Istekki Oy:n turvallisuus- ja riskienhallintapäivät Jyväskylässä

Transkriptio

1 Istekki Oy:n turvallisuus- ja riskienhallintapäivät Jyväskylässä

2 Tietoturvan ja tietosuojan kansalliset yhteistyöverkostot Marko Ruotsala, Istekki Oy

3 Puhuja Marko Ruotsala M.Eng, CCSP, CISA, CISM, CRISC, HCISPP, Togaf, ITIL, Prince, Cobit, MCITP Istekki Oy:n turvallisuus- ja riskienhallintapalvelut, liiketoimintapäällikkö Master of Business Administration opiskelija

4 Pohdintatehtävä Katso ympärillesi ketä tässä tilaisuudessa on paikalla? Oletko käynyt jossain muussa tietoturva-, tietosuoja-, kyberturvallisuus tms. tilaisuudessa viimeisen vuoden aikana? Ketä siellä oli paikalla? Kenen mielestäsi pitäisi olla paikalla? Ulkoistetaanko turvallisuus IT:lle ja siellä vielä erilliseen tietoturvasiiloon? Onko se tietoturva tämmöistä?

5 Riskienhallinnan tasot Strateginen taso Kuinka Kyberriskit vaikuttavat liiketoimintaamme? Pystymmekö hoitamaan potilaita tai saavatko oppilaat ruokaa? Minkälaisia päätöksiä ja investointeja on tehtävä? Operatiivinen taso Tietoturvaprosessit, toimintamallit, varautuminen, ohjeet Tekninen taso Kuinka turvaamme toiminnan teknisin keinoin?

6 Riskienhallinnan tasot Ymmärretäänkö strategisella tasolla riskit ja vastuu liiketoiminnasta myös Kyberturvallisuuden ja tietosuojan osalta? Hoitotarvikkeet vs. tiedon suojaamisen investoinnit oletko aivan varma että uskallat olla hankkimatta tätä meidän ratkaisua? Mikä on meidän operatiivinen kypsyystaso? Varmistetaanko prosesseilla ja ohjeilla toimintaa vai tehdään kun muutkin tekevät Hankintaanko teknisiä tietoturvaratkaisuja irrallaan strategiasta? Tämä on paras tekninen ratkaisu ja mukavin ylläpitää

7 Supo:n ja PV:n mukaan Tiedustelutoiminta on kohdennettua ja määrätietoisesti johdettu, jonka kohteena ovat mm. Valtionhallinto Kriittistä infraa ylläpitävät ja rakentavat yritykset Huoltovarmuustoimijat Alihankintaketjut Maan X tiedetään kartoittavan tietoverkoissa eurooppalaisen energiajakeluverkoston tietoteknisen ohjausinfrastruktuurin rakennetta ja teknisiä haavoittuvuuksia PV:llä on panostettu suojaukseen paljon heikoin lenkki löytyy jostain muualta

8 Yhteistyöstä voimaa Kyberturvallisuus on meidän kaikkien vastuulla Erikseen emme onnistu, vaan yhteistyötä on tehtävä ainakin: Organisaatioiden sisällä Strateginen Operatiivinen Tekninen Organisaatioiden välillä eri tasoilla (tiedonvaihto, benchmarking) Toimialan sisällä eri tasoilla Kansallisella tasolla Kansainvälisellä tasolla Toimittajien ja asiakkaiden välillä, alihankintaketjuissa Pyritään varmistamaan, että ei olisi heikkoja lenkkejä! Yhdessä olemme vahvempia!

9 Kyber-Terveys Kyber-terveys-hanke on osa Huoltovarmuuskeskuksen Kyber ohjelmaa, jonka viitekehyksenä toimii kansallinen kyberturvallisuusstrategia Tavoitteena on luoda terveydenhuoltoon toimintatapoja ja käytäntöjä, joilla kehitetään huoltovarmuuskriittisten organisaatioiden kyberturvallisuutta pitkäjänteisesti Keskeisimpänä asiana on kehittää sairaanhoitopiirien varautumista kyberturvallisuusuhkiin erityisesti potilashoitoon liittyvien kriittisten toimintojen osalta Hankkeessa pureudutaan konkreettisiin kehittämiskohteisiin kuten esimerkiksi kyberturvallisuuden koulutus, hankintojen tietoturvavaatimukset sekä havainnointi- ja reagointikyvyn kehittäminen Mukana yliopistolliset SHP:t, KSSHP ja suunnitteluvaiheesta lähtien myös Istekki

10 Vahti100 Vahti100 vaatimukset perustuvat juuri lausuntokierroksella olleeseen tiedonhallintalakiin (218 lausuntoa) Laki on menossa eduskuntaan aikaisintaan Korvaa ja uudistaa voimassa olevan arkistolain ja julkisen hallinnon tietohallinnon ohjauksesta annetun lain säännökset Tällä hetkellä valmistelussa reilut 40 Vahti korttia Kortin sisältönä: Lain vaatimus Lain perustelut Kuinka vaatimus voidaan toteuttaa (ei velvoittava), täydennetään erillisin ohjein, viittaukset esim. muihin standardeihin ja parhaisiin käytäntöihin Työkaluja vaatimuksen toteuttamiseen Korvaa nykyiset n Vahti vaatimusta, selkeyttää, mutta toisaalta vaatii enemmän osaamista ja riskienhallintaa, mahdollistaa auditoinnin Työssä mukana mm. Istekki (valtion virastoja, joitain kaupunkeja ja SHP:tä myös)

11 Maakuntien tietototurva ja tietosuoja Valmistelussa Istekin johdolla neljälle maakunnalle esitys yhteisestä tietoturvan ja tietosuojan valmistelusta Pyörää ei kannata kaikkien keksiä uudelleen Valmistelun resurssit ovat hyvin rajalliset, joten niitä kannattaa käyttää ohjaamaan yhteistä tekemistä Tilannekuva, tietoturvatapahtumienhallinta, tilannekuvan siirto, regulaation vaatimat raportoinnit (mm. NIS, GDPR, Valvira..), maakuntia koskeva regulaatio, tietojen luokittelun periaatteet, koulutukset, tietosuojan yhteiset käytännöt ja työkalut, yhteiset riskiarviot

12 YTA-alue YTA-Alueen (KYS-erva) ICT-yhteistyöryhmä päätti perustaa YTA-alueellinen tietosuoja- ja tietoturvaryhmän, joka kytketään maakuntien valmisteluun Yhteisiä kehityskohteita mm. Yhteiset politiikat, ohjeet, tulkinnat regulaatiosta, Sote uudistuksen mukana tuleviin yksityisiin palveluntuottajiin liittyvät tietoturva- ja tietosuojalinjaukset GDPR sopimusten tulkinnat Tietoturvainvestointien kannattavuus (Benchmarking) DPIA, riskiarviot, tietojen luokittelut, pilvipalvelut, tiedonvaihto, mittarit, seuranta, koulutustilaisuudet Asiantuntijoiden yhteinen foorumi, eli vertaistukea Istekki käynnistää toiminnan

13 SOTE-ISAC Soteen liittyviä kyberturvallisuushaasteita jaetaan ja ratkotaan muun muassa tiedonvaihtoryhmä SOTE-ISAC:ssa, jonka toimintaa koordinoi Viestintäviraston kyberturvallisuuskeskus, mutta olemassa on myös muita alaan ja aiheeseen liittyviä tiedonjakelukanavia. Useiden kanavien kautta voimme välittää toisillemme ajantasaista tietoa erityisesti sote-sektorin tietoturvallisuusriskeistä. Luottamuksen ilmapiirissä pystymme myös arvioimaan riskejä ja pohtimaan ratkaisuja niiden hallitsemiseksi. Yhteistyötä tullaan jatkossa yhä tiivistämään. Mukana yliopistolliset SHP:t, KSSHP ja Istekki html

14 Viestintäviraston kyberturvallisuuskeskus Kansallinen tietoturvallisuusviranomainen Yhteistyö tilannekuvan rakentamisessa Yhteys Istekin tilannekuvakoordinaattorin ja viestintävirasto Kyberturvallisuuskeskuksen kanssa Yhteistyö SOTE-ISAC ryhmässä Kyberturvallisuuskeskuksen tiedotteet ja tilaisuudet

15 UNA-hanke UNA -Asiakas- ja potilastietojärjestelmien uudistamisyhteistyö Istekki oli mukana hankkeen 1. vaiheessa määrittämässä tietoturva- ja tietosuojavaatimukset Istekki mukana myös hankkeen myöhemmissä vaiheissa osana hanketoimistoa (mm. tietoturva- ja tietosuoja)

16 Tietosuojavastaavien yhteistyö Istekillä on tällä hetkellä neljä tietosuojavastaavapalveluita tuottavaa asiantuntijaa, joista kaksi keskittyy pelkästään tietosuojavastaavapalveluihin (Tampereella, Jyväskylässä ja kaksi Kuopiossa) Teemme tiivistä yhteistyötä alueiden tietosuojavastaavien kanssa mm. Pohjois-Savossa ja Pirkanmaalla

17 Tietoturvan johtoryhmä PSSHP:n ja Kuopion kaupungin yhteinen tietoturvan johtoryhmä Toiminut vuodesta 2013 alkaen Mukaan tullut myös PSHP 2017 Istekin rooli on toimia neuvonantajana Linjaa ja valmistelee yhdessä asioita (päätökset kuitenkin omissa organisaatiossa)

18 Toimittajayhteistyö Tukisopimukset tarpeen vaatimalla SLA tasolla Kehitysyhteistyö ja kumppanuudet tärkeässä roolissa mm. LogPoint kumppanuus (partner conference, kontaktit ym.) Microsoft kumppanuus (R&D center, vierailu, kontaktit ym.) Palo-Alto (Vierailu pääkonttorissa, Ignite vierailu, kontaktit ym.) Kumppanin ääni vaikuttaa tuotekehitykseen

19 Yhdessä tekemällä onnistumme!

20 Istekin turvallisuus- ja riskienhallintapalveluiden kehitysnäkymät

21 Istekki Oy:n kokonaisvaltaiset turvallisuus- ja riskienhallintapalvelut Operatiivinen toiminta alkoi 3/2016 Omana liiketoiminta-alueenaan 1/2017 alkaen Henkilöstömäärä 15 (11/2018) Turvallisuusselvitetty henkilöstö Erilliset tilat Kuopiossa Oma organisaatioyksikkö Istekin palvelu tuotannossa Asiantuntijoita Kuopiossa, Jyväskylässä ja Tampereella

22 Istekki Oy:n kokonaisvaltaiset turvallisuus- ja riskienhallintapalvelut Ennakointi & suunnittelu Torjunta & toteutus Havainnointi & seuranta Vastatoimet & kehittäminen

23 Kehitysnäkymiä /Panostuskohde nro. 1 Secure By Design Riskienhallinta mukaan kaikkeen päivästä 1. lähtien Riskienhallinta täytyy saada näkyväksi ja sisäänrakennetuksi kaikilla tasoilla Strateginen Operatiivinen Tekninen Tunnetaan riskit liiketoiminnalle ja hallitaan niitä asianmukaisesti ja kustannustehokkaasti Tietoturvapaketit, riskienhallinta kaikessa; erityisesti hankinta ja muutokset

24 Kehitysnäkymiä /Panostuskohde nro. 2 Proaktiivinen puolustus ja havainnointikyvyn jatkokehitys Nähdään trendit maailmalta (tekniset menettelyt, yhteistyöverkostot, asiantuntemus) Ennakoidaan Suojataan kriittiset toiminnot (tunnetaan omat ja Asiakkaiden ympäristöt) Työkaluja ovat mm. Keinoälyn hyödyntäminen, heuristiikka, UEBA, kehittyneet verkostot Varaudutaan hyökkäyksiin ja varmistetaan saatavuus operatiivisten ja teknisten kontrollien avulla

25 Kehitysnäkymiä /Panostuskohde nro. 3 Tieto on uusi öljy Ilman tietoa palataan kivikaudelle Tiedon ja prosessien eheyden varmistaminen Tiedon suojaaminen (luottamuksellisuus, manipulointi) Hyökkääjä etsii aina sen heikoimman lenkin Kehittynyt hyökkääjä ei pidä meteliä itsestään (tai pitää harhauttaakseen) Kohteena on yleensä tieto (toki saatavuuden vaarantamisella voi olla myös katastrofaalisia vaikutuksia organisaation toimintaan) Tiedolla on vaikutuksia mm. yksityisyydensuojaan, mutta myös sillä voidaan myös kiristää

26 Paha aamu tietohallinnossa Viime viikkoina erittäin yleinen huijaus jossa pyritään kiristämään: Olemme asentaneet yhden RAT-ohjelmiston laitteeseesi. Tällä hetkellä sähköpostiosoitteesi on hakkeroitu (katso, nyt minulla on pääsy tileihin). Olen ladannut kaikki luottamukselliset tiedot järjestelmästäsi ja saan lisää todisteita. Mielenkiintoisin hetki, jonka olen löytänyt Mitä jos kyseessä olisi potilastietojärjestelmä tms. kriittinen järjestelmä ja kiristäjä näyttää todisteet, että pääsy on olemassa? Tietoa on manipuloitu määrittämättömän ajanjakson verran esim. 5% On vain huonoja vaihtoehtoja jäljellä

27 Kehitysnäkymiä /Panostuskohde nro. 4. Pilvipalvelut Pilvipalvelut vievät turvallisuuden pääosin aivan uudelle tasolle Oikein käytettyinä ja huolellisesti käyttöönotettuina Palveluntarjoajien resurssit ja prosessit ovat usein huippuluokkaa Kyberturvallisuuden varmistamisessa Voimme laittaa lapun luukulle, jos tietonne pääsevät meiltä vuotamaan Erään SaaS palvelua tarjoavan yrityksen omistaja Hinnat alkaen malli ei yleensä sisällä juurikaan tietoturvaominaisuuksia, kuten esimeriksi varmistuksia Premium malli kaikilla varusteilla voi sisältää paljon ominaisuuksia, mutta tiedetäänkö niiden olemassa olosta, osataanko niitä käyttää asianmukaisesti?

28 Kehitysnäkymiä /Panostuskohde nro. 5 Identiteettien hallinta Tunnetaan yleisimmät salasanat murtojen perusteella tunnetaan käyttäjätunnukset -> siis sähköpostiosoitteet Vahva tunnistautuminen, 2FA Valvonta (huomataan vaarantuneet tunnukset ja reagoidaan reaaliajassa) Prosessit.. IAM, PAM

29 Kysymyksiä? Antoisia turvallisuus- ja riskienhallintapäiviä! Kommentoikaa! Haastakaa! Verkostoidutaan! Yhdessä olemme enemmän!