#CyberSecMonth Verkkoturvallisuuskuukausi: Ovatko tilisi ja tietosi turvassa? Studia monetaria -yleisöluento rahamuseossa 10.10.2017 Hanna Heiskanen, johtava digitalisaatioasiantuntija, Finanssivalvonta Tomi Kinnari, tietoturva-asiantuntija Viestintävirasto, Kyberturvallisuuskeskus
12
Embed
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna Heiskanen
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
#CyberSecMonth
Verkkoturvallisuuskuukausi:Ovatko tilisi ja tietosi turvassa?Studia monetaria -yleisöluento rahamuseossa 10.10.2017
Hanna Heiskanen, johtava digitalisaatioasiantuntija, Finanssivalvonta
Tomi Kinnari, tietoturva-asiantuntijaViestintävirasto, Kyberturvallisuuskeskus
#CyberSecMonth
Esityksen sisältö
• Hanna Heiskanen: Miten palveluiden turvallisuus varmistetaan?
• Tomi Kinnari: Mitkä uhat vaanivat palvelujen käyttäjää ja miten niihin voi varautua?
#CyberSecMonth
Miten palveluiden turvallisuus varmistetaan?Hanna Heiskanen
#CyberSecMonth
Mitä tietoturva ja tietosuoja tarkoittavat?• Tietoturvan CIA-malli = Confidentiality + Integrity + Availability
• Luottamuksellisuus• Luottamuksellisten tietojen turvaaminen• Tiedot vain niiden saatavilla, joilla on tietoihin oikeus
• Eheys• Tieto ei pääse muuttumaan vahingossa• Tietoa voivat muuttaa vain ne, joilla on siihen oikeus• Tietoihin tehdyt muutokset ovat havaittavissa
• Saatavuus• Tiedot ovat saatavilla, kun niitä tarvitaan• Tarvittavat varajärjestelyt käytössä vika- ja häiriötilanteiden varalta
Useilla viranomaisilla rooli tietoturvan hallinnassa
• Finanssivalvonta
• Viestintäviraston kyberturvallisuuskeskus
• Tietosuojavaltuutettu
• Poliisi – Keskusrikospoliisin kyberrikos-yksikkö
• Euroopan Keskuspankin yhteinen pankkivalvonta suurten pankkien valvonnassa
#CyberSecMonth
Tietoturvallisuuden tila on Suomessa hyvä
Lähde: Microsoft Security Intelligence Report
#CyberSecMonth
Tietoturva on yhteispeliä
Palveluiden suunnittelu
Palveluiden toteutus
Testaus ennen
käyttöönottoaAuditointi
Vienti tuotantoon
Ylläpito ja päivitykset
Palvelun käyttäjä
#CyberSecMonth
Miten finanssipalveluiden turvallisuus varmistetaan?
• Valvonnassa kiinnitetään erityistä huomiota operatiivisiin riskeihin• Tarkastelu toimilupaprosessin yhteydessä
• Tarkastukset
• Valvojan arvio ja ulkoistusilmoitukset merkittävistä ulkoistuksista
• Jatkuva valvonta
• Operatiivinen riski = tappionvaaraa, joka aiheutuu:• riittämättömistä tai epäonnistuneista sisäisistä prosesseista
• henkilöstöstä
• järjestelmistä
• ulkoisista tekijöistä
#CyberSecMonth
Miten uusien palveluiden turvallisuus varmistetaan?• Pankin hallituksen on hyväksyttävä operatiivisen riskin hallinnan periaatteet
• Riskin tunnistaminen, arviointi, seuranta ja rajoittaminen• Periaatteiden säännöllinen uudelleenarviointi
• Pankin on arvioitava uuden tuotteen ja palvelun riskit ennen niiden käyttöönottoa• Myös uuden palvelumallin käyttöönoton yhteydessä tai jos tuotteita ja palveluita on
yhdistelty uudella tavalla
• Pankin sisäinen ohjeistus uuden tuotteen ja palvelun hyväksymiselle
• Käytäntönä, että pankki esittelee merkittävän uuden tuotteen tai palvelun Finanssivalvonnalle hyvissä ajoin ennen sen käyttöönottoa• Riskiarvio – erityisesti tietoturvariskit• Tarvittaessa lisäselvitys tai jopa käyttöönoton lykkääminen
#CyberSecMonth
Entä jos jotain tapahtuu?
• Vahingon rajoittaminen
• Käyttäjätiedotus
• Ilmoitus Finanssivalvonnalle• Toiminnan häiriöistä• Toiminnan virheistä• Operatiivisen riskin tappiotapahtumista
• Ensi-ilmoitus viipymättä heti häiriöiden tai virheiden ilmaannuttua
• Täydentävä ilmoitus yksityiskohdista mahdollisimman pian• Häiriön syyn analysointi• Toimenpiteet sille, miten vastaava häiriö voidaan jatkossa estää