”Microsoftin tuotteet tukevat erinomaisesti ratkaisuportfoliotamme. Esimerkkinä toimii Forefront Identity Manager, jonka avulla asiakas voi saavuttaa merkittäviä säästöjä automatisoimalla käyttäjätietojen hallinnan. Lisäksi osa palveluista voidaan tarjota itsepalveluna”, toteaa Trusteqin liiketoimintakehityksestä vastaava johtaja Jukka Lauhia.

”Verkkopalveluiden julkaisuun tarvitaan myös turvallinen alusta, johon voidaan liittää vaihtoehtoisia tunnistautumistapoja. Salasanojen hallinnointiin palaa leijonan osa IT:n ajasta ja rahasta – turhaan. Markkinoilla on fiksuja ratkaisuja kuten Forefront Unified Access Gateway ja luottamusverkostoja hyödyntävä Active Directory Federation Service – Trusteqilla on osaaminen näidenkin kustannustehokkaaseen toteutukseen”, jatkaa Lauhia.

Vuoden 2011 tivi-yritykseksi valittu Trusteq on Suomen suurin käyttäjätietoturvan ja pääsynhallinnan asiantuntijakeskittymä, joka tarjoaa myös hankejohtamisen palvelut laajoihin ja haastaviin tietoturvaprojekteihin.

Trusteqin asiakkaita yritysmaailmasta ovat muiden muassa Aktia, DNA, Kone, Metso, Nordea, Samlink, Sanoma ja Tieto. Valtion organisaatioista esimerkiksi Ulkoasiainministeriö, Valtiovarainministeriö ja Verohallinto luottavat Trusteqin huippuasiantuntijoihin.

Trusteq toivottaa kaikille oikein hyvää ja rauhallista Joulua. 

Tänä jouluna olemme lahjoittaneet varoja Planin kautta kehitysmaiden lapsille.

Antamisen iloa ja onnellista uutta vuotta.

Koko Trusteqin puolesta,

Erik Sucksdorff

Toimitusjohtaja

Lue lisää Planin toiminnasta: Plan.fi

Tietoturva-asiantuntijoita

Toimit asiantuntijana ja konsulttina käyttäjätietoturvan ja pääsynhallinnan alueella toteuttaen tietoturvaratkaisuilla mitattavia hyötyjä suomalaisille ja kansainvälisille suuryrityksille. Toimit osana IAM-konsulttiorganisaatiotamme ja toimipisteesi on Espoon Keilarannassa, mutta käyt säännöllisesti myös asiakkaillamme.

Lisätietoja: http://trusteq.com/rekrytointi/avoimet-tyopaikat/tietoturva-asiantuntija

A: Suojaus tulee olla suhteutettu kerätyn tietoon & määrään. Kaikkien tulee kuitenkin vähintään:

1. Skannata järjestelmät säännöllisesti heikkouksien huomaamiseksi (vulnerability scanning)

2. Pitää järjestelmäpäivitykset ajantasalla

3. Koventaa järjestelmä. Esim. poista kaikki turhat oletustunnukset ja palvelut.

4. Monitoroida käyttäjien ja järjestelmien tapahtumia

5. Kouluttaa henkilöstöä.

Q: Miten palveluntarjoaja voi havaita hyökkäyksen?

A: Tässä järjestelmän seurannalla on avainrooli.

1. Seuraa järjestelmän käyttölokeja ja liikenneprofiilia

2. Analysoi muutoksia järjestelmäkonfiguuratioissa tai asennuksissa

3. Pyydä palveluntarjoajaa katsomaan, havaitseko hän jotain poikkeuksellista

4. Aja haitakeskannaukset järjestelmällesi (internal virus/malware scanning)

5. Viritä ‘hunajapurkki’ palvelimelle ja monitoroi sitä. Hunajapurkki on houkutteleva kohde hyökkääjälle (esim. passwords.txt           tai creditcard.db), mutta ei sisällä käytettävää tietoa. Hyökkääjä kuitenkin kiinnostuu tästä.

Q: Miten kotikäyttäjät voivat suojata tietonsa?

A: Kotikäyttäjien suojauksessa on kaksi osaa: 1. kotikone ja 2. käytetyt palvelut

Kotikoneelle oleellista on virustorjunnan, henkilökohtaisen palomuurin ja käyttöjärjestelmän päivitysten pitäminen ajantasalla. Palveluiden valinnassa kannataa aina miettiä, mitä tietoja ja mihin tarkoitukseen tulee antaa. Nämä selviävät usein rekisteriselosteesta ja arkaluontoiset tiedot (kuten salasana) tulisi aina siirtää suojatun yhteyden yli.

