Ads 468x60px

maanantai 7. marraskuuta 2011

Miten suojautua tietovuodoilta?

Viimeistään nyt, lauantaina julkitulleen Suomen historian suurimman henkilötietovuodon jälkeen, on kaikkien järjestelmien omistajien, järjestelmävastaavien, tietoturvavastaavien ja tietoturvapäälliköiden mietittävä omien järjestelmiensä sisältämien tietojen suojaamista. Jos järjestelmä sisältää arkaluonteista tietoa kuten esimerkiksi henkilötietoja, maksukorttitietoja, tuotekehitystietoa tai muita yrityssalaisuuksia, tulee sen suojaamiseen kiinnittää erityistä huomiota. Lauantaisen tietovuodon lähde ei ole vielä selvillä, mutta tietomurron mahdollisuutta ei ole poissuljettu.

Miten tietovuodoilta sitten voi suojautua? Täydellistä suojaa ei tietenkään voi koskaan saavuttaa, jos tietoja pitää tietojärjestelmiin tallentaa. Tämä onkin ensimmäinen kysymys, joka jokaisen järjestelmän kohdalla pitää ensimmäisenä kysyä. Onko todellakin tarpeen tallentaa kaikki ne tiedot mitä järjestelmässä tällä hetkellä on? Tarvitaanko henkilötunnusta todellakin rekisteröinnin yhteydessä ja pitääkö se oikeasti tallentaa?

Maksukorttialalla tietojen suojaamista säätelee PCI DSS, joka mm. kieltää tiettyjen korttitietojen tallentamisen kategorisesti. Vuosittaisessa maksukorttialan yhteisötapaamisessa (PCI Community Meeting) Lontoossa viime kuussa oli esillä parikin puheenvuoroa, jossa puhuttiin tietovuodoista, tietosuojasta ja Euroopan tietosuojadirektiivistä. Puheenvuoroista on enemmän tietoa aiemmissa blogiteksteissämme, mutta tiivistettynä niissä todettiin että maksukorttitiedot ovat vain yksi henkilötietojen ilmentymä, ja että kaikki muutkin henkilötiedot olisi hyvä suojata vähintään yhtä hyvin.

Olen aiemminkin blogikirjoituksissani ottanut esille PCI DSS:n hyvänä mallina tietojen suojaamiselle. Kyseessä on kattava tietoturvastandardi jota noudattamalla saa aikaan varsin hyvän ”perustason” tietojen suojauksessa. Lisäksi se on täysin ilmainen ja sen sovellusohjeet, tulkintaohjeita ja paljon muuta tietoa on kaikkien saatavilla. Standardi ja paljon muuta tietoa löytyy täältä. Lisäksi Luottokunta on laatinut standardista suomennoksen, joka on ladattavissa Luottokunnan sivuilta.

Muita ilmaisia ja hyviä kotimaisia malleja tietojen suojaamiseen ovat KATAKRIn ja tietoturvatasojen vaatimukset. PCI DSS antaa kuitenkin eniten konkretiaa ja sen vaatimukset ovat monissa tapauksissa suoraviivaisempia toteuttaa.

Vielä lopuksi ohjeet tietovuodoilta suojautumiseen:

Mieti ensimmäisenä, tarvitseeko tietoa ylipäänsä tallentaa? Mitä ei ole tallennettu, se ei myöskään voi vuotaa. Jos tieto pitää tallentaa, suojaa se PCI DSS:n ohjeiden mukaisesti:

1) Rakenna turvallinen verkko ja ylläpidä sitä
2) Suojaa tiedot salaamalla
3) Käytä vain turvallisia sovelluksia ja haittaohjelmien torjuntaohjelmia ja päivitä niitä säännöllisesti
4) Rajoita käyttöoikeuksia ja pääsyä verkkoon ja sovelluksiin
5) Valvo ja testaa turvallisuutta säännöllisesti.

1 kommentti:

Mika Laaksonen kirjoitti...

Eikä kannata unohtaa myöskään OWASP:n suosituksia, jos kyse on web-sovelluksesta, kuten verkkokaupasta.

Lähetä kommentti