Katsaus tieto- ja kyberturvallisuuteen. Valtorin tietoturvaseminaari Paasitorni Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Samankaltaiset tiedostot
Kyberturvaopas. Tietoturvaa kotona ja työpaikalla

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

VIRTU ja tietoturvatasot

Tietoturvapolitiikka

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Virtu tietoturvallisuus. Virtu seminaari

Vahva vs heikko tunnistaminen

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Laatua ja tehoa toimintaan

Valtion konesali- ja kapasiteettipalvelun merkitys valtion konesalistrategian toteuttamisessa VM/JulkICT / Tuomo Pigg

Miten Valtori auttaa valtionhallinnon ICT-kustannustavoitteiden saavuttamisessa? Valtio Expo Toimitusjohtaja Kari Pessi, Valtori

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

VAHTI Sähköisen asioinnin tietoturvaohjeen esittely (VM 25/2017)

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Ohje salauskäytännöistä

Onko meitä petetty, mihin voi enää luottaa?

Tietohallinnon uudistuksia ja haasteita sähköisen hallinnon näkökulma viranomaisten asiakirjojen pysyvään säilyttämiseen

Loppukäyttäjän perustietotekniikkapalvelut nyt ja tulevaisuudessa

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

MTS tiedusteluseminaari Tiedustelulainsäädäntö journalistisesta näkökulmasta

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Miten uudistettu VAHTI voi auttaa organisaatiotasi turvallisuuden kehittämisessä? Kimmo Rousku

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Loppuyhteenveto. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Mobiliteetti ja kommunikaatio

Tietoturvakonsulttina työskentely KPMG:llä

VRK yhteisenä tiedonhallintaa ja digitalisaatiota edistävänä toimijana. Juhta, Sami Kivivasara

Konesalit kompaktiin pakettiin: Valtori toteuttaa valtion konesalistrategiaa

Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus

Viestintäviraston tietoturvapolitiikka

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Valtorin tarjoamat tietoturvapalvelut. Valtorin tietoturvaseminaari Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Valtion konesali- ja kapasiteettipalvelut

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Ehdotusten vaikutukset EU:n kilpailuasemaan luotettavien digitaalisten sisämarkkinoiden kehityksessä

Ohje arviointikriteeristöjen tulkinnasta

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Kyberturvallisuus 2015 Snowdenin paljastuksista konkreettisiin tekoihin

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Valtioneuvoston asetus

Tekninen tiedote 2006 Hanki kunnon prätkähälytin, ettei ajokautesi mene pelkkään kalastamiseen.


Pilvipalvelujen tietoturvasta

TIETOTURVALLISUUDESTA

Tietoturvapolitiikka

Kieku-tietojärjestelmä Työasemavaatimukset sla-

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Väestorekisterikeskus. Lausunto

ICT Palvelut Juhani Suhonen

Sovelto Oyj JULKINEN

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Kyberturvallisuuden implementointi

Turvallisuuden kehittäminen Verohallinnossa. Turvallisuusjohtaja Samuli Bergström

Kansallisen palveluväylän viitearkkitehtuuri

LUONNOS. Sotilastiedustelulainsäädännön valmistelu. lainsäädäntöjohtaja Hanna Nordström työryhmän puheenjohtaja Kuulemistilaisuus

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

Top10 tietoturvauhat ja miten niiltä suojaudutaan. Valtorin asiakaspäivä Johtava asiantuntija Tommi Simula

TAISTO18-harjoitus - palauteseminaari

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Valtorin palveluiden tuotteistaminen ja yhtenäistäminen. Valtorin asiakaspäivä Tuotantojohtaja Jukka Yli-Koivisto

Yritysturvallisuuden perusteet

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

Vihdin kunnan tietoturvapolitiikka

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Ajankohtaista tietoturvallisuudesta. Juha Pietarinen Kimmo Rousku

Valtorin kokonaisvaltaisen riskienhallinnan ja kokonaisturvallisuuden toteuttaminen

Pilvipalvelut julkisella sektorilla. Hannu Ojala Julkisen hallinnon tieto- ja viestintätekninen toiminto

Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Kieku-tietojärjestelmä Työasemavaatimukset

MISSÄ VIIPYY TURVALLISUUDEN DIGITALISAATIO? Kimmo Rousku - Palopäällystöpäivät, Helsinki

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishankkeen (SecICT) tilannekatsaus. Kimmo Janhunen SecICT-hankepäällikkö

