IoT-järjestelmien parhaat turvallisuuskäytännöt mitä niissä on sairaaloille?

Samankaltaiset tiedostot
Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Kyberturvallisuus kiinteistöautomaatiossa

Vesihuolto päivät #vesihuolto2018

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Älykkäät tietojärjestelmät - turvalliset sensorit osana potilaan hoitoa

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Pilvipalveluiden arvioinnin haasteet

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Fennian tietoturvavakuutus

TEEMME KYBERTURVASTA TOTTA

Verkostoautomaatiojärjestelmien tietoturva

Mobiililaitteiden tietoturva

Neljännen sukupolven mobiiliverkon tietoturvakartoitus Operaattorin näkökulma

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

TIETOTURVALLISUUDESTA

Verkostoautomaatiojärjestelmien tietoturva

Tietoturvan haasteet grideille

Tekoäly ja tietoturva Professori, laitosjohtaja Sasu Tarkoma Tietojenkäsittelytieteen laitos Helsingin yliopisto

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

Tietoturvavinkkejä pilvitallennuspalveluiden

Älykästä. kulunvalvontaa. toimii asiakkaan omassa tietoverkossa

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Tietoturvan haasteet grideille

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

TIETOPAKETTI EI -KYBERIHMISILLE

TEEMME KYBERTURVASTA TOTTA

Lääkinnällisten ja taloteknisten tietoverkkojen eriyttäminen Sairaalatekniikan päivät Hämeenlinnassa

Ajankohtaiset kyberuhat terveydenhuollossa

Suojaamattomien automaatiolaitteiden kartoitus 2016

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Tuotetta koskeva ilmoitus

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Tietoturvallisuus yhteiskunnan, yritysten ja yksityishenkilöiden kannalta

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

TEEMME KYBERTURVASTA TOTTA

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Käyttöjärjestelmät(CT50A2602)

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Kannattavuutta talotekniikan elinkaari- ja ylläpitopalveluilla

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Tietosuojaseloste. Trimedia Oy

Maatilan tietoturva. Jorma Flinkman, Esedu Seinäjoki

Standardien PCI DSS 3.0 ja Katakri II vertailu

Kyberturvallisuus yritysten arkipäivää

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

Vaivattomasti parasta tietoturvaa

Tietoturvallisuuden ja tietoturvaammattilaisen

SUOJAA JA HALLINNOI MOBIILILAITTEITASI. Freedome for Business

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Lääketieteellisen tekniikan ja taloautomaation suojaaminen digitalisoituvassa toimintaympäristössä Istekki Asiakaspäivät 2018

Esineiden internet on jo totta teollisuudessa. Tietosuoja-lehti 1/2015. Teksti: Antti J. Lagus

Varmaa ja vaivatonta viestintää

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Ti Tietoturvan Perusteet : Politiikka

FI Moninaisuudessaan yhtenäinen FI A8-0245/258. Tarkistus

Tieto- ja viestintätekniikan sisällöt ja tavoitteet vuosiluokittain Alavuden perusopetuksessa. (ver )

Kyberturvallisuuden implementointi

Tieto ja turvallisuus SOTE:n ytimessä. 3T-tapahtuma, Jyväskylä, Perttu Halonen

Palvelunestohyökkäykset

VALVO JA VARAUDU PAHIMPAAN

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

Miten varmistat taloteknisten järjestelmien tietoturvallisuuden?

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

Näin salasanasi murretaan jopa muutamassa minuutissa ja se on yllättävän helppoa, sanoo asiantuntija

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Tietoturvakoulutus Turun ammattikorkeakoulun Tietojenkäsittelyn koulutusohjelmassa (AMK) ja DP in Business Information Systems issä (YAMK)

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

FI Moninaisuudessaan yhtenäinen FI A8-0245/235. Tarkistus

Keskeiset muutokset vaatimustenmukaisuuden osoittamisessa Vaatimustenmukaisuus käytännössä

Uusi sairaala, Keski-Suomen Sairaala Nova Kyberturvallisuus sairaalaympäristössä

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Kiinteistöautomaatio- ja turvallisuusjärjestelmä - palveluiden suojaaminen

Turvaa logistiikka kuljetusten ja toiminnan turvallisuus

TARTTIS TEHDÄ JOTAKIN! Juha-Matti Heljaste F-Secure Oyj

Tietoturvakonsulttina työskentely KPMG:llä

Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa. Janne Tägtström Security Systems Engineer

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Transkriptio:

