azure palvelut ja eu:n uusi tietosuoja asetus
TRANSCRIPT
Kuinka tietosuoja-asetuksesta tehdään kilpailuetu21.3.2017Aki SiponenTeknologiajohtaja, Microsoft Oy
DIGITALISAATIO
Euroopan kilpailukyky
EU:n digitaalisen sisämarkkinan edistäminen
Yksityisyydensuoja on perusoikeus
Suuri kuva: EU:n digitaalinen sisämarkkina kehittyy
• Hyväksytty • Sovelletaan
25.5.2018 alkaen
• Kaikki organisaatiot
• Hyväksytty• Kansallinen
voimaanpano 9.5.2018 mennessä
• Kriittiset toimialat
• KOM ehdotus tammikuu 2017
• Kaikki organisaatiot
Tekijän-oikeudet
Verkko-sivustojen ja mobiili-sovelluste
n saavutet-
tavuus
Tietosuoja-asetus
Verkko- ja tietoturva-direktiivi
Sähköisen viestinnän tietosuoja-
asetus
Datan vapaa
liikkuvuus
Turvallinen digitaalinen ympäristö lisää luottamusta, mahdollistaa digitalisaation etenemisen ja lisää vaurautta EU:ssa ja globaalisti
• KOM linjaukset tammikuu 2017
• Kaikki organisaatiot
• Hyväksytty Kansallinen voimaanpano 23.9.2018 mennessä
• Julkishallinto
Henkilötietojen suoja selkeytyy ja yhdenmukaistuu
● Parantunut henkilötietojen suoja
● Lisää velvollisuuksia tietojen suojaamiseen
● Pakollinen tietomurroista ilmoittaminen
● Huomattavat sanktiot sääntöjen rikkomisesta
Yleinen tietosuoja-asetus (GDPR) tuo uusia sääntöjä organisaatioille, jotka tarjoavat tuotteita ja palveluja EU-kansalaisille tai jotka keräävät EU-kansalaisten henkilötietoja riippumatta siitä, missä organisaatiot toimivat.
Henkilötietojen suoja
Mitä merkittäviä muutoksia tietosuoja-asetus tuo
Valvonta ja ilmoitukset
Läpinäkyvät käytännöt
Tietotekniikka ja osaamisen kehittäminen
Investointitarpeet: • Tietosuojahenkilöstö
n ja koko henkilöstön koulutus
• Tietojenkäsittelyä koskevat käytännöt
• Tietosuojavastaava• Tietojenkäsittely- /
alihankintasopimukset
• Tiukat tietoturva-vaatimukset
• Tietomurtojen ilmoitusvelvollisuus
• Asianmukaisen suostumuksen hankkiminen tietojen käsittelyyn
• Luottamuksellisuus• Tietosuojaselosteet
Henkilöillä on oikeus:• Saada pääsy
henkilötietoihin• Korjata virheet
henkilötiedoissa• Saada henkilötiedot
poistettua• Kieltää
henkilötietojen käsittely
• Saada henkilötiedot itselleen
Läpinäkyvät ja helposti saavutettavissa olevat kuvaukset käytännöistä, jotka koskevat:• tietojen keruusta
ilmoittamista• Tietojenkäsittelystä
ilmoittamista• Tietojenkäsittelyn
yksityiskohtia• Tietojen säilytystä ja
poistamista
Todellisuutta toukokuun 2018 jälkeen?On January 9, 2017, we discovered that a company employee sent an email containing personal information of approximately 36,000 other employees to his non-Boeing spouse on November 21 , 2016. During Boeing's investigation, the employee stated that he sent a spreadsheet with the personal information to his spouse for help with a formatting issue. We have taken steps to ensure that any copies of the spreadsheet have been destroyed, including a forensic examination of both the Boeing employee's computer and the spouse's computer to confirm that any copies of the spreadsheet have been deleted. Both the employee and his spouse have confirmed to us that they have not distributed or used any of the information. Enclosed please find a copy of the notice that Will be sent to all affected individuals beginning February 08, 2017.
Matkalla kohti tietosuoja-asetusta
Online-palvelut
kuluttajille
Online-palvelut
organisaatioille
Sisäiset prosessit
Microsoft rekisterinpitäjäRekisteröity: kuluttaja-asiakas
Asiakas rekisterinpitäjäMicrosoft tietojen käsittelijäRekisteröity: Asiakkaan työntekijäAsiakkaan asiakas
Microsoft rekisterinpitäjäRekisteröity:Henkilöstö - HRAsiakas - Markkinointi ja myynti
Tavoitteenamme on virtaviivaistaa asiakkaidemme prosessi tietosuoja-asetuksen vaatimusten täyttämisessä älykkään teknologian, innovaatioiden ja yhteistyön avulla.
Organisaatioiden Online-palveluissa jaettu vastuu
Asiakkaan tiedot
Asiakkaan palvelujen tiedotLaskutustiedot
Palvelujen käyttötiedot
Asiakkaan palveluun tallentamat tai asiakkaan puolesta palveluun tallennetut tiedot
Asiakas on rekisterinpitäjäMicrosoft on tietojenkäsittelijä
Sisältää myös asiakkaan ylläpitohenkilöstön tiedot
Sisältää myös käyttäjien henkilötietoja
Microsoft on rekisterinpitäjä
Tietosuoja-asetuksen tärkeitä osa-alueita
Rekisteröidyn oikeudet
Oikeus tulla unohdetuksiProfilointi
Ilmoitukset tietojen käsittelystä
Tietojenkäsittelysopimukset
Tietosuojaohjelman sisältöLasten tietojen käsittely
Suoramarkkinointi
Tietoturvaloukkaukset ja ilmoituksetTyöntekijöiden tiedot
Tietojen käsittelyn perusteet
Mitä voi tehdä nyt heti?
Selvitä mitä henkilötietoja
organisaatiolla on ja missä ne sijaitsevat.
Hallitse henkilötietojen käyttötapoja ja käyttöoikeuksia.
Ota käyttöön turvamekanismeja
haavoittuvuuksien ja tietomurtojen estämiseksi,
havaitsemiseksi ja niihin vastaamiseksi.
Vastaa tietopyyntöihin ja säilytä vaaditut
dokumentit.
Analysoi tiedot ja järjestelmät,
varmista vaatimustenmukaisu
us ja pienennä henkilötietoihin
kohdistuvia riskejä.
1 2 3 4 5Löydä Hallitse Suojaa Raport
oiArvioi
Autamme asiakkaita • rakentamaan turvallisemman
tietojenkäsittely-ympäristön, • saamaan tietosuoja-asetuksen
vaatimukset täyttävät palvelut aikaan yksinkertaisemmin
• tarjoamme työkalut ja resurssit, joiden avulla voit onnistua
NäytämmeKuinka
ohjelmistot ja palvelut
auttavat jo nyt vaatimusten
täyttämisessä
InvestoimmeLuomme palveluihin tietosuoja-asetuksen vaatimuskia tukevia
ominaisuuksia
Tietosuoja-
asetukseen
valmistau-tuminen
JaammeMitä olemme
oppineet matkan varrella
Microsoftin tuotteet ja palvelut tuovat suojaa• Henkilötiedon
suojaaminen• Pääsyn hallinta
• Windows Hello• Windows Defender• Device Guard• Credential Guard • BitLocker Drive • Windows Information
Protection • Shielded Virtual
Machines • Just Enough
Administration and Just in Time Administration
WINDOWS 10 MICROSOFT AZURE• Azure Active Directory • Microsoft Azure
Information Protection
• Azure Security Center• Data Encryption in
Azure Storage• Azure Key Vault• Log Analytics
• Data Loss Prevention (DLP)
• Advanced Data Governance
• Office 365 eDiscovery• Customer Lockbox
• Advanced Threat Protection (ATP)
• Threat Intel l igence• Advanced Security
Management (ASM)• Office 365 Audit Logs
• Microsoft Azure Active Directory (Azure AD)
• Microsoft Cloud App Security
• Microsoft Intune• Microsoft Azure
Information Protection• Microsoft Advanced
Threat Analytics (ATA)
ENTERPRISE MOBILITY + SECURITY
OFFICE AND OFFICE 365 OFFICE AND OFFICE 365
MICROSOFT AZURE
DYNAMICS 365 DYNAMICS 365
Pilvipalvelut kehittyvät kahdesta suunnasta
Kuluttajien pilvipalvelut
Organisaation oma datakeskus
Palvelutuottajandatakeskus
Transformatiivinen pilvi
Evolutiivinen pilvi
Kaikille asiakkaille• Sama palvelu• Sama palvelutaso• Sama sopimusehtopaketti• Sama turvallisuustaso
Voi olla joillekin asiakkaille• Asiakaskohtainen palvelu• Asiakaskohtainen palvelutaso• Asiakaskohtainen sopimusehtopaketti• Asiakaskohtainen turvallisuustaso
Hyperskaalan pilvipalvelut
Jonkun toisen datakeskus
Vain harvoja toimittajia
Useita toimittajia
Pilvipalvelut kehittyvät kahdesta suunnasta
Kuluttajien pilvipalvelut
Organisaation oma datakeskus
Palvelutuottajandatakeskus
Transformatiivinen pilvi
Evolutiivinen pilvi
Kaikille asiakkaille• Sama palvelu• Sama palvelutaso• Sama sopimusehtopaketti• Sama turvallisuustaso
Voi olla joillekin asiakkaille• Asiakaskohtainen palvelu• Asiakaskohtainen palvelutaso• Asiakaskohtainen sopimusehtopaketti• Asiakaskohtainen turvallisuustaso
Hyperskaalan pilvipalvelut
Jonkun toisen datakeskus
Vain harvoja toimittajia
Useita toimittajia
Organisaation politiikat
On mahdollista laajentaa organisaation nykyiset politiikat koskemaan evolutiivista pilveä
Pilvipalvelut kehittyvät kahdesta suunnasta
Kuluttajien pilvipalvelut
Organisaation oma datakeskus
Palvelutuottajandatakeskus
Transformatiivinen pilvi
Evolutiivinen pilvi
Kaikille asiakkaille• Sama palvelu• Sama palvelutaso• Sama sopimusehtopaketti• Sama turvallisuustaso
Voi olla joillekin asiakkaille• Asiakaskohtainen palvelu• Asiakaskohtainen palvelutaso• Asiakaskohtainen sopimusehtopaketti• Asiakaskohtainen turvallisuustaso
Hyperskaalan pilvipalvelut
Jonkun toisen datakeskus
Vain harvoja toimittajia
Useita toimittajia
Organisaation politiikat
On mahdollista laajentaa organisaation nykyiset politiikat koskemaan evolutiivista pilveä
Hyperskaalan pilvipalvelut vaativat erilaisia politiikkalinjauksia, koska toimintaympäristön säännöt ovat erilaisia
Pilvipalveluissa vastuu on jaettu
SaaS
PaaS IaaS
On-prem
Tiedon ja käyttöoikeuksien hallintaPäätelaitteiden hallinta
Käyttäjien ja pääsyn hallinta
Identiteetin ja hakemiston infra
Sovellukset
Verkon hallinta
Käyttöjärjestelmä
Laitteistot
Fyysinen verkko
Fyysinen datakeskus
Turvallisuus
Tietosuoja
Vaatimustenmukaisuus
Läpinäkyvyys
Asiakas hallitseePilvipalveluntuottaja hallitsee
• Hyvin hoidettu tietosuoja on kilpailuetu• Tietosuoja-asetuksen voimaantulo koskettaa
koko organisaatiota, ei pelkästään tietohallintoa• Riskejä voi pienentää laadukkaalla toiminnalla ja
jatkuvan kehittämisen toimintamallilla • Tietosuoja-asetus nopeuttaa legacy-
järjestelmien siirtymistä hyvin ansaitulle eläkkeelle
• Oikein valituilla pilvipalveluilla voi toteuttaa tietosuoja-asetuksen vaatimukset helpommin
• Microsoftin kumppanit pystyvät auttamaan
Tietosuoja on kilpailutekijä
Tiedon lähteitä• www.microsoft.com/GDPR • Microsoft Online-palvelut ja
GDPR• Microsoft Azure• Office ja Office 365• Microsoft Dynamics 365• Enterprise Mobility Suite• Windows 10
© Copyright Microsoft Corporation. All rights reserved.
Data Privacy Day comes just once a year but we design with privacy in mind every day to help Microsoft earn our customers’ trust.
Aki SiponenNational Technology Officer, FinlandTwitter: @AkiSiponenIM: [email protected]: [email protected]
Classified as Microsoft General
Miten Microsoft voi auttaa?Antti AlilaTuotepäällikköMicrosoft
Henkilötietojen tallentaminen eri järjestelmissä• Sovelluskatalogi• Miten pilvipalvelut ja niihin tallennettu tieto?
• Vanhat tiedostopalvelut• Onko käytössä paljon tiedostopalvelimia ja niissä erillaisia käytäntöjä?
• Sharepoint palvelimet ja Sharepoint Online• Eri tiimisaitit luotu ja hallittu keskitetysti?
Tietojen hallinta pilvipalveluissa
Pilvipalveluiden tunnistus
Löydä kaikki loppukäyttäjien
käyttämät pilvipalvelut
Tietojen suojaaminen
Hallitse tiedostoja pilvipalveluissa
Poikkeamien tunnistus
Havaitse tietoturvauhkia sääntöjen perusteella
PääsynhallintaValvo ja rajoita pääsyä
tietoon
LÖYDÄ TUTKI HALLITSE SUOJAA
Microsoft Cloud App SecurityPilvipalveluiden tunnistus• Palomuurien ja proxien logeista
käytön tunnistus
Pilvipalveluiden luokittelu• Yli 13 000 pilvipalvelun
riskiarviot, yli 60 muuttujan avulla
Yhteydet eri pilvipalveluihin• Näkyvyys eri palveluissa olevien
API rajapintojen avulla
Läpinäkyvä• Cloud App Security ei vaikuta
pilvipalvelun käyttökokemukseen
Konnektorit
TunnistusSuojaus
Pilvipalvelut
Verkkoliikenne
LogitiedotPalomuurit
Välityspalvelimet
Oma ympäristö
API
Cloud App Security
Demo
Rekisterinpitäjän tulee tehdä ilmoitus valvontaviranomaiselle henkilötietojen tietoturvaloukkauksesta 72 tunnin kuluessa siitä, kun loukkaus on havaittu.• Miten loukkaus on voinut tapahtua?
• Tietoturvakorjaukset asentamatta• Haittaohjelmien torjunta puutteellinen tai puuttuu kokonaan• Palomuurit pois päältä• Käyttäjä klikkaa mielenkiintoista linkkiä• Ylläpitäjä kirjautuu Domain Admin tunnuksella palvelimelle, jossa on haittaohjelma• Hyökkääjä poistaa palvelimista logitiedot peittääkseen jäljet
• Miten tunnistamme ja raportoimme tämän 72 tunnissa?• Ei keskitettyä hallintaa tietoturvakorjauksille tai haittaohjelmien torjuntaan• Logitiedot tallennettuna palvelinten paikallisessa logissa• Ei mitään välinettä tunnistaa omassa sisäverkossa tapahtuvaa epäilyttävää toimintaa
Classified as Microsoft General
Hyökkäysten tunnistaminenja raportointi
Microsoft Advanced Threat Analytics
Miten?• Analysoimalla DC ja DNS
palveluihin kohdistuvaa verkkoliikennettä
• Oppii “normaalin käyttäytymisen”
• Integroitumalla SIEM ratkaisuihin• Koneoppimisen avulla pyritään
löytämään poikkeamia verkosta
Logianalytiikan palvelut - OMSWindows agents
Operations Manager
Linux / FluentD
…esimerkkejä :• Custom Application/Infra logs• Azure Platform telemetry• Windows event logs• Window performance counters• Security Event Logs• IIS Logs• ETW logs
Azure Metrics, Diagnostic Log, Activity Log
HTTP Data Collector API
• Linux Syslog• Linux system metrics• Firewall Logs• Networking Syslog• JSON doc• O365 Activity Events• Microsoft Advanced
Threat Analytics (ATA)
Solutions
Search & Analytics
Azure Portal
SaaS servicesO365
Log Stash
AppInsights
Security issues:• Sensitive account exposed in plain text
authentication• Service exposing accounts in plain text
authentication• Broken trust• Honey token accounts suspicious activity
Reconnaissance and brute force suspicious activities:• Reconnaissance using DNS• Reconnaissance using account
enumeration• Brute force (LDAP, Kerberos)Identity theft suspicious activities:• Pass the ticket• Pass the hash• Over-pass the hash• Skeleton key
• Forged PAC (MS14-068)• Golden ticket• Remote execution
Abnormal behavior suspicious activities:• Abnormal behavior based on
authentication, authorization, and working hours (machine learning algorithm)
• Massive object deletion
Demo
Riskilähtöistä, ennakoivaa tietosuojan suunnittelua ja varautumista • Selkeästi kuvatut vastuut ja ennalta määrätyt henkilötietojen
käsittelyn prosessit .• Ilmoitusvelvollisuus ja asianmukaisesti toteutetut tekniset
suojaustoimenpiteet• Kyky taata henkilötietoja sisältävän materiaalin salaus tiettyyn sisältöön
automaattisesti?
• Tietojen luokittelu ja salaus• Tallennusmedian salaus – Kovalevy, virtuaalilevy, muistitikku jne.• Tietokannan salaus – SQL Server tietokanta• Tiedoston salaus – Tallennuskohteesta riippumaton salaus
Sensitivity: Internal
MICROSOFT CONF IDENTIAL – INTERNAL ONLY
Internet, BYOD
Hallittu mobiiliympäristö
Miten hallita dataa paikasta riippumatta?
SisäverkkoSisäverkko suojattu ja hallittu
Käyttäjä ja laite hallittu
Hybridi ympäristö = uusi normaali
Azure Information Protection
DOCUMENTIN JÄLJITYS
OIKEUKSIEN POISTO
Monitorointi
MERKINTÄLUOKITTELU
Tiedon luokittelu ja
merkintä
SALAUS
Suojaus
PÄÄSYN HALLINTA
KÄYTÄNNÖT
Demo
Apps (Word, etc) Word, Excel, PowerPointOutlook / OWA Outlook; Web emailExchange Exchange & Exchange Online SharePoint Doc LibraryOffice DLP Office 365 Data Loss PreventionEDP Windows10 Enterprise Data Protection w/RMSFile Classification DLP over file servers, My Docs, & Work FolderOneDrive Protection of data on OneDrive
Azure Information Protection suojaus eri ratkaisuissa
Miten liikkeelle?• OMS Insight and Analytics • 500 palvelinta Azuressa, Amazonissa ja omassa konesalissa• Valmis ohje testaukseen• https://experience.mms.microsoft.com
• Cloud App Security• www.cloudappsecurity.com
• Advanced Threat Analytics• https://www.microsoft.com/en-gb/evalcenter/evaluate-microsoft-advanced-t
hreat-analytics
© Copyright Microsoft Corporation. All rights reserved.
Q & A
Antti AlilaTuotepäällikköTwitter: @anttialilaIM: [email protected]: [email protected]