OpusCapitan Windows 7 - käyttöönotto. Kimmo Kouhi, varatoimitusjohtaja

Tietoverkkotiedustelu ja lainsäädäntö. Kybertalkoot

Kyberturvallisuus 2015 Snowdenin paljastuksista konkreettisiin tekoihin

Seuraavaksi: Toimitusjohtaja Kari Pessi, Valtori: Strategiasta toteutukseen. Osallistu keskusteluun, kysy ja kommentoi Twitterissä: #Valtori2015

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

Radiotaajuusratkaisut

Miltä kyberturvallisuuden ja tietosuojan tilanne näyttää julkisessa hallinnossa VM:n mittareiden ja kyselyiden valossa? Kolme kehittämistoimenpidettä

Tietoturvaa verkkotunnusvälittäjille

Tietoturvavastuut Tampereen yliopistossa

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

Transkriptio:

Katsaus tieto- ja kyberturvallisuuteen Valtorin tietoturvaseminaari Paasitorni 2.4.2014 Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Esityksessäni luotaan seuraavia asioita Mikä on Windows XP:n osalta tilanne valtionhallinnossa? Lisäohjeistusta tulossa! Mitkä ovat meidän haasteemme? Ja kuinka ne voidaan ratkaista? Pari asiaa signaalitiedustelusta ja uusi lyhenne - MTTK 2

Microsoft Windows XP Niin mitä muuta me olisimme voineet tiedottaa? Windows XP muodostaa merkittävän uhan, josta pitää a) päästä eroon tai b) pienentää riskiä. 3

Microsoft Windows XP Koska valtionhallinnossa näyttää olevan vielä Windows XP-työasemia käytössä, VM/VAHTI tekninen jaosto on laatinut ohjeen niistä toimenpiteistä, joiden avulla organisaatio voi pienentää Windows XPkäyttöjärjestelmästä aiheutuvaa riskiä siten, että sen käyttö on RAJATUSTI, riskienhallintakeinoja toteuttaen mahdollista 8.4.2014 jälkeen. Valtiovarainministeriö tulee edellyttämään seuraavaa raportointia: Kuinka monta Windows XP-työasemaa organisaatiossa on jäljellä? Mikä aiheuttaa sen, että XP-työasemia tarvitaan? Mitä kaikkia ohjeessa olevia riskienhallintamenetelmiä käytetään XP:stä aiheutuvan riskin pienentämiseen? Millä aikataululla ja miten organisaatio pääsee kaikista Windows XPtyöasemista eroon? 4

Tietoturvallisuuden haasteet 5 Valtori - Kimmo Rousku - Tietoturvallisuus 2.4.2014

Iso kuva 6

Meillä on merkittävä määrä vaatimuksia noudatettavana 7

Keskitytään tietoturvallisuuteen Julkinen, ST IV, ST III, ST II ja ST I (681/2010 asetus) Uhkakuvat elävät ja kehittyvät päivittäin Tämä on varsin staattinen osa-alue ja hyvin hallinnassa Uudet uhkakuvat, esimerkiksi: - Tiedusteluorganisaatioiden suorittamat kohdistetut hyökkäykset, NSA-paljastusten esille nostama tiedusteluorganisaatioiden tekninen kyvykkyys - Tietoverkkorikollisten jatkuvasti kehittyvä osaaminen (pankkitroijalaiset, kiristyshaitta- 8 ohjelmat)

Päätelaitteiden tekninen kehittyminen 9

Keskeinen haasteemme päätelaitteiden osalta Julkinen tieto perustietoturvatason vaatimukset ST IV-tietoaineisto perustietoturvatason vaatimukset pitäisi olla jo! ST III-tietoaineisto korotetun tietoturvatason vaatimukset Suurin haasteemme on ST III-käsittelykyvyn saavuttaminen useat keskeiset päätelaitteet eivät täytä niiltä edellytettäviä vaatimuksia toimitilat eivät myös aina täytä vaatimuksia, joita tietojenkäsittely-ympäristöltä edellytetään Onko esimerkiksi julkinen tila, kulkuneuvo tai koti soveltuva paikka? ST II ja ST I eivät ole vastaava ongelma, koska ne vaativat joka tapauksessa erillisen tietojenkäsittely-ympäristön eikä niitä voi etänä käsitellä ST II-tietoaineisto korkean tietoturvatason vaatimukset ST I-tietoaineisto korkean tietoturvatason vaatimukset 10 Valtori - Kimmo Rousku - tietoturvaseminaari 2.4.2014

