Tietoturva : Digital Age - How to approach Cyber Security

Created by Jukka Koskinen, last modified on Jan 05, 2018

Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella

Ohje: Valitse nimikoimaton tehtävä (sellaisen numero) alla olevasta luettelosta. Nimikoi se eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen toteutuskerran tunnus muodossa (201*-x), missä x=s tai k. Tämän voit tehdä jo ennen kuin edes saat kirjaa haltuusi. Laadi noin 150 sanan mittainen vastaus määräaikaasi mennessä tehtävän alle. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.

Andreas von Grebmer:
Digital Age - How to approach Cyber Security:
A risk-based approach to information security considering the human factor

Tämä kirja on poikkeuksellisen hankalasti luettava, koska sen visuaalinen ilme ei tue rakennetta, ja rakenteessakin on selkiyttämisen varaa. Osaselityksenä on varmasti se, että kirja on käytännössä omakustanne ("kustantaja" on BoD). Hallinnollisesti suuntautunut tietoturvan opiskelija saa tästä kirjasta silti hyviä oppeja, ja muutkin voivat ratkaista tämän sivun tehtävät. Mahdollista se olisi kuten hyvät vastaukset alla osoittavat, mutta kirja hyllytettiin yhden kurssikerran jälkeen.

1.  Akseli (2017-s). Mitkä ovat Trending Security Topics luvussa 1.8 ja miksi? 

Kirjan esittelemän listan jäsenet on jaettu kahteen tyyppiin: ne, joissa tietoturvallisuus on bisnesmahdollisuus ja ne, joissa uusi teknologia on merkityksellistä bisnekselle ja tietoturvalle. Esiteltyjä aiheita ja syitä listassa on kahdeksan kappaletta:

  1. digitalisaatio, palveluiden sekä muun toiminnan muuttuminen enemmän ja enemmän digitaaliseksi, mikä aiheuttaa uusien tietoturvariskien syntymistä;
  2. IoT, eli Internetiin kytkettyjen erilaisten laitteiden luoma verkosto, jonka tietoturvallisuus on vielä lapsenkengissään;
  3. BYOD, tuo-oma-laitteesi aiheuttaa lähinnä lakiteknisiä muutoksia tietoturvaan, kun käyttäjät joutuvat käsittelemään yrityksen tietoja omilla laitteillaan;
  4. block chain, uusi teknologia, joka on mm. mahdollistanut Bitcoin-virtuaalivaluutan ja sen kaikkia uhkia ja mahdollisuuksia ei vielä tunneta;
  5. ketterä kehittäminen, joka on muuttanut työskentelytapoja ja tietoturvallisuus pitää ottaa kehitykseen mahdollisimman aikaisin;
  6. kaksitoimisuus, joka mahdollistaa kahden eri tyyppisen toiminnan yhdistämisen ja suurentaa yrityksen sisäisen pelikentän kokoa;
  7. big data, joka on suuri bisnesmahdollisuus ja lisää paljon uutta suojattavaa bisneskriittistä tietoa;
  8. pilvipohjaiset palvelut, jotka tarjoavat omien resurssien tarpeen vähenemisen, mutta tietosi ovat jonkun toisen hallussa.

2. Mikä on tietoturvariskien "blind spot" ja mitä sille pitäisi tehdä?

3. Miten riskienhallinnassa sovelletaan sykliä Plan-Do-Check-Act?

4. Miksi säännösten ja standardien mukaisuus on tärkeää tietoturvalle ja miksi se ei riitä?

5. Miten tietoturvariskien arviointia kannattaa jaotella eri osa-alueille? (Eri tavoin kuin tehtävässä 8)

6. Kirjan alaotsikon mukainen "Considering the human factor" alkaa peräti soluista ja DNA:sta, mutta miten asia tulee tietoturvariskien tasolle?

7. "The simplified approach" pyrkii olemaan nimensä mukainen. Mikä siinä on yksinkertaista ja miten sen voisi tiivistää?

8. Joel Suomalainen (2017-s). Tutki kirjan osaa "Templates" ja erityisesti taulukon "Risk Assessment" noin 12 kohtaa. Käännä ja selitä niiden otsikot. Mikä on ylimääräistä ja mitä puuttuu, jos riskien arviointi kohdistuukin älypuhelimen käytön tietoturvallisuuteen kuten tämän kurssin tutkimuksessa?

  1. Datan varastointi, informaatiovuoto palveluntarjoajalta. Esimerkiksi riskit pilvipalveluiden käytössä.
  2. Informaatiovuodon riski tiedonsiirrossa.
  3. Datan prosessointi ja siinä tiedon menetys.
  4. Datan hävitys. Kiintolevyjen puhdistus vaikkapa puutteellinen ja levyille jää tietoa roikkumaan.
  5. Järjestelmänvalvojan oikeuksien väärinkäyttö ja siitä aiheutuvat riskit datalle.
  6. Käyttäjäoikeuksien antaminen ja poistaminen. Riski, että työntekijöillä tai järjestelmänvalvojilla on väärät oikeudet sekä että tunnuksia ei poisteta asianmukaisesti työsuhteen päättyessä.
  7. Riski tiedonvuotoon huonon koulutuksen tai tietoisuuden puutteen takia palveluntarjoajalla ...
  8. ... ja yrityksen sisällä.
  9. Lainsäädännölliset riskit. Paikallisten lakien tai säädösten aiheuttamat rajoitukset esimerkiksi tiedon ja kommunikoinnin salaukseen liittyen.
  10. Tiedon suojaus ja yksityisyys. Riskit näihin aiheisiin liittyvän lainsäädännön asettamissa rajoitteissa.
  11. Palveluntarjoajat ja alihankkijat. Puutokset heidän tiedonsiirrossaan, sen hallinnassa tai hävittämisessä aiheuttavat riskejä palvelun ostajalle.
  12. Lisäriskitekijöitä. Esim. laitehallinta, jos työntekijöillä on laitteita, jotka eivät ole pelkästään työkäytössä ja yhtenäisen IT-hallinnan alla.

Kirjan ulkoasun suhteen yhdyn kirjaa ensimmäisenä käsitelleen Akselin mielipiteeseen. Kirjan sisältö on erityisesti hallinnollisesti suuntautuneelle tietoturvan opiskelijalle oikein hyvää, mutta painoksen laatu ja taitto heikentävät lukukokemusta merkittävästi. Lopussa olevat mallipohjat ovat varmasti oikein hyviä referenssinä työelämässäkin ja antavat viitekehyksen tietoturva-ajattelulle yritysmaailmassa.

Älypuhelimen tietoturvallisuutta ajatellen monet näistä ovat valideja riskejä. Käyttöoikeuksia ja järjestelmänvalvojaa ei tarvitse ottaa niinkään huomioon, jos on ainoa käyttäjä laitteellaan. Palveluntarjoajan suhteen riskit ovat samat ja itseään voi ajatella yrityksenä muiden riskien suhteen. Lisäyksenä fyysisen laiteturvallisuuden huolehtiminen on tärkeä alue älypuhelimen kanssa.