Ti5318500 Tietoturvan Perusteet Pekka Jäppinen 5. joulukuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007
ja tietoturva Käyttäjä yleensä heikoin lenkki tietoturvaketjussa. Koneen ja käyttäjän välistä yhteyttä on mahdotonta suojata Tietokoneiden toimintaa ei ymmärretä tekevät mitä tietokone pyytää Tietokone on hyvä renki mutta huono isäntä? Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 1/10
Riskien arviointi Arviointi virheet ovat yleisiä Yliarviodaan Riskit joihin ei voida itse vaikuttaa Joista media pitää meteliä (hain hyökkäys, terrorismi, lentokoeen) Aliarvioidaan Jokapäiväiset tapahtumat (auto onnettomuudet) Riskin arviointi on todennäköisyyksillä pelaamista, samoin turvallisuuden määrittäminen Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 2/10
Pankkikortin tunnusluvun arvaamisen mahdollisuus on 1 10000, AES salaimen avaimen arvaukseen 1 2 128 Paljon perustuu uskomuksiin Ravintolan työntekijä ei tee takahuoneessa luottokortilla mitään lisäostoksia Sähköposti tulee siltä henkilöltä jonka nimi on FROM rivillä. Ylläpitäjät eivät käytä oikeuksiaan väärin Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 3/10
Erikoistilanteiden hallinta Mitä tehdä kun jotain outoa tapahtuu Harjoittelusta apua Liiat harjoitukset häiritsevät Ei tällaista ole ennekään tapahtunut. Täytyy olla virhe. Useat hälytykset aiheuttavat hälytyksen pois kytkemisen Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 4/10
Turvallisuuteen liittyvät valinnat Turvallista vaihtoehtoa ei käytetä koska: Turvallinen väline ei ole toiminnassa. Turvallinen tuote on vaikeampi käyttää Turvallinen tuote on hitaampi Turvallista tuotetta ei saa metallinhohtosinisenä Turvallisuutta halutaan, mutta se ei saa vaikuttaa muuhun toimintaan mitenkään. Turvallisuus ei saa näkyä käyttäjälle mitenkään. Dilemma: Turvallisuus vaatii käyttäjän harkintaa - Käyttäjä ei halua vain turvallisuuden takia tehdä ylimääräistä työtä Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 5/10
Tuotteita ei osata käyttää oikein Ei osata tehdä turvallisia ratkaisuja Virukset leviävät edelleen Kukaan ei lue sertifikaatteja Hypätään suoraan varoitusten ohi Tiedon siirtyminen ihmiseltä koneelle Käyttäjä ei voi olla 100% varma, että käskyt tekevät sitä mitä käyttäjä haluaa. Riskit suuremmat yleisillä kuin taskussa säilytetyllä koneella. Laitteen luotettavuus tulisi miettiä ennen sen käyttämistä. Kannattaako syöttää nettikahvilassa koneelle yrityksen sisäinen salasana? Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 6/10
Turvallisuudesta tingitään helposti jos siiitä saa jotain suoranaista hyötyä Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 7/10
Ilkeämieliset sisäpiiriläiset Luotettuja henkilöitä ei valvota Voivat tehdä paljon tuhoa Vartija voi katsoa muualle, rahastaja voi vetää välistä jne. AInoa keino suojautua: Palkkaa rehellisiä ihmisiä. Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 8/10
Social engineering Vakuutetaan toinen henkilö puhumalla ja esiintymällä tekemään jotain josta on apua hyökkäämiseen. Kertomaan salasanan, avaamaan oven yms. Käytetään hyväksi ihmisten auktoriteetin pelkoa Esiinnytään johtajana, korkeana politiikkona jne. Käytetään hyväksi ihmisten hyväntahtoisuutta Esiinnytään henkilönä, jonka pitää vain tehdä yksi pieni juttu... Kevin Mitnick: Art of Deception ISBN: 0-471-23712-4 Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 9/10
Vaikea suojautua Biometriikkaan perustuva tunnistus estää salasanan kertomisen, kun sellaista ei ole Ulkopuoliset yhteydenmuodostusyritykset voidaan estää Armeijan kahden avaimen systeemi estää ettei yhdellä avaimella lähetetä pommia Tietoturvapolitiikka antaa hyvän pohjan toiminnalle. Henkilöstön koulutus tärkeää Pekka Jäppinen, Lappeenranta University of Technology: 5. joulukuuta 2007 10/10