SlideShare une entreprise Scribd logo

Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen

Tomppa Järvinen
Tomppa Järvinen

Riskejä, toteutuneita riskejä, tärkeimpiä suojakeinoja

Direction et management
1  sur  18
Télécharger pour lire hors ligne
Verkkokauppa.com kyberriskit ja niihin varautuminen Vähittäiskauppaa verkossa (ja 4 myymälää) Kyberrikos 2018 Tomi Järvinen Tietoturvapäällikkö • Riskejä, toteutuneita riskejä • Suojakeinot ja käytännöt • Hakkerointitapaus
Verkkokauppa.com numeroita • Omat konesalit pääkaupunkiseudulla • Useampi 100 virtuaalipalvelinta, > 90% linux, liiketoimintaan liittyvät Foobar-Linuxilla • Korkea käytettävyys erittäin tärkeä, Infran SLA 99.999 tasolla. • Vikasietoinen verkko, useampi kuitu, radiolinkki... • 4,5 – 5 miljoonaa vierailijaa/kk • Black Friday 2017, ainoa isoista joka oli pystyssä • OHO- päivinä kymmeniä tuhansia yhtäaikaisia kävijöitä • CD/CI Deploymentteja keskimäärin 20 / päivä (master - > tuotantoon 8-9 min) • Tuhansia automaattitestejä / deployment (kesto esim. 3000/12sek, - 500/1-2 min)
Verkkokauppa.com järjestelmä • Järjestelmänä itsekehitetty ERP, varastohallinta, kassat, osto, back-end ja Web omaa tuotantoa • Nyt ~40 kehittäjää, Scrum masterit, UI • Teknologiaa mm. PHP, HTML, CSS, JS, Ansible, Node.js, React & Redux, Docker, Kubernetes, Gitlab, Robot, Selenium, R, Python • Muutos käynnissä monoliitti-ERP:stä microservice arkkitehtuuriin • Continuous deployment, continuous integration, konttien käyttö • Jotain Verkkokaupan komponentteja myös kumppaneilta, esim business- analytiikkaa, tuotesuosituksia
Riskejä • Tulva, laaja lakko, epidemia, rekka etuovesta sisään – Katastrofiskenaariot, todellinen todennäköisyys? • ”Perinteiset kyberriskit” DDos, malware outbreak, tietomurto... • Toimitilat – ”Trukki tavarahissiin”, kuljetuksiin saattaa tulla suurikin viive – Sähkökatko, tietoliikennevika, palvelintilojen ongelma • Maineriskit, taloudelliset riskit – Iso moka verkossa, yllättävä markkinamuutos • Tietovuoto, monilla eri tavoilla – Näytöltä, roskista, möläytys kassalta, järjestelmävika
Riskejä • Huijaukset, luottotappiot – Erilainen rikollinen toiminta, ulkopuoliset tai sisäiset yhteistyössä • Kaupan järjestelmä (ERP, Front, Backend, ”koodi”) – Suunnitteluvirheet, bugit, koodaajien työasemat, ”developer as a target”, kirjastot • Henkilöiden toiminta – Sisäiset mokat, tahallinen tai tahaton – Kalasteluihin tai haittaohjelmiin lankeaminen – Asiattomat toimistotiloissa, ilkivalta, varkaus • Kumppanit – Lakko,”siivoja lataa puhelinta case”
Myytävä ylimmälle johdolle • Tietoturvan rakentamisessa ensimmäinen tehtävä (riskitaso, tavoite, strategia, investointi) • Vuosittainen ”one to one”, puhumista ja perusteluja, miksi joku asia kannattaa? mitä jos ei tehdä mitään? hyödyt esiin • Asiat pitää saada esitettyä johdon kielellä
Järjestelmällinen riskienhallinta • Seuraava tehtävä, mihin paukut kannat laittaa? Luokittelu, järjestelmät, liiketoiminta, tieto-omaisuus • Tarkka harkinta, todellinen todennäköisyys ja vaikutus liiketoiminnalle • Analytiikkaa mukaan, statistiikkaa, yhden asiakkaan tietojen vuoto laiteen mukana vs tunnin katkos kaupankäynnille? • Työkalujen ja käytäntöjen pitää olla selkeitä ja helppoja käyttää • ERM-tyyppinen työkalu pakollinen (tietokanta, linkitykset, ylläpito) • Linkitys poikkeamien hallintaan sekä jatkuvuussuunnitteluun
Teknologian periaatteita • Avoin koodi, tuetut komponentit – Varmistetaan koodin/kirjastojen alkuperä ja turvallisuus • CD/CI kehitysputki – Palautuminen nopeaa, hyvin harvoin laaja vaikutus – Pienet helposti katselmoitavat muutokset – Kontit (päivitys/vko, CVE, ei ajeta roottina, ym) • Infran haavoittuvuudet hoidetaan käytännössä heti – päivityksistä aiheutuneita katkoksia ei juurikaan tule • Motivoitunut ja osaavan kehitystiimi – rekrytoinneissa ”´tiimin sopiminen, kokemusta ja tietoturvaa” • Haavoittuvuuksien tai virhekonfiguraatioiden testaus • Teknologiatiimien tietoturvakulttuuria rakennettu pitkään
Tietoturvaaorganisaatio • Sec-team – Kuukausipalaverit, kevyt ECAB jos tarpeen – Mukana IT, Kehitys, Myymälä, Huolto, Asiakaspalvelu – Kouluttaa, tiedottaa – Helppo yhteydenotto mm. Security@verkkokauppa.com https://verkkokauppa.com/security.txt , ”bug bounty” • CIRT toiminta – Mukana tärkeimmät kumppanit, IT ja kehitys, käytössä chattikanava • Secops – Kehitykseen järjestelmällisempää varautumista – Proaktiivisuutta – Kehityslapuissa tietoturva ja tietosuojatägit
Valmiussuunnittelu • Valmiussuunnitelma: – jatkuvuussuunnitelmat, toipumissuunnitelmat, viestintäohjeet ja pohjat, DRP-testien dokumentaatio, soittorinki • Organisaatio – ”Kriisiryhmä”, koordinaattori, korjaavat tiimit, työkalut (mm. Chat) • Vuosikellon mukainen prosessi – Päivitys – Organisaatio, järjestelmien dokumentaatio • Kunnollinen käyttöönotto – Olemassa, hyväksytty, testattu, auditoitu
DRP testit - opittua • Vaihtuva teema – IT-Infra, tietomurto, kiinteistöuhka, henkilöuhka • Testin suunnittelu – Varaa aikaa, mahdollisimman realistinen skenaario, kutsut ajoissa • Järjestelyistä – Kokoontuminen esim. eri neuvotteluhuoneisiin simuloimaan erillään oloa – Alku aina hektinen, koordinaattorille ensimmäisten minuuttien tarkistuslista – Intranetin työtilaan rakennettu työtila jossa asioita julkaistaan aikajanan mukaan – Lokin pitäminen hankalaa, kaikki tiedottaminen samaan työtilaan ”sivu: Tiedote medialle” tms. Erinomainen todiste auditoijille tai viranomaisille Erinomainen todiste auditoijille tai viranomaisille
Todisteiden kerääminen etukäteen • GDPR oli hyvä herättäjä aiheeseen, mutta aiheuttanut myös monen muun asian unohtamisen • Muu vaatimuksenmukaisuus • Mahdollinen rikostutkinta • Vaatii suhteellisen raskaan dokumentoinnin ja ohjeistukset • Vuosikellon mukainen toiminta, kirjaa versiot, tekijä • Toisaalta ketterä CD/CI-tyyppinen kehitys ei ole ongelma
Hankinnat ja sopimukset – opittua – Vaadittava sopimuskehikko valitettavan hankala • Kaupallinen sopimus, salassapitosopimus/turvallisuussopimus tietoturvaan ja jatkuvuuteen liittyvät tekniset vaatimukset, DPA (Data processing Agreement) IFP (Instructions for Processing), SLA, palvelutasosopimus, jne. jne... – Kompromissit, niihin varautuminen jo vaatimuksissa • Oikeus auditoida, suostumus alihankkijoiden käyttöön. • Voidaan käyttää korvaavia suojakeinoja • Vaatimukset suhteessa hankkeeseen (meriteknologiaa vai kannettavia)
Sopimukset ja usein puuttuvat asiat • Todellinen kuvaus henkilötiedoista • Lain vaatimukset saattavat täyttyä, mutta onko oikeasti toteuttamiskelpoinen tai onko lausekkeista hyötyä? Esim. Vaatimukset suoraan asetuksesta ”right to erasure”, ”portability” • Staattiset kontaktipisteet • Tietovuodosta ilmoittamisen aikaraja, ”without undue delay” • Päivitys ja seuranta, kumpi on aktiivinen? • Meille lähes kriittinen, aplikaation sopimukseen oikeus muokata koodia ja integroida
Tietoisuus • Koko henkilökunta – Kaikille ryhmille räätälöity tiivis koulutus (10min – 1 h) – IT, Kehitys, Huolto, asiakaspalvelu kohtaa hyvin erilaisia haasteita – Johtoryhmälle • Myymälät, taukotilat, Intra, postereita, jaettava pikaohje – Tietoiskuja – Säännöllisesti peruskoulutus • Vastuunjako – Portaittainen: asiantuntija esimiehille, esimiehet työntekijöille – Toimiva käytäntö myös uusille, vaikka vaihtuvuus olisi nopeaa
IL: Verkkokauppa.com hakkeroitiin 22.4 Oikeasti 24mags mutta ketä kiinnostaa...
Mitä tapahtui, mitä opittiin • Viikonloppuna toimittajalta soitto 24-h kioskiin – Kriisiorganisaation todellinen testi, kokoontuminen ”chatissa”, heti suunnittelu käyntiin, tiedotteita (mm. Lehdistötiedote) • Käytäntöjen tarkistus/perustaminen – Viestintä kaipaa hiomista, turhaa selitystä, ei ketään kiinnosta että kyseessä oli Json-feedi palveluntarjoajalta – Hankinta ja sopimukset, tehtävä uusi kierros sidosryhmien kanssa, liiketoiminta innostuu jostain uudesta kuten ennenkin - > koulutusta taas – Auditointioikeus tapauksesta riippuen, tekninen tarkistus säännöllisesti tai edes kerran • Teknistä kehitystyötä – Voidaanko sisääntulevia Api-yhteyksiä tai feedejä varmistaa, esim. signauksella – Voidaanko kumppanilta saada vain se, missä he ovat hyviä – Vielä lisää tarkkuutta, mitä ja miten suoraan kaupan sivuille
Kiitos! Tomi.jarvinen@verkkokauppa.com https://twitter.com/tomppaj

Recommandé

Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tomppa Järvinen
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Tomppa Järvinen
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEW3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEDeittisirkus
 
Tietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäTietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäJyrki Kasvi
 
Palveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaPalveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaThomas Malmberg
 
Tietoturva ja Internet (luento)
Tietoturva ja Internet (luento)Tietoturva ja Internet (luento)
Tietoturva ja Internet (luento)Tieto- ja viestintätekniikkakoulu
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaTomppa Järvinen
 
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksiTietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksiFinceptum Oy
 

Recommandé

Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tomppa Järvinen
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Tomppa Järvinen
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEW3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEDeittisirkus
 
Tietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäTietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäJyrki Kasvi
 
Palveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaPalveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaThomas Malmberg
 
Tietoturva ja Internet (luento)
Tietoturva ja Internet (luento)Tietoturva ja Internet (luento)
Tietoturva ja Internet (luento)Tieto- ja viestintätekniikkakoulu
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaTomppa Järvinen
 
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksiTietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksiFinceptum Oy
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilveeToni Rantanen
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaTelia Inmics-Nebula
 
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalLcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalJukka-Pekka Sorvisto
 
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Jukka-Pekka Sorvisto
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Mitä on korkea käytettävyys?
Mitä on korkea käytettävyys?Mitä on korkea käytettävyys?
Mitä on korkea käytettävyys?Valtti Kumppanit Oy
 
API Design: 7 kuolemansyntiä
API Design: 7 kuolemansyntiäAPI Design: 7 kuolemansyntiä
API Design: 7 kuolemansyntiäArto Santala
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaValtiokonttori / Statskontoret / State Treasury of Finland
 
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenYhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenFinceptum Oy
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020japijapi
 
Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Pete Nieminen
 
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatVerkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatPerttu Tolvanen
 
ICT PK-Yrityksessä
ICT PK-YrityksessäICT PK-Yrityksessä
ICT PK-YrityksessäJanne Kivinen
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Lari Hotari
 
Visualisointi ja tiedon jakamisen käytännöt
Visualisointi ja tiedon jakamisen käytännötVisualisointi ja tiedon jakamisen käytännöt
Visualisointi ja tiedon jakamisen käytännötMika Aho
 
Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Tomppa Järvinen
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016Tomppa Järvinen
 

Contenu connexe

Similaire à Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen

Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilveeToni Rantanen
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaTelia Inmics-Nebula
 
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalLcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalJukka-Pekka Sorvisto
 
