#CyberSecMonth

Verkkoturvallisuuskuukausi:Ovatko tilisi ja tietosi turvassa?Studia monetaria -yleisöluento rahamuseossa 10.10.2017

Hanna Heiskanen, johtava digitalisaatioasiantuntija, Finanssivalvonta

Tomi Kinnari, tietoturva-asiantuntijaViestintävirasto, Kyberturvallisuuskeskus

#CyberSecMonth

Esityksen sisältö

• Hanna Heiskanen: Miten palveluiden turvallisuus varmistetaan?

• Tomi Kinnari: Mitkä uhat vaanivat palvelujen käyttäjää ja miten niihin voi varautua?

#CyberSecMonth

Miten palveluiden turvallisuus varmistetaan?Hanna Heiskanen

#CyberSecMonth

Mitä tietoturva ja tietosuoja tarkoittavat?• Tietoturvan CIA-malli = Confidentiality + Integrity + Availability

• Luottamuksellisuus• Luottamuksellisten tietojen turvaaminen• Tiedot vain niiden saatavilla, joilla on tietoihin oikeus

• Eheys• Tieto ei pääse muuttumaan vahingossa• Tietoa voivat muuttaa vain ne, joilla on siihen oikeus• Tietoihin tehdyt muutokset ovat havaittavissa

• Saatavuus• Tiedot ovat saatavilla, kun niitä tarvitaan• Tarvittavat varajärjestelyt käytössä vika- ja häiriötilanteiden varalta

• Tietosuoja = henkilötietojen suojaaminen, yksityisyyden turvaaminen

#CyberSecMonth

Useilla viranomaisilla rooli tietoturvan hallinnassa

• Finanssivalvonta

• Viestintäviraston kyberturvallisuuskeskus

• Tietosuojavaltuutettu

• Poliisi – Keskusrikospoliisin kyberrikos-yksikkö

• Euroopan Keskuspankin yhteinen pankkivalvonta suurten pankkien valvonnassa

#CyberSecMonth

Tietoturvallisuuden tila on Suomessa hyvä

Lähde: Microsoft Security Intelligence Report

#CyberSecMonth

Tietoturva on yhteispeliä

Palveluiden suunnittelu

Palveluiden toteutus

Testaus ennen

käyttöönottoaAuditointi

Vienti tuotantoon

Ylläpito ja päivitykset

Palvelun käyttäjä

#CyberSecMonth

Miten finanssipalveluiden turvallisuus varmistetaan?

• Valvonnassa kiinnitetään erityistä huomiota operatiivisiin riskeihin• Tarkastelu toimilupaprosessin yhteydessä

• Tarkastukset

• Valvojan arvio ja ulkoistusilmoitukset merkittävistä ulkoistuksista

• Jatkuva valvonta

• Operatiivinen riski = tappionvaaraa, joka aiheutuu:• riittämättömistä tai epäonnistuneista sisäisistä prosesseista

• henkilöstöstä

• järjestelmistä

• ulkoisista tekijöistä

#CyberSecMonth

Miten uusien palveluiden turvallisuus varmistetaan?• Pankin hallituksen on hyväksyttävä operatiivisen riskin hallinnan periaatteet

• Riskin tunnistaminen, arviointi, seuranta ja rajoittaminen• Periaatteiden säännöllinen uudelleenarviointi

• Pankin on arvioitava uuden tuotteen ja palvelun riskit ennen niiden käyttöönottoa• Myös uuden palvelumallin käyttöönoton yhteydessä tai jos tuotteita ja palveluita on

yhdistelty uudella tavalla

• Pankin sisäinen ohjeistus uuden tuotteen ja palvelun hyväksymiselle

• Riippumattomien osapuolten tietoturva-auditoinnit• Edellytetään verkkopalvelujen osalta• Datan kryptauksen vaatimus

• Käytäntönä, että pankki esittelee merkittävän uuden tuotteen tai palvelun Finanssivalvonnalle hyvissä ajoin ennen sen käyttöönottoa• Riskiarvio – erityisesti tietoturvariskit• Tarvittaessa lisäselvitys tai jopa käyttöönoton lykkääminen

#CyberSecMonth

Entä jos jotain tapahtuu?

• Vahingon rajoittaminen

• Käyttäjätiedotus

• Ilmoitus Finanssivalvonnalle• Toiminnan häiriöistä• Toiminnan virheistä• Operatiivisen riskin tappiotapahtumista

• Ensi-ilmoitus viipymättä heti häiriöiden tai virheiden ilmaannuttua

• Täydentävä ilmoitus yksityiskohdista mahdollisimman pian• Häiriön syyn analysointi• Toimenpiteet sille, miten vastaava häiriö voidaan jatkossa estää

• Vapaaehtoinen ilmoitus Kyberturvallisuuskeskukselle (Cert-Fi)

• Jos henkilötietoja vaarantuu, ilmoitus myös Tietosuojavaltuutetulle

#CyberSecMonth

Suomalaiset tietokoneet hyvin suojattuja Reaaliaikainen suojaus 92,2 %

suomalaisista tietokoneista.

Luku on maailman korkein!

#CyberSecMonth

Kiitos!