Vesihuolto päivät #vesihuolto2018

Samankaltaiset tiedostot
Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Kyberturvallisuus kiinteistöautomaatiossa

Turvallisuus kehittyy joko johtajuuden tai kriisin kautta

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

TEEMME KYBERTURVASTA TOTTA

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

TEEMME KYBERTURVASTA TOTTA

Diplomityöseminaari

- ai miten niin? Web:

TEEMME KYBERTURVASTA TOTTA

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

VALVO JA VARAUDU PAHIMPAAN

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Avoimet laitteet - riski verkossa Antti Kiuru@KiuruAntti Kyberturvallisuuskeskus, Viestintävirasto. Antti Kiuru, Tilannekeskuksen päällikkö

Digimarkkinoinnin uudet pelisäännöt Huhtikuu 2015

Kyberturvallisuus 2015 Snowdenin paljastuksista konkreettisiin tekoihin

Esineiden internet on jo totta teollisuudessa. Tietosuoja-lehti 1/2015. Teksti: Antti J. Lagus

Kyberturvallisuuden implementointi

Tietoturvakonsulttina työskentely KPMG:llä

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Tietoturvallisuus yhteiskunnan, yritysten ja yksityishenkilöiden kannalta

VESIHUOLTOLAITOKSEN OMAISUUDENHALLINNAN KÄSIKIRJA

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Ti Tietoturvan Perusteet : Politiikka

Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

WHO peräänkuuluttaa muoviroskaamisen lopettamista ja lisää tutkimustietoa mikromuoveista

TIETOPAKETTI EI -KYBERIHMISILLE

Langattoman kotiverkon mahdollisuudet

Kyberturvallisuus 2015 Snowdenin paljastuksista konkreettisiin tekoihin

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Vesihuoltolaitoksen häiriötilanteisiin varautuminen

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

KUSTANNUSTEHOKAS, TURVALLINEN JA VERKOTTUNUT VESIHUOLLON TIETOTEKNIIKKA MYYTTI VAI MAHDOLLISUUS

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Liiketoimintaa ICT-osaamisesta vahvuuksilla eteenpäin. Jussi Paakkari, teknologiajohtaja, VTT, R&D, ICT

MAAILMAT YHTYY MITEN YLITTÄÄ KUILU TURVALLISESTI

TIETOTURVALLISUUDESTA

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Verkottunut suunnittelu

Virustorjuntaohjelman F-Secure 5.54 asennus kotikoneelle

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Pohjois-Suomen Vesihuoltopäivät Ruka. Ajankohtaiskatsaus VVY:stä. Koulutuspäällikkö Anna-Maija Hallikas Vesilaitosyhdistys

VISUAALINEN TIETOTURVASUUNNITELMA PENTTI LIIKANEN

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Ilmastonmuutoksen vaikutukset vesihuoltoon ja hulevesiin - kommenttipuheenvuoro

SUUNNITTELUN TEHTÄVÄMÄÄRITTELYT LAITOSHANKKEISSA

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Verkostoautomaatiojärjestelmien tietoturva

TILINPÄÄTÖS 2015 JA NÄKYMÄT

Teollisuusautomaation standardit. Osio 2:

F-SECURE SAFE. Toukokuu 2017

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

- ai miten niin?

Verkostoautomaatiojärjestelmien tietoturva

Teollisuusautomaation tietoturvaseminaari

Digitalisaatio ja kyberpuolustus

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

ENERGIATEHOKAS VESIHUOLTOLAITOS Energiatehokkuuden huomioiminen suunnittelussa, saneerauksissa ja hankinnoissa 4/2018

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Standardien PCI DSS 3.0 ja Katakri II vertailu

IoT-järjestelmän ja ulkovalaistuksen ohjauksen hankinta -markkinavuoropuhelutilaisuus

Siemens Webserver OZW672

Hyvälaatuinen talousvesi ja tehokkaasti puhdistetut jätevedet ovat hyvinvointimme perusta.

Digitalisaatio oppimisen maailmassa. Tommi Lehmusto Digital Advisor Microsoft Services

Juha Viinikka, Senior Manager, Corporate Security, Kesko

Kyber- hyökkäykset. Mitä on #kyberturvallisuus #CyberSecurity.

Vesihuollon rakennemuutoksesta

Vesihuoltolaitosten kehittämistarveselvitys: mitä kehitettävää seuraavaksi?

IoT (Internet-of-Things) - teknologian hyödyntäminen rakennuksien paloturvallisuuden kehityksessä ja integroidussa älykkäässä ympäristössä

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

IoT-järjestelmien parhaat turvallisuuskäytännöt mitä niissä on sairaaloille?

ENERGIANKÄYTÖN SEURANTA JA ANALYSOINTI Energiatehokas vesihuoltolaitos 3/2018

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

Vuorekseen liittyvä tutkimusja kehitysprojekti. Langaton Vuores. Kotikatupalvelin

Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa. Janne Tägtström Security Systems Engineer

Jos luet viestin mieluummin selaimella, klikkaa tästä. Lue lisää. Yhdyskuntajätevesien käsittelystä annetun direktiivin vaikutusten kuulemineni

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

IEC Sähköisten/eletronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus

Sonera perustaa Helsinkiin Suomen suurimman avoimen datakeskuksen. #SoneraB2D

SUOMEN SUURI PUTKIREMONTTI

- ai miten niin?

TIETOTURVA. Miten suojaudun haittaohjelmilta

TeleWell TW-EA716. ADSL modeemi Palomuuri 4 porttinen 10/100 Mbps kytkin. Pikaohje. Copyright Easytel Oy Finland

Smart cities - nyt ja huomenna

Varmaa ja vaivatonta viestintää kaikille Suomessa Viestintätoimialan muutostekijät 2010-luvulla

Vesihuoltolain keskeisimmät muutokset

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Poikkeavuuksien havainnointi (palvelinlokeista)

Tietotekniikan koulutus Savonlinnassa

Internet of Things. Ideasta palveluksi IoT:n hyödyntäminen teollisuudessa. Palvelujen digitalisoinnista 4. teolliseen vallankumoukseen

Transkriptio:

TEKNOLOGIAN TUTKIMUSKESKUS VTT OY Vesihuolto 2018 -päivät #vesihuolto2018 Kyber-turva-vesi-hanke Heimo Pentikäinen Teknologian tutkimuskeskus VTT Oy Esityksen sisältö: Perustiedot Hankkeessa laaditut ohjeet Vaatimuspatteristo Ohjeita ja vaatimuksia, esimerkkejä Miten vesihuollon kyberturvallisuutta kehitetään Kyberturvallisuuden hallinta Standardit ja hyviä käytäntöjä Huomioita tähän päivään Huomioita huomiseen #vesihuolto2018 2 1

Kyber-turva-vesi-hanke - perustiedot Hankkeen tavoitteena on vesihuoltolaitosten automaatiojärjestelmien ja niihin liittyvien rajapintojen riskienhallinnan ja turvallisuuden kehittäminen. Painopiste on kyberturvallisuudessa. Hanke on 2 vuotinen, kesä 2016 - kesä 2018. Osallistujina kuusi vesihuoltolaitosta. Rahoittajina osallistujien lisäksi Huoltovarmuuskeskus ja Vesihuoltolaitosten kehittämisrahasto. Toteuttaa VTT. Projektipäällikkönä Heimo Pentikäinen. Sähköposti: heimo.pentikainen@vtt.fi Puhelin: 044-7307161 #vesihuolto2018 3 Hankkeessa laaditut ohjeet Hankkeessa on laadittu seuraavat ohjeet / raportit vesihuoltoalalle: Vaatimuspatteristo. Lyhyet kyberturvallisuusohjeet vesihuoltolaitoksille. Työnimi: Fyysinen turvallisuus kyberturvallisuuden näkökulmasta. Työnimi: Radiomodeemien, radiolinkkien sekä mobiili- että IoTlaitteiden kyberturvallinen käyttö vesihuollossa. Työnimi: Kyberturvallisuuden hallinta. Työnimi: Etäyhteydet. Työnimi: IDS:n (Intrusion Detection System tunkeutumisen havaitsemisjärjestelmä) käyttö vesihuollossa. #vesihuolto2018 4 2

Vaatimuspatteristo Vaatimuspatteriston avulla voidaan selvittää laitoksen kyberturvallisuuden nykytilanne. Saadaan esille hyvin olevat asiat ja kehittämistä vaativat kohteet. Vaatimukset jakaantuvat hallinnollisiin ja teknisiin vaatimuksiin sekä lisäksi on listattuna vähimmäisvaatimukset, joita on noin 20 kpl. Muuten vaatimuksia on yhteensä n. 120 kpl. Ajatuksena on, että vaatimuspatteristoa pystyy käyttämään sekä itsenäisesti että kyber-asiantuntijan kanssa. Tavoitteena, että vaatimuspatteriston avulla tarkistetaan tilanne säännöllisesti, esim. vuosittain. Vaatimuspatteristo on taulukkolaskennan sovellus. #vesihuolto2018 5 Ohjeita ja vaatimuksia, esimerkkejä Riskien arviointi: Automaatiojärjestelmien kattava riskien arviointi on ajan tasalla. Hankintojen vaatimukset: Automaatiojärjestelmän vaatimukset on hyvin dokumentoitu tai muuten hyvin tiedossa. Automaatioverkon tulee olla erotettu toimistoverkosta tai muusta dataverkosta joko fyysisesti tai tiukoilla palomuurien suodatussäännöillä, t.s. dataliikenne on kontrolloitua. Suora yhteys Internetiin on kielletty automaatioverkosta (huomaa erityisesti 2G, 3G ja 4G modeemit sekä IoT-laitteet). Admin-oikeuksia tietokoneessa saa käyttää vain tarvittaessa. Viestintäviraston ohje salasanoille: Suositellaan vähintään 15 merkkiä. Tuotantokäytössä olevaa laitetta ei saa käyttää sähköpostin käsittelyyn. Konetta, jolla on käsitelty sähköposteja ei saa yhdistää automaatioverkkoon. #vesihuolto2018 6 3

Miten vesihuollon kyberturvallisuutta kehitetään Vesihuolto on yksi elintärkeä toiminne yhteiskunnassa, ja se tulee suojata mahdollisimman hyvin kyberuhilta ja -hyökkäyksiltä. Jokaisen panos on tärkeää ja on tietoinen valinta, jos ei tee omaa osuuttaan (tietoa on tarpeeksi saatavilla): Johto määrittää ylätason ohjeet (kyberturvallisuuspolitiikan) ja hyväksyy käytännön ohjeet. Johdon tehtävä on myös antaa 'aikaa ja rahaa' kyberturvallisuuteen. Työnjohto seuraa ja tarvittaessa parantaa ohjeita, että ne ovat käytännöllisiä. Jokainen noudattaa ohjeita (johto, työnjohto, asentajat, siivoojat ja ulkopuoliset) ja tarvittaessa antaa palautetta. Palautteen avulla ohjeista saadaan parempia. Jatkuva parantaminen on tärkeää, kyberturvallisuutta ei saada yhdellä kerralla kuntoon. #vesihuolto2018 7 Kyberturvallisuuden hallinta Hallinnan kokonaiskuva: #vesihuolto2018 8 4

Standardit ja hyviä käytäntöjä Automaation turvalliseen rakentamiseen löytyy hyviä käytäntöjä ja standardeja, kunhan niitä vain otetaan käyttöön. Kirja TEOLLISUUSAUTOMAATION TIETOTURVA: https: //www.viestintavirasto.fi/attachments/tietoturva/teollisuusautomaationtiet oturva.pdf Standardit: IEC 62443-sarja automaatioon ja ISO27000-sarja yleiseen tietoturvaan, Hyviä käytäntöjä: NIST- ja SANS-ohjeet (ovat USA:sta ja englanniksi) sekä VTT:n tuottamat: Kyber-teo-hankkeen julkaisu 2014, löytyy Huoltovarmuuskeskuksen julkaisulistasta: https://www.huoltovarmuuskeskus.fi/julkaisut/ nimellä 'Kyberturvallisuuden kehittäminen ja jalkauttaminen teollisuuteen vuonna 2014', ja Kyber-teo - tuloksia 2014-2016 Julkisten tulosten kooste, löytyy: http://www.vtt.fi/inf/pdf/technology/2017/t298.pdf. #vesihuolto2018 9 Huomioita tähän päivään Asenne vesihuollon hoitajilla on erinomainen, yleisturvallisuus on hyvin mukana; mutta kyberturvallisuus vaatii panostuksia, johtunee kyberin eikonkreettisesta luonteesta. Yhteistyö automaation ja IT-osaston kanssa, tiketöinti ; riskinä on että kybersuojaukseen jää aukkoja muutoksen tai erikoistilanteen (mm.huollon) jälkeen, jos yhteistyö ei ole saumatonta, taustalla tosiasia, että automaation ja IT:n perusvaatimukset eroavat toisistaan. Vesihuoltolaitosten kirjo on laaja, vaatimuspatteristossa on vähimmäisvaatimukset 'kaikille laitoksille'. Internetissä jokainen päivä on aprillipäivä! #vesihuolto2018 10 5

Huomioita huomiseen IoT (Internet of Things tai Industrial IoT (IIoT)), vaikkakin se on osittain tuttu juttu radiomodeemien kautta, IoT:n sovellusalueena mainitaan usein vesihuolto, IoT-laitteet tarjoavat lisääntyvän mahdollisuuden hyökkääjille. Pilvipalvelut sekä 'IoT & pilvi'. NIS-direktiivi, jossa yhtenä toimialana on '6. Juomaveden toimittaminen ja jakelu' ja kansallinen määräys koskee myös jätevettä kun määrä ylittää 5000 kuutiota vrk:ssa, aktiiviseksi toukokuussa 2018. Elinkaari, yksinkertaistettu kaari; hankinta - omaisuuden hallinta käytön aikana - poisto. Verkon valvonta; IDS (Intrusion Detection Systems), SIEM (Security Information and Event Management). Sähköiset/elektroniset lukot ovat tulossa myös vesihuoltoon, kannattaa selvittää asiantuntijan avulla millaisia lukkoja saatavilla sekä niiden hyvät puolet että kyber-riskit. #vesihuolto2018 11 TEKNOLOGIASTA TULOSTA 6

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute