Lappeenranta 22.11.2002

1. Lappeenranta 22.11.2002 Kari Oksanen 20.11.2002

2. Esityksen pääkohdat • Nordea lyhyesti • Riskit ja tietoturvallisuus • Päätöksentekomallit (Company Governance) • Turvallisuusarkkitehtuurit • Monimutkaisuus • Tietoturvan tavoitteiden ymmärtäminen • Rahaliikenteen kontrollit • Uudenlaisia haasteita; kieli, lainsäädäntö, valvovat viranomaiset, kansalliset pankki-infrastruktuurit sekä käyttöoikeushallinta • Tulevaisuus

3. Suurimmat eurooppalaiset pankit Mrd euroa Lähde: Bloomberg, lokakuu 2002

4. Suomi Toimipaikkoja 444 Henkilöstöä 10 600 Ruotsi Toimipaikkoja 267 Henkilöstöä 8 500 Norja Toimipaikkoja 147 Henkilöstöä 4 400 Tanska Toimipaikkoja 348 Henkilöstöä 9 400 Baltia ja Puola Toimipaikkoja 35 Henkilöstöä 1 000 Toimipaikkoja yht 1 241 Henkilöstöä yht 33 900 Nordea Pohjoismaissa ja Itämeren alueella Helsinki Tukholma Bergen Pietari Oslo Tartto Tallinna Kööpenhamina Gdynia Riika Moskova Vilna Hampuri Gdansk Radom Luxemburg Frankfurt Valtakunnallinen verkosto Konttori tai tytäryhtiö Edustusto tai osakkuuspankki

5. Tanska Suomi Norja Ruotsi Baltia ja Itämer. alue Yht. Pankkiasiakkaat (1 000) Henkilöasiakkaat 1700 3 000 500 4 240 60 9500 Yritysasiakkaat 80 330 65 460 10 950 Henkivakuutusasiakkaat 650 260 230 430 70 1 640 Verkkopankkiasiakkaat (1000) 400 1180 200 1280 14 3 070 Laaja asiakaskunta - suuri verkkopankkipalvelujen käyttäjien määrä

6. Verkkopankin asiakkaat Milj. Tuhatta

7. Laskujen maksu ja sisäänkirjoittautumiset Milj. Mill.

8. Kesätyöt Hakeminen heti tammikuun 2003 alkupuolella IT-rekrytointi@nordea.com puh. 09 - 165 25091/ Helena Koksu

9. Tietoturvallisuus Tietojen luokittelu Toiminnan kontrollit Operations Securityb Ohjel-mistotur-vallisuus Laitetur-vallisuus

10. Tietoturvallisuus - Tietotekninen turvallisuus • Tietoturvallisuus (Information Security)on tietojen suojaamista tiedon kaikissa muodoissa välineistä tai käsittelytavoista riippumatta ottaen huomioon hallinnolliset toimenpiteet, laillisuusnäkökohdat ja tietoja käsittelevien henkilöiden luotettavuuden. • Tietotekninen turvallisuus (IT Security) on tietojen suojaamista, kun tietoja käsitellään, talletetaan tai siirretään elektronisessa muodossa.

11. Tietoturvallisuus osana riskien hallintaa 1. Asiakasriski 2. Jälleenrahoitusriski 3. Markkinariski 4. Operatiivinen riski - virhe- ja systeemiriski - rikos- ja väärinkäyttöriskit - onnettomuus- ja vahinkoriskit 5. Strateginen riski

12. Uhkat ja riskit UHKAT UHKAT EI VAIKUTUSTA TAI KUVITELTUJA VAIKUTUS, SUO- JAUDUTTU VAIKUTUS, EI SUOJAUDUTTU RISKIT

13. Päätöksentekomallit ja vastuut (Corporate Governance) Kaikissa yrityksissä on tehtävä selväksi päätöksentekomallit ja vastuista on sovittava. Suuressa monikansallisessa yrityksessä haasteet ovat suuremmat. Pankit ja niiden liiketoimintayksiköt ovat hyvin riippuvaisia tietotekniikasta, sen toimivuudesta ja myös turvallisuudesta. Liiketoiminta maksaa aina kaikki tietotekniikan investoinnit sekä kehittämis- ja tuotantokulut. Liiketoiminnoilla täytyy olla mahdollisuus vaikuttaa tietojenkäsittelytoiminnan päätöksiin. Perusperiaate Nordeassa on, että liiketoiminnat päättävät mitä tehdään ja tietotekniikkaorganisaatio miten tehdään.

14. Mistä keskeisistä elementeistä tietoturvallisuus rakentuu (1) • Tietoturvapolitiikka: kuvaa keskeiset tavoitteet sekä vastuut • Tietoturvaohjeistus: tarkoituksenmukaisella tavalla asianomaiselle kohderyhmälle toteutettu, tehtävään liittyvä ohjeistus • Kontrolliarkkitehtuuri:kuvaa keskeiset tekniikkariippumatto-mat kontrollitarpeet esim. • tehtävien eriyttäminen systeemityössä • tarve tietää periaate • neljän silmän periaate • tapahtumien jäljitettävyysperiaatteet

15. Mistä keskeisistä elementeistä tietoturvallisuus rakentuu (2) • Tietoturva-arkkitehtuuri:yleinen alustariippumaton kuvaus tarvittavista tietoturvapalveluista ja niiden rakenteista • yleinen suunnittelupohja • kuvaa ympäristön kaikki turvallisuusriippuvaiset näkökulmat • auttaa tehokkaasti liiketoiminnan turvavaatimusten implementoinnissa kaikissa ympäristöissä • ei kerro kuinka ja mitä tuotteita käytetään

16. Mistä keskeisistä elementeistä tietoturvallisuus rakentuu (3) • Turvallisuuden implementointiohjeet;kuvaavat kontrollien soveltamisen alustakohtaisesti • tekniset • yksityiskohtaiset • esim. verkkoon liitettyjen palvelimien konfigurointiohjeet • esim. turvallisten sovellusten suunnittelu - ja toteutusohjeet

17. Arkkitehtuurit,esimerkkejä 1 Asiakkaat Tunnistaminen ja todentaminen (Ei koskaan systeemitasolle) Valtuuttaminen • Sovellukset • Tietokannat Tekninen henkilöstö: ohjelmointi, operointi Resurssien suojneilläaminen mutkikkailla ja teknisillä välineillä: RACF, TopSecret, UNIX, NT • Sovellukset • Tietokannat Valtuuttaminen Tunnistaminen ja todentaminen (Ei koskaan systeemitasolle) Sisäiset peruskäyttäjät

18. b Arkkitehtuurit,esimerkkejä 2 Turvapalveluja Tunnistaminen ja todentaminen Valtuuttaminen Luottamuksellisuus Eheys Palvelut Palvelut Tekniset tunnukset

19. Arkkitehtuurit,esimerkkejä 3 Tunnistaminen ja todentaminen sekä valtuuttaminen Tunn. ja todentam Tunn. ja todentam Tunn. ja todentam. Tunn. ja todentam Valtuuttaminen Valtuuttaminen Valtuuttaminen Valtuuttaminen Palvelut Palvelut Palvelut Palvelut

20. Valtuustiedot Arkkitehtuurit,esimerkkejä 4Tunnistaminen ja todentaminen sekä valtuuttaminen C C C C . Palvelut Palvelut Palvelut Palvelut

21. Arkkitehtuurit,esimerkkejä 5Pääsynvalvonta ja valtuuttaminen Tunnistaminen ja todentaminen Valtuuttaminen X X

22. Luottamuksellisuus Turvallisuushaasteita (1)Uudet tekniikat, mutkikkuus ja kokonaisuuden hallinta Saatavuus Perussuoja Kahdennetut verkot Reitittimet Turvallinen konfigurointi monella tasolla Palomuurit Kuormanjako, IDS, SSL DMZ -palvelimet Palomuurit Palvelimet Sovittimet Eheys Vanhat perusjärjestelmät

23. Tanska OS/2 U1 IBM/R C/S Web Paketti 1 Suomi NT U2 IBM/T C/S Web Paketti 2 Norja NT U2 IBM/A C/S Web Paketti 3 Ruotsi OS/2 U3 IBM/R C/S Web Paketti 4 Turvallisuushaasteita (2)Valtuuttaminen rajojen ylitse Miten löytää käytet-tävissä olevat palve-lut? MENU -järjestel-mät! Lisääntyvä määrä käyttäjätunnuksia ! Käyttäjä Vaikea luoda raportteja: - kuka käyttää systeemiäni? - mihin systeemeihin minulla on käyttöoikeus Vaikea ymmärtää ja hallita Administraattori

24. Turvallisuushaasteita (3)Internet Security Vulnerabilities/ SANS • Keskeisimmät heikkoudet järjestelmissä 10/2001 • perusasetuksilla tuotantoon • heikot tai puuttuvat salasanat • riittämättömät varmistukset • avattu tarpeettomia tietoliikenneportteja • datapaketteihin liittyviä TCP/IP osoitteita ei valvota • riittämättömät lokit • heikkoudet/ haavoittuvuudet CGI-ohjelmistoissa • Huomaa! Liki kaikki heikkoudet vaikuttavat myös organisaation sisällä.

25. Turvallisuushaasteita (4)SecurityFocus.com 1997 - 2001

26. Turvallisuushaasteita (5) • Turvallisuustyön tavoitteet • hämärtyvät liian usein - keskitytään yksittäisiin tekniikoihin ja hiirenkolojen paikkaamiseen • kontrollitarpeiden ymmärtäminen ja määritteleminen ovat • tärkeitä perusasioita • puolustuksen syvyyden merkitys (useita peräkkäisiä • kontrolleja) korostuu järjestelmän kriittisyyden kasvaessa • järjestelmällinen riskien kartoittaminen, jälkiseuranta ja • valvonta, että havaitut heikkoudet myös korjataan, tulevat yhä tärkeämmiksi yrityksen koon kasvaessa • turvallisuus on tietojenkäsittely-ympäristön ominaisuus - ei yksittäisen turvatuotteen ominaisuus

27. Turvallisuushaasteita (6) • Verkkoturvallisuus ja uudet tekniikat • todelliset näiden alueiden turva-asiantuntijat ovat vieläkin • harvinainen luonnonvara • perinteinen keskuskoneturvallisuusajattelu, jossa muuta- malla turvajärjestelmän komennolla hallitsi koko systee- min, on vielä voimissaan, mutta olisi nopeasti unohdettava • mielestäni tämän päivän turvatyömalli on verkottunut tapa toimia, jolloin pieni ja tehokas turvatiimi laatii politiikat ja • arkkitehtuurit sekä valvoo, että niitä noudatetaan • Infrastruktuurin uudistamishankkeet laajoja ja on kiire • on perehdyttävä uusiin asioihin nopeasti • samanaikaisesti tapahtuu paljon, on työskenneltävä • työryhmissä ja perinteisesti turva-asiantuntijat ovat olleet oman tiensä kulkijoita.

28. Turvallisuushaasteita (7) • Verkottuminen • tarjoamme asiakkaillemme yhä laajemman valikoiman sähköisiä pankkipalveluja tai kytkemme heitä muilla tavoin liiketoimintaprosesseihimme • tapahtumaketjujen toimivuus ja turvallisuus muodostuu • usean toimijan yhteistyöstä; asiakas, teleoperaattori, eri tietotekniikkatoimittajat ja pankki itse • me joudumme luottamaan kumppaneihimme ja he meihin - • kaikkien osapuolten on oltava luottamuksen arvoisia • Ulkoistaminen • yritykset pyrkivät keskittymään ydinosaamiseen ja rönsyt • karsitaan pois ne tavalla tai toisella ulkoistammalla • tietotekniikan ulkoistamissopimusten ”turvaklausuulit” ja niiden jatkuva valvonta ovat tärkeitä

29. Turvallisuushaasteita (8) • Politiikat, ohjeet ja tietoisuus • yrityskoon kasvaessa selkeiden politiikkojen ja ohjeiden • merkitys kasvaa olennaisesti • huomattava tekijä monikansallisessa yrityksessä ovat eri • maiden toisistaan poikkeavat lainsäädännöt tai viranomais- ohjeet, jotka on otettava huomioon valmistelu- ja toimitus- työssä • Laaja-alaisia turva-asiantuntijoita tarvitaan - koulutus • yhteistyötaidot ovat yhä tärkeämpiä • CISSP -tutkinto antaa erinomaisen pohjan kehityskykyi- • sille henkilöille • kielitaitoa tarvitaan • käsitteet tulee hallita ja vaatii jatkuvaa opiskelua tämän • päivän termi- ja lyhenneviidakoissa

30. Valvonta (1) • 1. Tavoitteista • varmistaa palvelujen saatavuus • varmistaa palvelujen asianmukainen käyttö • havaita kaikki olennaiset poikkeamat • tavoitteiden toteutumiseksi raportointi oltava selkeää ja korjaaviin toimenpiteisiin on ryhdyttävä välittömästi • 2) Keskitetty vai hajautettu - 24 h*7 vai normaali työaika • suosittelen keskittämistä - ympäristöt ovat mutkikkaita ja tarvitaan erityisosaamista ja ymmärtämistä • valvonta-aika riippuu palveluiden luonteesta

31. Valvonta (2) • 3) Oma vai ulkoistettu • kustannuskysymys • politiikka-, resurssi- ja toimintatapakysymys • voi olla eri tavoin eri valvontakohteiden osalta

32. Rahaliikenteen kontrolleista (1) • Nopeus: • jälkikäteen kontrollointi; kenelläkään ei aikaa tai liian myöhäistä • ehkäisevät kontrollit esim. neljän tai kuuden silmän periaate • käyttöön • Rakentaminen: • tietosysteemin rakentamisen yhteydessä; taloudellisuus • kokonaiskäsitys tapahtumaketjuista tarpeen • heikoimman lenkin etsiminen ja havaitseminen • yrityksen tulee sisällään ymmärtää uhkat ja heikkoudet; • pelolla myyjien argumentteihin suhtauduttava kriittisesti

33. Rahaliikenteen kontrolleista (2) • Jäljitystiedot: • kirjanpitolain edellyttämä audit trail • tietojärjestelmässä kaikki rahan liikuttamiseen vaikuttavista tiedoista jäljet

34. Maksuliikenne/ tapahtumaketjut Asiakas: Kotimaan pankki- verkko Pankki X.25 Dial Up Tcp/ip Sna/sni Pankit Swift - ketjut mutkistuvat kansainvälistymisen myötä - kansallisia erityispiirteitä mm. clearing - erilaisia maksutyyppejä - nopeus kasvaa kilpailun kiristyessä Banks

35. Profitability and security ATTACK RANDOM INCIDENT GROSS LOSS(material, others) * probability = EXPOSURE REDUCTION OF EXPOSURE GROSS PROFIT ./. propability to get arrested * repayment = NET PROFIT Loss coefficient Arrest effectiveness Protection effectiveness Attractiveness comparison B IMPLEMENTATION COST comparison A SECURITY SOLUTION Cost effectiveness PROTECTION COST Impedimental effectiveness

36. SIM EMV EMPS: what is it all about? …THIS! Instead of all these... All cards in one chip inside your WAP-phone Debit/Credit cards Loyalty cards Access codes to net-bank Teemu Testihenkilö Nihitsillantie 3 D 00020 MERITA FINLAND 6789 7890 3562 3652 5674 4567 8767 6543 4235 6347 5678 5678 2341 2345 5678 4321 4321 7635 6353 7585 6789 7890 3562 3652 5674 4567 8767 6543 6373 5748 6789 7890 3562 3652 5674 4567 8767 6543 6363 3838 6789 7890 3562 3652 5674 4567 8767 6543 7378 3738 6789 7890 3562 3652 5674 4567 8767 6543 3737 3334 6789 7890 3562 3652 5674 4567 8767 6543 7363 8383 6789 7890 3562 3652 5674 4567 8767 6543 3838 3395 6789 7890 3562 3652 5674 4567 8767 6543 3142 8696 3456 2312 6543 8976 6778 4567 8976 6543 6272 7484 4567 8767 6543 5678 5678 2341 2345 5678 7474 8494 3456 2312 6543 8976 6778 4567 8976 6543 4848 4493 Debit-/Credit card, bank log-on, club membership, application downloading etc.

37. -Merita ATM- -Merita ATM- -Merita ATM- Withdraw: 100,- 300,- other... 100,- withdrawn Balance 12.562,- Enter your PIN [****] EMPS: Many ways to use it 2. Withdrawing cash from ATM

38. Where are we? XP W2000 NT 4 ME W98 W95 W3.x Linux Mac • Security needed • Confidentiality • Identification and authentication • Integrity Home Work SEIS CAPI E-business SSL SET Traveling Various networks EMV WTLS The customer eBanking PKCS#15 CDSA VPN FINEID • Some challenges • Incompatible standards • Generally available techniques? • The availability of smart card readers and drivers? Do business with authorities New devices E-mail CAs

39. Korkea turvataso saavutetaan organisaatiossa, jossa on tehokas turvaryhmä märittelemässä tavoitteet sekä val-vomassa niiden toteutumista ja kunkin alueen asiantuntijat vastaavat implementointityöstä. • Hyvää turvatasoa ei saavuteta pelkästään teknisin turvallisuustoimenpitein, vaan tarvitaan: • selkeät arkkitehtuurit ja vahvat standardit • yhteistyötä ja pitkäjänteistä koulutusta • Tietoturvallisuustyö on liiketoiminnan tietojen suojaamista tiedon merkitys ja taloudellisuusnäkökohdat huomioon ottaen. Yhteenveto