Modernization of the Russian social policy : Social crisis, interventions, and withdrawals

Peer reviewe

Track D Social Science, Human Rights and Political Science

Peer Reviewedhttps://deepblue.lib.umich.edu/bitstream/2027.42/138414/1/jia218442.pd

Tietoturvallisuuden sertifiointi ISO/IEC 27001 -tietoturvallisuusstandardilla : case: Autovahinkokeskus Oy

Tämän opinnäytetyön aiheena on tutkia tietoturvallisuutta liiketoiminnassa, tietoturvallisuuden hallintajärjestelmän toteuttamista ja ylläpitoa, riskien arviointia sekä tietoturvallisuuden sertifiointivaatimuksia ISO/IEC 27001 -tietoturvallisuusstandardilla. Työssä tutkitaan myös, miten tietoa käsitellään tietoturvallisesti ja miten sitä kuuluu suojata. Autovahinkokeskus Oy on vakuutusyhtiöiden lunastaminen ajoneuvojen realisointia harjoittava yritys, joka työllistää tällä hetkellä 49 henkilöä. Lähes jokainen henkilö käyttää tietojärjestelmiä työssään, minkä vuoksi tietoturvallisuuteen on aiheellista kiinnittää paljon huomiota. Autovahinkokeskus Oy:n tavoitteena oli selvittää tietoturvallisuuden sertifiointivalmiudet ISO/IEC 27001 -tietoturvallisuusstandardin mukaisesti. Tutkimuksessa selvitettiin käytettävien tietojärjestelmien ja tietoteknisen infrastruktuurin nykytila ISO/IEC 27001 -tietoturvallisuusstandardin vaatimusten mukaan. Tutkimus osoitti tietojärjestelmien ja menettelytapojen olevan hyvää tasoa. Parannettavaa löytyi jonkin verran sekä teknisistä ratkaisuista että toimintatavoista, mutta eniten huomiota tulee kiinnittää dokumentointiin, tapahtumien seurantaan sekä tietojärjestelmien valvontaan. Työssä tutkittiin myös henkilökunnan tietoisuutta käytössä olevien tietojärjestelmien tietoturvallisuudesta, yleisistä tietojenkäsittelypalvelujen käyttötottumuksista, ohjeistuksista ja koulutuksista. Tutkimuksessa paljastui tässä olevan suurin haaste lähitulevaisuudessa. Ohjeistusta ja koulutusta tarvitaan sekä tietoturvallisuuden että ohjelmistojen käyttöön. Työn tuloksena on Autovahinkokeskus Oy:n tietojärjestelmien, toimintatapojen ja henkilöstön tietoturvatietoisuuden nykytilakartoitus sekä korjaus- ja parannusehdotuksia sertifioinnin aloittamista varten.The subject of this Bachelor's Thesis is to research into information security in business. Other questions are how to achieve and support an Information Security Management System, manage risks and survey requirements of the ISO/IEC 27001 standard. How to manage and secure this information is also the subject of this study. Autovahinkokeskus Oy is specialized on realizing vehicles redeemed by insurance companies. The company employs 49 persons at the moment. The information systems are important tools in everyday work done by everyone. That makes it very important to focus on information security. The field of activity of the company was looking for facilities in order to certify the information security with the ISO/IEC 27001 standard. In this study information systems and technological infrastructure with requirements of the ISO/IEC 27001 standard were analyzed. The research found information systems and procedures to be at a good level. There is some need to improve both the technical solutions and ways of working, but the main focus should be on the documentation, on the surveillance of the things that are happening at the moment and on the supervision of the data system as a whole. The study took also under the investigation the security of the information system currently in use, the general usage of the data services, and the training in use. The research result here was that the biggest challenge is just this. Advice and training is needed, both concerning the data security and the use of software. The result of the thesis is a survey of the current state of the information systems, practices and knowledge about the information security. There are also recommendations for improvements and development for the beginning of the certification process

Tietoturvaloukkausten analysointi hunajapurkkijärjestelmän avulla

Tutkielmassa vertailtiin tietoturvaloukkausten ja niiden yritysten tunnistamiseen kehitettyjä ohjelmistoja, joita käytetään parantamaan organisaatioiden tietoturvallisuutta. Tutkittiin, miten tietojärjestelmiin pyritään murtautumaan ja mitä murtautujat pyrkivät murretussa tietojärjestelmässä tekemään. Hunajapurkki on tähän tarkoitukseen suunniteltu, mielenkiintoinen, toisaalta myös hieman ristiriitainen työkalu, mikä voidaan toteuttaa suojaamaan tuotantojärjestelmiä tai toimimaan erillisenä tutkimuksen apuvälineenä. Hunajapurkki ottaa vastaan verkkohyökkäyksiä ja mahdollistaa murtautujan toiminnan tietojärjestelmässä siinä laajuudessa, kuin se halutaan mahdollistaa. Hunajapurkkeja käytettäessä nousee esille kuitenkin myös lainsäädännölliset ja eettiset ongelmat, minkä lisäksi se voi muodostaa teknisen riskin tuotantojärjestelmille. Väärin toimiva hunajapurkkijärjestelmä voi pahimmassa tapauksessa mahdollistaa pääsyn organisaation tietoverkkoon tai päätyä osaksi palvelunestohyökkäyksiä. Kun hunajapurkkia käytetään, sen toiminta ja valvonta on suunniteltava tarkkaan, myös lainsäädäntö ja eettiset seikat huomioiden. Tutkimus jakautui kahteen osaan: teoriaosiossa perehdyttiin hyökkäyksentunnistusjärjestelmiin, pääasiassa hunajapurkkijärjestelmiin – niiden teknisiin vaatimuksiin ja vaadittavaan osaamiseen, laillisuusnäkökulmiin sekä mahdollisiin ongelmiin järjestelmän käytössä. Kokeellisessa osassa asennettiin oma avoimeen lähdekoodiin perustuva, ns. keskitason vuorovaikutuksen hunajapurkkijärjestelmä. Sen avulla kerättiin mittava tutkimusaineisto, mistä päästiin tutkimaan hyökkääjien lähteitä ja heidän toimiaan järjestelmässä. Kerätty aineisto antoi mielenkiintoisen näkymän verkkohyökkäysten todellisuuteen: saatiin kartoitettua hyökkäysten määriä ja maantieteellisiä lähteitä, käytössä olleita murtautumismenetelmiä, murtautumiseen käytettyjä sanakirjoja sekä murtautujien järjestelmään syöttämiä komentoja. Tutkimuksessa paljastui hieman yllättäen, että murtautujat eivät juuri tavoitelleet murretun tietokoneen sisältöä, vaan tärkein tavoite oli yrittää saastuttaa se haittaohjelmin. Tässä tutkimuksessa tehdyt havainnot antavat pohjaa jatkotutkimuksille, esimerkiksi havaittujen automaattisten murtautumismenetelmien tai hunajapurkkiin ladattujen haittaohjelmien tutkimiseen.This study compared software used to recognize security breaches and their attempts to improve organizations information security. It was examined how attackers try out to hack into system and what commands they execute after a successful login attempt. A honeypot system, as a main topic, is one of the most interesting but also controversial systems in field of network security. The main purposes of the system are to improve security of production systems and explore commands operated by the hackers. The system is ready for network attacks and allows black hat hackers to break in the system and tracks all commands given by the hacker. There are some legislative and ethical issues but also technical risks facing to the production systems. A faulty or misconfigured honeypot may offer a non-limited access to organization’s network or generate a large amount of unwanted network traffic. If the honeypot system is deployed, the operation and monitoring should be planned carefully, including legislative and ethic requirements. The study is divided into two parts: a literature review concentrates to intrusion detection and protection systems, especially the honeypot systems, their technical and knowledge requirements, legislative perspectives and possible issues in production use. In a research part, a medium interaction, an open source honeypot system was deployed. The system gathered a significant amount of research data which enabled a great possibility to investigate sources of network attacks and hacker's actions in the system. The research gave an interesting view to reality of network attacks: attack sources, attack methods, username password dictionaries and input commands were resolved. It was discovered that hackers were not interested in computer itself, the main goal was to infect the system with malware programs. This study and the results enables a good basis for further researches, e.g. malware code or automated breaking method analysis