420 likes | 629 Views
Tietoturva 3 op . Engl. Data security, Information security, Computer security. Web: ta.ramk.fi/~jouko.teeriaho Linkki: tietoturva. jouko.teeriaho@ramk.fi. Kurssin tavoitteet.
E N D
Tietoturva 3 op Engl. Data security, Information security, Computer security Web: ta.ramk.fi/~jouko.teeriaho Linkki: tietoturva jouko.teeriaho@ramk.fi
Kurssin tavoitteet Tavoitteena on saada yleiskuva tietoturvasta ja sen osa-alueista yksittäisen käyttäjän (jonkin verran), että yritysten tietoturvan näkökulmasta. Kurssilla laajennetaan tietoturvan näkökulmaa: Tietoturvassa ei ole kyse pelkästään tietoverkon suojaamisesta viruksia ja tunkeutumisia vastaan, vaan kokonaisuudesta johon kuuluu yrityksen tietoturvapolitiikka, henkilöstön kouluttaminen tietoturvakysymyksiin, sekä tietoturvan huomioiminen jokapäiväisessä toiminnassa toimitilojen suunnittelusta paperijätteen käsittelyyn.
Arviointi • Tentti 50% • Ryhmätyöt 50% (palautus ryhmissä Optimaan) HYL, tyydyttävä 1-2 , Hyvä 3-4 , Kiitettävä 5
Luentojen teemat : • 1. Johdanto, tiedon käsitteet ja tiedon merkitys yrityksille • Tietoturvan osa-alueet ja tietoturvan palvelut • Hallinnollinen tietoturvallisuus • Tietoaineistoturvallisuus • 4. Toimitilaturvallisuus • 5. henkilöstöturvallisuus • Laitteistoturvallisuus • Ohjelmistoturvallisuus • 8. Tietoliikenneturvallisuus • 9. Käyttötoimintojen turvallisuus • 10. Tietosuojalainsäädäntö • Tekninen tietoturva - salausmenetelmät • Tekninen tietoturva - salausmenetelmät • Tekninen tietoturva - salausmenetelmät
Kirjallisuutta: Paavilainen: Tietoturva Kivimäki: Windows tietoturva Kerttula Esa: Tietoverkkojen tietoturva Petteri Järvinen: Tietoturva ja yksityisyys Allen: CERT verkkotietoturvan hallinta Ruohonen: Tietoturva IT Press: Tietoturvasertifikaatti Shon Harris: CISSP Certification Web: www.cert.fi ( tietoturvaviraston sivut ) www.tietoturva.fi (tietoturva ry:n sivut) www.tietoturvaopas.fi (kotikäyttäjälle suositeltava opas)
Tietoturvasta ammatiksi? • Tietoturvaosaajista on kasvavaa kysyntää , onhan ennustettu , että internetin ongelmat voivat kaataa koko verkon lähivuosina • Perustiedot tietoturvasta on hyvä olla kaikilla työntekijöillä esim. ITC – alan yrityksissä • On olemassa kansainvälisiä tietoturvasertifikaatti –tutkintoja, jotka ovat näyttötutkintotyyppisiä. Tenttejä järjestetään Helsingissä useita vuodessa • Tutkintoja on kahta tasoa: • CISSP- tentissä 250 monivalintatehtävää • SSCP - tentissä 125 monivalintatehtävää kirjallisuus IT Press: Tietoturvasertifikaatti
Tietoturvan ammattilaiseksikouluttautuminen CISSP (Certified Information Systems Security Professional) ammattitaitosertifikaatti on laadittu (ISC)2 organisaation toimesta. Sertifikaattiin liittyviksi tietoturvallisuusalan osa-alueiksi on määritelty kymmenen eri aihepiiriä. 