Lappeenranta 22.11.2002

Kari Oksanen20.11.2002

Esityksen pääkohdat

• Nordea lyhyesti• Riskit ja tietoturvallisuus• Päätöksentekomallit (Company Governance)• Turvallisuusarkkitehtuurit• Monimutkaisuus• Tietoturvan tavoitteiden ymmärtäminen• Rahaliikenteen kontrollit • Uudenlaisia haasteita; kieli, lainsäädäntö, valvovat viranomaiset, kansalliset pankki-infrastruktuurit sekä käyttöoikeushallinta • Tulevaisuus

0 10 20 30 40 50 60 70 80 90 100

INTESA BCIDEXIA

CREDIT LYONNAISSAN PAOLO IMI

ALLIED IRISH BANKSNORDEA

DANSKE BANKSTD CHARTEREDABBEY NATIONAL

CREDIT AGRICOLECREDIT SUISSE

SOCIETEABN AMRO

FORTISUNICREDITO

BBVASANTANDER

BNP PARIBASDEUTSCHE BANK

HBOSBARCLAYS

LLOYDS TSBUBS

RBOSHSBC

Suurimmat eurooppalaiset pankit

Lähde: Bloomberg, lokakuu 2002 Mrd euroa

Nordea Pohjoismaissa ja Itämeren alueella

RiikaVilna

Tallinna

Helsinki

Luxemburg

TukholmaPietari

Tartto

Gdansk

Gdynia

Frankfurt

Hampuri

Radom

Oslo

Valtakunnallinen verkosto

Konttori tai tytäryhtiöEdustusto tai osakkuuspankki

Moskova

Bergen

Kööpenhamina

8 500Henkilöstöä

10 600Henkilöstöä

33 900Henkilöstöä yht 1 241Toimipaikkoja yht 1 000Henkilöstöä

35ToimipaikkojaBaltia ja Puola

9 400Henkilöstöä348Toimipaikkoja

Tanska

4 400Henkilöstöä147Toimipaikkoja

Norja

267ToimipaikkojaRuotsi

444ToimipaikkojaSuomi

Laaja asiakaskunta - suuri verkkopankkipalvelujen käyttäjien määrä

1280

430

460

4 240

Ruotsi

14

70

10

60

Baltia ja

Itämer. alue

200

230

65

500

Norja

3 070

1 640

950

9500

Yht.

260650Henkivakuutusasiakkaat

1180400Verkkopankkiasiakkaat (1000)

33080Yritysasiakkaat

3 0001700Henkilöasiakkaat

Pankkiasiakkaat (1 000)

SuomiTanska

Verkkopankin asiakkaat

Verkkopankissa osakekauppaa käyviä asiakkaita

050

100150200250300350

Verkkopankkiasiakkaat

1

1,5

2

2,5

3

3,5TuhattaMilj.

Laskujen maksu ja sisäänkirjoittautumiset

Laskujen maksu verkkopankissa

05

10152025

3035

Tanska Suomi Norja Ruotsi

Mill.

Kirjautumiset verkkopankkiin

0

5

10

15

20

25

30

Tanska Suomi Norja Ruotsi

Milj.

Kesätyöt

Hakeminen heti tammikuun 2003 alkupuolella

IT-rekrytointi@nordea.compuh. 09 - 165 25091/ Helena Koksu

Tietoturvallisuus

Ohjel-mistotur-vallisuus

Laitetur-vallisuus

OperationsSecurityb

Tietojen luokittelu

Toiminnankontrollit

Tietoturvallisuus - Tietotekninen turvallisuus

• Tietoturvallisuus (Information Security) on tietojen suojaamista tiedon kaikissa muodoissa välineistä tai käsittelytavoista riippumatta ottaen huomioon hallinnolliset toimenpiteet, laillisuusnäkökohdat ja tietoja käsittelevien henkilöiden luotettavuuden.

• Tietotekninen turvallisuus (IT Security) on tietojen suojaamista, kun tietoja käsitellään, talletetaan tai siirretään elektronisessa muodossa.

Tietoturvallisuus osana riskien hallintaa

1. Asiakasriski

2. Jälleenrahoitusriski

3. Markkinariski

4. Operatiivinen riski- virhe- ja systeemiriski- rikos- ja väärinkäyttöriskit- onnettomuus- ja vahinkoriskit

5. Strateginen riski

Uhkat ja riskit UHKAT

RISKIT

UHKAT

EI VAIKUTUSTATAI KUVITELTUJA

VAIKUTUS, SUO- JAUDUTTU

VAIKUTUS, EI SUOJAUDUTTU

Päätöksentekomallit ja vastuut (Corporate Governance)

Kaikissa yrityksissä on tehtävä selväksi päätöksentekomallit ja vastuista on sovittava. Suuressa monikansallisessa yrityksessä haasteet ovat suuremmat.

Pankit ja niiden liiketoimintayksiköt ovat hyvin riippuvaisia tietotekniikasta, sen toimivuudesta ja myös turvallisuudesta.

Liiketoiminta maksaa aina kaikki tietotekniikan investoinnit sekä kehittämis- ja tuotantokulut. Liiketoiminnoilla täytyy olla mahdollisuus vaikuttaa tietojenkäsittelytoiminnan päätöksiin.

Perusperiaate Nordeassa on, että liiketoiminnat päättävät mitä tehdään ja tietotekniikkaorganisaatio miten tehdään.

Mistä keskeisistä elementeistä tietoturvallisuus rakentuu (1)

Tietoturvapolitiikka: kuvaa keskeiset tavoitteet sekä vastuut

Tietoturvaohjeistus: tarkoituksenmukaisella tavalla asianomaiselle kohderyhmälle toteutettu, tehtävään liittyvä ohjeistus

Kontrolliarkkitehtuuri: kuvaa keskeiset tekniikkariippumatto-mat kontrollitarpeet esim.

• tehtävien eriyttäminen systeemityössä• tarve tietää periaate• neljän silmän periaate• tapahtumien jäljitettävyysperiaatteet

Mistä keskeisistä elementeistä tietoturvallisuus rakentuu (2)

Tietoturva-arkkitehtuuri: yleinen alustariippumaton kuvaus tarvittavista tietoturvapalveluista ja niiden rakenteista

• yleinen suunnittelupohja• kuvaa ympäristön kaikki turvallisuusriippuvaiset näkökulmat• auttaa tehokkaasti liiketoiminnan turvavaatimusten implementoinnissa kaikissa ympäristöissä• ei kerro kuinka ja mitä tuotteita käytetään

Mistä keskeisistä elementeistä tietoturvallisuus rakentuu (3)

Turvallisuuden implementointiohjeet; kuvaavat kontrollien soveltamisen alustakohtaisesti

• tekniset• yksityiskohtaiset• esim. verkkoon liitettyjen palvelimien konfigurointiohjeet• esim. turvallisten sovellusten suunnittelu - ja toteutusohjeet

Arkkitehtuurit, esimerkkejä 1

Res

urs

sien

su

ojn

eill

äam

inen

mu

tkik

kai

lla

ja t

ekn

isil

lä v

älin

eill

ä: R

AC

F, T

opS

ecre

t,U

NIX

, NT

Tunnistaminen ja todentaminen (Ei koskaan systeemitasolle)

Asiakkaat

Valtuuttaminen

•Sovellukset•Tietokannat

Tunnistaminen ja todentaminen (Ei koskaan systeemitasolle)

Valtuuttaminen

Sisäiset peruskäyttäjät

•Sovellukset•Tietokannat

Tek

nin

en h

enk

ilös

tö:

ohje

lmoi

nti

, op

eroi

nti

Arkkitehtuurit, esimerkkejä 2

Turvapalveluja

b

Tekniset tunnukset

Palvelut

Palvelut

Tunnistaminen ja todentaminenValtuuttaminen

Luottamuksellisuus

Eheys

Arkkitehtuurit, esimerkkejä 3

Tunnistaminen ja todentaminen sekä valtuuttaminen

Valtuuttaminen

Valtuuttaminen

Valtuuttaminen

Valtuuttaminen

Tunn. ja todentam.

