Esitys IT2013-päivillä: Tietoturvallisuuden tilanne yliopistoissa ja ammattikorkeakouluissa

1. Olavi Manninen Tietoturvapäällikkö 4.11.2013 Esitys IT2013-päivillä:Tietoturvallisuuden tilanne yliopistoissa ja ammattikorkeakouluissa

2. Esityksen sisältö • Mitä tietoturvahaasteita korkeakouluilla on? • Keitä meillä on vastaamassa näihin haasteisiin? • Mitä korkeakouluissa voidaan tehdä tietoturvallisuuden kehittämiseksi? Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

3. Mitä tietoturvahaasteita korkeakouluilla on? • hajautuneen tietojenkäsittely-ympäristön monimutkaisuus • kuluttajistuminen (BYOD-laitteet) • pilvipalveluiden käyttö • haktivismi ja vakoilu • lainsäädännön ja muiden säädösten laajuus, palveluihin liittyvät sopimuskäytännöt • muuttuneet odotukset ja asenteet tietoturvaa kohtaan • käyttäjien tietoturvatietoisuuden ja –osaamisen puutteet • ”tieteen vapaus” • raportointi korkeakoulun johdolle ja johdon tuki • pienet tietoturvaresurssit Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

4. Käytännön tasolla tunnistettuja puutteita korkeakoulun tietoturvallisuudessa / osa 1 • Asenne, tietokoneet ja huoneet lukitsematta • Tunnusten luovuttaminen toiselle, salasanat paperilla • Pilvipalveluiden ja sähköpostin huoleton käyttö • Varmuuskopiointi, varmuuskopioiden säilytys • Muistitikkujen, tietokoneiden ja mobiililaitteiden suojaaminen ja matkakäyttö • Tulostaminen ja tulosteet • Osaamisen ja tiedon puute Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

5. ... puutteita tietoturvallisuudessa / osa 2 • Puutteet järjestelmissä, korkeakoululla ei tarjolla sopivaa palvelua • Elinkaariajattelun puuttuminen • Puutteet varahenkilöjärjestelyissä Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

6. Yleisiä käsityksiä tietoturvallisuudesta • Tietoturvaa pidetään usein puhtaasti teknisenä asiana. • Virustorjunta, palomuurit ym. tekniset keinot eivät auta jos työntekijät tai opiskelijat toimivat väärin. • Tietoturvallisuutta ei voi ostaa - meidän on itse huomioitava tietoturvallisuus omassa työssämme. • Siksi meidän jokaisen pitää omalta osaltaan huomioida tietoturva-asiat jokapäiväisessä työssä:aineistojen käsittely, säilytys, suojaaminen, aineistojen hävittäminen, varmuuskopioinnit jne. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

7. Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin • Yliopistojen tietoturvapäälliköt/tietoturvavastaavat: • 14 yliopistoa + MPKK • noin puolessa on vähintään yksi kokopäiväinen tietoturvavastaava, muissa tietoturvavastaava käyttää tyypillisesti 50 % työajasta tietoturvatehtäviin • pääosa vastaavista toimii IT-palveluorganisaatiossa, kolmessa yliopistossa tietoturvapäällikkö sijoitettu IT-palveluyksikön ulkopuolelle Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

8. Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin • Ammattikorkeakoulujen tietoturvavastaavat • 25 ammattikorkeakoulua + PolAMK • tietoturvavastaavan tehtäviä hoitaa tekniikasta vastaava IT-päällikkö tai joku tekninen asiantuntija muiden tehtävien ohessa • Tietoturvavastaavien lisäksi korkeakouluissa on joukko teknisestä tietoturvasta vastaavia asiantuntijoita • verkko, tallennusympäristöt, palvelimet, AD, valvonta, työasemat, mobiililaitteet, IDM-järjestelmä, tietojärjestelmät/palvelut Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

9. Ratkaisuja tietoturvan kehittämiseksi: yhteistyötä ja hyvien käytäntöjen jakamista • Tietoturvayhteistyöverkostot • Yhteydenpito IT-johtajien verkostoon • Tietoturvasäännöt ja tietoturvaohjeet • Tietoturvan jalkauttaminen korkeakoulussa • Pilvipalveluiden arviointi, tiedonluokitteluohjeet • Tietoturvastandardit ja tietoturva-auditoinnit • Ajankohtaisviestintä korkeakoulun sisällä • Tietoturvapoikkeamien käsittely • Raportointi ja yhteydenpito korkeakoulun johtoon • Uudet tekniset tietoturvaratkaisut Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

10. Muuttuneet odotukset ja asenteet tietoturvaa kohtaan • Tietoturvatyössä ei enää voida lähteä siitä, että kategorisesti kielletään asioita. • Tietoturvallisuuden kanssa samassa vaakakupissa on toiminnan joustavuus ja kustannukset. • Käyttäjät löytävät tarvittaessa keinoja kiertää tehdyt rajoitukset. • On siis pyrittävä olemaan käyttäjien tukena ja etsittävä aktiivisesti ratkaisuja erilaisiin tilanteisiin. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

11. Tietoturvayhteistyöverkostot • Yliopistojen tietoturvayhteistyöllä on pitkät perinteet lähes internetin alkuajoista asti. • Yliopistojen Sec-ryhmä toimii mm. viestintäkanavana yliopistojen kesken sekä yliopistojen ja Funet CERTin välillä. • Sec-työvaliokunta (Sec-tv) koostuu yliopistojen tietoturvapäälliköistä. Keskeinen tehtävä on koordinoida yliopistojen tietoturvayhteistyötä yhdessä Fucion kanssa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

12. Tietoturvayhteistyöverkostot • Ammattikorkeakouluilla on yliopistojen Sec-ryhmää vastaava AMK-SEC-ryhmä. • Yksi korkeakoulujen tietoturvayhteistyön muoto on jokakeväiset Sec-päivät. Vuoden 2014 Sec-päivät järjestää Hämeen ammattikorkeakoulu. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

13. Tietoturvasäännöt • Tietoturvapolitiikka ja muu tietoturvasäännöstö luovat tietoturvallisuuden pohjan. • Korkeakoulujen FUSEC-työryhmä on laatinut uuden version korkeakoulujen tietoturvasäännöstöstä. https://tt.eduuni.fi/sites/kity/Julkaistut%20dokumentit/FUSEC-dokumentit/ • Osa korkeakouluista on jo ottanut tai on parhaillaan ottamassa uuden säännöstön käyttöön. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

14. Tietoturvaohjeet • Yliopistojen tietoturva-asiantuntijoista koostunut työryhmä on laatinut tietoturvaohjeita henkilöstön ja opiskelijoiden käyttöön tarkoitettuja tietoturvaohjeita.http://www.fucio.fi/tietoturva/ Tietoturvaohjeet • Henkilöstön tietoturvaopas • Henkilöstön tietoturvan pikaohje • Opiskelijan tietoturvaopas • Opiskelijan tietoturvan pikaohje • Mobiiliturvaohje henkilöstölle ja opiskelijoille (PDF) Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

15. Tietoturvan jalkauttaminen korkeakoulussa • Pelkkä tietoturvasääntöjen ja tietoturvaohjeiden laittaminen henkilöstön ja opiskelijoiden saataville ei riitä. • Tietoturva-asioiden tulisi olla mukana henkilöstön ja opiskelijoiden perehdyttämisessä. • Tietoturvatietoisuuden ja tietoturvaosaamisen ylläpitäminen edellyttää säännöllisiä koulutuksia. • Lisäksi tietoturvatietoisuuden ja kiinnostuksen ylläpitämiseksi kannattaa miettiä tietoturvan ajankohtaistiedotuksen keinoja. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

16. Pilvipalveluiden soveltuvuus korkeakoulukäyttöön • PiPa-SIG -työryhmä on luonut korkeakoulujen pilvipalveluiden arviointisivustonhttps://tt.eduuni.fi/sites/pilviohje/ • Sivustolla on arvioitu sellaisia palveluita, joiden tiedetään kiinnostavan korkeakoulujen käyttäjiä. • Pilvipalveluiden arvioinneista on oma esitys IT2013-päivillä. • Korkeakoululla tulee olla käyttäjille tiiviit ja helposti avautuvat tiedonluokitteluohjeet. • Ohjeet tulee jalkauttaa osaksi toimintaa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

17. Mikä on riittävä tietoturvallisuuden taso ja miten se voidaan varmistaa? • Korkeakoulun tulee huolehtia siitä, että sen järjestelmissä toteutetaan riittävä tietoturvan ja tietosuojan taso. • Mm. EU:n tulevassa tietosuoja-asetuksessa on luonnosteltu huomattavia sanktioita laiminlyönneistä. • Mikä on riittävä tietoturvan taso ja millä se todistetaan? • Yliopistot ovat selvittämässä valtionhallinnon tietoturvatasojen käyttämistä yhteisenä tietoturvastandardina. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

18. Tietoturva-auditoinneista • Tietoturva-auditointeja voidaan käyttää varmistamaan tietoturvallisuuden tilannetta. • Auditointeja voidaan toteuttaa monin eri tavoin • Ulkopuolinen / sisäinen / vertaisauditointi • Tietoturvan hallintamallin auditointi / Tekninen auditointi • Auditoinnista on erilliset esitykset IT2013-päivien ohjelmassa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

19. Tietoturvapoikkeamien käsittely • Poikkeamien käsittely ja seuranta on tärkeää tietoturvallisuuden tilannekuvan kannalta. • Yleensä on vaikeaa saada käyttäjiltä ja ylläpidolta ilmoituksia kaikista poikkeamista. • Poikkeamatietojen kerääminen edellyttää selkeää toimintamallia ja aktiivista työtä. • Vakavien ja lievien tietoturvapoikkeamien määrät ovat hyviä tietoturvamittareita. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

20. Raportointi ja yhteydenpito korkeakoulun johtoon • Ilman johdon tukea tietoturvatyö jää helposti tietoturva-asiantuntijoiden ja tietohallinnon puuhasteluksi. • Tietoturvapolitiikka, tietoturvasuunnittelu, tietoturvaraportointi organisaation johdolle sekä tietoturva-asioiden säännöllinen käsittely ovat mukana mm. tietoturvatasojen perustason vaatimuksissa. • Kuitenkin käytännössä on usein vaikeaa löytää hyvin toimivaa tapaa säännölliseen yhteydenpitoon. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

21. Tekniset tietoturvaratkaisut • Vaikka tietoturvallisuus ei ole pelkkää tekniikkaa, tietyt tekniset ratkaisut ovat hyödyllisiä tai välttämättömiäkin: • (NextGen) palomuuri, IDS/IDP, keskitetty logitus ja SIEM-järjestelmä, verkon segmentointi, verkon skannaus-ohjelmistot, IDM-järjestelmä, palvelimien virtualisointi-ympäristöt, keskitetyt tallennus- ja varmistusympäristöt, työasemien keskitetty hallinnointi, mobiililaitteiden hallinta, haittaohjelmatorjunta, kryptausratkaisut, ... Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

22. Lopuksi • Tietoturvahaasteita ja tekemistä niiden parissa riittää. • Tietoturvayhteistyön merkitys korostuu: verkostojen kautta käytettävissä laajempi osaaminen ja tekemistä voidaan jakaa. • Kehittäminen kannattaa pilkkoa riittävin pieniksi osatavoitteiksi ja laittaa asiat tärkeysjärjestykseen. • Kiitokset että jaksoit tänne asti! Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen