1. SECOND NATURE SECURITY OY I KEILARANTA 1, 02150 ESPOO, FINLAND I +358 10 322 9000 I INFO@2NS.FI I WWW.2NS.FI
Askeleet kohti tietoturvallista verkkopalvelua
Jani Manninen
2. Sisältö
Yritys ja puhuja
Verkkopalveluiden tietoturva ja uhat
Tietoturva verkkopalvelun elinkaaren aikana
Yleiset puutteet
Käytännön neuvoja
Yhteenveto
4. 2NS – Second Nature Security Oy
Tietoturva-auditoinnit
Organisaation tietoturvan
kehittäminen
Sovelluskehityksen tietoturva
5. Asiakkaita
Satoja asiakkaita vuosien aikana:
Pienet ja suuret yritykset
Julkishallinto
Ohjelmistoyritykset
Pankki- ja vakuutuslaitokset
Kauppa
Teollisuus
6. Haavoittuvuudet
Yli 95 % tarkastamistamme verkkopalveluista sisältää
haavoittuvuuksia, jotka mahdollistavat palvelun
väärinkäytön
8. Verkkopalveluun kohdistuvat uhat
Tietojen varastaminen
Taloudellisen hyödyn tavoittelu
Koneajan varastaminen
Ilkivalta
Maine
Mieti mitä uhkia vastaan suojaudut
10. Vaatimukset Rakentaminen Tuotanto
Käytöstä
poisto
Vaatimukset
Uhkamallinnus – mitä uhkia palveluun kohdistuu?
Palvelun riskikartoitus – uhkamallinnus pohjana
Tietoturvavaatimukset – hallitaan riskejä
Ulkoiset vaatimukset
Toteutustiimillä mahdollisuus lähteä toteuttamaan riittävän
tietoturvallista palvelua
11. Vaatimukset Rakentaminen Tuotanto
Käytöstä
poisto
Rakentaminen
Tiimin tietoturvaosaaminen
Teknisten ratkaisuiden määrittely ja toteutus
Tietoturvatestaus
Varautuminen tietoturvapäivityksiin
Turvallinen verkkosovellus ja alusta valmiina käyttöönottoon
12. Vaatimukset Rakentaminen Tuotanto
Käytöstä
poisto
Tuotanto
Tietoturvapäivitykset – päivitysten seuraaminen
Tietoturvatapahtumista toipuminen
Verkkopalvelun kehittäminen
Jatkuva tietoturvatestaus
Palvelun tietoturvan ylläpito vaatii jatkuvaa toimintaa
13. Vaatimukset Rakentaminen Tuotanto
Käytöstä
poisto
Käytöstä poisto
Arkistointi / konvertointi
Tietojen turvallinen tuhoaminen
Käytöstä poistoja myös tuotannon aikana
Ei vuodeta luottamuksellisia tai hävitetä tarpeellisia
tietoja elinkaaren lopussa
20. SECOND NATURE SECURITY OY I KEILARANTA 1, 02150 ESPOO, FINLAND I +358 10 322 9000 I INFO@2NS.FI I WWW.2NS.FI
Kiitos!
www.2ns.fi www.twitter.com/2ns_fi
www.twitter.com/Jani_Manninen
Notas do Editor
Tausta ohjelmisto-asiantuntija ja kehittäjä
Yli 15 vuoden kokemus
Kiinnostus tietoturvaan
Nykyään eettinen hakkeri ja tietoturva-asiantuntija
Kerro miten autat asiakkaita
Ollaan eettisiä hakkereita, jotka tekee eettisen hakkeroinnin toimeksiantoja….
Autamme koko elinkaaren ajalla. Suunnittelu, määritys, tarjouspyyntö, kehitys, käyttöönotto, ylläpito, lopetus
Lisäksi:
-langattomat verkot
-palvelimet
Organisaation tietoturva
-Kartoitukset
-Ohjeistukset
-Koulutukset
Sovelluskehityksen tietoturva
-Turvallinen ohjelmistokehitys
-Koulutukset
-Haavoittuvuustestaus
muutama esimerkki haavoittuvuuksista
-Palvelun täydellinen haltuunotto
-Palvelun kaikkien tietojen varastaminen
-Ilmaisen tavaran tilaukset
Voivat olla ihan inhimillisiä virheitä
Ohjelmisto: peruslaatu, konfiguraatio, mahdolliset räätälöinnit, ylläpitoliittymä
Palvelin: palvelinohjelmisto, tietoturvakovetukset, fyysinen palvelin, palvelulupaus, toipumislupaus
Verkkoyhteydet: verkkokatkokset, verkkoyhteyksien suojaaminen
Muut toimet: jos ohjelmiston tietoturva pettää, varmistetaanko vielä muualla esim. ennen toimitusta?
Uhkamallinnus: ei tekninen
Riskikartoitus: mitä riskejä olemassa, mitä lähdetään pienentämään
Tietoturvavaatimukset: kuinka riskejä hallitaan
Ulkoiset vaatimukset: lait, asetukset – valtionhallinnossa vielä omat vaatimukset
Ylivarautuminen, Tietoturva lisää kustannuksia
Tietoturvavaatimusten päivittäminen
Toimitusmallit: Oma, ulkoistettu, Iaas, PaaS, SaaS jne.
Räätälöidyt: yleensä puutteet johtuvat vaatimusten puutteesta
Päivitys: ei asetettuja aikatauluja
Toipuminen:
Osaaminen: toteuttajat / ylläpitäjät