Ads 468x60px

torstai 13. lokakuuta 2011

RSA Europe 2011: 1. ja 2. päivä

Konferenssin puoliväli on ohitettu, joten lienee korkea aika luoda pieni katsaus kuluneeseen kahteen päivään.

Tiistain avauspuheenvuorot tulivat RSA:n johtoryhmän puheenjohtajalta Arthur W. Coviello Jr.:ltä ja toimistusjohtajalta Thomas P. Heiser:ltä. Puheet käsittelivät odotetusti RSA:n keväistä tietomurtoa, ja muutama uusi tiedonjyvänenkin saatiin. Hyökkäykseen osallistui kaksi ryhmää, jotka koordinoivat toimintaansa (toinen suojasi toisen ryhmän etenemistä). Vieläkään RSA ei paljastanut ryhmien identiteettiä, mutta puheista nousi viittaus siitä että kyseessä olisi valtiotasoinen toimija. Tämä huomioitiin nopeasti verkkomedioissa, mm. The Register:n artikkelissa RSA defends handling of two-pronged SecurID breach. Toisaalla verkkokirjoittelussa spekulaatio jatkuu (esim. Slashdot).

Muissa esityksissä ja keskusteluissa näiden kahden päivän aikana on esiin noussut mm. seuraavia asioita:

  • "Context defines risk!" Perinteisen riskianalyysin ongelma on, se että uhkakuvia ja sitä kautta riskejä käsitellään irrallisina. Riskin määrittely vaatii kuitenkin aina asiayhteyden. Esimerkkinä henkilö seisomassa kallion reunalla - tässähän on selkeä riski? Riski tulee kuitenkin asiayhteydestä, eli oletamme kallion reunalla seisovan henkilön haluavan elää. Mikäli kyseessä on itsemurhaa hautova henkilö, on kallion reuna hänelle mahdollisuus saavuttaa tavoitteensa.
  • "Embrace failure and create safety nets. Agility will be key!" Melko radikaali ehdotus ottaa pessimistinen näkökulma asioihin - olettaa että virheitä/epäonnistumisia tapahtuu. Ohjataan resursseja enemmänkin siihen miten toimitaan kun jotain tapahtuu. Opitaan virheistä ja muutetaan toimintatapoja tarpeen mukaan.
  • "Opt-in security is worthless!" Useissa sovelluksissa ja palveluissa monet tietoturva-asetukset ovat oletuksena pois päältä. Vastuu on siis siirretty käyttäjälle (tai organisaation IT-osastolle) ottaa kyseiset asetukset käyttöön. Aina tulee kuitenkin olemaan käyttäjiä, jotka eivät välttämättä edes tiedä kaikkien asetusten olemassaolosta saati sitten ymmärrä niiden merkitystä.
  • "People are the new perimeter!" Päätelaite on siirtynyt organisaation verkon reunalle erityisesti älykkäiden mobiililaitteiden yleistymisen myötä; näiden tekninen suojaaminen on haasteellista, jolloin käyttäjän merkitys organisaation portinvartijana korostuu. Nykypäivänä pitää huomioida myös kuluttajalaitteet ja niiden käyttö organisaatioissa.
  • "Security fundamentals guard against most attacks!" APT on täällä ja tullut jäädäkseen. Organisaatioiden kannalta on kuitenkin tärkeämpää huolehtia perustietoturvasta kuin murehtia yksittäisestä hyökkäystyypistä.

Koostamme blogiin syvällisemmän analyysin muutamasta aiheesta konferenssin jälkeen, joten pysykää kuulolla.

// Samuel Korpi ja Juhana Yrjölä //

Ei kommentteja:

Lähetä kommentti