Yhteenveto Vaikka päätelaitteet kehittyvät nopeasti, niihin kohdistuvat uhkakuvat kehittyvät vielä nopeammin. ST IV -tietoaineistojen käsittelykyvyn saavuttaminen ei ole ongelmallista melkein kaikki päätelaitteet ja toimintaprosessit saadaan näitä tukemaan ST III -tietoaineistot ovat keskeinen ongelma tähän liittyy teknisten ratkaisujen ohella ympäristö, missä tällaista tietoa saa käsitellä esimerkiksi julkinen tila, julkinen kulkuneuvo eivät sitä ole, ei välttämättä edes oma koti Riski vaatimustenmukaisuuden täyttämättä jättämisestä on käsiteltävien tietojen luottamuksellisuuden, eheyden tai saatavuuden menettäminen Tai jos kyse on jatkuvuuden hallinnasta, liike/ydintoimintamme eivät olekaan käytettävissämme kuvittelemallamme tavalla $ ja yhteiskunnan toiminnan lamaantuminen 11

Signaalitiedustelu mitä se oikein on? 12 Valtori - Kimmo Rousku - Tietoturvallisuus 2.4.2014

Signaalitiedustelu Wikipedian mukaan - http://fi.wikipedia.org/wiki/signaalitiedustelu Signaalitiedustelu (SIGINT) on sähköisen liikenteen tiedustelemista. Tiedustelun kohteina voivat olla sotilaalliset ja kaupalliset kohteet, muun muassa suuryritykset, hallinnot, satelliittien laukaisut, sotilastukikohdat jne. eli kaikki sellainen, mitä voidaan käyttää ulko-, puolustusja kauppapolitiikan tukena sekä ajankohtaiset asiat, joilla on kansainvälistä merkitystä. 13

Signaalitiedustelu ketkä sitä suorittavat? Signaalitiedusteluorganisaatioita Ruotsin puolustusvoimien radiolaitos - FRA NSA Yhdysvallat: teknisen tiedustelun virasto (National Security Agency) DSD Australia: puolustusministeriön viestihallinto (Defence Signals Directorate) CSE Kanada: (Communications Security Establishment) GCSB Uusi-Seelanti: valtion viestiturvallisuustoimisto (Government Communications Security Bureau) GCHQ Yhdistynyt kuningaskunta: valtion viestipäämaja (Government Communications Headquarters) NSA:n johdolla ylläpidetään myös maailmanlaajuista ECHELON-verkkoa, jonka avulla se saa tietoja kaikkialta maailmasta ystävällismielisten maiden avustuksella tämän ohella Edward Snowdenin julkaisemat paljastukset 14

Signaalitiedustelu miten? Internet-verkon runkoyhteydet Tiedusteluviranomainen kaappaa kaiken tietoliikenteen omaan palvelinkeskukseen, tiedoista tallennetaan metatiedot talteen (big data) Kohdistetut hyökkäykset Oman vakoilu/haittaohjelman upottaminen kohdeorganisaatioon á la Stuxnet Vakoiluohjelman kautta murtautuminen organisaatioon ja sitä kautta tehtävä pitkäaikainen tietojenkeruu mahdollinen poistuminen hallitusti jälkiä jättämättä Yhteistyö toimittajien kanssa Käytetään kyseisen maan lainsäädännön tarjoamia mahdollisuuksia Salatun tiedon murtaminen Kaikkien tiedusteluviranomaisten perustehtävä on kehittää kryptografiaa ja kryptoanalyysikyvykkyyttä 15

Signaalitiedustelu miten? Runkoyhteydet. 16

Metadata - esimerkki tietojen yhdistämisestä MIT Media Lab's Immersion project 17

Yhteenveto - suojautuminen Me emme ole voimattomia edes näitä uusimpia, nykyaikaisempia keinoja vastaan Neljä menestystekijää: 1) Ihminen eli käyttäjä sinä, minä olemmekin se vahvin lenkki! 2) Uusia työvälineitä palveluita kohdistettujen hyökkäysten tunnistamiseksi sekä estämiseksi 3) Tietoaineistojen oikeaoppinen luokittelu ja tietoaineiston käsittely tasoa vastaavilla keinoilla 4) Havainnointi ja reagointikyvykkyyden kasvattaminen SecICT 18

Havainnointi ja reagointikyvyn parantaminen MTTK mean time to know ei vuosia vaan pitäisi olla vuorokausia! Lokitusta Automaattista analysointia Hälytys Reagointi Poikkeaman korjaaminen 19

Kiitos! www.valtori.fi Kysymyksiä ja palautetta myös sähköisesti Apulaisjohtaja Kimmo Rousku, p. 050 566 2986, kimmo.rousku@valtori.fi 20

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute