Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö



Samankaltaiset tiedostot
Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Lokitietojen käsittelystä

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Varmaa ja vaivatonta

PK-yrityksen tietoturvasuunnitelman laatiminen

DLP ratkaisut vs. työelämän tietosuoja

Tietosuojaseloste. Trimedia Oy

Pilvipalveluiden arvioinnin haasteet

Tietojärjestelmien varautuminen

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

TIETOTURVALLISUUDESTA

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Diplomityöseminaari Teknillinen Korkeakoulu

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Muokkaa otsikon perustyyliä napsauttamalla

Julkishallinnon tietoturvatoimittaja

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Verkostoautomaatiojärjestelmien tietoturva

KESKI-POHJANMAAN IT-ALUEKESKUKSEN TIETOTURVAOHJEET

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Yritysturvallisuuden perusteet

Varoitukset turvallisuusjohdon työkaluina

Kymenlaakson Kyläportaali

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Abuse-toiminnan ajankohtaiset ilmiöt

TOIMITILATURVALLISUUS T kulunvalvontajärjestelmät ja vartiointi. Harri Koskenranta

Ohje tietoturvaloukkaustilanteisiin varautumisesta

1 YLEISKUVAUS Valokaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Forte Netservices Oy. Forte Client Security Services

Vaivattomasti parasta tietoturvaa

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

TURVAA LIIKETOIMINTASI KAIKKIALLA. Protection Service for Business

Standardien PCI DSS 3.0 ja Katakri II vertailu

Haettavan tuen määrät sisäisen turvallisuuden rahaston kansallisissa tavoitteissa haussa

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

HELPPOUDEN VOIMA. Business Suite

Tietoturvallisuus. Kirja sivut

Kattava tietoturva kerralla

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Te > Tv+ Tr+ Tt. Turvallisuusvyöhykeperiaate T /Koskenranta 6

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

Auditoinnit ja sertifioinnit

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Yksityisyyden suoja työsuhteessa

Sähköisen viestinnän tietosuojalain muutos

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

Sähköisen viestinnän tietosuojalaki yhteisötilaajan näkökulmasta. Antti Järvinen

Valtakunnallinen AlueAvain Hanketoiminnan ihanuus ja kurjuus Marja Tuomi

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Verkostoautomaatiojärjestelmien tietoturva

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Henkilötiedot ja tietosuoja kotipalveluyrityksissä

Tietomurroista opittua

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Poikkeavuuksien havainnointi (palvelinlokeista)

SÄHKÖISET JA LAINSÄÄDÄNTÖ

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

Katoaako yksityisyyden suoja pilveen?

Miksi verkoissakin pitää tiedustella? Vanajanlinna, Poliisijohtaja Petri Knape

Tietosuoja Copyright (c) 2005 ACE LAW Offices

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Case: Työnantaja hakee esille tai avaa työntekijän sähköpostin JASMINA HEINONEN

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

MITÄ TIETOSUOJA TARKOITTAA?

Tietosuojaseloste: Hairspot T:mi Johanna Uotila,Hairspot T.mi Outi Tarri Päivämäärä:

Varmaa ja vaivatonta viestintää

TIETOSUOJASELOSTE. 1. Rekisterinpitäjä. Pro-Stories Oy

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Luottamusta lisäämässä

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Henkilötietojen käsittely Tullissa (HE 259/18 vp)

Diplomityöseminaari

TARTTIS TEHDÄ JOTAKIN! Juha-Matti Heljaste F-Secure Oyj

Oppimisympäristön arvioiminen ja tunnistaminen tutkinnon perusteiden avulla

Rekisteri- ja tietosuojaseloste

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Vesihuolto päivät #vesihuolto2018

Varmaa ja vaivatonta viestintää kaikille Suomessa

Pentti Mäkinen

Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuva

Esteettömyys ja saavutettavuus rakennetussa ympäristössä - kommenttipuheenvuoro

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet Timo Lehtimäki Johtaja Viestintävirasto

T FYYSINEN TURVALLISUUS - ulkoalueet. Harri Koskenranta

Virtualisointi Kankaanpään kaupungissa. Tietohallintopäällikkö Jukka Ehto

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Transkriptio:

Verkkorikollisuus tietoturvauhkana Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Verkkorikollisuuden erityispiirteet Verkkorikollisuus on ammattimaista ja tähtää taloudelliseen hyötyyn. Tietoverkko on rikolliselle ideaalinen alusta rikoksen toteuttamiseen. Verkossa on: + tavattoman suuri hyötypotentiaali suhteessa pieneen kiinnijäännin riskiin sekä kohtuullisiin toteuttamiskustannuksiin.

Verkkorikostorjunnan keinot 1. Rikoksen teon vaikeuttaminen: Ennaltaehkäisevä valistustyö tavoitteena tietojärjestelmien suojausten parantaminen. 2. Kiinnijäännin todennäköisyyden kasvattaminen: Uhkatietoisuuden lisääminen rikosten havaitsemisosuuden lisäämiseksi. Rikostutkinnan kehittäminen. Rikostorjunnan tietoteknisten ja juridisten edellytysten parantaminen. 3. Rikosseuraamusten kasvattaminen.