Q: Mitä kotikäyttäjät voivat tehdä tietovuodoissa?

A: Hyvin vähän. Tämä on palveluntarjoajan vastuulla.

Q: Auttaako vahva salasana tietovuodossa?

A: Tietovuodot aiheutuvat yleensä palveluntarjoajan virheestä. Tällöin asiakkaan salasanasuojaus kierretään, joten hyväkään asiakkaan salasana ei auta tässä.

Q: Tarviiko kuluttajien välittää salasanan vahvuudesta?

A: Kyllä. Vahva salasana ehkäisee tunnuksien väärinkäyttöä. Käyttäjätunnus/salasana vaihtoehdosta tulisi kuitenkin siirtymään kehittyneempiin järjestelmiin esimerkiksi kertakäyttösalasanoihin tai federoituun identiteettiin. Eritysesti federoitu identiteetti on kuluttajille läpinäkyvä vaihtoehto ja vähentää tarvittavien käyttäjätunnuksien ja salasanojen määrää.

Q: Mitä federaatio tarkoittaa?

A: Federaatio tarkoittaa, että sallitaan esim. Googlen tunnuksen käyttö muihin kuin Googlen palveluihin. Tällöin salasana tarvitaan vain Google-tunnuksen käyttöön. Toista salana-/käyttäjätunnusparia ei tarvita.

___

Tomi Mikkonen toimii Trusteqissa hankejohtajana, jonka vastuualueita ovat verkkoturvallisuus, kuluttajatietojen suojaaminen, turvallinen tuote- ja järjestelmäkehitys sekä palvelukehitys.

Trusteq on mukana Symantec Technology Dayssa

Tervetuloa mukaan Symantec Technology Day -tapahtumaan 16.11.2011

Tietoturvatalo Trusteq on mukana tämän vuoden Symantec Technology Day -tapahtumassa.
Ilmoittaudu mukaan ja tule tapaamaan asiantuntijoitamme.

Koska: 16.11.2011 klo 09:00 – 16:00

Missä: Helsingin Messukeskus, Kongressisiipi

Ilmoittautumiset: Napsauta tästä (avautuu Symantecin sivuille)

Kuvaus:
Symantec Technology Day on vuosittain järjestettävä vahvasti teknologiaan keskittyvä maksuton tapahtuma IT-alan ammattilaisille. Päivämme on täynnä ratkaisukeskeisiä luentoja ja demoja. Oletko valmiina tulevaisuuden mukanaan tuomiin IT-haasteisiin – Be Prepared for the Future!

Päivän ohjelmassa tänä vuonna mm:

• IT-infrastruktuurin suojaaminen
• Tietoturva ja hallinta
• Tallennuskapasiteetin hallinta
• Yrityksesi toiminnoille tärkeiden sovellusten korkean käytettävyyden turvaaminen

Lisäksi tarjoamme mielenkiintoisia ideoita kuinka voit tarkoituksenmukaisimmin hyödyntää virtualisoinnin ja pilvipalvelujen tarjoamat mahdollisuudet.

Anonymous Finland on julistanut sodan Talvivaara Oyj:lle sen tavasta hoitaa kaivoksensa ympäristövaikutuksia.

Itse sodan julistus löytyy http://pastebin.com/j5Syj8aB linkin takaa. Ottamatta enempää kantaa syihin, motiiveihin tai resursseihin kummaltakaan puolelta, maalaa tämä näkymää korporaatioiden ja aktivistien lähitulevaisuuteen.

Hyökkääjät käyttävät sissitaktiikkaa väijymällä aktiivisesti nettinäreen juurella etsien huoletonta korporaatiokulkijaa. Voin melkein kuulla äänen sanovan,
Upseer ies. Mis häne pääsä varjo ossuup tuon piene närree kohal, nii sillo hänel tullooki noutaja.

Kuinka mahtaa olla puolustaja valmistautunut tähän sotaan?
Onko tarjota vain kivääri, kokardi ja vyö?

Jonkusen vuoden olen katsellut sekä kuunnellut eri firmojen ja yhteisöjen tietouhkiin valmistautumista ja Wikipediasta löytyi teksti, jolla voi kuvata tilannetta, näin sodan näkökulmasta:

” Kesäkuussa 1939, puoli vuotta ennen talvisodan syttymistä, Cajander ilmoitti tyytyväisyytensä siitä, että Suomen armeijan hankintoja oli osittain lykätty myöhemmäksi, ja että näin säästettäisiin valtion varoja, koska ei ollut ostettu liian aikaisin varusteita, jotka olisivat kuitenkin sodan sattuessa jo vanhentuneita ja osittain käyttökelvottomia. ” Lähde: Wikipedia (http://fi.wikipedia.org/wiki/Malli_Cajander)

Puolustamista ei ehkä kannata aloittaa ostamalla Hornetteja, kuljetushelikoptereita tai kuolontähteä.
Tarkasta omat joukkosi CAG:ta (Consensus Audit Guidelines) vasten ja panosta todelliseen tarpeeseen.

