vain sen tarkoitettu vastaanottaja (?) Tieto on eheää: Pankkitilini saldo on sitä mitä sen pitääkin ja oppilaan henkilö- ja opintotiedot eivät itsekseen muutu Turvanvuoksi Oy 4

Ei mitään ihan kiva juttua! Jokaisesta osa-alueesta on aidosti pidettävä huolta palvelun ja tietosisällön turvaluokituksen edellyttämällä tavalla Oppilaiden harjoitustehtävien palautusjärjestelmän käytettävyys - Oppilaan oikeusturva mm. arvostelun suhteen Oppilaiden tai henkilöstön henkilötietojen tallennus luottamuksellisesti kuka vastaa virheen sattuessa vaikkapa identiteettivarkauden vahingoista? Oppimisalustan arvostelujärjestelmän eheys jälleen kysymys oikeusturvasta Sähköpostin luottamuksellisuus usein avain koko verkkoidentiteettiin! Turvanvuoksi Oy 5

Korjaako pilvi tietoturvan puutteet? Jos ihan yhdellä sanalla pitää vastata, niin... Tilanne muuttuu: Ei.

Uusia haasteita pilvessä Vastuu jakautuu niin hyvässä kuin pahassa Järjestelmän fyysinen toteutus hajautuu segmentointi vaikeampaa, päätelaitteiden hallinta haasteellista Palvelut pois omasta talosta, parantaako vai heikentääkö saatavuutta? Kansainvälisyys kommunikaatio, lainsäädäntö, viranomaisten pääsy tietoihin jne. Tiedon omistajuus ja riippuvuus palveluntarjoajasta ( lock-in ) Turvanvuoksi Oy 7

Mutta myös selkeitä etuja Mittakaavahyödyt Suunnitteluresurssit Tekniset resurssit Ylläpitoresurssit Tietoturvatoteutusten keskittäminen antaa näkyvyyttä Käyttäjäorganisaatiolla on kuitenkin oltava etujen hyödyntämiseksi oma, toimiva tietoturvapolitiikkansa, käytännöt ja riittävä osaaminen palveluiden ostamiseen! Turvanvuoksi Oy 8

Vastuunjaon pääpiirteet Tuotteistettujen palveluiden osalta määrittely, suunnittelu ja toteutus kuuluvat palvelun tarjoajalle. Räätälöityjen palveluiden määrittelyssä mukana on asiakas joka voi olla loppukäyttäjä tai väliporras, suunnittelu ja toteutus ovat palvelun tarjoajan vastuulla. Esimerkkinä koulu tai useamman koulun puolesta toimiva yhteisö, joka tilaa ulkopuoliselta tarjoajalta pilvessä toimivan oppimisalustan Kaikkien palveluiden tarkoituksenmukainen ja tietoturvallinen käyttö on mitä suurimmassa määrin kunkin käyttäjän vastuulla! Turvanvuoksi Oy 9

Vastuunjaosta Palveluiden tekninen toteutus kuuluu käyttäjän näkökulmasta JTO-kenttään (Jonkun Toisen Ongelma, Douglas Adams) Palvelun rajaaminen ei kuitenkaan ole ihan itsestäänselvää: Mikä on palvelu, kuka on käyttäjä? Formsiin perustuva palautesysteemi Google Forms Turvanvuoksi Oy 10

Kuka vastaa mistäkin? Esimerkki tietoturvan näkökulmasta: Se, että pilvisähköposti on käytettävissä, toimittaa postit oikeille vastaanottajille, ei hukkaa viestejä eikä päästä asiattomia ilman oikeita tunnuksia tilillesi, on palveluntarjoajan asia. Salasanan muistaminen, sen salaisena pitäminen, olan yli vilkuilu ja oikeiden osoitteiden kirjoittaminen vastaanottajiksi on käyttäjän hoidettava! Turvanvuoksi Oy 11

Muutama perinteinen ohje loppukäyttäjälle 1. Muista varmuuskopio! 2. Pidä sovellukset ja käyttöjärjestelmä päivitettynä! 3. Järkevät salasanat 4. Haittaohjelmien torjunta 5. Tunnista huijaukset Ovatko nämä pilvessäkin relevantteja? Turvanvuoksi Oy 12

Varmuuskopiot Tieto saadaan palautettua, jos se syystä tai toisesta menetetään Pilvipalveluiden tarjoajat hoitavat yleensä TEKNISISTÄ syistä johtuvilta menetyksiltä suojaamisen erinomaisesti Entä jos käyttäjä poistaa vahingossa jotakin? Entä jos käyttäjänä esiintyvä poistaa tai turmelee jonkin tiedon? Mitä tapahtuu, kun koko palveluntarjoaja syystä tai toisesta katoaa? Turvanvuoksi Oy 13

Varmuuskopioinnin vaatimuksista Mahdollisuus palveluntarjoajasta riippumattomaan kopioon Kopion oltava käyttökelpoisessa muodossa Etu myös haluttaessa vaihtaa palveluntarjoajaa tai käyttää tietoa muihin tarkoituksiin Sama koskee itse ylläpidettäviä räätälöityjä järjestelmiä! SLA:n (palvelutasosopimuksen) katettava myös normaali käytönaikainen varmuuskopiointi! Määrittely riippuu toki tiedon luokittelusta Turvanvuoksi Oy 14

Päivitykset Yksi suurimpia argumentteja pilvipalveluiden puolesta on se, että teknisten järjestelmien ajan tasalla pitäminen on ulkoistettu Merkittävä argumentti pilvipalveluiden puolesta palvelun päässä asiallinen toimittaja hoitaa turva- ja muut päivitykset! Muistakaa kuitenkin päätelaitteiden turvallisuus!!! Turvanvuoksi Oy 15

Salasanapolitiikka Mikä on kunnollinen salasana? Kuka vastaa siitä, että vain kunnollisia salasanoja käytetään? Pilvipalvelu houkutteleva kohde Turvanvuoksi Oy 16

Haittaohjelmat Keskeisimpiä tietoturvauhkia, joskus jopa siinä määrin että muut hyökkäysvektorit unohdetaan keskustelusta vektori kanava tai väline, joka välittää hyökkäystapahtuman suojattuun järjestelmään Pilvipalvelut houkutteleva kohde (taas...) Turvanvuoksi Oy 17

Huijaukset Sähköposti- tai muu haittaviestihuijaus tyypillinen tietomurron toteutustapa Pilvipalvelut houkutteleva kohde (jälleen kerran!) Ilman erityisiä kontrolleja pilveä voi olla vaikeampi suojata kuin erillistä järjestelmää Turvanvuoksi Oy 18

Pilvipalveluiden houkuttelevuus tietomurron kohteena Usein hyökkääjän on helpompi esiintyä luvallisena käyttäjänä (tulosuunta) Samat hyökkäysmenetelmät tehoavat yleensä useisiin asiakasorganisaatioihin Murron kohde voikin olla joku aivan muu kuin ensimmäinen uhri Tavoitteena palvelinjärjestelmän murtaminen Pienemmän riskin harjoittelu Identiteettivarkaus verkossa Turvanvuoksi Oy 19

Esimerkkejä Dropbox Palvelusta vietiin 2012 yli 60 miljoonan käyttäjän tiedot icloud, Google Drive Muualta khalastelluilla salasanoilla viety sensitiivistä tietoa Mutta onko kyse varsinaisesti pilven ongelmasta? KESKUSTELUAIHE! Code Spaces Yritys nurin 2014 DDOS-hyökkäyksen ja datan tuhoamisen seurauksena Turvanvuoksi Oy 20

Yksityisyydensuoja, salassapito ja valvonta EU vs. US Käyttäjä vs. viranomainen Verkkorikollisuus Huolimattomuus Turvanvuoksi Oy 21

EU vs. US 2015 Safe Harbour kehyssopimus todettiin pätemättömäksi 2016 käyttöön uusi EU-US Privacy Shield Vahvat vaatimukset yrityksille, jotka käsittelevät EU-kansalaisten dataa Selkeät säännöt ja läpinäkyvyysvaatimus USA:n viranomaisten pääsylle dataan Järjestely EU-kansalaisten oikaisuvaatimuksien käsittelyyn Yhdysvalloissa edelleen voimassa lainsäädäntö, joka edellyttää viranomaispääsyä yritysten ylläpitämään asiakasdataan http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/files/euus_data_flows_communication_final.pdf Turvanvuoksi Oy 22