Varautumisen ongelma: Puutteellinen uhkatietoisuus Tietotekniset uhat mystifioitu, jolloin ymmärrys ilmiön todellisesta luonteesta kadotetaan. Tällä hetkellä kiinnitetään yleisesti huomio aivan väärään kohteeseen: puhutaan viruksista (haittaohjelmista), ei puhuta riittävästi ohjelmistohaavoittuvuuksista. Fyysisen turvallisuuden puolella kuitenkin korjataan ensin ovet, eikä yritetä luottaa tiirikka-, sorkkarauta- tai liiketunnistimiin

Verkkorikollisuuden uhkatyypit Satunnaisesti kohdistuvat hyökkäykset: kohteena työasemat, joissa sopiva haavoittuvuus tavoitteena: resurssien kerääminen rikolliseen käyttöön rahanarvoisen tiedon kerääminen Kohdistetut hyökkäykset kohteena jokin tietty tietosisältö muuttaminen, varastaminen tai palvelun estäminen. hyökkääjä motivoitunut ja valmis näkemään vaivaa edellytyksenä haavoittuvuus tiedon käsittelyprosessissa: ohjelmistoissa tai ihmisissä

Varautumisen edellytykset: Savuverho pois Suojautumisen edellytys uhan ymmärtäminen: Rosmot eivät ole vain tuolla ulkona. Rosmot tulevat ovista ja ikkunoista -- eivät keskeltä seinää. Kannattako ovet suojata murtautujilta tiirikkatunnistimin? Vai poistamalla heikkoudet? Järjestelmien käyttäjät ovat suurelta osin ihmisiä -- eivät insinöörejä.

Varautumisen edellytykset Suojaus- ja havainnointiprosessit Suojauksen ideana on hankaloittaa tunkeutumista Havainnoinnin ideana on rajata vahinkoja sekä turvata todisteita tunkeilijan kiinnisaamiseksi. Hyökkäystilannetta ei voi tunnistaa riittävän nopeasti, ellei tunne normaalitilannetta. Normaalitilanteen tunteminen edellyttää seurantaa

Suojautumisen reunaehdot Lainsäädännön puitteista 1/3 Organisaatiolla on oikeus suojella palveluitaan ja tietopääomaansa hyökkäyksiltä. Siispä ylläpitäjän on voitava tietää: (teknisesti) millaista liikennettä verkossa kulkee, millaisia prosesseja koneilla on käynnissä. Toisaalta seuranta ei saa loukata: Käyttäjien ja heidän viestintäkumppaneidensa luottamukselliseksi tarkoitettua viestintää. Yhteisötilaajan tai yhteistyökumppanien luottamuksellista tietopääomaa.

Suojautumisen reunaehdot Lainsäädännön puitteista 2/3 Teletunnistetietojen käsittely yhteisötilaajalla Oletusarvoisesti kiellettyä ilman perustetta. Sallittua siinä laajuudessa, missä tarpeen verkko-, viestintä- ja lisäarvopalvelun tietoturvan toteuttamiseksi (Sähköisen viestinnän tietosuojalaki 9 ). Viestin sisällön käsittely työantajan toimesta Oletusarvoisesti kiellettyä ilman perustetta. Laki yksityisyyden suojasta työelämässä määrittelee proseduurit, joilla käsittely ihmisen toimesta mahdollista.

Suojautumisen reunaehdot Lainsäädännön puitteista 3/3 Seurannan helpottaminen viestintäsalaisuutta loukkaamatta: Sopimukset. Perustuslain takaamista oikeuksista ei kuitenkaan voi luopua! Yrityksen toiminnan kannalta kriittisten palvelinten erottaminen viestintäpalvelimista. Viestintäliikenteen salaaminen!

Suojautumisen ja havainnoinnin toteutuksesta Hyökkäyksten havainnointi ~ anomalian tunnistaminen. Niinpä torjunnan edellytykset: Tunkeutujien ja omien käyttäjien tunteminen. Järjestelmien tunteminen ja ymmärtäminen! Ylläpitovastuiden jakaminen. Myös ulkoistuksissa. Tekninen suojaus sekä sen säännöllinen auditointi! Innostunut ylläpito. Politiikat.

Suojauksen toteutuksesta Järjestelmien tekninen suojaus Eri palvelut eri koneille: Suojaus ja seuranta kohteen mukaan. Seurattavia ja huollettavia kohteita: Pääsyvalvontatiedot, erioikeuksin suoritettavat ohjelmat kirjastoineen, verkkopalvelinohjelmistot. WWW-selaimet ;) Oleellista on pitää koneet ajan tasalla ja vain tarvittavat palvelut päällä. Myös sisäverkossa!

Suojauksen toteutuksesta Verkkotopologia Omiin erillisiin verkkoihinsa: WLANit ja verkot, joihin voi kytkeä kannettavan. Eri osastojen tuotantotyöasemaverkot. Sisäverkon palvelimet. Hankalasti suojattavat koneet, labrakoneet. Ulos näkyvät palvelimet. Lokijärjestelmät, jotka keräävät palvelinten lokit. Verkkojen rajoille seurantaa ja torjuntaa. Yksi rajapalomuuri ei ole riittävä suoja.

Kiitos! sari.kajantie@krp.poliisi.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute