Esitys IT2013-päivillä: Tietoturvallisuuden tilanne yliopistoissa

ja ammattikorkeakouluissa

Olavi Manninen

Tietoturvapäällikkö 4.11.2013

Esityksen sisältö

Mitä tietoturvahaasteita korkeakouluilla on?

Keitä meillä on vastaamassa näihin haasteisiin?

Mitä korkeakouluissa voidaan tehdä tietoturvallisuuden kehittämiseksi?

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 2

Mitä tietoturvahaasteita korkeakouluilla on?

hajautuneen tietojenkäsittely-ympäristön monimutkaisuuskuluttajistuminen (BYOD-laitteet)pilvipalveluiden käyttöhaktivismi ja vakoilulainsäädännön ja muiden säädösten laajuus, palveluihin liittyvät sopimuskäytännötmuuttuneet odotukset ja asenteet tietoturvaa kohtaankäyttäjien tietoturvatietoisuuden ja –osaamisen puutteet”tieteen vapaus”raportointi korkeakoulun johdolle ja johdon tukipienet tietoturvaresurssit

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 3

Käytännön tasolla tunnistettuja puutteita korkeakoulun tietoturvallisuudessa / osa 1

Asenne, tietokoneet ja huoneet lukitsematta

Tunnusten luovuttaminen toiselle, salasanat paperilla

Pilvipalveluiden ja sähköpostin huoleton käyttö

Varmuuskopiointi, varmuuskopioiden säilytys

Muistitikkujen, tietokoneiden ja mobiililaitteiden suojaaminen ja matkakäyttö

Tulostaminen ja tulosteet

Osaamisen ja tiedon puute

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 4

... puutteita tietoturvallisuudessa / osa 2

Puutteet järjestelmissä, korkeakoululla ei tarjolla sopivaa palvelua

Elinkaariajattelun puuttuminen

Puutteet varahenkilöjärjestelyissä

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 5

Yleisiä käsityksiä tietoturvallisuudesta

Tietoturvaa pidetään usein puhtaasti teknisenä asiana.Virustorjunta, palomuurit ym. tekniset keinot eivät auta jos työntekijät tai opiskelijat toimivat väärin.Tietoturvallisuutta ei voi ostaa - meidän on itse huomioitava tietoturvallisuus omassa työssämme.

Siksi meidän jokaisen pitää omalta osaltaan huomioida tietoturva-asiat jokapäiväisessä työssä: aineistojen käsittely, säilytys, suojaaminen, aineistojen hävittäminen, varmuuskopioinnit jne.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 6

Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin

Yliopistojen tietoturvapäälliköt/tietoturvavastaavat:14 yliopistoa + MPKK

noin puolessa on vähintään yksi kokopäiväinen tietoturvavastaava, muissa tietoturvavastaava käyttää tyypillisesti 50 % työajasta tietoturvatehtäviin

pääosa vastaavista toimii IT-palveluorganisaatiossa, kolmessa yliopistossa tietoturvapäällikkö sijoitettu IT-palveluyksikön ulkopuolelle

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 7

Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin

Ammattikorkeakoulujen tietoturvavastaavat25 ammattikorkeakoulua + PolAMK

tietoturvavastaavan tehtäviä hoitaa tekniikasta vastaava IT-päällikkö tai joku tekninen asiantuntija muiden tehtävien ohessa

Tietoturvavastaavien lisäksi korkeakouluissa on joukko teknisestä tietoturvasta vastaavia asiantuntijoita

verkko, tallennusympäristöt, palvelimet, AD, valvonta, työasemat, mobiililaitteet, IDM-järjestelmä, tietojärjestelmät/palvelut

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 8

Ratkaisuja tietoturvan kehittämiseksi: yhteistyötä ja hyvien käytäntöjen jakamista

Tietoturvayhteistyöverkostot

Yhteydenpito IT-johtajien verkostoon

Tietoturvasäännöt ja tietoturvaohjeet

Tietoturvan jalkauttaminen korkeakoulussa

Pilvipalveluiden arviointi, tiedonluokitteluohjeet

Tietoturvastandardit ja tietoturva-auditoinnit

Ajankohtaisviestintä korkeakoulun sisällä

Tietoturvapoikkeamien käsittely

Raportointi ja yhteydenpito korkeakoulun johtoon

Uudet tekniset tietoturvaratkaisut

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 9

Muuttuneet odotukset ja asenteet tietoturvaa kohtaan

Tietoturvatyössä ei enää voida lähteä siitä, että kategorisesti kielletään asioita.Tietoturvallisuuden kanssa samassa vaakakupissa on toiminnan joustavuus ja kustannukset.Käyttäjät löytävät tarvittaessa keinoja kiertää tehdyt rajoitukset.On siis pyrittävä olemaan käyttäjien tukena ja etsittävä aktiivisesti ratkaisuja erilaisiin tilanteisiin.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 10

Tietoturvayhteistyöverkostot

Yliopistojen tietoturvayhteistyöllä on pitkät perinteet lähes internetin alkuajoista asti. Yliopistojen Sec-ryhmä toimii mm. viestintäkanavana yliopistojen kesken sekä yliopistojen ja Funet CERTin välillä.Sec-työvaliokunta (Sec-tv) koostuu yliopistojen tietoturvapäälliköistä. Keskeinen tehtävä on koordinoida yliopistojen tietoturvayhteistyötä yhdessä Fucion kanssa.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 11

Tietoturvayhteistyöverkostot

Ammattikorkeakouluilla on yliopistojen Sec-ryhmää vastaava AMK-SEC-ryhmä.

