CERT-FI-TR-CIP (1/15)

Transkriptio

1 CERT-FI-CIP-työryhmä Tuotos 1. Lokakuu 2007

2 Huoltovarmuuskriittisen toimijan tietolähteet (1/15)

3 1. JOHDANTO Viestintäviraston CERT-FI-työryhmän alatyöryhmäksi perustettu CERT-FI-CIPtyöryhmä sai tehtäväkseen koota kansallista huoltovarmuuskriittistä toimijakenttää palvelevia tuotoksia. CERT-FI-työryhmässä esiteltyjen aiheiden joukosta valittiin CERT-FI-CIP-alatyöryhmän ensimmäiseksi tuotokseksi "Huoltovarmuuskriittisen toimijan tietolähteet", jonka tarkoituksena on listata hyväksi todettuja tietolähteitä mm. yhteistyöryhmien ja foorumeiden ja internet-sivustojen muodossa. Tietolähteiden listaus ei ole täydellinen - se pyrkii kuvaamaan niitä tietolähteitä, jotka työryhmämme totesi hyväksi ja hyödylliseksi. Huoltovarmuuskriittistä infrastruktuuria turvatessamme eteemme avautuu hyvin laaja, heterogeeninen sekä usein moniulotteinen ympäristö, jonka turvaamisessa on vaikea löytää yhtä tai kahta selkeää toimintatapaa. Usein näitä elintärkeitä ympäristöjä turvatessamme meidän pitääkin turvautua useisiin eri tietolähteisiin eri ympäristöjen ominaispiirteiden sekä niiden elinkaaren perusteella. Tässä dokumentissa esitellyt tietolähteet liittyvät pääsääntöisesti huoltovarmuuskriittisten infrastruktuurien tieto- ja viestintäjärjestelmien turvaamiseen. Osa tietolähteistä perustuu kansainvälisesti yhteisesti sovittuihin toimintamalleihin, joita voidaan käyttää mm. uuden huoltovarmuuskriittisen toimintaympäristön määrittelyssä tai jo olemassa olevien ympäristön turvatoimien yhtenäistämisessä. Osa tietolähteistä liittyy taas uhkien ja mahdollisien riskien tunnistamiseen ja havaitsemiseen. Huoltovarmuuskriittisen toimintaympäristöt ovat kokonaisuudessaan useiden uusienkin haasteiden edessä. Osa järjestelmistä on sulautettuja ja suljettuja kokonaisuuksia, osa legacy-tyyppisiä järjestelmiä sekä osa taas avoimen lähdekoodin tai muuten muissakin tietojärjestelmäympäristöissä käytettyjen tietojärjestelmien tapaisia. Yhtä kaikki - yhteneväisyyksiäkin löytyy. Yhtenä esimerkkinä vahva suuntaus verkottuneeseen toimintaympäristöön, joissa osa kriittistä infrastruktuuria on rakennettu avoimien verkkojen, kuten internet-verkon, toiminnan varaan. Miten kykenemme turvaamaan huoltovarmuuskriittisten ympäristöjemme toiminnan jatkuvuuden kaikissa yhteiskunnallisissa tilanteissa, joissa kärjistettynä voidaan todeta tilanteen noudattavan osittain kaavaa: huoltovarmuuskriittinen ympäristö on tekniikaltaan vuotta nykyaikaa jäljessä samaan aikaan, kun samat ympäristöt ovat alttiita 20 vuotta niitä edellä oleville kehittyneille hyökkäysmenetelmille? Työryhmämme pyrki löytämään tiedonlähteitä edellä olevien tilanteiden turvaamisen strategian helpottamiseksi. Toivomme että tunnistamamme tietolähteet auttavat teitä omassa työssänne huoltovarmuuskriittisen infrastruktuurin parissa. CERT-FI-CIP-alatyöryhmän puolesta, Jani Arnell Työryhmän puheenjohtaja CERT-FI-CIP-alatyöryhmä Jani Arnell Petri Ala-Annala Kimmo Bergius Antti Järvinen Jyrki Kiialainen Arttu Lehmuskallio Jorma Mellin Kari Oksanen Pekka Ristimäki Viestintävirasto / CERT-FI-yksikkö Helsingin Energia Microsoft Oyj Kesko Oyj Elisa Oyj TeliaSonera Finland Oyj Ficix Ry Nordea Neste Oil (2/15)

4 2. SISÄLLYS 1. JOHDANTO 2 2. SISÄLLYS 3 3. TIETOLÄHTEET Foorumit ja yhteistyöryhmät Kansalliset Kansainväliset WWW-sivustot Kansalliset Kansainväliset Tutkimus- ja analysointitoiminta Kansalliset Kansainväliset Konferenssit ja seminaarit Kansalliset Kansainväliset 15 (3/15)

5 3. TIETOLÄHTEET 3.1 Foorumit ja yhteistyöryhmät Kansalliset CERT-FI-TR (työryhmä) on Viestintävirastossa vuonna 2007 käynnistetty yhteistyöfoorumi, joka koostuu noin 40:stä kansallisen huoltovarmuuskriittisen toimijan edustuksesta. Työryhmän tehtävänä on mm. vaihtaa tietoa monipuolisesti kriittisen infrastruktuurin suojaamiseen liittyvistä seikoista sekä toimia Viestintäviraston CERT-FIyksikön toimintaa omalta osaltaan kehittävänä tahona antaen palautetta CERT-FIyksikön toiminnasta. Työryhmä on luonteeltaan pysyvä ja jäsenyydeltään suljettu. Yhteystiedot: Viestintäviraston CERT-FI-työryhmä Työryhmän puheenjohtaja: Erka Koivunen Yksikön päällikkö Viestintäviraston / CERT-FI etunimi.sukunimi@ficora.fi Työryhmän sihteeri: Johanna Kinnari Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi CERT-FI-TR-ABUSE on CERT-FI-työryhmän alaisuudessa toimiva noin 15:sta teleyritysten ja internet-palvelutarjoajien edustuksesta koostuva yhteistyöfoorumi, joka keskittyy tietoverkko- ja ohjelmistoturvallisuuteen sekä tietoturvaloukkausten ratkaisuun liittyvien aihepiirien monipuoliseen käsittelyyn. CERT-FI-TR-ABUSE-työryhmä on luonteeltaan määräaikainen ja jäsenyydeltään suljettu. Yhteystiedot: CERT-FI-ABUSE-työryhmä Työryhmän puheenjohtaja: Johanna Kinnari Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi CERT-FI-TR-CIP on CERT-FI-työryhmän alaisuudessa toimiva ensisijaisesti Viestintäviraston sekä Huoltovarmuuskeskuksen välisen sopimuksen mukaisten asiakasryhmien palveluun keskittynyt yhteistyöfoorumi, joka koostuu noin 10:stä huoltovarmuuskriittisen toimijan edustuksesta. Työryhmän tehtävänä on tuottaa kansallista huoltovarmuuskriittistä toimikenttää hyödyntäviä tuotoksia CERT-FI-työryhmän esitysten perusteella. CERT-FI-CIP-työryhmä on luonteeltaan määräaikainen ja jäsenyydeltään suljettu. (4/15)

6 Yhteystiedot: Viestintäviraston CERT-FI-CIP-työryhmä Työryhmän puheenjohtaja: Jani Arnell Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi Puolustustaloudellisen suunnittelukunnan poolit (PTS). PTS on tehnyt elinkeinoelämän kanssa sopimuksia, joilla on perustettu kutakin toimialaa edustava pooli. Poolin kautta alan yrityksissä oleva asiantuntemus saadaan mukaan huoltovarmuuden suunnitteluun. Poolien toimintaan osallistuvat yritykset hyötyvät PTS-yhteistyöstä parantuneena valmiutena erilaisten vakavien häiriöiden ja poikkeusolojen varalta. Poolit järjestävät yrityksille koulutus- ja harjoitustilaisuuksia. Poolin hallinnosta huolehtii sopimuksen allekirjoittanut toimialajärjestö, ja PTS maksaa sille korvauksen hallinnollisista kuluista. Poolia johtaa poolitoimikunta, johon PTS kutsuu asiantuntijoita yrityksistä, järjestöistä ja hallinnosta. PTS:n keskusjaosto ja sektorit antavat pooleille suunnittelutehtäviä. Pooli voi nimetä alatyöryhmiä harkintansa mukaan. Puolustustaloudellisessa suunnittelukunnassa toimii 24 poolia. Näiden kokoonpanoista ja toiminnasta sekä yhteystiedoista on lisätietoa jokaisen poolin omalla sivulla. Aluepooli Alkutuotantopooli Graafinen pooli Elektroniikkapooli Elintarviketeollisuuspooli ex.html Ilmakuljetuspooli l Joukkoviestintäpooli ml (5/15)

7 Kauppa- ja jakelupooli Kemianpooli Maankuljetuspooli l Metallipooli Metsäpooli Muovi- ja kumipooli Rahoitushuoltopooli Rakennuspooli Terveydenhuoltopooli Tietoverkkopooli Tietotekniikkapooli Vesihuoltopooli Vaatetuspooli (6/15)

8 Vakuutusalanpooli Vesikuljetuspooli Voimatalouspooli Öljytalouspooli VAHTI (Valtiohallinnon tietoturvallisuuden johtoryhmä) on Valtiovarainministeriön asettama hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen toimielin. VAHTI:ssa ovat edustettuina eri hallinnonalat ja -tasot. VAHTI:n tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta ja jatkuvuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi valtionhallinnon kaikkea toimintaa. Valtionhallinnon tietoturvallisuuden johtoryhmä käsittelee valtionhallinnon tietoturvallisuutta koskevat määräykset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset. Valtionhallinnon lisäksi VAHTI:n toiminnan tuloksia hyödynnetään laajasti myös kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. VAHTI on tunnettu muun muassa tietoturvajulkaisuista ja ohjeista sekä tietoturvahankkeistaan. Lisätietoa VAHTI:n toiminnasta on saatavilla osoitteesta: Lisätietoa VAHTI:n voimassa olevasta ohjeistuksesta on saatavilla osoitteesta: vaohjeet_ja_maaraykset/index.jsp Yhteystiedot: VAHTI:n puheenjohtaja: Mikael Kiviniemi Neuvotteleva virkamies Valtiovarainministeriö VAHTI:n sihteeristön puheenjohtaja Juhani Sillanpää Tietoturvallisuusasiantuntija Valtiovarainministeriö FICIX ry on Vuonna 1993 toimintansa aloittanut FICIX (Finnish Communication and Internet Exchange - FICIX ry) on Internetin suurin solmupiste Suomessa. Suomen merkittävimmät Internet-palveluntarjoajat ovat jäseninä FICIX:ssä. FICIX ry:n tehtävä on varmistaa korkealaatuisen Internet-yhdysliikenteen toimivuus jatkuvasti kehittyvässä suomalaisessa Internetissä ja kehittää suomalaista Internetiä edelleen. FICIX:n www-sivuilla on mahdollisuus tutustua muun aineiston lisäksi myös solmupisteen liikenne-tilastoihin. (7/15)

9 3.1.2 Kansainväliset OECD (Organisation for Economic Co-operation and Development) kokoaa yhteen valtiolliset toimijat keskustelemaan eri aiheista työryhmiin mm. huoltovarmuuskriittisen ympäristön turvaamiseen liittyvistä seikoista. OECD on koonnut vuonna 2002 edelleen valideina nähtäviä tietoturvallisuuteen liittyviä periaatteita, joita pidetään tänä päivänäkin useassa OECD:n jäsenvaltiossa tietoturvallisuustoiminnan strategisina tavoitteina. The Promotion of a Culture of Security for Information Systems and Networks in OECD Countries 27/ pdf Muista OECD:n www-sivuston välityksellä saatavia selontekoja ovat mm: The Development of Policies For Protection Of Critical Information Infrastructures ISF (Information Security Forum) on yksi maailman merkittävimmistä itsenäisistä tietoturvallisuusalan yhteistyöryhmistä, joka kokoaa yli 300 eri valtion sekä yksityissektorin toimijaa yhteen vaihtamaan näkemyksiä parhaista käytännöistä ja strategioista. ISF keskittyy myös huoltovarmuuskriittisen infrastruktuurin turvaamiseen liittyviin toimiin mm. järjestelmällä työkokouksia aihepiirin tiimoilta sekä kokoamalla raportteja. ISF:n jäsenyys ja sitä kautta pääsy dokumentaation pariin on maksullista. MAAWG (Messaging Anti-abuse Working Group) on yhteistyöryhmittymä, joka keskittyy internet-verkossa tapahtuvan taloudellisen tiedon kalastelun (Phishing) sekä muiden sähköpostiviestien välityksellä tehtävien ei-toivottujen toimien ennaltaehkäisyyn rakentaen luottamusta sähköisiin palveluihin. PCSF (Process Control Systems Forum) on yhteistyö-foorumi, joka keskittyy tehostamaan Legacy-pohjaisten järjestelmien ohjelmistokoodin kehitystä, suunnittelua sekä jalkauttamista turvallisuuden näkökulmasta käyttäen apunaan eri kansainvälisiä yhteistyötahoja. CVE (Common vulnerabilities and Exposures) on ohjelmistotuotteiden haavoittuvuuksia listaava toimija. Haavoittuvuustietokanta koostuu suuresta määrästä CVE-palveluun listatuista haavoittuvuuksista. CVE-palvelu on kansainvälisesti tunnettu ja se on saanut ns. "de facto"-aseman eri legitiimien haavoittuvuustutkijapiirien parissa. (8/15)

10 3.2 WWW-sivustot Kansalliset Viestintäviraston CERT-FI-yksikkö on tietoturvaloukkauksien ennaltaehkäisyyn, ratkaisuun sekä tietoturvauhkista tiedottamiseen keskittynyt ryhmittymä. Viestintävirasto on suomen tietoturvaviranomainen ja CERT-FI-yksikkö Viestintävirastossa toimiva kansallinen CERT-toimija. CERT-FI ylläpitää ja julkaisee kansallista tietoturvallisuuden tilannekuvaa eri raportointikanavia hyväksikäyttäen. Lisätietoa CERT-FI-yksiköstä sekä CERT-FI:n julkaisemista varoituksista, haavoittuvuustiedotteista, ohjeista, tietoturva nyt! artikkeleista sekä tietoturvallisuuden tilannekatsauksista on saatavilla osoitteesta: Yhteystiedot: Viestintäviraston CERT-FI-yksikkö Erka Koivunen CERT-FI yksikön päällikkö Jani Arnell Vanhempi tietoturva-asiantuntija (Huoltovarmuuskriittinen infrastruktuuri) Viestintäviraston teletoimintamääräykset velvoittavat kansallista teletoimintakenttää rakentamaan ja ylläpitämään mm. tietoturvallisuuden hallintajärjestelmää sekä ilmoittamaan Viestintävirastolle tietoturvaloukkauksista sekä merkittävistä vika- ja häiriötilanteista. Viestintäviraston määräykset muodostavat teletoimintakentässä tietoturvallisuuden perustason ja edesauttavat näin myös huoltovarmuuskriittisen toimijakentän tietoturvallisuustason ylläpitoa ja kehittämistä. Huoltovarmuuskeskus on kauppa- ja teollisuusministeriön hallinnonalan laitos, jonka tehtävänä on maan huoltovarmuuden ylläpitämiseen ja kehittämiseen liittyvä suunnittelu ja operatiivinen toiminta. Huoltovarmuuskeskus on julkaissut useita eri dokumentteja ja selontekoja eri huoltovarmuuskriittiseen toimintaympäristöön liittyen. Yksi tällaisista dokumenteista on nimeltään: "Viestintäverkkojen ja viestintäpalveluiden varmistaminen. Opas käyttäjille". Opas on saatavilla osoitteesta: F-Secure on suomalainen, yksi maailman johtavista antivirus- sekä henkilökohtaisten palomuuriratkaisujen toimittajista. F-Secure seuraa 24/7/365 myös muita internet-verkkoja uhkaavia tilanteita, kuten verkkoidentiteettien anastamiseen ja roskapostitukseen liittyviä uhkia. F-Secure:n (9/15)

11 muodostamaan tietoturvallisuuden tilannekuvaa on mahdollista seurata mm. Weblog:n välityksellä, joka on saatavilla osoitteesta: Digitoday on suomalainen IT-alan portaali, joka kokoaa yhteen uutisartikkeleita ympäri maailman. Digitoday-portaali sisältää myös tietoturvallisuus-osion, jonka kautta on mahdollista seurata kansallisia ja kansainvälisiä tietoturvallisuuden ilmiöitä Kansainväliset ENISA (European Network and Information Security Agency) eli Euroopan verkko- ja tietoturvaviraston on virallisesti vuonna 2005 operatiivisen toimintansa aloittanut EU:n alainen virasto, jonka tehtävänä on edistää eurooppalaista tietoturvaa ja tätä kautta turvata kilpailukykyä. ENISA:n teknisen osaston riskienhallintayksikkö on koonnut varsin kattavan listauksen riskienhallintamenetelmistä ja työkaluista sekä tarjoaa informaatiota mm. nykyisistä, nousevista ja tulevaisuuden uhkista. ENISA:n riskienhallintayksikön tuottama materiaali on saatavissa osoitteesta: CPNI (Center for the Protection of National Infrastructure) on Iso-Britannian valtiollinen toimija, jonka tehtävänä on mm. pienentää huoltovarmuuskriittisen infrastruktuurin haavoittuvuuksia vaikuttaen näin yhteiskunnan elintärkeiden toimintojen toiminnan jatkuvuuteen. CPNI tarjoaa palveluitaan huoltovarmuuskriittisen infrastruktuurin toimijoille ja on tehnyt useita selontekoja ja raportteja aihepiiriin liittyen. CPNI:n julkaisema materiaali on saatavilla osoitteesta: CPNI:n julkaisemat prosessien ohjausjärjestelmien turvallisuusdokumentaatio on saatavilla mm. osoitteesta: NIST (National Institute of Standards and Technology) on Yhdysvaltain standardointielin. Yleisien standardien lisäksi NIST on julkaissut myös parhaita käytäntöjä sekä muita selontekoja liittyen huoltovarmuuskriittisen infrastruktuurin turvaamiseen. Lisätietoja NIST:n toiminnasta on saatavilla osoitteesta: NIST on julkaissut myös suosituksen kansallisten huoltovarmuuskriittisten tietojärjestelmien turvaamiseen Guide to Industrial Control Systems (ICS) Security ja se on saatavilla osoitteesta: (10/15)

12 US-CERT (United States Computer Readiness Team) on Yhdysvalloissa yhteistyössä DHS:n (Department of Homeland Security) ja yksityissektorin toimijoiden kanssa toimiva CERT-yksikkö. Normaalin CERT-toiminnan lisäksi US-CERT on vahvasti keskittynyt huoltovarmuuskriittisen infrastruktuurin turvaamiseen ja julkaissut useita selontekoja ja raportteja aihealueeseen liittyen. CERT/CC (CERT Coordination Centre Carnegie Mellon University's Software Engineering Institute USA) CERT/CC on yksi maailman suurimmista ja tunnetuimmista CERTtoimijoista. CERT/CC tarjoaa CERT-palveluidensa lisäksi mm. listauksen kaikista maailman CERT-toimijoista. Symantec on yksi maailman johtavia tietoturvallisuusalan yrityksiä, joka tunnetaan mm. antivirus- ja palomuurituotteistaan sekä eri turvallisuusalan postituslistojen tarjonnastaan. Symantec on myös tehnyt selontekoja SCADA ja Prosessien ohjausjärjestelmien tietoturvallisuudesta, jotka ovat saatavilla osoitteesta: Symantec on myös tarkastellut prosessiohjaus- sekä SCADA-järjestelmien tietoturvaloukkaustapauksia ISID-palveluun raportoitujen tapahtumien perusteella: Symantecin verkko- ja ohjelmistoturvallisuutta käsittelevät postituslistat ovat saatavilla osoitteesta: Secunia on ohjelmistohaavoittuvuuksien raportointiin keskittynyt yritys, jonka kautta on mahdollista seurata myös joitain SCADA-ympäristöihin liittyviä haavoittuvuuksia. Secunian varoitukset on mahdollista myös tilata sähköpostitse. ISS (Internet Security Systems) on yhdysvaltalainen tietoturvallisuusalan yritys, joka on keskittynyt tuottamaan asiakkailleen tietoturvallisuuspalveluita sekä tuotteita, joista esimerkkeinä mm. hyökkäyksien havaitsemis- ja estojärjestelmät. ISS on myös tehnyt selontekoja SCADA-järjestelmien tietoturvallisuudesta, joista esimerkkinä: Anti-Phishing Working Group on maailmanlaajuinen yhteistyöryhmä, jonka tarkoituksena on jakaa tietoa verkkopetoksien sekä -identiteettien kalasteluun liittyen. (11/15)

13 Forrester on yksi johtavista konsultointi- ja tutkimusalan organisaatioista, joka on keskittynyt myös tietoturvallisuusalan tutkimukseen. Forresterin julkaiset raportit ovat maksullisia: Gartner on yksi maailman johtavista IT-alan konsultointi- ja tutkimuslaitoksista. Myös Gartner julkaisee tietoturvallisuuteen ja tätä kautta myös huoltovarmuuskriittisen infrastruktuurin turvaamiseen liittyviä raportteja, mutta ne ovat pääosion maksullisia. Finextra.com on finanssialan riippumaton toimija, joka kokoaa yhteen eri finanssialan tietolähteitä. Finnextra.com:n kautta on mahdollisuus tutustua myös alan tietoturvallisuusilmiöihin. ISC (Internet Systems Consortium) on ei kaupallinen konsortio, joka tukee omalla toiminnallaan Internetin infrastruktuuria kehittämällä internetin ydintoimintojen ohjelmistosovelluksia. SANS Institute on yhdysvaltalainen, yksi maailman suurimmista tietoturva-alan koulutus- ja sertifiointiyrityksistä. SANS julkaisee useita raportteja www-sivuillaan sekä ylläpitää mm. Top 20 Vulnerabilities -listaa. sekä jakaa internetin uhkatilannetietoa: ISO (International Organization for Standardization) on kansainvälinen standardointialan kattojärjestö. ISO:n www-sivustoilta löytyy kattava listaus mm. tietoturvallisuusalan standardeja. PCI/DSS on maksukorttiteollisuuden tietoturvallisuusstandardi. Standardi esittelee mittavan määrä tietoturvavaatimuksia eri tietoturvallisuuden osa-alueiden osalta. The Register on yksi IT-alan seuratuimpia verkko-portaaleja. The Register seuraa ja listaa myös tietoturvallisuuteen liittyviä artikkeleita ja ilmiöitä. E-Secure-IT seuraa 24/7/365 maailmanlaajuisia, tietoturvallisuuteen liittyviä ilmiöitä. E-Secure-IT:n välityksellä on mahdollista tilata huoltovarmuuskriittistä toimikenttää koskevia prosessiohjaus- sekä SCADA-järjestelmiin liittyviä haavoittuvuustiedotteita. (12/15)

14 Business Continuity Institute toimii liiketoiminnan jatkuvuuden osa-alueella kooten yhteen liiketoiminnan jatkuvuussuunnitteluun liittyvää materiaalia standardeista hyviin käytäntöihin Tutkimus- ja analysointitoiminta Kansalliset VTT on puolueeton asiantuntijaorganisaatio, joka kehittää uutta teknologiaa, tuottaa tutkimus-, kehitys-, testaus- ja tietopalveluita sekä kotimaisille että kansainvälisille asiakkailleen, yrityksille ja julkiselle sektorille. Osaamisellaan ja uusilla innovaatioilla VTT pyrkii lisäämään omistajansa ja asiakkaidensa teknistaloudellista kilpailukykyä ja yhteiskunnan hyvinvointia. VTT tekee työtä myös tietoturvallisuuden sekä riskienhallinnan parissa, josta hyvänä esimerkkinä PK-RH-riskienhallintamenetelmä. Yhteystiedot: VTT tietoturvatutkimus Reijo Savola Tutkimuskoordinaattori OUSPG (Oulu University Security Programming Group) on Oulun Yliopistossa toimiva ohjelmistotestaukseen keskittynyt yhteisö. OUSPG on löytänyt ja julkaissut useita merkittäviä haavoittuvuuksia ja tehnyt yhteistyötä turvallisempien ohjelmistotuotteiden kehittämiseksi. Codenomicon on suomalainen ohjelmistohaavoittuvuuksien analysointiin erikoistunut yritys. Codenomicon tarjoaa myös julkisesti saatavilla olevia raportteja ja taustatietoa omilla www-sivuillaan aihealueeseen liittyen Kansainväliset CI2RCO (Critical Information Infrastructure Research Co-ordination Project) on EU:n FP:n (Framework Program) rahoittama huoltovarmuuskriittisen infrastruktuurin turvaamiseen keskittyvä koordinointiprojekti, joka on koonnut yhteen useita eri alan toimijoita ja yhteisöjä. IIRRIS (Integrated Risk Reduction of Information-based Infrastructure Systems) on EU:n rahoittama tutkimusprojekti, joka keskittyy turvallisten huoltovarmuuskriittisten ympäristöjen tutkimiseen, simulointimallien rakentamiseen sekä pirstoutuneiden ympäristöjen yhdistämiseen. (13/15)

15 IIRRIS julkaisee myös CIIP Newsletter lehdykkää (ECN) yhteistyössä EU:n kanssa, jossa käsitellään huoltovarmuuskriittiseen toimintaympäristöön liittyviä ajankohtaisia asioita. George Mason University s Critical Infrastructure Protection Program on yhdysvaltalaisen yliopiston ylläpitämä tutkimushanke, joka tähtää huoltovarmuuskriittisen infrastruktuurin turvaamiseen tutkimalla eri lähestymistapoja ja strategiaa. ISID (Industrial Security Incident Database) on British Columbia Institute of Technology:n alainen hanke, joka keskittyy SCADA- ja prosessiohjausjärjestelmien tietoturvaloukkaustapahtumien tilastointiin. British Columbia Institute Of Technology:llä on käynnissä myös useita muita hankkeita sekä palveluita huoltovarmuuskriittiseen infrastruktuuriin liittyen. Digital Bond on yksi alan merkittävimmistä Huoltovarmuuskriittisen infrastruktuurin tutkimus- ja analysointitaloista, joka on julkaissut merkittävän määrän alan katsauksia sekä artikkeleita. Sandia National Laboratories on yhdysvaltalainen, myös huoltovarmuuskriittistä infrastruktuuria, tutkiva yhteisö. Sandia on julkaissut mm. selonteon "Common Vulnerabilities in Critical Infrastructure Control Systems" CAIDA (Cooperative Accociation for Internet Data Analysis) tarjoaa internet-liikenteen analysointipalveluita, joiden avulla on mahdollista mm. suunnitella ja seurata verkkoja sekä verkkojen reititystä ja kuormaa. CAIDA on julkaissut myös useita raportteja ja selontekoja. Team Cumry on vapaaehtoistyöhön perustuva teknologia-ihmisistä koostuva yhteistyöryhmä, jonka toiminta tähtää turvallisemman internet-yhteisön saavuttamiseen. Team Cumry tarjoaa mm. laajan valikoiman erilaisia tilastoja ja työkalua internet-liikenteen seurantaan ja analysointiin liittyen. RIPE NCC on internet-osoitteiston hallintaan keskittynyt toimija, joka tarjoaa suuren määrän internet-toimintaan liittyviä palveluita. RIPE:n jäseniä ovat teleyritykset ja internet-palveluntarjoajat pääosin Euroopan, Lähi-idän ja Keski-Aasian alueilta. (14/15)

16 SCNI (The Security of Critical Networked Infrastructures Action) on EU:n rahoittama hanke, joka keskittyy huoltovarmuuskriittisten infrastruktuureiden kuvauksien laatimiseen, riskien kartoittamiseen sekä ympäristöjen hallintaan turvallisuuden näkökulmasta Konferenssit ja seminaarit Kansalliset Kansallinen CIP-seminaari on Viestintäviraston ja Huoltovarmuuskeskuksen yhteistyössä järjestämä seminaari, joka kokoaa yhteen kansallisia huoltovarmuuskriittisiä organisaatioita kuulemaan ja keskustelemaan ajankohtaisista ilmiöistä sekä vaihtamaan tietoa hyvistä käytännöistä. Kansalliseen CIP-seminaariin pääsee vain kutsun perusteella. Yhteystiedot: Jani Arnell Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi Tuija Kyrölä Valmiuspäällikkö Huoltovarmuuskeskus etunimi.sukunimi@nesa.fi Kansainväliset Meridian on valtiollinen, huoltovarmuuskriittisen ympäristöjen turvaamiseen sekä tiedonvaihtoon keskittynyt yhteistyöryhmittymä, joka kokoaa yhteen eri maiden edustajia. Yhteistyöryhmä jakaa mm. kokemuksia kansallisista strategioista sekä toimintamalleista mm. yksityissektorin ja valtiollisten toimijoiden yhteistyön saralta. Meridianyhteistyöhön osallistuu Suomesta eri ministeriöiden valitsema edustusto. Vuonna 2007 Suomesta olivat edustettuina Liikenne- ja viestintäministeriön hallinnonala sekä Sisäministeriön hallinnonala. Yhteystiedot: Kari Ojala Viestintäneuvos Liikenne- ja viestintäministeriö etunimi.sukunimi@mintc.fi Jani Arnell Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi (15/15)