Upload
cili
View
56
Download
0
Embed Size (px)
DESCRIPTION
Lappeenranta 22.11.2002. Kari Oksanen 20.11.2002. Esityksen pääkohdat. Nordea lyhyesti Riskit ja tietoturvallisuus Päätöksentekomallit (Company Governance) Turvallisuusarkkitehtuurit Monimutkaisuus Tietoturvan tavoitteiden ymmärtäminen Rahaliikenteen kontrollit - PowerPoint PPT Presentation
Citation preview
Lappeenranta 22.11.2002
Kari Oksanen20.11.2002
Esityksen pääkohdat
• Nordea lyhyesti• Riskit ja tietoturvallisuus• Päätöksentekomallit (Company Governance)• Turvallisuusarkkitehtuurit• Monimutkaisuus• Tietoturvan tavoitteiden ymmärtäminen• Rahaliikenteen kontrollit • Uudenlaisia haasteita; kieli, lainsäädäntö, valvovat viranomaiset, kansalliset pankki-infrastruktuurit sekä käyttöoikeushallinta • Tulevaisuus
0 10 20 30 40 50 60 70 80 90 100
INTESA BCIDEXIA
CREDIT LYONNAISSAN PAOLO IMI
ALLIED IRISH BANKSNORDEA
DANSKE BANKSTD CHARTEREDABBEY NATIONAL
CREDIT AGRICOLECREDIT SUISSE
SOCIETEABN AMRO
FORTISUNICREDITO
BBVASANTANDER
BNP PARIBASDEUTSCHE BANK
HBOSBARCLAYS
LLOYDS TSBUBS
RBOSHSBC
Suurimmat eurooppalaiset pankit
Lähde: Bloomberg, lokakuu 2002 Mrd euroa
Nordea Pohjoismaissa ja Itämeren alueella
RiikaVilna
Tallinna
Helsinki
Luxemburg
TukholmaPietari
Tartto
Gdansk
Gdynia
Frankfurt
Hampuri
Radom
Oslo
Valtakunnallinen verkosto
Konttori tai tytäryhtiöEdustusto tai osakkuuspankki
Moskova
Bergen
Kööpenhamina
8 500Henkilöstöä
10 600Henkilöstöä
33 900Henkilöstöä yht 1 241Toimipaikkoja yht 1 000Henkilöstöä
35ToimipaikkojaBaltia ja Puola
9 400Henkilöstöä348Toimipaikkoja
Tanska
4 400Henkilöstöä147Toimipaikkoja
Norja
267ToimipaikkojaRuotsi
444ToimipaikkojaSuomi
Laaja asiakaskunta - suuri verkkopankkipalvelujen käyttäjien määrä
1280
430
460
4 240
Ruotsi
14
70
10
60
Baltia ja
Itämer. alue
200
230
65
500
Norja
3 070
1 640
950
9500
Yht.
260650Henkivakuutusasiakkaat
1180400Verkkopankkiasiakkaat (1000)
33080Yritysasiakkaat
3 0001700Henkilöasiakkaat
Pankkiasiakkaat (1 000)
SuomiTanska
Verkkopankin asiakkaat
Verkkopankissa osakekauppaa käyviä asiakkaita
050
100150200250300350
Verkkopankkiasiakkaat
1
1,5
2
2,5
3
3,5TuhattaMilj.
Laskujen maksu ja sisäänkirjoittautumiset
Laskujen maksu verkkopankissa
05
10152025
3035
Tanska Suomi Norja Ruotsi
Mill.
Kirjautumiset verkkopankkiin
0
5
10
15
20
25
30
Tanska Suomi Norja Ruotsi
Milj.
Tietoturvallisuus
Ohjel-mistotur-vallisuus
Laitetur-vallisuus
OperationsSecurityb
Tietojen luokittelu
Toiminnankontrollit
Tietoturvallisuus - Tietotekninen turvallisuus
• Tietoturvallisuus (Information Security) on tietojen suojaamista tiedon kaikissa muodoissa välineistä tai käsittelytavoista riippumatta ottaen huomioon hallinnolliset toimenpiteet, laillisuusnäkökohdat ja tietoja käsittelevien henkilöiden luotettavuuden.
• Tietotekninen turvallisuus (IT Security) on tietojen suojaamista, kun tietoja käsitellään, talletetaan tai siirretään elektronisessa muodossa.
Tietoturvallisuus osana riskien hallintaa
1. Asiakasriski
2. Jälleenrahoitusriski
3. Markkinariski
4. Operatiivinen riski- virhe- ja systeemiriski- rikos- ja väärinkäyttöriskit- onnettomuus- ja vahinkoriskit
5. Strateginen riski
Uhkat ja riskit UHKAT
RISKIT
UHKAT
EI VAIKUTUSTATAI KUVITELTUJA
VAIKUTUS, SUO- JAUDUTTU
VAIKUTUS, EI SUOJAUDUTTU
Päätöksentekomallit ja vastuut (Corporate Governance)
Kaikissa yrityksissä on tehtävä selväksi päätöksentekomallit ja vastuista on sovittava. Suuressa monikansallisessa yrityksessä haasteet ovat suuremmat.
Pankit ja niiden liiketoimintayksiköt ovat hyvin riippuvaisia tietotekniikasta, sen toimivuudesta ja myös turvallisuudesta.
Liiketoiminta maksaa aina kaikki tietotekniikan investoinnit sekä kehittämis- ja tuotantokulut. Liiketoiminnoilla täytyy olla mahdollisuus vaikuttaa tietojenkäsittelytoiminnan päätöksiin.
Perusperiaate Nordeassa on, että liiketoiminnat päättävät mitä tehdään ja tietotekniikkaorganisaatio miten tehdään.
Mistä keskeisistä elementeistä tietoturvallisuus rakentuu (1)
Tietoturvapolitiikka: kuvaa keskeiset tavoitteet sekä vastuut
Tietoturvaohjeistus: tarkoituksenmukaisella tavalla asianomaiselle kohderyhmälle toteutettu, tehtävään liittyvä ohjeistus
Kontrolliarkkitehtuuri: kuvaa keskeiset tekniikkariippumatto-mat kontrollitarpeet esim.
• tehtävien eriyttäminen systeemityössä• tarve tietää periaate• neljän silmän periaate• tapahtumien jäljitettävyysperiaatteet
Mistä keskeisistä elementeistä tietoturvallisuus rakentuu (2)
Tietoturva-arkkitehtuuri: yleinen alustariippumaton kuvaus tarvittavista tietoturvapalveluista ja niiden rakenteista
• yleinen suunnittelupohja• kuvaa ympäristön kaikki turvallisuusriippuvaiset näkökulmat• auttaa tehokkaasti liiketoiminnan turvavaatimusten implementoinnissa kaikissa ympäristöissä• ei kerro kuinka ja mitä tuotteita käytetään
Mistä keskeisistä elementeistä tietoturvallisuus rakentuu (3)
Turvallisuuden implementointiohjeet; kuvaavat kontrollien soveltamisen alustakohtaisesti
• tekniset• yksityiskohtaiset• esim. verkkoon liitettyjen palvelimien konfigurointiohjeet• esim. turvallisten sovellusten suunnittelu - ja toteutusohjeet
Arkkitehtuurit, esimerkkejä 1
Res
urs
sien
su
ojn
eill
äam
inen
mu
tkik
kai
lla
ja t
ekn
isil
lä v
älin
eill
ä: R
AC
F, T
opS
ecre
t,U
NIX
, NT
Tunnistaminen ja todentaminen (Ei koskaan systeemitasolle)
Asiakkaat
Valtuuttaminen
•Sovellukset•Tietokannat
Tunnistaminen ja todentaminen (Ei koskaan systeemitasolle)
Valtuuttaminen
Sisäiset peruskäyttäjät
•Sovellukset•Tietokannat
Tek
nin
en h
enk
ilös
tö:
ohje
lmoi
nti
, op
eroi
nti
Arkkitehtuurit, esimerkkejä 2
Turvapalveluja
b
Tekniset tunnukset
Palvelut
Palvelut
Tunnistaminen ja todentaminenValtuuttaminen
Luottamuksellisuus
Eheys
Arkkitehtuurit, esimerkkejä 3
Tunnistaminen ja todentaminen sekä valtuuttaminen
Valtuuttaminen
Valtuuttaminen
Valtuuttaminen
Valtuuttaminen
Tunn. ja todentam.
Tunn. ja todentam
Tunn. ja todentam
Palvelut Palvelut Palvelut Palvelut
Tunn. ja todentam
Arkkitehtuurit, esimerkkejä 4
Tunnistaminen ja todentaminen sekä valtuuttaminen
.
Palvelut Palvelut Palvelut Palvelut
Valtuustiedot
C C C C
Arkkitehtuurit, esimerkkejä 5
Pääsynvalvonta ja valtuuttaminen
Tunnistaminen ja todentaminen
Valtuuttaminen
X X
Turvallisuushaasteita (1) Uudet tekniikat, mutkikkuus ja kokonaisuuden hallinta
Reitittimet
Palomuurit
Kahdennetut verkot
Kuormanjako, IDS, SSL
DMZ -palvelimet
Palomuurit
Palvelimet
Sovittimet
Vanhat perusjärjestelmät
SaatavuusPerussuoja
Turvallinenkonfigurointimonella tasolla
Luottamuksellisuus
Eheys
Turvallisuushaasteita (2) Valtuuttaminen rajojen ylitse
Käyttäjä
Administraattori
Miten löytää käytet-tävissä olevat palve-lut? MENU -järjestel-mät! Lisääntyvä määrä käyttäjätunnuksia !
Vaikea luoda raportteja:- kuka käyttää systeemiäni?- mihin systeemeihin minulla on käyttöoikeus
Vaikea ymmärtää ja hallita
Paketti 4WebC/SIBM/RU3OS/2Ruotsi
Paketti 3WebC/SIBM/AU2NTNorja
Paketti 2WebC/SIBM/TU2NTSuomi
Paketti 1WebC/SIBM/RU1OS/2Tanska
Turvallisuushaasteita (3) Internet Security Vulnerabilities/ SANS
Keskeisimmät heikkoudet järjestelmissä 10/2001
• perusasetuksilla tuotantoon
• heikot tai puuttuvat salasanat
• riittämättömät varmistukset
• avattu tarpeettomia tietoliikenneportteja
• datapaketteihin liittyviä TCP/IP osoitteita ei valvota
• riittämättömät lokit
• heikkoudet/ haavoittuvuudet CGI-ohjelmistoissa
Huomaa! Liki kaikki heikkoudet vaikuttavat myös organisaation sisällä.
Turvallisuushaasteita (4) SecurityFocus.com 1997 - 2001
Turvallisuushaasteita (5)
Turvallisuustyön tavoitteet• hämärtyvät liian usein - keskitytään yksittäisiin tekniikoihin ja hiirenkolojen paikkaamiseen • kontrollitarpeiden ymmärtäminen ja määritteleminen ovat
tärkeitä perusasioita• puolustuksen syvyyden merkitys (useita peräkkäisiä
kontrolleja) korostuu järjestelmän kriittisyyden kasvaessa• järjestelmällinen riskien kartoittaminen, jälkiseuranta ja
valvonta, että havaitut heikkoudet myös korjataan, tulevat yhä tärkeämmiksi yrityksen koon kasvaessa
• turvallisuus on tietojenkäsittely-ympäristön ominaisuus - ei yksittäisen turvatuotteen ominaisuus
Turvallisuushaasteita (6)
Verkkoturvallisuus ja uudet tekniikat• todelliset näiden alueiden turva-asiantuntijat ovat vieläkin harvinainen luonnonvara• perinteinen keskuskoneturvallisuusajattelu, jossa muuta- malla turvajärjestelmän komennolla hallitsi koko systee- min, on vielä voimissaan, mutta olisi nopeasti unohdettava • mielestäni tämän päivän turvatyömalli on verkottunut tapa
toimia, jolloin pieni ja tehokas turvatiimi laatii politiikat ja
arkkitehtuurit sekä valvoo, että niitä noudatetaan
Infrastruktuurin uudistamishankkeet laajoja ja on kiire• on perehdyttävä uusiin asioihin nopeasti• samanaikaisesti tapahtuu paljon, on työskenneltävä työryhmissä ja perinteisesti turva-asiantuntijat ovat olleet
oman tiensä kulkijoita.
Turvallisuushaasteita (7)
Verkottuminen • tarjoamme asiakkaillemme yhä laajemman valikoiman
sähköisiä pankkipalveluja tai kytkemme heitä muilla tavoin liiketoimintaprosesseihimme
• tapahtumaketjujen toimivuus ja turvallisuus muodostuu usean toimijan yhteistyöstä; asiakas, teleoperaattori, eri tietotekniikkatoimittajat ja pankki itse
• me joudumme luottamaan kumppaneihimme ja he meihin - kaikkien osapuolten on oltava luottamuksen arvoisia
Ulkoistaminen • yritykset pyrkivät keskittymään ydinosaamiseen ja rönsyt
karsitaan pois ne tavalla tai toisella ulkoistammalla • tietotekniikan ulkoistamissopimusten ”turvaklausuulit” ja
niiden jatkuva valvonta ovat tärkeitä
Turvallisuushaasteita (8)Politiikat, ohjeet ja tietoisuus
• yrityskoon kasvaessa selkeiden politiikkojen ja ohjeiden merkitys kasvaa olennaisesti
• huomattava tekijä monikansallisessa yrityksessä ovat eri maiden toisistaan poikkeavat lainsäädännöt tai
viranomais- ohjeet, jotka on otettava huomioon valmistelu- ja toimitus- työssä
Laaja-alaisia turva-asiantuntijoita tarvitaan - koulutus • yhteistyötaidot ovat yhä tärkeämpiä• CISSP -tutkinto antaa erinomaisen pohjan kehityskykyi- sille henkilöille• kielitaitoa tarvitaan • käsitteet tulee hallita ja vaatii jatkuvaa opiskelua tämän
päivän termi- ja lyhenneviidakoissa
Valvonta (1)
1. Tavoitteista• varmistaa palvelujen saatavuus• varmistaa palvelujen asianmukainen käyttö• havaita kaikki olennaiset poikkeamat• tavoitteiden toteutumiseksi raportointi oltava selkeää ja korjaaviin toimenpiteisiin on ryhdyttävä välittömästi
2) Keskitetty vai hajautettu - 24 h*7 vai normaali työaika • suosittelen keskittämistä - ympäristöt ovat mutkikkaita ja tarvitaan erityisosaamista ja ymmärtämistä • valvonta-aika riippuu palveluiden luonteesta
Valvonta (2)
3) Oma vai ulkoistettu• kustannuskysymys• politiikka-, resurssi- ja toimintatapakysymys • voi olla eri tavoin eri valvontakohteiden osalta
Rahaliikenteen kontrolleista (1)
Nopeus:•jälkikäteen kontrollointi; kenelläkään ei aikaa tai liian myöhäistä• ehkäisevät kontrollit esim. neljän tai kuuden silmän periaate käyttöön
Rakentaminen:•tietosysteemin rakentamisen yhteydessä; taloudellisuus•kokonaiskäsitys tapahtumaketjuista tarpeen•heikoimman lenkin etsiminen ja havaitseminen•yrityksen tulee sisällään ymmärtää uhkat ja heikkoudet;pelolla myyjien argumentteihin suhtauduttava kriittisesti
Rahaliikenteen kontrolleista (2)
Jäljitystiedot:• kirjanpitolain edellyttämä audit trail• tietojärjestelmässä kaikki rahan liikuttamiseen vaikuttavista tiedoista jäljet
Maksuliikenne/ tapahtumaketjut
X.25Dial UpTcp/ipSna/sni
Pankki
Kotimaanpankki-verkko
SwiftPankit
Banks
- ketjut mutkistuvat kansainvälistymisen myötä- kansallisia erityispiirteitä mm. clearing- erilaisia maksutyyppejä- nopeus kasvaa kilpailun kiristyessä
Asiakas:
Profitability and security
GROSS PROFIT./. propability to get arrested * repayment= NET PROFIT
IMPLEMENTATIONCOST
GROSS LOSS(material, others)* probability= EXPOSURE
REDUCTION OFEXPOSURE
PROTECTIONCOST
SECURITYSOLUTION
comparison A
comparison B
Arresteffectiveness
Protectioneffectiveness
Impedimentaleffectiveness
Cost effectiveness
Loss coefficient
ATTACK RANDOM INCIDENT
Attractiveness
Instead of all these...
Debit/Credit cards
Access codes to net-bank
Loyalty cards
Teemu Testihenkilö
Nihitsillantie 3 D
00020 MERITA
FINLAND
6789 7890 3562 3652 5674 4567 8767 6543 4235 6347
5678 5678 2341 2345 5678 4321 4321 7635 6353 7585
6789 7890 3562 3652 5674 4567 8767 6543 6373 5748
6789 7890 3562 3652 5674 4567 8767 6543 6363 3838
6789 7890 3562 3652 5674 4567 8767 6543 7378 3738
6789 7890 3562 3652 5674 4567 8767 6543 3737 3334
6789 7890 3562 3652 5674 4567 8767 6543 7363 8383
6789 7890 3562 3652 5674 4567 8767 6543 3838 3395
6789 7890 3562 3652 5674 4567 8767 6543 3142 8696
3456 2312 6543 8976 6778 4567 8976 6543 6272 7484
4567 8767 6543 5678 5678 2341 2345 5678 7474 8494
3456 2312 6543 8976 6778 4567 8976 6543 4848 4493
EMPS: what is it all about?EMPS: what is it all about?EMPS: what is it all about?EMPS: what is it all about?
All cards in one chip inside your WAP-phoneAll cards in one chip inside your WAP-phoneAll cards in one chip inside your WAP-phoneAll cards in one chip inside your WAP-phone
SIM
Debit-/Credit card, bank log-on, club membership, application downloading etc.
…THIS!
EMV
2. Withdrawing cash from ATM
EMPS: Many ways to use itEMPS: Many ways to use itEMPS: Many ways to use itEMPS: Many ways to use it
-Merita ATM-
Enter your PIN [****]
-Merita ATM-Withdraw: 100,- 300,- other...
-Merita ATM-100,- withdrawn Balance 12.562,-
Th
e cu
sto
mer
Home
Work
Traveling Variousnetworks
XPW2000NT 4MEW98W95W3.xLinuxMac
Security needed • Confidentiality• Identification and authentication• Integrity
Some challenges•Incompatible standards •Generally available techniques?•The availability of smart card readers and drivers?
Where are we?
E-business
eBanking
Do business withauthorities
SET
WTLS
PKCS#15
SEIS
CAPI
CDSA
SSL
VPN
EMV
CAs
FINEID
Newdevices
Yhteenveto
Korkea turvataso saavutetaan organisaatiossa, jossa on tehokas turvaryhmä märittelemässä tavoitteet sekä val-vomassa niiden toteutumista ja kunkin alueen asiantuntijat vastaavat implementointityöstä.
Hyvää turvatasoa ei saavuteta pelkästään teknisin turvallisuustoimenpitein, vaan tarvitaan:
• selkeät arkkitehtuurit ja vahvat standardit• yhteistyötä ja pitkäjänteistä koulutusta
Tietoturvallisuustyö on liiketoiminnan tietojen suojaamista tiedon merkitys ja taloudellisuusnäkökohdat huomioon ottaen.