1. Pääsyoikeuksien hallinta (Access Control Systems & Methodology)2. Järjestelmäkehitys (Applications & Systems Development)3. Jatkuvuussuunnittelu (Business Continuity Planning)4. Salakirjoitusmenetelmät (Cryptography)5. Lait, tutkinta ja etiikka (Law, Investigation & Ethics)6. Toiminnan turvallisuus (Operations Security)7. Fyysinen turvallisuus (Physical Security)8. Turvallisuusarkkitehtuuri ja -mallit (Security Architecture & Models)9. Tietoturvallisuuden johtaminen (Security Management Practices)10. Tieto- ja teleliikenneverkkojen turvallisuus (Telecommunications, Network & Internet Security)CISSP näyttökokeen läpäisyn edellytys on että kokelas saa riittävän hyvän suorituksen useissa näistä tietoturvallisuuden aihepiireissä.Tarkemmat tiedot CISSP sertifikaatista löydät www.isc2.org verkkosivuilta. Näyttökokeessa (Helsingissä) 250 monivalintatehtävää. Hyviä valmennusoppaita on olemassa
Tiedon käsite Data – information – Knowledge - Wisdom
Tiedon käsitteet: 1) Data Data = jalostamatonta raakatietoa, tiedon raaka-ainetta päivän TV-ohjelmat aikataulut dollarin kurssi
Tiedon käsitteet: 2) Informaatio Data muuttuu informaatioksi, kun siihen sisältyy viesti , merkityksiä, käyttöarvoa engl. information
Tiedon käsitteet: 3) Tieto Tieto = sisäistettyä informaatiota esim. kirjan sisältö, kun joku on sen omaksunut engl. knowledge
Tiedon käsitteet: 4) Tietämys - tietämys on jo hyvin jalostunut tiedon muoto: se on osaamista (”knowhow”) jollain alalla, tietämys on tiedon summa, jollain kokeneella insinöörillä, liikemiehellä voi olla korvaamatonta tietämystä, jota ei voi edes panna paperille tai siirtää eteenpäin - opittu tieto ja hiljainen tieto (henkilön arvot ja kokemukset) ovat siinä yhdistyneenä engl. wisdom
Tuotannontekijät klassisen taloustieteen mukaan työ pääoma capital labour
Tuotannontekijät massatuotannon aikakautena työ raaka-aineet pääoma raw materials Koneet laitteet machinery
Tuotannontekijät informaatioyhteiskunnassa knowledge työ TIETO raaka-aineet pääoma Koneet laitteet Kilpailukyvyn kannalta yhä tärkeämmäksi on tullut teknologisen osaamisen taso
Tuotannontekijöiden painotus riippuu toimialasta: Esim. sahateollisuudessa korostuvat raaka-aineet, ohjelmistotuotannossa tieto
Tietojen jakautuminen yrityksissä Virallinen tieto (tilinpäätös, vuosikertomus) Asiakas-tiedot Henkilöstön osaaminen Organisaatioon liittyvä tieto
Tiedon erityisominaisuudet sen suojaamisen kannalta 1) Tieto on aineeton olio. Miten havaitaan sen varastaminen tai laiton kopiointi ? Miten suojata olio jota ei ole fyysisesti olemassa ? 2) Miten estää tiedon luvaton kopiointi ja muokkaus ?
3) Miten mitata varastetun tiedon rahallinen arvo ? 4) Miten jakaa tietoa yrityksessä mahdollisimman monelle niin ettei se joudu ulkopuolisten käsiin ?
Tietoresurssin omistusoikeudesta • Tieto on sekä resurssi , että yrityksen varallisuutta • Työnantajan tarjoamissa puitteissa luotu tai hankittu tieto ontyönantajan omistamaa • Työnantaja päättää, mitä tietoa voi tuoda julkisuuteen • Työntekijöiden osaamisen (tietämyksen) omistusoikeus on hankalampi määrittää Usein tiedolla on yrityksessä käyttöarvoa silloin, kun se on vain ko. yrityksen hallussa. Se menettää arvonsa tultuaan julkiseksi. Julkisen tiedon ominaisuus on se, että sen arvo ei muutu, vaikka se olisi kaikkien käytettävissä.
Highlights of the "2002 Computer Crime and Security Survey"(USA) 1. 90 % vastaajista (etupäässä suuryrityksiä ja valtion laitoksia) havaitsi tietoturvaongelmia viimeisten 12 kk aikana. 2. 80 % kärsi niistä johtuvia taloudellisia menetyksiä. 3. 44 % halusi/kykeni arvioimaan menetyksiä rahallisesti. He ilmoittivat suuruudeksi 455 000 000 $. - Tietovarkaudet 170 000 000 $ - Talouspetokset 115 000 000 $ 4. 74% ilmoitti Internet – yhteyksiensä olevan jatkuvan hyökkäilyn kohteena 5. 34 % oli tehnyt rikosilmoituksia asiasta 6. 40 % havaitsi tunkeutumisyrityksiä ulkopuolelta 7. 40 % havaitsi palvelunestohyökkäyksiä
78 % havaitsi työntekijöidensä väärinkäyttävän sähköpostia+Internettiä 85 % havaitsi tietokoneviruksia. 98 % :lla vastanneista oli omat web - sivut 52 % kävivät verkkokauppaa sivustoillaan 38 % kärsi luvattomasta tunkeutumisesta. 21 % ei osannut sanoa, esiintyikö tätä heidän yrityksessään. 70 % hyökkäyksen kohteeksi joutuneista ilmoitti vandalismista. 55 % ilmoitti palvelunestohyökkäyksestä 12 % ilmoitti transaktiotietojen katoamisesta 6 % raportoi talouspetoksista Johtopäätös: Tietoturvarikkeet ovat hyvin yleisiä. Niistä koituu suuria taloudellisia tappioita. * katso myös www.cert.fi
Tietoturvallisuuden merkitys PK - yrityksille • Lähde: PK -yritysten tietoturvaopas) • Tietotuvallisuudella on nopeasti kasvava merkitys PK -yrityksille • Yrityksen päätöksenteko perustuu oikea-aikaiseen oikeaan tietoon • Kilpailijat ja yrityksen perustamista suunnittelevat ovat kiinnostuneet samasta tiedosta • Tietovuotojen oikeuskäsittely on ollut yritysten kannalta ongelmallista, ellei se ole etukäteen huolehtinut tietoturvasta • Kysymys ei ole vain omasta, vaan asiakkaiden ja yhteistyökumppaneiden tietoturvasta • Yrityksen on • 1) annettava henkilöstölle selkeät ohjeet • 2) selkeästi määriteltävä, mikä on salaista tietoa • 3) arvioitava yrityssalaisuuksien rahallinen arvo etukäteen
Esimerkkejä tyypillisistä oikeustapauksista 1. Yrityksen työntekijä irtisanoutui ja meni kilpailijan palvelukseen. Tätä ennen hän oli kopioinut kustannuslaskelmia, toimintasuunnitelmia ja kone- ja laitepiirustuksia. Tuomio: yrityssalaisuuden rikkominen, kilpailijalle yrityssalaisuuden väärinkäyttö 2. Henkilö irtisanoutui ja perusti itse saman alan yrityksen. Tätä ennen hän oli kopioinut yrityksen asiakasrekisterin. Tuomio: yrityssalaisuuden rikkominen + vahingonkorvaukset 3. Eräässä elektroniikkateollisuuden alihankintaketjussa lopputuotteen valmistava yritys sai haltuunsa alihankkijan valmistaman komponentin piirustukset toiselta ketjun alihankintayritykseltä. Tarkoitus oli alkaa valmistamaa itse ko. komponenttia alihankinnan sijasta. Tuomio: lopputuotteen valmistaja tuomittiin yritysvakoilusta, alihankkija 2 liikesalaisuuden rikkomisesta. 4. Keskusvalvomon tietokoneeseen tunkeutunut virus aiheutti tuotantolaitoksessa tuotannonkeskeytyksen, joka maksoi satoja tuhansia markkoja.
Mitä laki sanoo tietoturvallisuudesta? Työsopimuslaki kieltää työntekijää ilmaisemasta muille työnantajansa liike- ja ammattisalaisuuksia. Rikkeestä voidaan katkaista työsuhde. Yhteistoimintalaissa on myös määräyksiä, jotka kieltävät työntekijää paljastamasta ulkopuolisille työnantajan salaisiksi luokittelemia tietoja. Työnantajalla on puolestaan velvollisuus pitää salassa työntekijän terveydentilaa ja taloudellista asemaa koskevia tietoja. Rikoslaki määrittelee yrityssalaisuuskäsitteen ja salassapitovelvollisuudet, sekä niiden kriminalisoinnit. Jotta jokin tieto olisi yrityssalaisuus, on työnantajan se sellaiseksi luokiteltava ja ryhdyttävä suojaustoimenpiteisiin. Laissa vilpillisestä kilpailusta kosketellaan samaa asia laajentaen yrityssalaisuus koskemaan myös toimeksiantosuhteessa olevia – mm. alihankkijoita. Tietosuojalaki (laki henkilötietojen käsittelystä) määrää, mitä tietoja yksityishenkilöistä saa rekisteröidä ja miten tietoja tulee suojata. Julkisuuslaki koskee viranomaistoiminnan julkisuutta Sähköisen viestinnän tietoturvalaki 1.9.2004 käsittelee mm. henkilön paikantamista, telemarkkinointia,… Laki yksityisyyden suojasta työelämässä (9/2004) käsittelee mm. huumetestejä, työnantajan oikeutta avata työntekijän sähköpostia, kameravalvontaa,..
Mitä yrityssalaisuusoikeudenkäynneistä on opittu ? • Jos yrityssalaisuuksia ei ole yksilöity (luokiteltu) ja niiden taloudellista arvoa määritelty ennen rikollista toimintaa, syyttäjä ei ole nostanut syytettä • Kriminalisoinnit työntekijöiden osalta ovat rajoittuneet palvelusaikaan. Johdon kohdalla salassapitovelvoitteen on katsottu sitovan pitempään. • Ilman määriteltyä taloudellista arvoa tieto ei voi olla yrityssalaisuus. • Yrityssalaisuusrikokset ovat asianomistajarikoksia. Ts. syyte nostetaan vain vahinkoa kärsineen yrityksen aloitteesta. (asioita pyritään sopimaan oikeussalin ulkopuolella)
Tietoturvallisuuden määritelmä Tietoturvallisuus on tiedon kolmen ominaisuuden: • luottamuksellisuuden, • eheyden ja • käytettävyyden turvaamista
Internet Engineering Task Force (IETF)... ...on määritellyt kuusi turvapalvelua: • luottamuksellisuus (confidentiality), • eheys (integrity), • todennus (authentication), • kiistämättömyys (non-repudiation), • pääsynvalvonta (access control) ja • käytettävyys (availability).
1. Luottamuksellisuus (confidentiality) • Luottamuksellisuudella varmistetaan, että tiedot ovat vain niillä, joille tiedot on tarkoitettu. • Luottamuksellisuus suojaa yksityisyyttä ja tiedon omistusoikeutta. esim. sanomien ja tiedostojen salaus kryptaamalla.
2. Eheys (integrity) • Tiedon eheys tarkoittaa, että tieto ei ole muuttunut siirrettäessä eikä säilytettäessä. • Tiedon eheyden varmistamiseen liittyy aina lähettäjän todennus. • Eheys ja todennus yhdessä varmistavat, että lähetty tieto on vastaanottajan saavuttaessaan juuri siinä muodossa, missä se lähetettiin. • Eheyteen kuuluu myös tiedon oikeellisuus esim. tiivistefunktioiden käyttö, virheenkorjaavat tiedonsiirtojärjestelmät
Eheys / julkisuus • Tiedon luottamuksellisuuden ja eheyden taso ja tarve ovat toisistaan riippumattomia. • Tieto voi olla kaikille avointa ja julkista, mutta sen on oltava varmasti oikeaa.
Eheys / julkisuus • Esimerkiksi julkisesti välitetyn viranomaistiedotteen muuttuminen voi aiheuttaa merkittävää vahinkoa. • Toisaalta voi olla hyvin luottamuksellista tietoa, jonka ei kuitenkaan välttämättä tarvitse olla aivan virheetöntä.
3. Todennus (authentication) • Todennuksella varmistetaan, että osapuolet ovat niitä, joita sanovat olevansa. • Esimerkiksi sähköisessä kaupankäynnissä ja viranomaispalveluissa, sekä henkilöiden välisessä viestinnässä on usein tärkeää tietää varmasti, kuka toinen osapuoli on. • Tarvitaan osapuolen ja tietolähteen eli tiedon alkuperän todennusta. esim. sähköinen henkilökortti , pankkivarmenteiden käyttö
4. Kiistämättömyys (non-repudiation) • Kiistämättömyydellä tarkoitetaan, ettei tiedon lähettäjä voi kiistää lähettäneensä tietoa ja olleensa jossakin tapahtumassa osapuolena. • Kiistämättömyys on tietolähteen todennuksen vahva muoto ja se toteutetaan sähköisellä allekirjoituksella*. Kiistämättömyys on ehdoton edellytys monien palvelujen ja toimintojen toteuttamiselle tietoverkkojen kautta. * Digital Signature
5. Pääsynvalvonta (access control) • Pääsynvalvonnalla tarkoitetaan, että käyttäjien pääsyä koneessa olevaan tietoon rajoitetaan ja valvotaan. • Pääsyn valvonnalla tarkistetaan, onko osapuolella oikeus palvelun ja tiedon käyttöön. salasanat, toimitilojen pääsynvalvontajärjestelmät
Pääsynvalvonnan tavoitteena on osaltaan turvata tiedon luottamuksellisuus ja eheys. • Pääsyn valvonta turvaa osaltaan myös tiedon saatavuutta ehkäisten järjestelmään kohdistuvia hyökkäyksiä.
6. Käytettävyys (availability) usein suomennetaan myös: ”KÄYTTÖVARMUUS” - esim. sitä, että yrityksen verkko ja ohjelmistot ovat ”ylhäällä” aamulla töihin tullessa • Käytettävyydellä tarkoitetaan, että tiedon tulee olla niiden käytettävissä, jotka sitä tarvitsevat ja joille se on tarkoitettu. • Tiedon käytettävyys on yksi vaikeimmin toteutettavista tietoturvan muodoista.
Tietoturvan osa-alueet(tätä jaottelua käytetään Suomessa) • Hallinnollinen tietoturvallisuus • Tietoaineistoturvallisuus • Fyysinen turvallisuus (toimitilaturvallisuus) • Henkilöstöturvallisuus • Laitteistoturvallisuus • Ohjelmistoturvallisuus • Tietoliikenneturvallisuus • Käyttötoimintojen turvallisuus
Tietoturva voidaan jakaa myös yleiseen tietoturvaan ja tekniseen tietoturvaan. • Yleinen tietoturva: • tietoturvasuunnitelma • henkilöstöturvallisuus • tietoaineistoturvallisuus • riskianalyysit • tietoturvakoulutus • toimitilaturvallisuus • . . . • Tekninen tietoturva: • salausmenetelmät • autentikointi • digitaalinen allekirjoitus • virustorjuntaohjelmat • palomuuriohjelmat • anti - spyware • videovalvonta …