View page as slide show Export page to Open Document format

Tietoturvan perusteet

Ihmiset ja tietoturva

  • Käyttäjä on yleensä heikoin lenkki tietoturvaketjussa.
    • Koneen ja käyttäjän välistä yhteyttä on mahdotonta suojata
  • Tietokoneiden toimintaa ei ymmärretä
    • Ihmiset tekevät mitä tietokone pyytää
    • “Tietokone on hyvä renki mutta huono isäntä” ?

Riskien arviointi

  • Arviointi virheet ovat yleisiä
  • Yliarviodaan
    • Riskit joihin ei voida itse vaikuttaa
    • Joista media pitää meteliä (hain hyökkäys, terrorismi, lentokoeen)
  • Aliarvioidaan
    • Jokapäiväiset tapahtumat (auto onnettomuudet)
  • Riskin arviointi on todennäköisyyksillä pelaamista, samoin turvallisuuden määrittäminen
    • Pankkikortin tunnusluvun arvaamisen mahdollisuus on 1/10000, AES salaimen avaimen arvaukseen 1/2128
  • Paljon perustuu uskomuksiin
    • Ravintolan työntekijä ei tee takahuoneessa luottokortilla mitään lisäostoksia
    • Sähköposti tulee siltä henkilöltä jonka nimi on FROM rivillä.
    • Ylläpitäjät eivät käytä oikeuksiaan väärin

Erikoistilanteiden hallinta

  • Mitä tehdä kun jotain outoa tapahtuu
    • Harjoittelusta apua
      • Liiat harjoitukset häiritsevät
    • “Ei tällaista ole ennekään tapahtunut. Täytyy olla virhe.”
    • Useat hälytykset aiheuttavat hälytyksen pois kytkemisen

Turvallisuuteen liittyvät valinnat

  • Turvallista vaihtoehtoa ei käytetä koska:
    • Turvallinen väline ei ole toiminnassa.
    • Turvallinen tuote on vaikeampi käyttää
    • Turvallinen tuote on hitaampi
    • Turvallista tuotetta ei saa metallinhohtosinisenä
  • Turvallisuutta halutaan, mutta se ei saa vaikuttaa muuhun toimintaan mitenkään.
    • Turvallisuus ei saa näkyä käyttäjälle mitenkään.
  • Dilemma: Turvallisuus vaatii käyttäjän harkintaa - Käyttäjä ei halua vain turvallisuuden takia tehdä ylimääräistä työtä
  • Tuotteita ei osata käyttää oikein
  • Ei osata tehdä turvallisia ratkaisuja
    • Virukset leviävät edelleen
    • Kukaan ei lue sertifikaatteja
    • Hypätään suoraan varoitusten ohi
  • Tiedon siirtyminen ihmiseltä koneelle
    • Käyttäjä ei voi olla 100% varma, että käskyt tekevät sitä mitä käyttäjä haluaa.
      • Riskit suuremmat yleisillä kuin taskussa säilytetyllä koneella.
    • Laitteen luotettavuus tulisi miettiä ennen sen käyttämistä.
      • Kannattaako syöttää nettikahvilassa koneelle yrityksen sisäinen salasana?
  • Turvallisuudesta tingitään helposti jos siiitä saa jotain suoranaista hyötyä

Ilkeämieliset sisäpiiriläiset

  • Luotettuja henkilöitä ei valvota
  • Voivat tehdä paljon tuhoa
  • Vartija voi katsoa muualle, rahastaja voi vetää välistä jne.
  • AInoa keino suojautua: Palkkaa rehellisiä ihmisiä.

Social engineering

  • Vakuutetaan toinen henkilö puhumalla ja esiintymällä tekemään jotain josta on apua hyökkäämiseen.
    • Kertomaan salasanan, avaamaan oven yms.
  • Käytetään hyväksi ihmisten auktoriteetin pelkoa
    • Esiinnytään johtajana, korkeana politiikkona jne.
  • Käytetään hyväksi ihmisten hyväntahtoisuutta
    • Esiinnytään henkilönä, jonka pitää vain tehdä yksi pieni juttu….
  • Kevin Mitnick: Art of Deception ISBN: 0-471-23712-4
  • Vaikea suojautua
    • Biometriikkaan perustuva tunnistus estää salasanan kertomisen, kun sellaista ei ole
    • Ulkopuoliset yhteydenmuodostusyritykset voidaan estää
    • Armeijan kahden avaimen systeemi estää ettei yhdellä avaimella lähetetä pommia
  • Tietoturvapolitiikka antaa hyvän pohjan toiminnalle.
  • Henkilöstön koulutus tärkeää
Last modified: 2013/07/01 14:50