Tietoturva Internet kaupankäynnissä E-Commerce for Extended Enterprise 29.4.98 Jari Pirhonen (Jari.Pirhonen@atbusiness.com) AtBusiness Communications Oy http://www.atbusiness.com Tutkimus web-palveluista (1996) http://www.trouble.org/survey/ Ongelmakoneita tutkituista (2200 kpl) 100 90 80 70 60 % 50 40 30 Pankit (660) Luottolaitokset (274) US virastot (47) Sanomalehdet (312) sex (451) 20 10 Satunnaiset (469) 0 total yellow red Yellow = potentiaalisia ongelmia Red = kriittisiä ongelmia ( wide open )
Tutkimuksia (http://www.wheelgroup.com/netrangr/pws_survey.html) ProWatch Secure verkkomonitorin asiakaskunnan 556 464 hälytystä touko-syyskuussa 97. Vakavia hyökkäyksiä 0.5-5 kpl/kk/asiakas 48% hyökkäyksistä ISP:n kautta, mutta myös virastoista, finanssilaitoksista, yliopistoista ja liikekumppaneilta hyökkäyksiä 39% hyökkäyksistä USA:n ulkopuolelta 100% WWW-palveluun kohdistuneista hyökkäyksistä kauppapaikkoihin A hacker? That s just the price of doing business on the Internet, son Tutkimuksia http://www.njh.com/general/fbi.html 1997 CSI Computer Security Survey 520 USAn yritystä, virastoa, finanssilaitosta ja yliopistoa virukset, laitevarkaudet, verkkohyökkäykset, sabotaasi 64% joutunut hyökkäyksen kohteeksi viimeisen 12 kk:n aikana 75% kärsi taloudellisia vahinkoja 46% ilmoitti menettäneensä yhteensä yli 136 miljoonaa dollaria tietoturvarikkomuksissa Sisäinen/ulkoinen: 80/20 => 50/50
Elektroninen kaupankäynti Internetissä Elektroninen kaupankäynti Internetissä Verkko muodostaa markkinat yritysten ja kuluttajien välillä yritysten välillä yritysten ja julkishallinnon välillä käyttäjien välillä avoimet maailmanlaajuiset markkinat rajoittamaton määrä kumppaneita avoimia, turvaamattomia verkkoja tunnettuja ja tuntemattomia kumppaneita turvallisuus ja oikeuksien tarkistaminen tarpeen Perinteinen Elektroninen kaupankäynti Markkinat ovat suljettu yhteisö, verkko on tiedonsiirtoväline pelkästään yritysten välillä suljettuja, usein alakohtaisia yhteisöjä rajoitettu määrä yrityskumppaneita suljettuja verkkoja ennestään tunnetut ja luotetut kumppanit turvallisuus osana verkkojen suunnittelua Eurooppalainen elektronisen kaupankäynnin aloite 1997 http://www.ispo.cec.be/ecommerce Tietoturvaratkaisusi? Java VPN Toimikortti SSL SET Palomuuri PKI RSA X509.3 3DES Unix ActiveX Radius Kerberos NT IPSEC
Tietoturva on liiketoimintaongelma Tietoturva EI OLE teknologiaongelma DATA Tietoturvakerrokset Organisaatio + hallinto Henkilökunta Fyysinen Laitteistot Tietoliikenne Ohjelmistot Hallinta Tavoite Tunnista tarpeesi ja velvollisuutesi! Luottamuksellisuus - eheys - käytettävyys Kiistämättömyys - aikaleimat - copyright Tietoturvakaava Tietoturvallisuus = riskianalyysi + tietoturvapolitiikka + tekninen implementointi + monitorointi ja auditointi + reagointi rikkomuksiin
Uhat Internetissä Löysä tietoturvapolitiikka Selain Java/ActiveX Pluginit Tiukka tietoturvapolitiikka Protokollat Reititys Sovellukset Käyttöjärjestelmät Henkilöllisyyden väärentäminen Verkkoviestien väärentäminen Verkkoviestien kuuntelu Palvelujen kuormitus Palvelun imitointi Internet Puolueeton alue WWW Haasteita - ei esteitä Käyttäjän tunnistaminen Valtuutus Verkkoliikenteen suojaus Järjestelmien suojaus Liitynnät operatiivisiin järjestelmiin Maksaminen Seuranta Internet-liittymän suojaaminen Tiedon luokittelu Hallinta Web-palvelun suojaaminen Palvelun tunnistaminen WWW
Suojausarkkitehtuuri CA VV SSL/SSH Kumppanit, kauppiaat Asiakkaat Yritysverkko Hakemistopalvelu Varmennepalvelu Tietokannat Kehitys Internet HTTP/SSL WWW Kauppa VPN VPN Palveluverkko SSH Hakemistopalvelu Ohjeita Luottamuksen rakentaminen salausmenetelmät, digitaaliset varmenteet ja allekirjoitukset, varmenneorganisaatiot, turvalliset maksuvälineet Varo mainoslauseita Ei ole sisäänrakennettua tietoturvaa Suunnittele - toteuta - seuraa KISS - Keep It Simple, Son