Esitys IT2013-päivillä: Tietoturvallisuuden tilanne yliopistoissa
ja ammattikorkeakouluissa
Olavi Manninen
Tietoturvapäällikkö 4.11.2013
Esityksen sisältö
Mitä tietoturvahaasteita korkeakouluilla on?
Keitä meillä on vastaamassa näihin haasteisiin?
Mitä korkeakouluissa voidaan tehdä tietoturvallisuuden kehittämiseksi?
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 2
Mitä tietoturvahaasteita korkeakouluilla on?
hajautuneen tietojenkäsittely-ympäristön monimutkaisuuskuluttajistuminen (BYOD-laitteet)pilvipalveluiden käyttöhaktivismi ja vakoilulainsäädännön ja muiden säädösten laajuus, palveluihin liittyvät sopimuskäytännötmuuttuneet odotukset ja asenteet tietoturvaa kohtaankäyttäjien tietoturvatietoisuuden ja –osaamisen puutteet”tieteen vapaus”raportointi korkeakoulun johdolle ja johdon tukipienet tietoturvaresurssit
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3
Käytännön tasolla tunnistettuja puutteita korkeakoulun tietoturvallisuudessa / osa 1
Asenne, tietokoneet ja huoneet lukitsematta
Tunnusten luovuttaminen toiselle, salasanat paperilla
Pilvipalveluiden ja sähköpostin huoleton käyttö
Varmuuskopiointi, varmuuskopioiden säilytys
Muistitikkujen, tietokoneiden ja mobiililaitteiden suojaaminen ja matkakäyttö
Tulostaminen ja tulosteet
Osaamisen ja tiedon puute
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 4
... puutteita tietoturvallisuudessa / osa 2
Puutteet järjestelmissä, korkeakoululla ei tarjolla sopivaa palvelua
Elinkaariajattelun puuttuminen
Puutteet varahenkilöjärjestelyissä
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 5
Yleisiä käsityksiä tietoturvallisuudesta
Tietoturvaa pidetään usein puhtaasti teknisenä asiana.Virustorjunta, palomuurit ym. tekniset keinot eivät auta jos työntekijät tai opiskelijat toimivat väärin.Tietoturvallisuutta ei voi ostaa - meidän on itse huomioitava tietoturvallisuus omassa työssämme.
Siksi meidän jokaisen pitää omalta osaltaan huomioida tietoturva-asiat jokapäiväisessä työssä: aineistojen käsittely, säilytys, suojaaminen, aineistojen hävittäminen, varmuuskopioinnit jne.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 6
Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin
Yliopistojen tietoturvapäälliköt/tietoturvavastaavat:14 yliopistoa + MPKK
noin puolessa on vähintään yksi kokopäiväinen tietoturvavastaava, muissa tietoturvavastaava käyttää tyypillisesti 50 % työajasta tietoturvatehtäviin
pääosa vastaavista toimii IT-palveluorganisaatiossa, kolmessa yliopistossa tietoturvapäällikkö sijoitettu IT-palveluyksikön ulkopuolelle
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 7
Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin
Ammattikorkeakoulujen tietoturvavastaavat25 ammattikorkeakoulua + PolAMK
tietoturvavastaavan tehtäviä hoitaa tekniikasta vastaava IT-päällikkö tai joku tekninen asiantuntija muiden tehtävien ohessa
Tietoturvavastaavien lisäksi korkeakouluissa on joukko teknisestä tietoturvasta vastaavia asiantuntijoita
verkko, tallennusympäristöt, palvelimet, AD, valvonta, työasemat, mobiililaitteet, IDM-järjestelmä, tietojärjestelmät/palvelut
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 8
Ratkaisuja tietoturvan kehittämiseksi: yhteistyötä ja hyvien käytäntöjen jakamista
Tietoturvayhteistyöverkostot
Yhteydenpito IT-johtajien verkostoon
Tietoturvasäännöt ja tietoturvaohjeet
Tietoturvan jalkauttaminen korkeakoulussa
Pilvipalveluiden arviointi, tiedonluokitteluohjeet
Tietoturvastandardit ja tietoturva-auditoinnit
Ajankohtaisviestintä korkeakoulun sisällä
Tietoturvapoikkeamien käsittely
Raportointi ja yhteydenpito korkeakoulun johtoon
Uudet tekniset tietoturvaratkaisut
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 9
Muuttuneet odotukset ja asenteet tietoturvaa kohtaan
Tietoturvatyössä ei enää voida lähteä siitä, että kategorisesti kielletään asioita.Tietoturvallisuuden kanssa samassa vaakakupissa on toiminnan joustavuus ja kustannukset.Käyttäjät löytävät tarvittaessa keinoja kiertää tehdyt rajoitukset.On siis pyrittävä olemaan käyttäjien tukena ja etsittävä aktiivisesti ratkaisuja erilaisiin tilanteisiin.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 10
Tietoturvayhteistyöverkostot
Yliopistojen tietoturvayhteistyöllä on pitkät perinteet lähes internetin alkuajoista asti. Yliopistojen Sec-ryhmä toimii mm. viestintäkanavana yliopistojen kesken sekä yliopistojen ja Funet CERTin välillä.Sec-työvaliokunta (Sec-tv) koostuu yliopistojen tietoturvapäälliköistä. Keskeinen tehtävä on koordinoida yliopistojen tietoturvayhteistyötä yhdessä Fucion kanssa.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 11
Tietoturvayhteistyöverkostot
Ammattikorkeakouluilla on yliopistojen Sec-ryhmää vastaava AMK-SEC-ryhmä.
Yksi korkeakoulujen tietoturvayhteistyön muoto on jokakeväiset Sec-päivät. Vuoden 2014 Sec-päivät järjestää Hämeen ammattikorkeakoulu.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 12
Tietoturvasäännöt
Tietoturvapolitiikka ja muu tietoturvasäännöstö luovat tietoturvallisuuden pohjan.Korkeakoulujen FUSEC-työryhmä on laatinut uuden version korkeakoulujen tietoturvasäännöstöstä. https://tt.eduuni.fi/sites/kity/Julkaistut%20dokumentit/FUSEC-dokumentit/
Osa korkeakouluista on jo ottanut tai on parhaillaan ottamassa uuden säännöstön käyttöön.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 13
Tietoturvaohjeet
Yliopistojen tietoturva-asiantuntijoista koostunut työryhmä on laatinut tietoturvaohjeita henkilöstön ja opiskelijoiden käyttöön tarkoitettuja tietoturvaohjeita.http://www.fucio.fi/tietoturva/ Tietoturvaohjeet
Henkilöstön tietoturvaopas
Henkilöstön tietoturvan pikaohje
Opiskelijan tietoturvaopas
Opiskelijan tietoturvan pikaohje
Mobiiliturvaohje henkilöstölle ja opiskelijoille (PDF)
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 14
Tietoturvan jalkauttaminen korkeakoulussa
Pelkkä tietoturvasääntöjen ja tietoturvaohjeiden laittaminen henkilöstön ja opiskelijoiden saataville ei riitä.Tietoturva-asioiden tulisi olla mukana henkilöstön ja opiskelijoiden perehdyttämisessä.Tietoturvatietoisuuden ja tietoturvaosaamisen ylläpitäminen edellyttää säännöllisiä koulutuksia.Lisäksi tietoturvatietoisuuden ja kiinnostuksen ylläpitämiseksi kannattaa miettiä tietoturvan ajankohtaistiedotuksen keinoja.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 15
Pilvipalveluiden soveltuvuus korkeakoulukäyttöön
PiPa-SIG -työryhmä on luonut korkeakoulujen pilvipalveluiden arviointisivuston https://tt.eduuni.fi/sites/pilviohje/Sivustolla on arvioitu sellaisia palveluita, joiden tiedetään kiinnostavan korkeakoulujen käyttäjiä.Pilvipalveluiden arvioinneista on oma esitys IT2013-päivillä.
Korkeakoululla tulee olla käyttäjille tiiviit ja helposti avautuvat tiedonluokitteluohjeet.Ohjeet tulee jalkauttaa osaksi toimintaa.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 16
Mikä on riittävä tietoturvallisuuden taso ja miten se voidaan varmistaa?
Korkeakoulun tulee huolehtia siitä, että sen järjestelmissä toteutetaan riittävä tietoturvan ja tietosuojan taso.Mm. EU:n tulevassa tietosuoja-asetuksessa on luonnosteltu huomattavia sanktioita laiminlyönneistä.Mikä on riittävä tietoturvan taso ja millä se todistetaan?Yliopistot ovat selvittämässä valtionhallinnon tietoturvatasojen käyttämistä yhteisenä tietoturvastandardina.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 17
Tietoturva-auditoinneista
Tietoturva-auditointeja voidaan käyttää varmistamaan tietoturvallisuuden tilannetta.Auditointeja voidaan toteuttaa monin eri tavoin
Ulkopuolinen / sisäinen / vertaisauditointi
Tietoturvan hallintamallin auditointi / Tekninen auditointi
Auditoinnista on erilliset esitykset IT2013-päivien ohjelmassa.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 18
Tietoturvapoikkeamien käsittely
Poikkeamien käsittely ja seuranta on tärkeää tietoturvallisuuden tilannekuvan kannalta.Yleensä on vaikeaa saada käyttäjiltä ja ylläpidolta ilmoituksia kaikista poikkeamista.Poikkeamatietojen kerääminen edellyttää selkeää toimintamallia ja aktiivista työtä.Vakavien ja lievien tietoturvapoikkeamien määrät ovat hyviä tietoturvamittareita.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 19
Raportointi ja yhteydenpito korkeakoulun johtoon
Ilman johdon tukea tietoturvatyö jää helposti tietoturva-asiantuntijoiden ja tietohallinnon puuhasteluksi.Tietoturvapolitiikka, tietoturvasuunnittelu, tietoturvaraportointi organisaation johdolle sekä tietoturva-asioiden säännöllinen käsittely ovat mukana mm. tietoturvatasojen perustason vaatimuksissa.Kuitenkin käytännössä on usein vaikeaa löytää hyvin toimivaa tapaa säännölliseen yhteydenpitoon.
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 20
Tekniset tietoturvaratkaisut
Vaikka tietoturvallisuus ei ole pelkkää tekniikkaa, tietyt tekniset ratkaisut ovat hyödyllisiä tai välttämättömiäkin:
(NextGen) palomuuri, IDS/IDP, keskitetty logitus ja SIEM-järjestelmä, verkon segmentointi, verkon skannaus-ohjelmistot, IDM-järjestelmä, palvelimien virtualisointi-ympäristöt, keskitetyt tallennus- ja varmistusympäristöt, työasemien keskitetty hallinnointi, mobiililaitteiden hallinta, haittaohjelmatorjunta, kryptausratkaisut, ...
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 21
Lopuksi
Tietoturvahaasteita ja tekemistä niiden parissa riittää.Tietoturvayhteistyön merkitys korostuu: verkostojen kautta käytettävissä laajempi osaaminen ja tekemistä voidaan jakaa.Kehittäminen kannattaa pilkkoa riittävin pieniksi osatavoitteiksi ja laittaa asiat tärkeysjärjestykseen.
Kiitokset että jaksoit tänne asti!
21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 22
Top Related