Viranomaisvalvonta, palvelut ja pilvi Selkeä ero omien järjestelmien ja ulkoistettujen palveluiden (pilven) välillä Lainsäädäntö voi olla muuttumassa myös EU:ssa/Suomessa! Eri implikaatiot eri tyyppisille organisaatioille: Tärkeää pitää huolta lainsäädännön asettamista yksityisyysvaatimuksista vs. Tärkeää suojata tietoa omista lähtökohdista Turvanvuoksi Oy 23

Luottamuksellisuuden tarve Lainsäädännön vaatimukset: Julkishallinto Koulutus Terveydenhuolto Sisäinen tarve: Henkilökohtainen viestintä Yritykset Tutkimus Turvanvuoksi Oy 24

Viranomaisvalvonnan merkitys Jos tavoitteena on täyttää lain vaatimukset, lienee turvallista olettaa, että viranomaisvalvonta ei vaikuta Jos tarve on sisäinen ja viranomainen voi edustaa vastapuolta, pilvipalveluiden hyödyntäminen edellyttää suunnittelua ja harkintaa Mitä tietoa? Minkä valtioiden vaikutuspiirissä palveluntarjoaja toimii? Missä palvelu fyysisesti sijaitsee? Mikä on palveluntarjoajan lähtökohtainen suhde valvontaan? Hyvä kansalainen vai asiakas ensin molemmat mahdollisia, vrt. Microsoft ja Apple SALAUS Turvanvuoksi Oy 25

Rikollisuus ja huolimattomuus Tavanomaiset syyt luottamuksellisuuden rikkoutumiseen ovat pilvessä samat kuin muissakin tietojärjestelmissä Pilvi houkutteleva kohde pilven asiakas voi päätyä sivuvahingoksi ( collateral damage ) Ulkopuolisen palveluntarjoajan huolimattomuus vs. oma huolimattomuus kumpi on todennäköisempää, kumpaan voi helpommin vaikuttaa? Vaihtelee varmasti organisaatiosta toiseen! Turvanvuoksi Oy 26

Miten minimoida riskejä käytännössä? Kaikissa tietojärjestelmissä suunnitelmallisuus ratkaisee pitkälti onnistumisen. Tässä yhdeydessä se relevantti kysymys suunnittelussa: Mitkä TURVALLISUUSSEIKAT vaikuttavat siihen, toteuttaako palvelu pilvessä vai omilla järjestelmillä?? Omat resurssit: laitteet, verkot, henkilösto Oma osaamistaso ja saatavilla olevien palveluiden taso Palvelun yksilöllisyys vs. tuotteistettu luonne Turvanvuoksi Oy 27

Palveluntarjoajan valinta Mitä ostetaan? Tallennusta, sovellusta, tunnistusta... Maine? Isot (yleensä) osaavat Isoja vastaan hyökätään paljon Vahinkohistoria Onko kotimaalla väliä? Läheltä on helppo ostaa Suomessa on myös kovaa osaamista! Esim. UpCloud, Gapps USA toistaiseksi alan suurin, kyseenalainen maine Turvanvuoksi Oy 28

Palvelutasosopimus, SLA Sopimus ja dokumentaatio ratkaisevat, ei markkinointimateriaali Ainakin nämä kuntoon ja paperille: 1. Varsinainen haluttu toiminnallisuus 2. Muutosten toteuttaminen ja hinnoittelu 3. Käytettävyys mikä on sallittu downtime? Onko varajärjestelyjä? 4. Varmuuskopiointi käytönaikainen pilven sisällä omat kopiot onko data myös käyttökelpoisessa muodossa? 5. Vastuut kuka vastaa kenellekin, esim. luottamuksellisuuden menetyksestä loppukäyttäjälle? mikä on korvaustaso eri tapauksissa, downtime, datan häviäminen? Turvanvuoksi Oy 29

Lopuksi: tarkoitus ei ole jättää tällaista kuvaa pilvestä

Pilvipalvelut ovat nykyaikaa myös turvallisudessa, kun ymmärretään niiden ominaispiirteet! Turvanvuoksi Oy 31

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute