Sähköverkkotoiminnan tietoturvallisuuden itsearviointi. Konsulttitoimisto Reneco Oy / Jouko Tervo

Transkriptio

1 Sähköverkkotoiminnan tietoturvallisuuden itsearviointi ST-pooli Konsulttitoimisto Reneco Oy / Jouko Tervo

2 2 Renecon palvelut Toiminnan kehittäminen ICTjärjestelmien ja palvelujen hankinnat Selvitykset, tutkimukset ja arvioinnit

3 Esityksen sisältö 1. Tietoturvallisuuden käsitteistä 2. Havaintoja sähköverkkoyhtiöiden tietoturvallisuudesta 3. Tietoturvallisuuden mittaaminen/arviointi 4. Tietoturvallisuuden itsearviointityökalun kehittäminen 5. Lähdemateriaalia

4 Tietoturvallisuuden käsitteistä

5 Yritysturvallisuus Elinkeinoelämän keskusliiton näkemys yritysturvallisuuden osa-alueista

6 Tietoturvallisuuden monitahoisuus Kotipäivystäjät Toimittajan etätuki Julkinen tietoverkko Urakoitsijoiden tietoverkot Johto ja johtaminen Laitetilat Yritysverkko Verkkotietojärjestelmä Tilaturvallisuus Järjestelmäturvallisuus Ala-asemat ja älykkäät laitteet sähköasemilla ja jakeluverkossa Jatkuvuuden hallinta Käyttökeskus SCADA/DMS Toimisto PC Käytönvalvonnan tietoliikenneverkko Henkilöstöturvallisuus Tietoturvan huomioiminen prosesseissa ja toimintatavoissa

7 Tietoturvallisuuden käsitteitä Tietoturvallisuus Saatavuudella (käytettävyys, toimintavarmuus, availability) tarkoitetaan sitä, että tieto, järjestelmä tai palvelu on niihin oikeutettujen käyttäjien saatavilla ja hyödynnettävissä haluttuna aikana Saatavuus Luottamuksellisuus Luottamuksellisuus (confidentiality) on tiedon ominaisuus, joka ilmentää sitä, että tieto on vain sen käyttöön oikeutettujen käytettävissä Tiedon oikeellisuus Sähköverkon käyttötoiminnassa korostuu toimintavarmuus Viranomaispuolella korostuu tietojen luottamuksellisuus Tiedon oikeellisuus (eheys, integrity) on tiedon ominaisuus, joka ilmentää sitä, ettei tiedon sisältöä ole luvattomasti muutettu tai se ei ole satunnaisten virheiden vuoksi muuttunut Kyberturvallisuus on tietoturvallisuuden osa-alue, joka keskittyy yhteiskunnan sähköisen infrastruktuurin suojaamiseen Lähde: Federal Information Security Modernization Act (FISMA)

8 Tietoturvauhkia - leikkeitä mediasta

9 Tietoturvauhkien takana olevia tahoja Ei valtiolliset uhkat Hakkerit, krakkerit ja haktivistit Valtiolliset uhkat Rikolliset Valtiolliset tiedustelu- ja kybersodankäynnin organisaatiot Katkeroituneet, osaamattomat ja huolimattomat henkilöt Terroristit Bottiverkkooperaattorit Teollisuusvakoilijat

10 Havaintoja tietoturvallisuudesta

11 Tietojärjestelmiin kohdistuvat tietoturvauhkat lisääntyneet Syitä tietoturvariskien ja uhkien lisääntymiseen Globaalia internet-tietoverkkoa käytetään osana yrityksen tietojärjestelmäkokonaisuutta Tietojärjestelmien integraatiot lisääntyvät nopeasti yleistyvien IPteknologian ja langattomuuden vauhdittamina Uhkatahojen määrä on kasvanut ja rikolliset ovat muuttuneet ammattimaisiksi Uutena uhkana valtiolliset vakoilu- ja kyberyksiköt Laaja valikoima vakoilu- ja murto-ohjelmistoja on helposti kaikkien saatavilla Kaupallisten ohjelmistojen käyttö verkostoautomaatiojärjestelmissä on tavanomaista (mm. käyttöjärjestelmä) Palveluketjut ovat monimutkaistuneet; käytetään lukuisia ulkopuolisia toimittajia ja alihankkijoita erilaisten rakentamis-, huolto- ja ylläpitopalvelujen tuottamisessa

12 Tietoturvallisuuteen kohdistuvia uhkia Käytännön riskejä/uhkia Kyky valvoa ja ohjata sähköverkkoa estyy Ohjelmistovirheiden aiheuttamat tilanteet Tietojärjestelmän, tietoverkon tai tietoliikenneverkon laitteiden vioittumisten tai ulkopuolisten häiriötekijöiden aiheuttama järjestelmän toimimattomuus Merkittävät virheet tai viiveet tietoliikenteessä Ulkopuolinen tai sisäinen taho estää järjestelmien toiminnallisuuksia Järjestelmien tiedot korruptoituvat toimintavirheitä, luottamus? Ulkopuolinen taho voi ohjata sähköverkkoa Ulkopuolinen saa luottamuksellista tietoa haltuunsa Suojausten asetusten tahallinen muuttaminen virheellisiksi Tunkeutuminen kriittisiin tiloihin yhdistettynä muuhun haitalliseen toimintaan Henkilöstön osaamattomuus, huolimattomuus tai sabotointi Valtiollisten tahojen tiedustelu- ja valmistelutoiminta

13 Tietoturvallisuuden haavoittuvuuksia Käytännön haavoittuvuuksia Virheet ja puutteet tietojärjestelmissä ja niiden ohjelmistoissa Julkisen ja heikosti suojatun tietoverkon (esim. internet) käyttäminen osana käytönvalvonnan tietoverkkoa Tietojärjestelmissä on päivittämättömiä ohjelmia, jotka sisältävät tunnettuja haavoittuvuuksia (myös ns. nollapäivähaavoittuvuuksia) Koventamattomia tieto- ja tietoliikennejärjestelmiä Tietoliikenneverkon puutteellinen segmentointi, heikot/reikäiset palomuurit ja heikosti suojatut käytönvalvonnan tietoliikenneyhteydet Puutteita tieto- ja tietoliikennejärjestelmien kunnossapidon organisoinnissa, vastuunjaossa ja sopimuksissa Pääsynhallinta: Käyttäjien tunnistaminen ja salasanat puutteellisia, käytetään laitteissa oletusasetuksia tai käytetään yhteisiä käyttäjätunnuksia. Vahva tunnistaminen ei ole käytössä Kotipäivystyksessä käytettävien työasemien suojaukset ovat puutteelliset tai käytetään sähköverkon käytönvalvontaan monikäyttötyöasemia, joissa ajetaan myös toimistosovelluksia Dokumentaatio ei ole ajan tasalla

14 Renecon havaintoja sähköverkkoyhtiöiden tietoturvallisuudesta Tietoturvallisuuspolitiikka ja -vastuita määrittelemättä Varautumissuunnitelmat tietoturvatapausten varalle puutteellisia Tietoturvan kehittäminen ei ole suunnitelmallista Järjestelmäkokonaisuuden huomioiminen vähäistä tietoturvassa Järjestelmissä paljon päivittämättömiä ohjelmistoja Järjestelmiä systemaattisesti koventamatta Puutteita tietoliikenteen rakenteellisessa tietoturvassa Laitteiden ja laitetilojen kuorisuojaus puutteellinen Dokumentaatio osin puutteellista ja päivittämätöntä

