Tietoturva ja käyttäytyminen intranetissä

Jyrki J.J. Kasvi

Tietoyhteiskunnan kehittämiskeskus TIEKE

Avoimuuden aika:Olet sitä mitä jaat• Tieto on samanlaista kuin raha, se

tuottaa uutta tietoa ja hyödyttää yhteiskuntaa vain kun sitä käytetään ja investoidaan.– Rahasäiliöön säilötyllä rahalla ei ole arvoa …

eikä suljettuun tietokantaan säilötyllä tiedolla.– Tietoturva ei saa olla tiedon ”rahasäiliö”

• ”Tieto ei ole enää valtaa, tiedon jakaminen on.” » Teemu Arina

• “The best way to get value from data is to give it away”» Neelie Kroes, Vice-President of the European Commission and

Commissioner of the Digital Agenda

Tekniikan ja ihmisen tasapaino

• Intranetin tekninen tietoturva ”helppoa”– Runsaasti valmiita työvälineitä– Epäsymmetrinen rintama, puolustuksen on tukittava kaikki

aukot, hyökkääjälle riittää yksi…– Intranetin toiminnan ja käytön poikkeamien automaattinen

seuranta

• Intranetin sosiaalinen tietoturva vaikeaa– Tekninen tietoturva aiheuttaa riskikäyttäytymistä– Koulutus ja perehdytys, miksi ja miten tietoturvaa– Käyttäjien oikeuksien hallinta (tieto, ylläpito)– Järjestelmän käytöstä jäätävä jäljet

• Kannattaa keskittyä kriittisiin järjestelmiin– Ajantasainen riskianalyysi

Lähtökohdaksi ihminen

Reproduced from

XK

CD

under a Creative C

omm

ons Attribution-N

onCom

mercial 2.5 License

Verkostoitunut toimintatapa näkyy myös intranetissä

Intranet InternetPalomuuri

Projektit

Asiakkuudet

Kumppanuudet

Kokoukset

Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.

Slammer kaatoi vuonna 2003 Davis-Bessen (Ohio) ydinvoimalan turvajärjestelmän viideksi tunniksi.

Slammer pääsi järjestelmään alihankkijan ja voimayhtiön intranettien välille luodun dokumentoimattoman, palomuurin kiertäneen yhteyden kautta

Tietomurtolähtöinen tietoturva

• Tietoturva pettää ennemmin tai myöhemmin!– Aukotonta tietoturvaa ei ole– Jopa tietoturvayhtiöiden järjestelmiin on murtauduttu

• Minimoidaan tietomurron tai hyökkäyksen haitat ennakolta jo suunnitteluvaiheessa– Vain välttämätöntä tietoa kerätään ja käytetään– Kriittiset tietovarannot kryptataan– Järjestelmien segmentointi ja kerrostaminen– Skaalautuvat järjestelmät

• Valmis toimintamalli _kun_ tietoturva pettää– Tiedottaminen käyttäjille, viranomaisille ja asiakkaille– Resursoitu ajantasainen palautumissuunnitelma

Hyökkäyksiin varautuminen

• Hyökkääjälle voi riittää toiminnan lamauttaminen– Palvelun tasoa ja kapasiteettia on pystyttävä

skaalaamaan nopeasti

• Liikkuva maali– Tekniikka ja maailma muuttuvat nopeasti– Tietoturvaa ja kuormituksen sietokykyä on testattava

säännöllisesti (case Stuk)

• Myös yleisön suuri kiinnostus voi ylikuormittaa järjestelmät– Intranet ja ulkoiset palvelut pidettävä erillään

Varjoista valoon

• Kuluttaja-IT kehittyy niin nopeasti, että työnantajan IT ja tiedonhallintakäytännöt vaikuttavat antiikkisilta– Työtä halutaan tehdä omilla työvälineillä omaan tapaan