Vuosi on nyt 2011, johtaako teillä Cajander?

__

Jussi Perälämpi on Trusteqin Security Practice Lead, jolla on yli kymmenen vuoden kokemus mm. tietoturva-arkkitehtuurista, hardenoinnista ja tietoturva-automaatiosta.

Seuraa Jussia Twitterissä: @JussiPeralampi

Sinulle se on ainutlaatuinen tilaisuus nähdä, kokeilla ja ottaa käyttöön uusimpia teknologian mahdollisuuksia. Tee omasta elämästäsi entistä kiehtovampaa. Tule poimimaan viimeisimmät vinkit ja uutuudet mukaasi! Tilaisuuteen on vapaa pääsy.

Trusteq on kumppanina mukana Microsoftin Business Summitissa, joka on osa Hello Helsinki -tapahtumaa.

Koska: 14. – 17.11.2011

Missä: Vanha Ylioppilastalo

Lisätietoja: http://www.microsoft.com/finland/hellofinland/

Mitä seurauksia on asiakastietojen huonolla suojauksella?

Viime viikonlopun 16 000 henkilön tietovuoto on hyvä esimerkki, mitä seurauksia asiakastietojen puutteellisella suojauksella voi olla.

Vaikka yksityiskohtaisia tietoja vuodetun informaation keruusta ei ole vielä saatavilla, yksi asia on varmistunut: vuodetut tiedot on koottu useasta eri lähteestä.

Tämä tarkoittaa, että useat eri tahot eivät ole täyttäneet lain mukaisia tarpeellisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen suojaamiseksi asiattomalta pääsyltä. Täydellistä suojausta asiatonta pääsyä vastaan ei ole taloudellista toteuttaa, mutta tämä vuoto kertoo samaa (ottamatta kantaa tämän hyökkäyksen tekijään), mitä Anonymous Finland julkaisussaan sanoo: suomalaiset viranomaiset, yritykset ja instituutiot eivät suojaa asiakastietojansa kunnolla, koska vuodettu tieto on pystytty keräämään useasta eri lähteestä.

Miten saavuttaa riittävä suoja?

Riittävän suojauksen määrittäminen on aina tietoa keräävän yrityksen tai yhteisön vastuulla. Vaikka mitään minimivaatimuksia riittävälle suojaukselle ei ole asetettu, useat eri suositukset (esimerkiksi CAG – consensus audit guidelines) antavat hyvät lähtökohdat minimivaatimusten toteuttamiseksi. Pelkkien vähimmäistoimenpiteiden, kuten oletusasetusten välttäminen ja säännölliset ohjelmistopäivitykset, toteuttaminen usein estää automaattisten hyökkäysten onnistumisen. Tämä parantaa asiakastietojen suojaa merkittävästi verrattuna tilanteeseen, että mitään ei ole tehty. Vähimmäistoimenpiteiden lisäksi rekisterinpitäjän tulee kehittää suojaustaan jatkuvasti, koska jatkuvat muutokset ympäristössä mahdollistavat uusia heikkouksia järjestelmässä.

Tämä tietovuoto on vain yksi esimerkki, mitä huonosta asiakastietojen suojauksesta voi seurata. Toivottavasti tämä toimii useille tahoille hyvänä muistutuksena, että näiden tietojen suojaukseen tulee panostaa. Jos omaa osaamista tilanteen korjaamiseen ei ole, kannattaa ottaa yhteyttä ulkoisiin asiantuntijoihin tilanteen parantamiseksi.

___

Tomi Mikkonen toimii Trusteqissa hankejohtajana, jonka vastuualueita ovat verkkoturvallisuus, kuluttajatietojen suojaaminen, turvallinen tuote- ja järjestelmäkehitys sekä palvelukehitys.

“Kehitämme määrätietoisesti konsultointiamme tietoturva-alueella ja haemme jatkuvasti tehokkaampia tuotteita asiakkaillemme. Tripwire sopii luontevasti PCI (payment card industry) konsulttiprojektiemme jatkeeksi”,  Trusteqin toimitusjohtaja Erik Sucksdorff kommentoi.

“Tripwiren Entreprise-versio sisältää lukuisia toiminnallisuuksia, jotka parantavat avoimeen lähdekoodiin perustuvan Tripwire-ohjelmiston konfigurointia, monitorointia ja verkkoelementtien valvonta. Ongelmana PCI-projekteissa on nimenomaan ollut, ettei standardi määrittele hyväksymiskriteereitä, jolloin projektit tuppaavat venymään. Tripwiren tuotteella saadaan ainakin osa standardin edellyttämistä vaatimuksista katetuksi luotettavalla tavalla, mikä säästää aikaa ja auditointikustannuksia”, lisää Trusteqin Security Practice Lead Jussi Perälampi.

Lue lisää Tripwiren ominaisuuksista yrityksen omilta verkkosivuilta.

Rekisteriseloste avainasemassa

Tyypillinen asiakastiedon käytön kehittämisprojekti alkaa kanta-asiakasohjelmien, asiakaspalvelun ja verkkosivujen kautta kerätyn tiedon kartoittamisella. Kerättyjen tietojen yksityiskohdat, käyttötarkoitukset, luovuttaminen ja suojauksen pääperiaatteet tulee dokumentoida rekisteriselosteessa.

Seuraavassa vaiheessa määritetään ja kuvataan nykyiset ja mahdolliset tulevat käyttötapaukset. Rekisteriseloste on avainasemassa asiakasviestinnässä, ja se tulee pitää ajan tasalla. Siitä voidaan kuitenkin rajata pois esimerkiksi oleellisia tiedonkäyttötapauksia, koska asiakastietoja saa käyttää vain rekisteriselosteen mukaisesti.

Kontrolli tiedon luottamuksellisuuden mukaan

Kun asiakastiedot ja niiden käyttö on inventoitu, voidaan aloittaa tietojen suojauksen suunnittelu. Henkilötietolain mukaan asiakastiedot tulee suojata tarvittavilla toimenpiteillä asiattoman pääsyn estämiseksi ja mm. luvatonta luovuttamista vastaan.

Tarvittavien toimenpiteiden määrittely on usein vaikeaa, mutta suojauksen toteuttamiseksi on olemassa useita hyviksi todettuja ratkaisuja. Toimiva identiteetin ja pääsynhallinnan ratkaisu (IAM) on avainasemassa suojauksen suunnittelussa, koska pääsyä asiakastietoon tulee rajoittaa monella eri tasolla (need-to-know -periaate) ja esimerkiksi tiedon käyttöä pitää pystyä seuraamaan ja auditoimaan jälkeenpäin. Pelkkä IAM-järjestelmä ei ole kuitenkaan riittävä väline tarpeellisten toimenpiteiden toteuttamiseksi, vaan erilaisia todennus-, suojaus- ja muita ratkaisuja tulee ottaa käyttöön tiedon määrän mukaan.

         ”Perussääntö on, että mitä enemmän ja mitä luottamuksellisempaa tietoa käsitellään, sitä enemmän kontrolleja tarpeellinen suojaus vaatii.”

Suurissa asiakastietokannoissa kehittyneet ratkaisut, kuten data loss prevention (DLP) ja audit trail, edellyttävät konfiguraation ja haavoittuvuuden seurantaa. Näiden ratkaisujen käyttöönotossa tulee ottaa huomioon organisaation vaatimukset ja muut ympäristöön vaikuttavat tekijät. Tärkeää on kuitenkin määrittää nykyiset kontrollit ja suunnitelma niiden kehittämiseksi.

Viimeisenä vaiheena on vaatimustenmukaisuuden ja kontrollien mittaaminen, joka mahdollistaa myös suojauksen jatkuvan kehittämisen. Erilaiset GRC-tuotteet (governance, risk & compliance) ovat erittäin arvokkaita tässä vaiheessa, koska ne tarjoavat reaaliaikaisen näkymän kontrolleihin ja eliminoivat manuaalisia vaiheita, kuten esimerkiksi itsearviointilomakkeiden ja tarkistuslistojen käsittelyn.

Asiakastiedot ovat yrityksellesi erittäin tärkeää ja arvokasta pääomaa. Pidä siis huolta niiden asianmukaisesta suojaamisesta ja käytön tehokkaasta suunnittelusta.

—–

Tomi Mikkonen toimii Trusteqissa hankejohtajana, jonka vastuualueita ovat erityisesti verkkoturvallisuus, kuluttajatietojen suojaaminen, turvallinen tuote- ja järjestelmäkehitys sekä palvelukehitys.