Post on 22-May-2015
description
Tietoturva ja käyttäytyminen intranetissä
Jyrki J.J. Kasvi
Tietoyhteiskunnan kehittämiskeskus TIEKE
Avoimuuden aika:Olet sitä mitä jaat• Tieto on samanlaista kuin raha, se
tuottaa uutta tietoa ja hyödyttää yhteiskuntaa vain kun sitä käytetään ja investoidaan.– Rahasäiliöön säilötyllä rahalla ei ole arvoa …
eikä suljettuun tietokantaan säilötyllä tiedolla.– Tietoturva ei saa olla tiedon ”rahasäiliö”
• ”Tieto ei ole enää valtaa, tiedon jakaminen on.” » Teemu Arina
• “The best way to get value from data is to give it away”» Neelie Kroes, Vice-President of the European Commission and
Commissioner of the Digital Agenda
Tekniikan ja ihmisen tasapaino
• Intranetin tekninen tietoturva ”helppoa”– Runsaasti valmiita työvälineitä– Epäsymmetrinen rintama, puolustuksen on tukittava kaikki
aukot, hyökkääjälle riittää yksi…– Intranetin toiminnan ja käytön poikkeamien automaattinen
seuranta
• Intranetin sosiaalinen tietoturva vaikeaa– Tekninen tietoturva aiheuttaa riskikäyttäytymistä– Koulutus ja perehdytys, miksi ja miten tietoturvaa– Käyttäjien oikeuksien hallinta (tieto, ylläpito)– Järjestelmän käytöstä jäätävä jäljet
• Kannattaa keskittyä kriittisiin järjestelmiin– Ajantasainen riskianalyysi
Lähtökohdaksi ihminen
Reproduced from
XK
CD
under a Creative C
omm
ons Attribution-N
onCom
mercial 2.5 License
Verkostoitunut toimintatapa näkyy myös intranetissä
Intranet InternetPalomuuri
Projektit
Asiakkuudet
Kumppanuudet
Kokoukset
Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.
Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.
Slammer pääsi järjestelmään alihankkijan ja voimayhtiön intranettien välille luodun dokumentoimattoman, palomuurin kiertäneen yhteyden kautta
Tietomurtolähtöinen tietoturva
• Tietoturva pettää ennemmin tai myöhemmin!– Aukotonta tietoturvaa ei ole– Jopa tietoturvayhtiöiden järjestelmiin on murtauduttu
• Minimoidaan tietomurron tai hyökkäyksen haitat ennakolta jo suunnitteluvaiheessa– Vain välttämätöntä tietoa kerätään ja käytetään– Kriittiset tietovarannot kryptataan– Järjestelmien segmentointi ja kerrostaminen– Skaalautuvat järjestelmät
• Valmis toimintamalli _kun_ tietoturva pettää– Tiedottaminen käyttäjille, viranomaisille ja asiakkaille– Resursoitu ajantasainen palautumissuunnitelma
Hyökkäyksiin varautuminen
• Hyökkääjälle voi riittää toiminnan lamauttaminen– Palvelun tasoa ja kapasiteettia on pystyttävä
skaalaamaan nopeasti
• Liikkuva maali– Tekniikka ja maailma muuttuvat nopeasti– Tietoturvaa ja kuormituksen sietokykyä on testattava
säännöllisesti (case Stuk)
• Myös yleisön suuri kiinnostus voi ylikuormittaa järjestelmät– Intranet ja ulkoiset palvelut pidettävä erillään
Varjoista valoon
• Kuluttaja-IT kehittyy niin nopeasti, että työnantajan IT ja tiedonhallintakäytännöt vaikuttavat antiikkisilta– Työtä halutaan tehdä omilla työvälineillä omaan tapaan
• Jos työpaikan IT hidastaa työntekoa, se kierretään ja sivuutetaan– Niksit jäykän tietoturvan kiertämiseksi leviävät nopeasti– Esim. miten työssä tarvittava Skype saadaan toimimaan
intrassa, vaikka sen käyttö olisi kielletty ja estetty
• Työntekijät tietävät parhaiten, millaista tietotekniikkaa tarvitsevat– Varjo-IT on mahdollisuus, ilmaista palvelukehitystä
• Varjo-IT haastaa ohjauksen, tietoturvan, dokumentit, …– Turvallinen pääsy Intraan työntekijöiden omilla välineillä mistä vain
Karu arkitodellisuus jää piiloon
Skaalaustapilvestä• Tiedot, sovellukset ja laskenta ovat
siirtymässä omista konesaleista pilveen– Pääomia ei tarvitse sitoa infraan
• Oma infra ei enää rajoita tietohallinnon kehittämistä– Optimoi laskentapasiteetin ja resurssien käyttöä
• Esim. Iso-Britannian G-Cloud-hankkeen laskettiin säästävän £3,2 mrd vuodessa
• ... ja muuttumassa on-demand palveluiksi – Kun tiedot ja sovellukset ovat eri pilvissä ja rajapinnat
hallussa, palvelun toimittajaa voi vaihtaa• Pilvipalveluiden laskutus on käyttöperusteista
– Tiedonhallintaprosessit on optimoitava uudelleen• Pilvi ei tunne maantieteellisiä rajoja
– mutta rajoilla on väliäC
C S
A A
ttrib
utio
n S
ugre
e
Rajoilla on väliä
• Palveluntarjoaja, asiakas, data ja laskenta voivat sijaita eri maissa– Esim. Yhdysvaltojen ja EU:n tietoturvaa ja yksityisyyden
suojaa koskevat määräykset ja viranomaisten tiedonsaanti-oikeudet ovat epäyhtenäiset
– Suhteessa viranomaisiin ratkaisevaa on ollut palvelimen sijaintipaikka
• Kansainvälisiä pelisääntöjä ei ole, ja kansallisetkin ennakkotapaukset puuttuvat– Esim. tietoturvan taso on sopimusten varassa
• Palvelinfarmien resursseja käytetään Internetin välityksellä– Jos yhteys pilveen katkeaa, katoavat myös tiedot ja palvelut– Kuka hallitsee Internetin toimintaa?
(Epä)sosiaalinen toimintaympäristö• Sähköinen media tuo joissain henkilöissä esiin heidän
pimeimmän puolensa– Usenetin flame-sodat 1980-luvulla – Intranet-keskusteluja on seurattava ja ylilyönteihin puututtava
• Sosiaalinen pääoma ei ole kehittynyt teknologian tahdissa– Asymmetrinen, epäsynkroninen, kasvoton kommunikointi on
psykologisesti haastavaa
• Ihmiset ovat netissä käsittämättömän luottavaisia– Henkilö- ja tunnistetietoja luovutetaan helposti khalastelijoille– Myös hyvin taitavaa henkilötietojen urkintaa esim.
väärennetyillä kirjautumissivuilla– Urkinta voidaan kohdistaa myös yksittäiseen avainhenkilöön– Kaikkien tiedettävä periaatteet, joilla oma it-ylläpito kysyy
käyttäjien tietoja!
Haktivismi
• Digitaaliset vigilantit tarttuneet nettiyhteisöjä turhauttaviin ongelmiin– Kohteina suuryrityksiä, viranomaisia, poliitikkoja ja
rikollisjärjestöjä– Ei oikeusturvaa eikä valitusoikeutta– Pikemminkin yhteisö tai kulttuuri kuin perinteinen
organisaatio
• Luokattoman heikko tietoturva helpottanut iskuja– Moni haktivistien isku paljastuu vasta julkaisusta– Ihmisten luottamus tietoturvaan romahtanut– Hyvä läksy nettipalveluiden ylläpitäjille ja käyttäjille
CC 2.0 Generic Vincent Diamante
30.9.2010 www.kasvi.org 16
Sukupuolten välinen digikuilu?
Keskustelua
U.S. Army Photo