• Jos työpaikan IT hidastaa työntekoa, se kierretään ja sivuutetaan– Niksit jäykän tietoturvan kiertämiseksi leviävät nopeasti– Esim. miten työssä tarvittava Skype saadaan toimimaan

intrassa, vaikka sen käyttö olisi kielletty ja estetty

• Työntekijät tietävät parhaiten, millaista tietotekniikkaa tarvitsevat– Varjo-IT on mahdollisuus, ilmaista palvelukehitystä

• Varjo-IT haastaa ohjauksen, tietoturvan, dokumentit, …– Turvallinen pääsy Intraan työntekijöiden omilla välineillä mistä vain

Karu arkitodellisuus jää piiloon

Skaalaustapilvestä• Tiedot, sovellukset ja laskenta ovat

siirtymässä omista konesaleista pilveen– Pääomia ei tarvitse sitoa infraan

• Oma infra ei enää rajoita tietohallinnon kehittämistä– Optimoi laskentapasiteetin ja resurssien käyttöä

• Esim. Iso-Britannian G-Cloud-hankkeen laskettiin säästävän £3,2 mrd vuodessa

• ... ja muuttumassa on-demand palveluiksi – Kun tiedot ja sovellukset ovat eri pilvissä ja rajapinnat

hallussa, palvelun toimittajaa voi vaihtaa• Pilvipalveluiden laskutus on käyttöperusteista

– Tiedonhallintaprosessit on optimoitava uudelleen• Pilvi ei tunne maantieteellisiä rajoja

– mutta rajoilla on väliäC

C S

A A

ttrib

utio

n S

ugre

e

Rajoilla on väliä

• Palveluntarjoaja, asiakas, data ja laskenta voivat sijaita eri maissa– Esim. Yhdysvaltojen ja EU:n tietoturvaa ja yksityisyyden

suojaa koskevat määräykset ja viranomaisten tiedonsaanti-oikeudet ovat epäyhtenäiset

– Suhteessa viranomaisiin ratkaisevaa on ollut palvelimen sijaintipaikka

• Kansainvälisiä pelisääntöjä ei ole, ja kansallisetkin ennakkotapaukset puuttuvat– Esim. tietoturvan taso on sopimusten varassa

• Palvelinfarmien resursseja käytetään Internetin välityksellä– Jos yhteys pilveen katkeaa, katoavat myös tiedot ja palvelut– Kuka hallitsee Internetin toimintaa?

(Epä)sosiaalinen toimintaympäristö• Sähköinen media tuo joissain henkilöissä esiin heidän

pimeimmän puolensa– Usenetin flame-sodat 1980-luvulla – Intranet-keskusteluja on seurattava ja ylilyönteihin puututtava

• Sosiaalinen pääoma ei ole kehittynyt teknologian tahdissa– Asymmetrinen, epäsynkroninen, kasvoton kommunikointi on

psykologisesti haastavaa

• Ihmiset ovat netissä käsittämättömän luottavaisia– Henkilö- ja tunnistetietoja luovutetaan helposti khalastelijoille– Myös hyvin taitavaa henkilötietojen urkintaa esim.

väärennetyillä kirjautumissivuilla– Urkinta voidaan kohdistaa myös yksittäiseen avainhenkilöön– Kaikkien tiedettävä periaatteet, joilla oma it-ylläpito kysyy

käyttäjien tietoja!

Haktivismi

• Digitaaliset vigilantit tarttuneet nettiyhteisöjä turhauttaviin ongelmiin– Kohteina suuryrityksiä, viranomaisia, poliitikkoja ja

rikollisjärjestöjä– Ei oikeusturvaa eikä valitusoikeutta– Pikemminkin yhteisö tai kulttuuri kuin perinteinen

organisaatio

• Luokattoman heikko tietoturva helpottanut iskuja– Moni haktivistien isku paljastuu vasta julkaisusta– Ihmisten luottamus tietoturvaan romahtanut– Hyvä läksy nettipalveluiden ylläpitäjille ja käyttäjille

CC 2.0 Generic Vincent Diamante

30.9.2010 www.kasvi.org 16

Sukupuolten välinen digikuilu?

Keskustelua

U.S. Army Photo