Tietoturvan huomiointi järjestelmähankinnoissa

SECOND NATURE SECURITY OY I KEILARANTA 1, 02150 ESPOO, FINLAND I +358 10 322 9000 I [email protected] I WWW.2NS.FI

Second Nature Security

Tietoturvan huomioinI järjestelmähankinnoissa


Sisältö

§  EsiOely

§  NykyIlanne

§  Tietoturvan oikea taso

§  Mitä huomioida tarjouspyynnössä?

§  Uhkamallinnus


Puhuja

Juho Ranta

CTO, Vanhempi Ietoturva-‐asiantunIja

TwiOer: twiOer.com/JuhoRanta


2NS – Second Nature Security Oy

§  Tietoturva-‐auditoinnit

§  OrganisaaIon Ietoturvan kehiOäminen

§  Sovelluskehityksen Ietoturva Second Nature Security


Asiakkaita

Satoja asiakkaita vuosien aikana

§  Pienet ja suuret yritykset

§  Julkishallinto

§  Ohjelmistoyritykset

§  Pankki-‐ ja vakuutuslaitokset

§  Kauppa

§  Teollisuus


Nyky;lanne

Lähes kaikki tarkastamamme palvelut sisältävät haavoiOuvuuksia – näistä merkiOävässä osassa on

krii_siä haavoiOuvuuksia.

Yhteistä monilla palveluilla on se, eOei Ietoturvaa ole huomioitu järjestelmää hankkiessa.


Miksi huomioida ;etoturva jo hankintavaiheessa?

Kun Ietoturva huomioidaan järjestelmiä hankkiessa, on siihen panostaminen kehitysvaiheessa helpompaa.

Tällöin myös haavoiOuvuuksien määrä jää merkiOäväsI pienemmäksi.


Tietoturvan oikea taso

0

20

40

60

80

100

120

140

1 21 41 61 81 101

Kustan

nus

Riski

Riskin odotusarvollinen tappio Riskin pienentämisen kustannus Kustannus yhteensä



0

20

40

60

80

100

120

140

1 21 41 61 81 101

Kustan

nus

Riski


Vähemmän kontrolleja à  Riskitaso kasvaa à  Hyväksikäytön todennäköisyys kasvaa



0

20

40

60

80

100

120

140

1 21 41 61 81 101

Kustan

nus

Riski


Kontrollien määrä kasvaa à  Riskitaso pienenee à  Kustannukset riskitason pienentämiselle kasvavat



0

20

40

60

80

100

120

140

1 21 41 61 81 101

Kustan

nus

Riski


Riski on sopivalla tasolla


Tietoturvavaa;mukset kehiteCävälle järjestelmälle

Tarjouspyyntö

Valmiit ohjeistukset / listaukset:

VahI OWASP Top 10

SANS/CWE Top 25

Uhkat / ulkopuoliset vaaImukset

Laki Sopimukset / Standardit

Muut havaitut uhkat


Tietoturvavaa;mukset ylläpitoon

VaadiOu vasteaika korjauksille tulee perustua haavoiOuvuuksien krii_syyteen.


Tietoturvavaa;mukset jatkokehityksessä

Samat vaaImukset koskevat myös jatkokehitysprosesseja – tämän lisäksi on suositeltavaa

päiviOää vaaImukset säännöllisin välein.


Uhkamallinnus

Uhkamallinnuksen tavoiOeena on kartoiOaa järjestelmän kannalta krii_simmät riskit sekä selviOää

menetelmät, joilla pienennetään riskejä.


Uhkamallinnus

Uhkien kartoitus Kartoitetaan

toteutumisvaaImukset uhkille

Miten uhkan toteutuminen voidaan

estää?


Uhkamallinnus

Kontrolli

Toteutumisen ehdot

Uhka KäyOäjän Ietojen

lukeminen

Pääsy toisen käyOäjän profiiliin

PuuOeellinen auktorisoinI

Pyyntöjen auktorisoinI

Pääsy Ietokantaan

SQL-‐injekIo

Prepared statemenIen

käyOö

Palvelimelle pääsy

Palvelimen kovetus

Uhrin työasemalle

pääsy

VälimuisIn lukeminen

VälimuisIin tallentamisen estäminen


Valmiit ohjeistukset ja listaukset

Älä keksi pyörää uudestaan – valmiita ohjeistuksia sekä haavoiOuvuuslistauksia on suositeltavaa käyOää.


Yhteenveto

§  Huomioi Ietoturva jo tarjouspyynnöissä

§  Mitä krii_sempi järjestelmä, sitä enemmän Ietoturvaan tulee panostaa

§  Tarjouspyyntöön: –  Hyödynnä valmista materiaalia

–  Uhkamallinnuksen tulokset

–  VaaImukset lakien, sopimusten ja standardien noudaOamiseksi

–  Vasteajat korjaukselle, mikäli kumppani tulee ylläpitämään järjestelmää

SECOND NATURE SECURITY OY I KEILARANTA 1, 02150 ESPOO, FINLAND I +358 10 322 9000 I [email protected] I WWW.2NS.FI


Kiitos mielenkiinnosta!

twiOer.com/JuhoRanta

Tietoturvan huomiointi järjestelmähankinnoissa

Internet