Yksi korkeakoulujen tietoturvayhteistyön muoto on jokakeväiset Sec-päivät. Vuoden 2014 Sec-päivät järjestää Hämeen ammattikorkeakoulu.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 12

Tietoturvasäännöt

Tietoturvapolitiikka ja muu tietoturvasäännöstö luovat tietoturvallisuuden pohjan.Korkeakoulujen FUSEC-työryhmä on laatinut uuden version korkeakoulujen tietoturvasäännöstöstä. https://tt.eduuni.fi/sites/kity/Julkaistut%20dokumentit/FUSEC-dokumentit/

Osa korkeakouluista on jo ottanut tai on parhaillaan ottamassa uuden säännöstön käyttöön.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 13

Tietoturvaohjeet

Yliopistojen tietoturva-asiantuntijoista koostunut työryhmä on laatinut tietoturvaohjeita henkilöstön ja opiskelijoiden käyttöön tarkoitettuja tietoturvaohjeita.http://www.fucio.fi/tietoturva/ Tietoturvaohjeet

Henkilöstön tietoturvaopas

Henkilöstön tietoturvan pikaohje

Opiskelijan tietoturvaopas

Opiskelijan tietoturvan pikaohje

Mobiiliturvaohje henkilöstölle ja opiskelijoille (PDF)

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 14

Tietoturvan jalkauttaminen korkeakoulussa

Pelkkä tietoturvasääntöjen ja tietoturvaohjeiden laittaminen henkilöstön ja opiskelijoiden saataville ei riitä.Tietoturva-asioiden tulisi olla mukana henkilöstön ja opiskelijoiden perehdyttämisessä.Tietoturvatietoisuuden ja tietoturvaosaamisen ylläpitäminen edellyttää säännöllisiä koulutuksia.Lisäksi tietoturvatietoisuuden ja kiinnostuksen ylläpitämiseksi kannattaa miettiä tietoturvan ajankohtaistiedotuksen keinoja.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 15

Pilvipalveluiden soveltuvuus korkeakoulukäyttöön

PiPa-SIG -työryhmä on luonut korkeakoulujen pilvipalveluiden arviointisivuston https://tt.eduuni.fi/sites/pilviohje/Sivustolla on arvioitu sellaisia palveluita, joiden tiedetään kiinnostavan korkeakoulujen käyttäjiä.Pilvipalveluiden arvioinneista on oma esitys IT2013-päivillä.

Korkeakoululla tulee olla käyttäjille tiiviit ja helposti avautuvat tiedonluokitteluohjeet.Ohjeet tulee jalkauttaa osaksi toimintaa.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 16

Mikä on riittävä tietoturvallisuuden taso ja miten se voidaan varmistaa?

Korkeakoulun tulee huolehtia siitä, että sen järjestelmissä toteutetaan riittävä tietoturvan ja tietosuojan taso.Mm. EU:n tulevassa tietosuoja-asetuksessa on luonnosteltu huomattavia sanktioita laiminlyönneistä.Mikä on riittävä tietoturvan taso ja millä se todistetaan?Yliopistot ovat selvittämässä valtionhallinnon tietoturvatasojen käyttämistä yhteisenä tietoturvastandardina.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 17

Tietoturva-auditoinneista

Tietoturva-auditointeja voidaan käyttää varmistamaan tietoturvallisuuden tilannetta.Auditointeja voidaan toteuttaa monin eri tavoin

Ulkopuolinen / sisäinen / vertaisauditointi

Tietoturvan hallintamallin auditointi / Tekninen auditointi

Auditoinnista on erilliset esitykset IT2013-päivien ohjelmassa.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 18

Tietoturvapoikkeamien käsittely

Poikkeamien käsittely ja seuranta on tärkeää tietoturvallisuuden tilannekuvan kannalta.Yleensä on vaikeaa saada käyttäjiltä ja ylläpidolta ilmoituksia kaikista poikkeamista.Poikkeamatietojen kerääminen edellyttää selkeää toimintamallia ja aktiivista työtä.Vakavien ja lievien tietoturvapoikkeamien määrät ovat hyviä tietoturvamittareita.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 19

Raportointi ja yhteydenpito korkeakoulun johtoon

Ilman johdon tukea tietoturvatyö jää helposti tietoturva-asiantuntijoiden ja tietohallinnon puuhasteluksi.Tietoturvapolitiikka, tietoturvasuunnittelu, tietoturvaraportointi organisaation johdolle sekä tietoturva-asioiden säännöllinen käsittely ovat mukana mm. tietoturvatasojen perustason vaatimuksissa.Kuitenkin käytännössä on usein vaikeaa löytää hyvin toimivaa tapaa säännölliseen yhteydenpitoon.

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 20

Tekniset tietoturvaratkaisut

Vaikka tietoturvallisuus ei ole pelkkää tekniikkaa, tietyt tekniset ratkaisut ovat hyödyllisiä tai välttämättömiäkin:

(NextGen) palomuuri, IDS/IDP, keskitetty logitus ja SIEM-järjestelmä, verkon segmentointi, verkon skannaus-ohjelmistot, IDM-järjestelmä, palvelimien virtualisointi-ympäristöt, keskitetyt tallennus- ja varmistusympäristöt, työasemien keskitetty hallinnointi, mobiililaitteiden hallinta, haittaohjelmatorjunta, kryptausratkaisut, ...

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 21

Lopuksi

Tietoturvahaasteita ja tekemistä niiden parissa riittää.Tietoturvayhteistyön merkitys korostuu: verkostojen kautta käytettävissä laajempi osaaminen ja tekemistä voidaan jakaa.Kehittäminen kannattaa pilkkoa riittävin pieniksi osatavoitteiksi ja laittaa asiat tärkeysjärjestykseen.

Kiitokset että jaksoit tänne asti!

21.04.23Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen 22