Muistio 1 (5) Perttu Halonen 25.1.2018 Yhteistyöverkostot ja tilannekuva IoT-järjestelmien parhaat turvallisuuskäytännöt mitä niissä on sairaaloille? Perttu Halonen tietoturva-asiantuntija, Viestintäviraston Kyberturvallisuuskeskus 1 Johdanto Tiivistelmä 7.2.2018 pidettävän esitelmän sisällöstä. Tämä esitelmä perustuu Euroopan verkko- ja tietoturvavirasto ENISA:n suositukseen "Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures", marraskuu 2017, saatavilla osoitteessa https://www.enisa.europa.eu/publications/baseline-securityrecommendations-for-iot. Lisäksi esitelmä sisältää esitelmän pitäjän omia pohdintoja suosituksen soveltamisesta suomalaisessa sairaalamaailmassa. Tässä esitelmässä käytetään väljää IoT:n määritelmää: IoT-laite on mikä tahansa elektroninen tietoverkkoihin kytkettävissä oleva tietojenkäsittelylaite, joka on valmistettu johonkin tiettyyn käyttötarkoitukseen ja jota ei voida suojata tietoturvauhilta yleiskäyttöisissä tietokoneissa toimivilla ratkaisuilla. Telelääketiede ja älykkäät sairaalat ovat yksi yhteiskunnan elintärkeistä toiminnoista, joiden tietoturvaa ENISA on tutkinut aiemminkin ja tämä suositus on laadittu aiempien tutkimusten varaan. Suosituksessa IoT:n käyttöä ja suojaamista tarkastellaan kuitenkin pääasiassa horisontaalisesti (tekniikka ja hallinnan taso kerrallaan), joten yksittäisten suositusten soveltamista tulee arvioida jokaisella sovellusalueella erikseen. 2 Suosituksen tavoite Tietoturvalliset ja yksityisyyttä suojaavat tuotteet suunnittelupöydältä lähtien. Suojauskeinot horisontaalisesti jaoteltuina eli hallinnan tasoittain: Tietojärjestelmien tietoturvan ja riskien hallinta: ISO 27000 etc. Ekosysteemin hallinta: Tietotekniikan tietoturva-arkkitehtuuri Tietotekniikan ylläpidon työkalujen tietoturvallisuus Identiteetin ja pääsyn hallinta Tietotekniikan ylläpidon menetelmien tietoturvallisuus Fyysinen ja ympäristön turvallisuus DOHA-#4551362-v1-IoT-järjestelmien_parhaat_turvallisuuskäytännöt_-_mitä_niissä_on_sairaaloille_.docx

2 (5) Havainnointi ja tarkkailu Poikkeamanhallinta Toiminnan jatkuvuuden hallinta Kriisien hallinta Vertikaalisesti jaoteltuina eli päästä päähän tarkasteltuna: Politiikat. Sairaala voi itse suoraan vaikuttaa näihin. Organisaatioon, ihmisiin ja prosesseihin perustuvat suojauskeinot. Sairaala voi itse suoraan vaikuttaa näihin. Tekniset suojauskeinot. Nämä on pääsääntöisesti oltava sisään rakennettuina IoT-tuotteissa. 3 IoT:n nykytila Kultaryntäys ja kilpailevia pyrkimyksiä standardien kehittämiseksi. Sairaaloiden IoT-järjestelmiä: lääkinnälliset laitteet, rakennusten LVISjärjestelmät, laitostekniikka (pesukoneet, kuljettimet), jätehuolto, kiinteistön turvatekniikka, tilanvarausjärjestelmät 4 Uhkaskenaarioita IoT-asiantuntijat pitävät yleisimmin kriittisen tärkeinä sensoreita, laitteiden ja verkon hallintaa, yhteyskäytäntöjä, välityspalvelimia ja sovelluksia ja palveluita. IoT-asiantuntijat pitävät seuraavia uhkia vaikutuksiltaan kaikkein suurimpina: arkaluontoisen tiedon paljastuminen tai luvaton muokkaaminen, DDoS, haittaohjelmat, heikot salasanat, exploit kitit, salakuuntelu, yksityisyyden loukkaukset, verkkoyhteyden katkeaminen, APT, murrettujen laitteiden pahantahtoinen käyttö. Alla on keskeisiä hyökkäysskenaarioita. Arvio skenaarion tärkeydestä on suosituksen tekijöiltä. Arvio relevanssista sairaalalle on esitelmän pitäjän tekemä. 4.1 Hallintayksikön ja ohjauslaitteiden välistä verkkolinkkiä vastaan Relevanssi sairaalalle: keskimääräinen. Jos verkot on segmentoitu hyvin ja verkkojen rajoja valvotaan, ei-luotetut henkilöt eivät helposti pääse käsiksi potilaisiin tai sairaalaan suoraan vaikuttaviin verkkoihin. Vaan onko segmentoitu ja valvotaanko? Hallintayksikkö voi olla myös sairaalan ulkopuolella esimerkiksi pilvipalvelussa tai laitteen valmistajan verkossa. Jälkimmäisiä vastaan tehtyjen DDoS-hyökkäysten kohteeksi on mahdollista joutua aivan sattumaltakin. 4.2 Mittalaitteita vastaan: mittaustulosten tai asetusten muuttaminen