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Jukka-Pekka Sorvisto
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
API Design: 7 kuolemansyntiä
API Design: 7 kuolemansyntiäAPI Design: 7 kuolemansyntiä
API Design: 7 kuolemansyntiäArto Santala
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenYhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenFinceptum Oy
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020japijapi
 
Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Pete Nieminen
 
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatVerkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatPerttu Tolvanen
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Lari Hotari
 
Visualisointi ja tiedon jakamisen käytännöt
Visualisointi ja tiedon jakamisen käytännötVisualisointi ja tiedon jakamisen käytännöt
Visualisointi ja tiedon jakamisen käytännötMika Aho
 

Similaire à Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen (20)

Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
 
101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-Nebula
 
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalLcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto final
 
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
 
Mitä on korkea käytettävyys?
Mitä on korkea käytettävyys?Mitä on korkea käytettävyys?
Mitä on korkea käytettävyys?
 
API Design: 7 kuolemansyntiä
API Design: 7 kuolemansyntiäAPI Design: 7 kuolemansyntiä
API Design: 7 kuolemansyntiä
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
 
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenYhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020
 
Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit
 
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatVerkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
 
ICT PK-Yrityksessä
ICT PK-YrityksessäICT PK-Yrityksessä
ICT PK-Yrityksessä
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
 
Visualisointi ja tiedon jakamisen käytännöt
Visualisointi ja tiedon jakamisen käytännötVisualisointi ja tiedon jakamisen käytännöt
Visualisointi ja tiedon jakamisen käytännöt
 

Plus de Tomppa Järvinen

Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Tomppa Järvinen
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016Tomppa Järvinen
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for developmentTomppa Järvinen
 
Information security and research data
Information security and research dataInformation security and research data
Information security and research dataTomppa Järvinen
 
Data protection in Practice
Data protection in PracticeData protection in Practice
Data protection in PracticeTomppa Järvinen
 
Safe use of cloud - alternative cloud
Safe use of cloud - alternative cloudSafe use of cloud - alternative cloud
Safe use of cloud - alternative cloudTomppa Järvinen
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Tomppa Järvinen
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Tomppa Järvinen
 
Service goes accessible_2013_sh
Service goes accessible_2013_shService goes accessible_2013_sh
Service goes accessible_2013_shTomppa Järvinen
 

Plus de Tomppa Järvinen (9)

Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for development
 
Information security and research data
Information security and research dataInformation security and research data
Information security and research data
 
Data protection in Practice
Data protection in PracticeData protection in Practice
Data protection in Practice
 
Safe use of cloud - alternative cloud
Safe use of cloud - alternative cloudSafe use of cloud - alternative cloud
Safe use of cloud - alternative cloud
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011
 
Service goes accessible_2013_sh
Service goes accessible_2013_shService goes accessible_2013_sh
Service goes accessible_2013_sh
 

Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen

  • 1. Verkkokauppa.com kyberriskit ja niihin varautuminen Vähittäiskauppaa verkossa (ja 4 myymälää) Kyberrikos 2018 Tomi Järvinen Tietoturvapäällikkö • Riskejä, toteutuneita riskejä • Suojakeinot ja käytännöt • Hakkerointitapaus
  • 2. Verkkokauppa.com numeroita • Omat konesalit pääkaupunkiseudulla • Useampi 100 virtuaalipalvelinta, > 90% linux, liiketoimintaan liittyvät Foobar-Linuxilla • Korkea käytettävyys erittäin tärkeä, Infran SLA 99.999 tasolla. • Vikasietoinen verkko, useampi kuitu, radiolinkki... • 4,5 – 5 miljoonaa vierailijaa/kk • Black Friday 2017, ainoa isoista joka oli pystyssä • OHO- päivinä kymmeniä tuhansia yhtäaikaisia kävijöitä • CD/CI Deploymentteja keskimäärin 20 / päivä (master - > tuotantoon 8-9 min) • Tuhansia automaattitestejä / deployment (kesto esim. 3000/12sek, - 500/1-2 min)
  • 3. Verkkokauppa.com järjestelmä • Järjestelmänä itsekehitetty ERP, varastohallinta, kassat, osto, back-end ja Web omaa tuotantoa • Nyt ~40 kehittäjää, Scrum masterit, UI • Teknologiaa mm. PHP, HTML, CSS, JS, Ansible, Node.js, React & Redux, Docker, Kubernetes, Gitlab, Robot, Selenium, R, Python • Muutos käynnissä monoliitti-ERP:stä microservice arkkitehtuuriin • Continuous deployment, continuous integration, konttien käyttö • Jotain Verkkokaupan komponentteja myös kumppaneilta, esim business- analytiikkaa, tuotesuosituksia
  • 4. Riskejä • Tulva, laaja lakko, epidemia, rekka etuovesta sisään – Katastrofiskenaariot, todellinen todennäköisyys? • ”Perinteiset kyberriskit” DDos, malware outbreak, tietomurto... • Toimitilat – ”Trukki tavarahissiin”, kuljetuksiin saattaa tulla suurikin viive – Sähkökatko, tietoliikennevika, palvelintilojen ongelma • Maineriskit, taloudelliset riskit – Iso moka verkossa, yllättävä markkinamuutos • Tietovuoto, monilla eri tavoilla – Näytöltä, roskista, möläytys kassalta, järjestelmävika
  • 5. Riskejä • Huijaukset, luottotappiot – Erilainen rikollinen toiminta, ulkopuoliset tai sisäiset yhteistyössä • Kaupan järjestelmä (ERP, Front, Backend, ”koodi”) – Suunnitteluvirheet, bugit, koodaajien työasemat, ”developer as a target”, kirjastot • Henkilöiden toiminta – Sisäiset mokat, tahallinen tai tahaton – Kalasteluihin tai haittaohjelmiin lankeaminen – Asiattomat toimistotiloissa, ilkivalta, varkaus • Kumppanit – Lakko,”siivoja lataa puhelinta case”
  • 6. Myytävä ylimmälle johdolle • Tietoturvan rakentamisessa ensimmäinen tehtävä (riskitaso, tavoite, strategia, investointi) • Vuosittainen ”one to one”, puhumista ja perusteluja, miksi joku asia kannattaa? mitä jos ei tehdä mitään? hyödyt esiin • Asiat pitää saada esitettyä johdon kielellä
  • 7. Järjestelmällinen riskienhallinta • Seuraava tehtävä, mihin paukut kannat laittaa? Luokittelu, järjestelmät, liiketoiminta, tieto-omaisuus • Tarkka harkinta, todellinen todennäköisyys ja vaikutus liiketoiminnalle • Analytiikkaa mukaan, statistiikkaa, yhden asiakkaan tietojen vuoto laiteen mukana vs tunnin katkos kaupankäynnille? • Työkalujen ja käytäntöjen pitää olla selkeitä ja helppoja käyttää • ERM-tyyppinen työkalu pakollinen (tietokanta, linkitykset, ylläpito) • Linkitys poikkeamien hallintaan sekä jatkuvuussuunnitteluun
  • 8. Teknologian periaatteita • Avoin koodi, tuetut komponentit – Varmistetaan koodin/kirjastojen alkuperä ja turvallisuus • CD/CI kehitysputki – Palautuminen nopeaa, hyvin harvoin laaja vaikutus – Pienet helposti katselmoitavat muutokset – Kontit (päivitys/vko, CVE, ei ajeta roottina, ym) • Infran haavoittuvuudet hoidetaan käytännössä heti – päivityksistä aiheutuneita katkoksia ei juurikaan tule • Motivoitunut ja osaavan kehitystiimi – rekrytoinneissa ”´tiimin sopiminen, kokemusta ja tietoturvaa” • Haavoittuvuuksien tai virhekonfiguraatioiden testaus • Teknologiatiimien tietoturvakulttuuria rakennettu pitkään
  • 9. Tietoturvaaorganisaatio • Sec-team – Kuukausipalaverit, kevyt ECAB jos tarpeen – Mukana IT, Kehitys, Myymälä, Huolto, Asiakaspalvelu – Kouluttaa, tiedottaa – Helppo yhteydenotto mm. Security@verkkokauppa.com https://verkkokauppa.com/security.txt , ”bug bounty” • CIRT toiminta – Mukana tärkeimmät kumppanit, IT ja kehitys, käytössä chattikanava • Secops – Kehitykseen järjestelmällisempää varautumista – Proaktiivisuutta – Kehityslapuissa tietoturva ja tietosuojatägit
  • 10. Valmiussuunnittelu • Valmiussuunnitelma: – jatkuvuussuunnitelmat, toipumissuunnitelmat, viestintäohjeet ja pohjat, DRP-testien dokumentaatio, soittorinki • Organisaatio – ”Kriisiryhmä”, koordinaattori, korjaavat tiimit, työkalut (mm. Chat) • Vuosikellon mukainen prosessi – Päivitys – Organisaatio, järjestelmien dokumentaatio • Kunnollinen käyttöönotto – Olemassa, hyväksytty, testattu, auditoitu
  • 11. DRP testit - opittua • Vaihtuva teema – IT-Infra, tietomurto, kiinteistöuhka, henkilöuhka • Testin suunnittelu – Varaa aikaa, mahdollisimman realistinen skenaario, kutsut ajoissa • Järjestelyistä – Kokoontuminen esim. eri neuvotteluhuoneisiin simuloimaan erillään oloa – Alku aina hektinen, koordinaattorille ensimmäisten minuuttien tarkistuslista – Intranetin työtilaan rakennettu työtila jossa asioita julkaistaan aikajanan mukaan – Lokin pitäminen hankalaa, kaikki tiedottaminen samaan työtilaan ”sivu: Tiedote medialle” tms. Erinomainen todiste auditoijille tai viranomaisille Erinomainen todiste auditoijille tai viranomaisille
  • 12. Todisteiden kerääminen etukäteen • GDPR oli hyvä herättäjä aiheeseen, mutta aiheuttanut myös monen muun asian unohtamisen • Muu vaatimuksenmukaisuus • Mahdollinen rikostutkinta • Vaatii suhteellisen raskaan dokumentoinnin ja ohjeistukset • Vuosikellon mukainen toiminta, kirjaa versiot, tekijä • Toisaalta ketterä CD/CI-tyyppinen kehitys ei ole ongelma
  • 13. Hankinnat ja sopimukset – opittua – Vaadittava sopimuskehikko valitettavan hankala • Kaupallinen sopimus, salassapitosopimus/turvallisuussopimus tietoturvaan ja jatkuvuuteen liittyvät tekniset vaatimukset, DPA (Data processing Agreement) IFP (Instructions for Processing), SLA, palvelutasosopimus, jne. jne... – Kompromissit, niihin varautuminen jo vaatimuksissa • Oikeus auditoida, suostumus alihankkijoiden käyttöön. • Voidaan käyttää korvaavia suojakeinoja • Vaatimukset suhteessa hankkeeseen (meriteknologiaa vai kannettavia)
  • 14. Sopimukset ja usein puuttuvat asiat • Todellinen kuvaus henkilötiedoista • Lain vaatimukset saattavat täyttyä, mutta onko oikeasti toteuttamiskelpoinen tai onko lausekkeista hyötyä? Esim. Vaatimukset suoraan asetuksesta ”right to erasure”, ”portability” • Staattiset kontaktipisteet • Tietovuodosta ilmoittamisen aikaraja, ”without undue delay” • Päivitys ja seuranta, kumpi on aktiivinen? • Meille lähes kriittinen, aplikaation sopimukseen oikeus muokata koodia ja integroida
  • 15. Tietoisuus • Koko henkilökunta – Kaikille ryhmille räätälöity tiivis koulutus (10min – 1 h) – IT, Kehitys, Huolto, asiakaspalvelu kohtaa hyvin erilaisia haasteita – Johtoryhmälle • Myymälät, taukotilat, Intra, postereita, jaettava pikaohje – Tietoiskuja – Säännöllisesti peruskoulutus • Vastuunjako – Portaittainen: asiantuntija esimiehille, esimiehet työntekijöille – Toimiva käytäntö myös uusille, vaikka vaihtuvuus olisi nopeaa
  • 16. IL: Verkkokauppa.com hakkeroitiin 22.4 Oikeasti 24mags mutta ketä kiinnostaa...
  • 17. Mitä tapahtui, mitä opittiin • Viikonloppuna toimittajalta soitto 24-h kioskiin – Kriisiorganisaation todellinen testi, kokoontuminen ”chatissa”, heti suunnittelu käyntiin, tiedotteita (mm. Lehdistötiedote) • Käytäntöjen tarkistus/perustaminen – Viestintä kaipaa hiomista, turhaa selitystä, ei ketään kiinnosta että kyseessä oli Json-feedi palveluntarjoajalta – Hankinta ja sopimukset, tehtävä uusi kierros sidosryhmien kanssa, liiketoiminta innostuu jostain uudesta kuten ennenkin - > koulutusta taas – Auditointioikeus tapauksesta riippuen, tekninen tarkistus säännöllisesti tai edes kerran • Teknistä kehitystyötä – Voidaanko sisääntulevia Api-yhteyksiä tai feedejä varmistaa, esim. signauksella – Voidaanko kumppanilta saada vain se, missä he ovat hyviä – Vielä lisää tarkkuutta, mitä ja miten suoraan kaupan sivuille