Upload
suomen-pankki
View
503
Download
0
Embed Size (px)
Citation preview
#CyberSecMonth
Verkkoturvallisuuskuukausi:Ovatko tilisi ja tietosi turvassa?Studia monetaria -yleisöluento rahamuseossa 10.10.2017
Hanna Heiskanen, johtava digitalisaatioasiantuntija, Finanssivalvonta
Tomi Kinnari, tietoturva-asiantuntijaViestintävirasto, Kyberturvallisuuskeskus
#CyberSecMonth
Esityksen sisältö
• Hanna Heiskanen: Miten palveluiden turvallisuus varmistetaan?
• Tomi Kinnari: Mitkä uhat vaanivat palvelujen käyttäjää ja miten niihin voi varautua?
#CyberSecMonth
Miten palveluiden turvallisuus varmistetaan?Hanna Heiskanen
#CyberSecMonth
Mitä tietoturva ja tietosuoja tarkoittavat?• Tietoturvan CIA-malli = Confidentiality + Integrity + Availability
• Luottamuksellisuus• Luottamuksellisten tietojen turvaaminen• Tiedot vain niiden saatavilla, joilla on tietoihin oikeus
• Eheys• Tieto ei pääse muuttumaan vahingossa• Tietoa voivat muuttaa vain ne, joilla on siihen oikeus• Tietoihin tehdyt muutokset ovat havaittavissa
• Saatavuus• Tiedot ovat saatavilla, kun niitä tarvitaan• Tarvittavat varajärjestelyt käytössä vika- ja häiriötilanteiden varalta
• Tietosuoja = henkilötietojen suojaaminen, yksityisyyden turvaaminen
#CyberSecMonth
Useilla viranomaisilla rooli tietoturvan hallinnassa
• Finanssivalvonta
• Viestintäviraston kyberturvallisuuskeskus
• Tietosuojavaltuutettu
• Poliisi – Keskusrikospoliisin kyberrikos-yksikkö
• Euroopan Keskuspankin yhteinen pankkivalvonta suurten pankkien valvonnassa
#CyberSecMonth
Tietoturvallisuuden tila on Suomessa hyvä
Lähde: Microsoft Security Intelligence Report
#CyberSecMonth
Tietoturva on yhteispeliä
Palveluiden suunnittelu
Palveluiden toteutus
Testaus ennen
käyttöönottoaAuditointi
Vienti tuotantoon
Ylläpito ja päivitykset
Palvelun käyttäjä
#CyberSecMonth
Miten finanssipalveluiden turvallisuus varmistetaan?
• Valvonnassa kiinnitetään erityistä huomiota operatiivisiin riskeihin• Tarkastelu toimilupaprosessin yhteydessä
• Tarkastukset
• Valvojan arvio ja ulkoistusilmoitukset merkittävistä ulkoistuksista
• Jatkuva valvonta
• Operatiivinen riski = tappionvaaraa, joka aiheutuu:• riittämättömistä tai epäonnistuneista sisäisistä prosesseista
• henkilöstöstä
• järjestelmistä
• ulkoisista tekijöistä
#CyberSecMonth
Miten uusien palveluiden turvallisuus varmistetaan?• Pankin hallituksen on hyväksyttävä operatiivisen riskin hallinnan periaatteet
• Riskin tunnistaminen, arviointi, seuranta ja rajoittaminen• Periaatteiden säännöllinen uudelleenarviointi
• Pankin on arvioitava uuden tuotteen ja palvelun riskit ennen niiden käyttöönottoa• Myös uuden palvelumallin käyttöönoton yhteydessä tai jos tuotteita ja palveluita on
yhdistelty uudella tavalla
• Pankin sisäinen ohjeistus uuden tuotteen ja palvelun hyväksymiselle
• Riippumattomien osapuolten tietoturva-auditoinnit• Edellytetään verkkopalvelujen osalta• Datan kryptauksen vaatimus
• Käytäntönä, että pankki esittelee merkittävän uuden tuotteen tai palvelun Finanssivalvonnalle hyvissä ajoin ennen sen käyttöönottoa• Riskiarvio – erityisesti tietoturvariskit• Tarvittaessa lisäselvitys tai jopa käyttöönoton lykkääminen
#CyberSecMonth
Entä jos jotain tapahtuu?
• Vahingon rajoittaminen
• Käyttäjätiedotus
• Ilmoitus Finanssivalvonnalle• Toiminnan häiriöistä• Toiminnan virheistä• Operatiivisen riskin tappiotapahtumista
• Ensi-ilmoitus viipymättä heti häiriöiden tai virheiden ilmaannuttua
• Täydentävä ilmoitus yksityiskohdista mahdollisimman pian• Häiriön syyn analysointi• Toimenpiteet sille, miten vastaava häiriö voidaan jatkossa estää
• Vapaaehtoinen ilmoitus Kyberturvallisuuskeskukselle (Cert-Fi)
• Jos henkilötietoja vaarantuu, ilmoitus myös Tietosuojavaltuutetulle
#CyberSecMonth
Suomalaiset tietokoneet hyvin suojattuja Reaaliaikainen suojaus 92,2 %
suomalaisista tietokoneista.
Luku on maailman korkein!
#CyberSecMonth
Kiitos!