Tunn. ja todentam

Tunn. ja todentam

Palvelut Palvelut Palvelut Palvelut

Tunn. ja todentam

Arkkitehtuurit, esimerkkejä 4

Tunnistaminen ja todentaminen sekä valtuuttaminen

.

Palvelut Palvelut Palvelut Palvelut

Valtuustiedot

C C C C

Arkkitehtuurit, esimerkkejä 5

Pääsynvalvonta ja valtuuttaminen

Tunnistaminen ja todentaminen

Valtuuttaminen

X X

Turvallisuushaasteita (1) Uudet tekniikat, mutkikkuus ja kokonaisuuden hallinta

Reitittimet

Palomuurit

Kahdennetut verkot

Kuormanjako, IDS, SSL

DMZ -palvelimet

Palomuurit

Palvelimet

Sovittimet

Vanhat perusjärjestelmät

SaatavuusPerussuoja

Turvallinenkonfigurointimonella tasolla

Luottamuksellisuus

Eheys

Turvallisuushaasteita (2) Valtuuttaminen rajojen ylitse

Käyttäjä

Administraattori

Miten löytää käytet-tävissä olevat palve-lut? MENU -järjestel-mät! Lisääntyvä määrä käyttäjätunnuksia !

Vaikea luoda raportteja:- kuka käyttää systeemiäni?- mihin systeemeihin minulla on käyttöoikeus

Vaikea ymmärtää ja hallita

Paketti 4WebC/SIBM/RU3OS/2Ruotsi

Paketti 3WebC/SIBM/AU2NTNorja

Paketti 2WebC/SIBM/TU2NTSuomi

Paketti 1WebC/SIBM/RU1OS/2Tanska

Turvallisuushaasteita (3) Internet Security Vulnerabilities/ SANS

Keskeisimmät heikkoudet järjestelmissä 10/2001

• perusasetuksilla tuotantoon

• heikot tai puuttuvat salasanat

• riittämättömät varmistukset

• avattu tarpeettomia tietoliikenneportteja

• datapaketteihin liittyviä TCP/IP osoitteita ei valvota

• riittämättömät lokit

• heikkoudet/ haavoittuvuudet CGI-ohjelmistoissa

Huomaa! Liki kaikki heikkoudet vaikuttavat myös organisaation sisällä.

Turvallisuushaasteita (4) SecurityFocus.com 1997 - 2001

Turvallisuushaasteita (5)

Turvallisuustyön tavoitteet• hämärtyvät liian usein - keskitytään yksittäisiin tekniikoihin ja hiirenkolojen paikkaamiseen • kontrollitarpeiden ymmärtäminen ja määritteleminen ovat

tärkeitä perusasioita• puolustuksen syvyyden merkitys (useita peräkkäisiä

kontrolleja) korostuu järjestelmän kriittisyyden kasvaessa• järjestelmällinen riskien kartoittaminen, jälkiseuranta ja

valvonta, että havaitut heikkoudet myös korjataan, tulevat yhä tärkeämmiksi yrityksen koon kasvaessa

• turvallisuus on tietojenkäsittely-ympäristön ominaisuus - ei yksittäisen turvatuotteen ominaisuus

Turvallisuushaasteita (6)

Verkkoturvallisuus ja uudet tekniikat• todelliset näiden alueiden turva-asiantuntijat ovat vieläkin harvinainen luonnonvara• perinteinen keskuskoneturvallisuusajattelu, jossa muuta- malla turvajärjestelmän komennolla hallitsi koko systee- min, on vielä voimissaan, mutta olisi nopeasti unohdettava • mielestäni tämän päivän turvatyömalli on verkottunut tapa

toimia, jolloin pieni ja tehokas turvatiimi laatii politiikat ja

arkkitehtuurit sekä valvoo, että niitä noudatetaan

Infrastruktuurin uudistamishankkeet laajoja ja on kiire• on perehdyttävä uusiin asioihin nopeasti• samanaikaisesti tapahtuu paljon, on työskenneltävä työryhmissä ja perinteisesti turva-asiantuntijat ovat olleet

oman tiensä kulkijoita.

Turvallisuushaasteita (7)

Verkottuminen • tarjoamme asiakkaillemme yhä laajemman valikoiman

sähköisiä pankkipalveluja tai kytkemme heitä muilla tavoin liiketoimintaprosesseihimme

• tapahtumaketjujen toimivuus ja turvallisuus muodostuu usean toimijan yhteistyöstä; asiakas, teleoperaattori, eri tietotekniikkatoimittajat ja pankki itse

• me joudumme luottamaan kumppaneihimme ja he meihin - kaikkien osapuolten on oltava luottamuksen arvoisia

Ulkoistaminen • yritykset pyrkivät keskittymään ydinosaamiseen ja rönsyt

karsitaan pois ne tavalla tai toisella ulkoistammalla • tietotekniikan ulkoistamissopimusten ”turvaklausuulit” ja

niiden jatkuva valvonta ovat tärkeitä

Turvallisuushaasteita (8)Politiikat, ohjeet ja tietoisuus

• yrityskoon kasvaessa selkeiden politiikkojen ja ohjeiden merkitys kasvaa olennaisesti

• huomattava tekijä monikansallisessa yrityksessä ovat eri maiden toisistaan poikkeavat lainsäädännöt tai

viranomais- ohjeet, jotka on otettava huomioon valmistelu- ja toimitus- työssä

Laaja-alaisia turva-asiantuntijoita tarvitaan - koulutus • yhteistyötaidot ovat yhä tärkeämpiä• CISSP -tutkinto antaa erinomaisen pohjan kehityskykyi- sille henkilöille• kielitaitoa tarvitaan • käsitteet tulee hallita ja vaatii jatkuvaa opiskelua tämän

päivän termi- ja lyhenneviidakoissa

Valvonta (1)

1. Tavoitteista• varmistaa palvelujen saatavuus• varmistaa palvelujen asianmukainen käyttö• havaita kaikki olennaiset poikkeamat• tavoitteiden toteutumiseksi raportointi oltava selkeää ja korjaaviin toimenpiteisiin on ryhdyttävä välittömästi

2) Keskitetty vai hajautettu - 24 h*7 vai normaali työaika • suosittelen keskittämistä - ympäristöt ovat mutkikkaita ja tarvitaan erityisosaamista ja ymmärtämistä • valvonta-aika riippuu palveluiden luonteesta

Valvonta (2)

3) Oma vai ulkoistettu• kustannuskysymys• politiikka-, resurssi- ja toimintatapakysymys • voi olla eri tavoin eri valvontakohteiden osalta

Rahaliikenteen kontrolleista (1)

Nopeus:•jälkikäteen kontrollointi; kenelläkään ei aikaa tai liian myöhäistä• ehkäisevät kontrollit esim. neljän tai kuuden silmän periaate käyttöön

Rakentaminen:•tietosysteemin rakentamisen yhteydessä; taloudellisuus•kokonaiskäsitys tapahtumaketjuista tarpeen•heikoimman lenkin etsiminen ja havaitseminen•yrityksen tulee sisällään ymmärtää uhkat ja heikkoudet;pelolla myyjien argumentteihin suhtauduttava kriittisesti

Rahaliikenteen kontrolleista (2)

Jäljitystiedot:• kirjanpitolain edellyttämä audit trail• tietojärjestelmässä kaikki rahan liikuttamiseen vaikuttavista tiedoista jäljet

Maksuliikenne/ tapahtumaketjut

X.25Dial UpTcp/ipSna/sni

Pankki

Kotimaanpankki-verkko

SwiftPankit

Banks

- ketjut mutkistuvat kansainvälistymisen myötä- kansallisia erityispiirteitä mm. clearing- erilaisia maksutyyppejä- nopeus kasvaa kilpailun kiristyessä

Asiakas:

Profitability and security

GROSS PROFIT./. propability to get arrested * repayment= NET PROFIT

IMPLEMENTATIONCOST

GROSS LOSS(material, others)* probability= EXPOSURE

REDUCTION OFEXPOSURE

PROTECTIONCOST

SECURITYSOLUTION

comparison A

comparison B

Arresteffectiveness

Protectioneffectiveness

Impedimentaleffectiveness

Cost effectiveness

Loss coefficient

ATTACK RANDOM INCIDENT

Attractiveness

Instead of all these...

Debit/Credit cards

Access codes to net-bank

Loyalty cards

Teemu Testihenkilö

Nihitsillantie 3 D

00020 MERITA

FINLAND

6789 7890 3562 3652 5674 4567 8767 6543 4235 6347

5678 5678 2341 2345 5678 4321 4321 7635 6353 7585

6789 7890 3562 3652 5674 4567 8767 6543 6373 5748

6789 7890 3562 3652 5674 4567 8767 6543 6363 3838

6789 7890 3562 3652 5674 4567 8767 6543 7378 3738

6789 7890 3562 3652 5674 4567 8767 6543 3737 3334

6789 7890 3562 3652 5674 4567 8767 6543 7363 8383

6789 7890 3562 3652 5674 4567 8767 6543 3838 3395

6789 7890 3562 3652 5674 4567 8767 6543 3142 8696

3456 2312 6543 8976 6778 4567 8976 6543 6272 7484

4567 8767 6543 5678 5678 2341 2345 5678 7474 8494

3456 2312 6543 8976 6778 4567 8976 6543 4848 4493

EMPS: what is it all about?EMPS: what is it all about?EMPS: what is it all about?EMPS: what is it all about?

All cards in one chip inside your WAP-phoneAll cards in one chip inside your WAP-phoneAll cards in one chip inside your WAP-phoneAll cards in one chip inside your WAP-phone

SIM

Debit-/Credit card, bank log-on, club membership, application downloading etc.

…THIS!

EMV

2. Withdrawing cash from ATM

EMPS: Many ways to use itEMPS: Many ways to use itEMPS: Many ways to use itEMPS: Many ways to use it

-Merita ATM-

Enter your PIN [****]

-Merita ATM-Withdraw: 100,- 300,- other...

-Merita ATM-100,- withdrawn Balance 12.562,-

Th

e cu

sto

mer

Home

Work

Traveling Variousnetworks

XPW2000NT 4MEW98W95W3.xLinuxMac

Security needed • Confidentiality• Identification and authentication• Integrity

Some challenges•Incompatible standards •Generally available techniques?•The availability of smart card readers and drivers?

Where are we?

E-business

eBanking

E-mail

Do business withauthorities

SET

WTLS

PKCS#15

SEIS

CAPI

CDSA

SSL

VPN

EMV

CAs

FINEID

Newdevices

Yhteenveto

Korkea turvataso saavutetaan organisaatiossa, jossa on tehokas turvaryhmä märittelemässä tavoitteet sekä val-vomassa niiden toteutumista ja kunkin alueen asiantuntijat vastaavat implementointityöstä.

Hyvää turvatasoa ei saavuteta pelkästään teknisin turvallisuustoimenpitein, vaan tarvitaan:

• selkeät arkkitehtuurit ja vahvat standardit• yhteistyötä ja pitkäjänteistä koulutusta

Tietoturvallisuustyö on liiketoiminnan tietojen suojaamista tiedon merkitys ja taloudellisuusnäkökohdat huomioon ottaen.