3 (5) Relevanssi sairaalalle: keskimääräinen. Potilashuoneiden verkoissa lienee mahdollista sekä kuunnella muiden liikennettä että esiintyä väärennetyllä osoitteella. Lääkinnälliset laitteet kuten potilasmonitorit eivät useinkaan ole hyvin suojattuja. Hyökkääjän motivaatio voisi olla esimerkiksi tietyn potilaan vahingoittaminen tai omaan hoitoon vaikuttaminen. Sairaaloissa on myös rikollisia kiinnostavia aineita, joten rikollisia voi kiinnostaa vaikuttaa esimerkiksi vartiointiin. 4.3 Ohjauslaitteita vastaan: asetusten muokkaaminen Relevanssi sairaalalle: keskimääräinen. Jos verkot on segmentoitu hyvin ja verkkojen rajoja valvotaan, ei-luotetut henkilöt eivät helposti pääse käsiksi potilaisiin tai sairaalaan suoraan vaikuttaviin verkkoihin. Vaan onko segmentoitu ja valvotaanko? Hyökkääjän motivaatio voisi olla esimerkiksi tietyn potilaan vahingoittaminen tai omaan hoitoon vaikuttaminen. Sairaaloissa on myös rikollisia kiinnostavia aineita, joten rikollisia voi kiinnostaa vaikuttaa esimerkiksi kulunvalvontaan. 4.4 IoT-järjestelmän ylläpitojärjestelmää vastaan Relevanssi sairaalalle: korkea. Potilashuoneiden verkoissa lienee mahdollista sekä kuunnella muiden liikennettä että esiintyä väärennetyllä osoitteella. Näin potilashuoneista voi hyökätä myös ylläpitojärjestelmiä vastaan. Julkisessa internetissä oleva hallintajärjestelmää vastaan saatetaan hyökätä myös ihan sattumalta. Sairaaloissa on myös rikollisia kiinnostavia aineita, joten rikollisia voi kiinnostaa vaikuttaa ylläpitojärjestelmän kautta vartiointiin ja kulunvalvontaan. 4.5 Yhteyskäytäntöjen haavoittuvuuksien hyväksikäyttö Tärkeys: korkea Relevanssi sairaalalle: matala. Muunlaiset hyökkäykset ovat helpompia toteuttaa ja niillä saadaan vähintään samoja seurauksia kuin yhteyskäytäntöjen haavoittuvuuksien hyväksikäytöllä. Lääkinnällisten laitteiden yhteyskäytännöissä lienee tosin enemmän yhteyskäytäntöjen haavoittuvuuksia kuin muissa IoT-laitteissa, sillä lääkinnällisten laitteiden valmistajat vaikuttavat luovan omia yhteyskäytäntöjään kerkeämmin kuin muiden laitteiden valmistajat. 4.6 Laitteita vastaan: komentojen ujuttaminen laitteen konsolille Relevanssi sairaalalle: keskimääräinen. Jos järjestelmä tai sen osia on saavutettavissa internetistä, satunnaiset hyökkääjät yrittävät varmasti profiloida sitä ja saada sitä automatisoidusti hallintaansa. Hyökkääjä ei tyypillisesti tiedä eikä välitäkään siitä, että kohde on sairaalan järjestelmä. Hyökkääjän komentojen ujuttaminen voi helposti häiritä laitteen tai järjestelmän normaalia toimintaa tai paljastaa arkaluontoisia tietoja.

