Tulostusversio

4/2012

Lyhyesti tietoturvasta 4/2012

Varmennemurto oli luultuakin vakavampi

Alankomaalaisen varmenneyritys DigiNotarin tietoturvahyökkäystä käsitelleen loppuraportin mukaan tapaus oli arvioituakin pahempi.

Loppuraportin mukaan hyökkääjä onnistui saamaan hallintaansa kaikki yrityksen kahdeksan varmenteita luovaa palvelinta. Hyökkääjä on saattanut myöntää varmenteita, joita ei vielä ole tunnistettu. Erityisen vakavaksi murron tekee se, että DigiNotarin myöntämiä varmenteita käytettiin myös Alankomaiden kansallisessa tunnistautumisjärjestelmässä.

Yhtiö ilmeisesti myös havaitsi murron vasta kuukautta myöhemmin. Varmennetietojärjestelmät ja niiden lokitiedot sijaitsivat samalla palvelimella, ja ilmeisesti hyökkääjä oli muokannut lokitietoja.

Tietomurto johti yhtiön konkurssiin.

DigiNotarin tietomurrosta on kerrottu tarkemmin Tietosuojassa 1/2012.

----

Tietoturvassa johtaminen on tekniikkaa tärkeämpää

Yrityksissä tekninen tietoturva vie liikaa huomiota, vaikka se ei merkittävästi paranna tietoturvallisuutta kokonaisuutena. Suurempi merkitys on organisatorisilla toimilla, kuten johtamisella ja henkilökunnan valmiuksilla. Tähän tulokseen tuli tekniikan lisensiaatti Paavo Porvari väitöstutkimuksessaan.

Väitöksessä kartoitettiin yhden kaupungin ja yhdeksän yrityksen tietoturvallisuuden tilan ja lisäksi yhden konsernitason yrityksen tietoriskit. Puutteita havaittiin mm. tietoturvapolitiikassa ja -johtamisessa, toimitilaturvallisuudessa, IT-katastrofeihin varautumisessa ja ulkoistamisessa.

Porvari huomasi, että pk-yrityksissä ei kerätä tietoturvallisuutta koskevia tietoja järjestelmällisesti eikä kattavasti. Tietoturvassa keskitytään joihinkin osa-alueisiin ja akuuttien ongelmien poistoon, mutta kokonaisvaltainen kehittämisote puuttuu.

Paavo Porvarin väitöstutkimus Information security in business management, processes and personnel activity (Tietoturvallisuus liiketoiminnan johtamisessa, prosesseissa ja henkilöiden toiminnassa) tarkastettiin Aalto-yliopiston sähkötekniikan korkeakoulussa 16. marraskuuta.

---

VAHTI neuvoo varautumisessa

Ministeriöiden ja valtion virastojen on saavutettava vähintään tietoturvallisuuden perustaso syyskuun loppuun 2013 mennessä. Vaatimus perustuu valtionhallinnon tietoturvallisuusasetukseen.

Tietoturvallisuuden perustasoon kuuluu, että organisaatio on suunnitellut menettelyt poikkeuksellisten tilanteiden varalle. Organisaation on määriteltävä siltä ja jokaiselta sen palvelulta ja järjestelmältä edellytettävä varautumisen taso.

Tietoturvauhkiin varautumisen parantamiseksi ja käytäntöjen yhdenmukaistamiseksi Valtiohallinnon tietoturvallisuuden johtoryhmä VAHTI on julkaissut ohjeen ICT-varautumisen vaatimuksista.

Ohje on suunnattu julkishallinnolle sekä niille yrityksille, jotka toimittavat palveluja julkishallinnon yksikölle.  

Lue myös

Lyhyesti tietosuojasta 4/2012 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.