Olavi Manninen Tietoturvapäällikkö 4.11.2013 Esitys IT2013-päivillä: Tietoturvallisuuden tilanne yliopistoissa ja ammattikorkeakouluissa

Esityksen sisältö Mitä tietoturvahaasteita korkeakouluilla on? Keitä meillä on vastaamassa näihin haasteisiin? Mitä korkeakouluissa voidaan tehdä tietoturvallisuuden kehittämiseksi? Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Mitä tietoturvahaasteita korkeakouluilla on? hajautuneen tietojenkäsittely-ympäristön monimutkaisuus kuluttajistuminen (BYOD-laitteet) pilvipalveluiden käyttö haktivismi ja vakoilu lainsäädännön ja muiden säädösten laajuus, palveluihin liittyvät sopimuskäytännöt muuttuneet odotukset ja asenteet tietoturvaa kohtaan käyttäjien tietoturvatietoisuuden ja –osaamisen puutteet ”tieteen vapaus” raportointi korkeakoulun johdolle ja johdon tuki pienet tietoturvaresurssit Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Käytännön tasolla tunnistettuja puutteita korkeakoulun tietoturvallisuudessa / osa 1 Asenne, tietokoneet ja huoneet lukitsematta Tunnusten luovuttaminen toiselle, salasanat paperilla Pilvipalveluiden ja sähköpostin huoleton käyttö Varmuuskopiointi, varmuuskopioiden säilytys Muistitikkujen, tietokoneiden ja mobiililaitteiden suojaaminen ja matkakäyttö Tulostaminen ja tulosteet Osaamisen ja tiedon puute Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

... puutteita tietoturvallisuudessa / osa 2 Puutteet järjestelmissä, korkeakoululla ei tarjolla sopivaa palvelua Elinkaariajattelun puuttuminen Puutteet varahenkilöjärjestelyissä Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Yleisiä käsityksiä tietoturvallisuudesta Tietoturvaa pidetään usein puhtaasti teknisenä asiana. Virustorjunta, palomuurit ym. tekniset keinot eivät auta jos työntekijät tai opiskelijat toimivat väärin. Tietoturvallisuutta ei voi ostaa - meidän on itse huomioitava tietoturvallisuus omassa työssämme. Siksi meidän jokaisen pitää omalta osaltaan huomioida tietoturva-asiat jokapäiväisessä työssä: aineistojen käsittely, säilytys, suojaaminen, aineistojen hävittäminen, varmuuskopioinnit jne. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin Yliopistojen tietoturvapäälliköt/tietoturvavastaavat: 14 yliopistoa + MPKK noin puolessa on vähintään yksi kokopäiväinen tietoturvavastaava, muissa tietoturvavastaava käyttää tyypillisesti 50 % työajasta tietoturvatehtäviin pääosa vastaavista toimii IT-palveluorganisaatiossa, kolmessa yliopistossa tietoturvapäällikkö sijoitettu IT-palveluyksikön ulkopuolelle Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin Ammattikorkeakoulujen tietoturvavastaavat 25 ammattikorkeakoulua + PolAMK tietoturvavastaavan tehtäviä hoitaa tekniikasta vastaava IT-päällikkö tai joku tekninen asiantuntija muiden tehtävien ohessa Tietoturvavastaavien lisäksi korkeakouluissa on joukko teknisestä tietoturvasta vastaavia asiantuntijoita verkko, tallennusympäristöt, palvelimet, AD, valvonta, työasemat, mobiililaitteet, IDM-järjestelmä, tietojärjestelmät/palvelut Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Ratkaisuja tietoturvan kehittämiseksi: yhteistyötä ja hyvien käytäntöjen jakamista Tietoturvayhteistyöverkostot Yhteydenpito IT-johtajien verkostoon Tietoturvasäännöt ja tietoturvaohjeet Tietoturvan jalkauttaminen korkeakoulussa Pilvipalveluiden arviointi, tiedonluokitteluohjeet Tietoturvastandardit ja tietoturva-auditoinnit Ajankohtaisviestintä korkeakoulun sisällä Tietoturvapoikkeamien käsittely Raportointi ja yhteydenpito korkeakoulun johtoon Uudet tekniset tietoturvaratkaisut Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Muuttuneet odotukset ja asenteet tietoturvaa kohtaan Tietoturvatyössä ei enää voida lähteä siitä, että kategorisesti kielletään asioita. Tietoturvallisuuden kanssa samassa vaakakupissa on toiminnan joustavuus ja kustannukset. Käyttäjät löytävät tarvittaessa keinoja kiertää tehdyt rajoitukset. On siis pyrittävä olemaan käyttäjien tukena ja etsittävä aktiivisesti ratkaisuja erilaisiin tilanteisiin. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Tietoturvayhteistyöverkostot Yliopistojen tietoturvayhteistyöllä on pitkät perinteet lähes internetin alkuajoista asti. Yliopistojen Sec-ryhmä toimii mm. viestintäkanavana yliopistojen kesken sekä yliopistojen ja Funet CERTin välillä. Sec-työvaliokunta (Sec-tv) koostuu yliopistojen tietoturvapäälliköistä. Keskeinen tehtävä on koordinoida yliopistojen tietoturvayhteistyötä yhdessä Fucion kanssa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Tietoturvayhteistyöverkostot Ammattikorkeakouluilla on yliopistojen Sec-ryhmää vastaava AMK-SEC-ryhmä. Yksi korkeakoulujen tietoturvayhteistyön muoto on jokakeväiset Sec-päivät. Vuoden 2014 Sec-päivät järjestää Hämeen ammattikorkeakoulu. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Tietoturvasäännöt Tietoturvapolitiikka ja muu tietoturvasäännöstö luovat tietoturvallisuuden pohjan. Korkeakoulujen FUSEC-työryhmä on laatinut uuden version korkeakoulujen tietoturvasäännöstöstä. https://tt.eduuni.fi/sites/kity/Julkaistut%20dokumentit/FUSEC-dokumentit/ Osa korkeakouluista on jo ottanut tai on parhaillaan ottamassa uuden säännöstön käyttöön. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Tietoturvaohjeet Yliopistojen tietoturva-asiantuntijoista koostunut työryhmä on laatinut tietoturvaohjeita henkilöstön ja opiskelijoiden käyttöön tarkoitettuja tietoturvaohjeita. http://www.fucio.fi/tietoturva/  Tietoturvaohjeet Henkilöstön tietoturvaopas Henkilöstön tietoturvan pikaohje Opiskelijan tietoturvaopas Opiskelijan tietoturvan pikaohje Mobiiliturvaohje henkilöstölle ja opiskelijoille (PDF) Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Tietoturvan jalkauttaminen korkeakoulussa Pelkkä tietoturvasääntöjen ja tietoturvaohjeiden laittaminen henkilöstön ja opiskelijoiden saataville ei riitä. Tietoturva-asioiden tulisi olla mukana henkilöstön ja opiskelijoiden perehdyttämisessä. Tietoturvatietoisuuden ja tietoturvaosaamisen ylläpitäminen edellyttää säännöllisiä koulutuksia. Lisäksi tietoturvatietoisuuden ja kiinnostuksen ylläpitämiseksi kannattaa miettiä tietoturvan ajankohtaistiedotuksen keinoja. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Pilvipalveluiden soveltuvuus korkeakoulukäyttöön PiPa-SIG -työryhmä on luonut korkeakoulujen pilvipalveluiden arviointisivuston https://tt.eduuni.fi/sites/pilviohje/ Sivustolla on arvioitu sellaisia palveluita, joiden tiedetään kiinnostavan korkeakoulujen käyttäjiä. Pilvipalveluiden arvioinneista on oma esitys IT2013- päivillä. Korkeakoululla tulee olla käyttäjille tiiviit ja helposti avautuvat tiedonluokitteluohjeet. Ohjeet tulee jalkauttaa osaksi toimintaa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Mikä on riittävä tietoturvallisuuden taso ja miten se voidaan varmistaa? Korkeakoulun tulee huolehtia siitä, että sen järjestelmissä toteutetaan riittävä tietoturvan ja tietosuojan taso. Mm. EU:n tulevassa tietosuoja-asetuksessa on luonnosteltu huomattavia sanktioita laiminlyönneistä. Mikä on riittävä tietoturvan taso ja millä se todistetaan? Yliopistot ovat selvittämässä valtionhallinnon tietoturvatasojen käyttämistä yhteisenä tietoturvastandardina. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Tietoturva-auditoinneista Tietoturva-auditointeja voidaan käyttää varmistamaan tietoturvallisuuden tilannetta. Auditointeja voidaan toteuttaa monin eri tavoin Ulkopuolinen / sisäinen / vertaisauditointi Tietoturvan hallintamallin auditointi / Tekninen auditointi Auditoinnista on erilliset esitykset IT2013-päivien ohjelmassa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Tietoturvapoikkeamien käsittely Poikkeamien käsittely ja seuranta on tärkeää tietoturvallisuuden tilannekuvan kannalta. Yleensä on vaikeaa saada käyttäjiltä ja ylläpidolta ilmoituksia kaikista poikkeamista. Poikkeamatietojen kerääminen edellyttää selkeää toimintamallia ja aktiivista työtä. Vakavien ja lievien tietoturvapoikkeamien määrät ovat hyviä tietoturvamittareita. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Raportointi ja yhteydenpito korkeakoulun johtoon Ilman johdon tukea tietoturvatyö jää helposti tietoturva- asiantuntijoiden ja tietohallinnon puuhasteluksi. Tietoturvapolitiikka, tietoturvasuunnittelu, tietoturvaraportointi organisaation johdolle sekä tietoturva-asioiden säännöllinen käsittely ovat mukana mm. tietoturvatasojen perustason vaatimuksissa. Kuitenkin käytännössä on usein vaikeaa löytää hyvin toimivaa tapaa säännölliseen yhteydenpitoon. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Tekniset tietoturvaratkaisut Vaikka tietoturvallisuus ei ole pelkkää tekniikkaa, tietyt tekniset ratkaisut ovat hyödyllisiä tai välttämättömiäkin: (NextGen) palomuuri, IDS/IDP, keskitetty logitus ja SIEM-järjestelmä, verkon segmentointi, verkon skannaus-ohjelmistot, IDM-järjestelmä, palvelimien virtualisointi-ympäristöt, keskitetyt tallennus- ja varmistusympäristöt, työasemien keskitetty hallinnointi, mobiililaitteiden hallinta, haittaohjelmatorjunta, kryptausratkaisut, ... Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017

Lopuksi Tietoturvahaasteita ja tekemistä niiden parissa riittää. Tietoturvayhteistyön merkitys korostuu: verkostojen kautta käytettävissä laajempi osaaminen ja tekemistä voidaan jakaa. Kehittäminen kannattaa pilkkoa riittävin pieniksi osatavoitteiksi ja laittaa asiat tärkeysjärjestykseen. Kiitokset että jaksoit tänne asti! Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3.4.2017