15 Tietoturvallisuuden mittaaminen/arviointi

16 Syitä tietoturvallisuuden arvioimiseen Tietoturvallisuuden arvioinnilla yleensä halutaan Tunnistaa ja hallita tietoturvallisuuteen liittyviä riskejä Varmistaa toiminnan jatkuvuus ja tietoturvatason riittävyys Osoittaa tietoturvallisuusvaatimusten täyttyminen. Vaatimuksia asettavat mm. viranomaiset, asiakkaat, yhteistyökumppanit, omistajat, yrityksen hallitus Tietää oma tietoturvataso verrattuna muihin vastaaviin organisaatioihin Arvioida valittujen (tieto)turvallisuuskontrollien tehokkuutta Osoittaa tietoturvallisuustoimenpiteiden hyödyt liiketoiminnalle Parantaa organisaation tietoturvatietoisuutta

17 Mitä tietoturvallisuuden mittaamisella/ arvioinnilla tarkoitetaan? Tietoturvallisuuden mittaamisen määritelmiä Tietoturvamittari kertoo tietoturvatason suhteessa valittuun tarkistuspisteeseen ja ohjaa tietoturvaa parantavien toimenpiteiden valinnassa. (W. Krag Brotby, Information Security Management Metrics) Tietoturvamittari on objektiivinen, määriteltävissä oleva, valittuun kohteeseen liittyvä suure, joka mahdollistaa organisaatiolle tietoturvallisuuden tehokkuuden arvioimisen. (Information Security Forum) Tietoturvan mittaaminen on tietoturvanhallintajärjestelmän ja kontrollien tehokkuudesta tietoa antava prosessi, käyttäen valittua metodia, laskentaa, analyyttista mallia ja päätöskriteeriä. (ISO/IEC 27004) Mittaaminen/arviointi/auditointi/itsearviointi? Mittari<>Mittarin arvo - esim. Lokien seuranta<>käytössä

18 Tietoturvallisuuden mittareista Esimerkkejä tietoturvallisuuden osa-alueista ja mittareista Tietoturvallisuuden osa-alue Hallinto Johtaminen Liiketoiminnan jatkuvuus Tietoturvallisuusriskit Henkilöstöturvallisuus Fyysinen turvallisuus (tilaturvallisuus) Turvallisuusresurssit Tietojärjestelmät Tietoliikennejärjestelmät Vaatimuksenmukaisuus Mittariesimerkki Turvallisuuspolitiikka laadittu Vastuiden määrittäminen Testatut jatkuvuussuunnitelmat Riskien ja uhkien tunnistaminen Taustaselvitykset Tilojen rakenne, kulkuoikeuksien hallinta Henkilöstön ja varojen riittävyys Järjestelmien tunnistaminen ja luokittelu Käyttöoikeuksien ajantasaisuus Palomuurisääntöjen muuttaminen Viranomaisvaatimukset

19 Tietoturvallisuuden itsearviointityökalun kehittäminen

20 Itsearviointityökalun taustaa Toteutetuissa tietoturva-arvioinneissa saatujen kokemusten pohjalta Renecossa nähtiin selkeä tarve parantaa sähköverkkotoiminnan ja erityisesti käyttötoiminnan tietoturvallisuutta Pohdittaessa erilaisia keinoja tietoturvallisuuden parantamiseksi asiasta tiedottamisen ja kaupallisten auditointipalvelujen lisäksi esille nousi itsearviointi ja sen työkalut Itsearviointityökalun kehityshanke esiteltiin Sähköturvallisuuden edistämiskeskus ry:lle (STEK) ja Energiateollisuus ry:lle syksyllä 2015 ja molemmat tahot myönsivät hankkeelle taloudellista tukea mahdollistaen työn käynnistämisen Hanke käynnistyi joulukuussa 2015 ja tavoite on saada työkalu sähköyhtiöiden käyttöön vielä tulevan kevään aikana

21 Itsearvioinnin tavoitteet Tietoturvallisuuden itsearvioinnissa keskitytään asioihin, jotka edistävät sähkön siirron ja jakelun jatkuvuuden varmistamista Itsearvioinnilla sähköverkkoyhtiön johto saa käsityksen tietoturvallisuuden nykytilasta ja kehittämistä vaativista alueista Tietoturvallisuutta käsitellään tarpeellisessa laajuudessa ja kokonaisvaltaisesti, ei vain yksittäisen tietojärjestelmän kyberturvallisuutta Tieto nykytilasta on välttämätöntä tietoturvallisuuden parantamisessa, kuten esimerkiksi kehityssuunnitelmien laadinnassa Kehittää henkilöstön osaamista ja ymmärrystä tietoturvasta ja viestiä henkilöstölle tietoturvan merkityksestä Muokata henkilöstön asenteita mahdollistaen tietoturvallisuuden huomioimisen päivittäisessä työskentelyssä Itsearvioinnin kautta myös tunnistetaan helppoja kohteita tietoturvallisuuteen parantamiseksi nopeasti Kehitettävää sähköistä arviointityökalua voidaan pienin muutoksin hyödyntää myös kaukolämmön, veden ja maakaasun siirron ja jakelun tietoturvallisuuden arvioinnissa

22 Tietoturvallisuuden itsearvioinnissa tarkasteltavia tietoturvallisuuden alueita 1. Tietoturvallisuuden hallinto ja johtaminen 2. Jatkuvuuden hallinta tieto- ja tieliikennejärjestelmiin liittyen 3. Tieto- ja tietoliikennejärjestelmien tietoturvallisuus 4. Henkilöstöturvallisuus 5. Tilaturvallisuus (fyysinen turvallisuus)

23 Vaatimuksia itsearviointityökalulle Tietoturvallisuutta tulisi käsitellä laajasti huomioiden eri turvallisuusalueet ja tasot Arvioinnin tulisi olla työmäärältään kohtuullinen Työkalussa huomioitava käyttäjien erilaiset taustat ja roolit Vastaaminen kysymyksiin ja väittämiin tulisi olla selkeää Vastausten luottamuksellisuus ja vastaajien mahdollinen anonyymius on huomioitava työkalussa Selkeät raportit ja toive toimialan yritysten väliseen vertailuun (benchmark) Toiminnallisia ja teknisiä vaatimuksia: o Yksinkertainen, helppokäyttöinen ja käyttäjää opastava o Erillistyökalu, joka ei vaadi uusien sovellusten asentamista työasemaan o Toimii windows-ympäristössä tavanomaisilla toimisto-ohjelmilla o Tulos voitava tallentaa työasemalle tai palvelimeen o Käyttö voitava keskeyttää tilapäisesti (välitallennus) o Työkalun oma tietoturvallisuus kunnossa

24 Lähdeaineistoa 1. SFS-ISO/IEC27002:2014 Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintakeinojen menettelyohjeet 2. SFS-EN ISO 22301:2014 Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset 3. SFS-ISO 31000:2011 Riskienhallinta. Periaatteet ja ohjeet 4. Kansallinen turvallisuusauditointikriteeristö, KATAKRI III (2015) 5. Soveltuvin osin eri VAHTI-ohjeet (Valtion tietoturvallisuuden johtoryhmä) 6. SFS-EN ISO 19011:2011 Johtamisjärjestelmän auditointiohjeet 7. Vulnerability Analysis of Energy Delivery Control Systems, Idaho National Laboratory, September 2011, USA 8. Good practice guide Process control and SCADA security, CPNI (Centre for the Protection of National Infrastructure) 9. NERC-CIP standardit CIP-001 CIP-011, North American Electric Reliability Corporation, Critical Infrastructure Protection 10. NIST SP Guide to industrial control systems (ICS) security 2015, USA 11. NIST Framework for Improving Critical Infrastructure Cybersecurity, Viestintäviraston määräykset 54A/2012M ja 43D/2010M 13. IEEE Std , Standard for Intelligent Electronic Devices Cyber Security Capabilities, USA 14. Verkostoautomaatiojärjestelmien tietoturva, Konsulttitoimisto Reneco Oy, TITAN-käsikirja, VTT 2010

25 Reneco Ratkaiseva tekijä