4 (5) 4.7 Kohteen käyttö välietappina muihin tietomurtoihin Tärkeys: keskimääräinen - korkea Relevanssi sairaalalle: korkea. Samat perusteet kuin komentojen ujuttaminen laitteen konsolille -tapauksessa. Sairaala käyttää usein palveluntarjoajia tukitoimintoihin kuten laitoshuoltoon tai kiinteistöhuoltoon. Sairaalan voi olla vaikea vaikuttaa palveluntarjoajien tietoturvallisuuteen ja hyökkäys voi olla helppoa toteuttaa palveluntarjoajan kautta. 4.8 DDoS:n tekeminen IoT-bottiverkolla Tärkeys: keskeinen Relevanssi sairaalalle: keskimääräinen. Samat perusteet kuin komentojen ujuttaminen laitteen konsolille -tapauksessa. 4.9 Laitteen virtalähteen tai sähkövirtaa koskevien tietojen manipulointi Tärkeys: keskimääräinen - korkea Relevanssi sairaalalle: keskimääräinen. Sairaaloissa ei liene paljoa muita akuilla toimivia tai akkuvarmennettuja IoT-laitteita kuin sydämentahdistimia. Toisaalta sydämentahdistimen mikä tahansa vikatoiminto voi olla fataali, joten niiden mahdollisuus kannattaa ottaa vakavasti. 4.10 Kiristyshaittaohjelma Tärkeys: keskimääräinen - keskeinen. Relevanssi sairaalalle: korkea. IoT-järjestelmien ylläpitojärjestelmät ovat yleensä yleiskäyttöisiä tietokoneita ja niissä toimivia kiristyshaittaohjelmia on liikkeellä paljon. Vertaa ylläpitojärjestelmää vastaan tehtävään hyökkäykseen. 4.11 Asiantuntijoiden mielestä kriittisimmät hyökkäysskenaariot 1. IoT:n ylläpitojärjestelmän murto. 2. IoT-laitteiden parametrien muuttaminen. 3. IoT-bottiverkko / komentojen ujuttaminen. 5 Kriittisimpiä suojauskeinoja Kriittisimpiä hyökkäysskenaarioita vastaan toimivat yhteiset suojaukset eli suojaukset, jotka esiintyvät ainakin kahden skenaarion yhteydessä: ohjelmakoodin kryptografinen allekirjoittaminen ja ajonaikainen turvallisen suorituksen valvonta ohjelmakoodin asentamisen hallinta tuotantojärjestelmissä toimintamalli turvalliseen tilaan palaamiseksi tunnista merkittävät riskit syvyyssuuntaista puolustusta silmälläpitäen

5 (5) salasanojen ja käyttäjätunnusten vaihto, salasanojen laatu laitteen (lokien) säännöllinen valvonta 6 Nykyisiä suojauskeinoja sairaaloille Vaadi valmistajilta tietoturvallisten kehitysmenetelmien ja tietoturvatestauksen käyttöä, ja vaadi niitä päivittämään tuotteidensa ohjelmistoja (sekä omia että kolmansien osapuolten valmistamia). Huoltovarmuuskeskuksen Kyber-Terveys-hankkeessa kootaan ja kehitetään parhaita käytäntöjä ainakin seuraavista kokonaisuuksista: henkilökunnan koulutus, tietoturvan valvonta ja operointi, ja tietoturvalliset hankinnat. Ne kattavat hyvin myös IoT-maailman haasteita. 7 Tavoitetilan ja nykytilan erot Tietoturvan toteutustavat ja sääntely ovat pirstaleisia. Harva ymmärtää IoT:n tietoturvaa tai käsittää tietoturvan tarvetta. Tietoturvaa ei huomioida IoT-tuotteiden suunnittelussa ja kehitystyössä. Eri IoT-laitteet ja -alustat toimivat huonosti yhteen. Nykyinen kultaryntäys IoT-markkinoille suosii toiminnallisuuksien nopeaa markkinoille tuontia ja vieroksuu resurssien käyttöä tietoturvan kehitykseen. Tuotteiden elinkaaria ei hallita kunnolla eivätkä valmistajat tarkastele tuotteiden tietoturvaa järjestelmätasolla. 8 Suosituksia korkean tason toimenpiteiksi IoT:n tietoturvaa koskevien liikkeiden ja sääntelyn harmonisoinnin edistäminen. Tässä voisi olla toiminnan paikka SSTY:llekin. Tietoisuuden kasvattaminen IoT:n tietoturvan tarpeellisuudesta. Tämä on jokaisen asia. Tietoturvallisen ohjelmiston ja laitteiston kehittämisen ohjeiden määrittely IoT:tä varten. Tämä on lähinnä valmistajien tehtävä. IoT-ekosysteemin läpäisevä pyrkimys yhteisymmärrykseen IoTjärjestelmien yhteensopivuudesta. Tässä voisi olla toiminnan paikka SSTY:llekin. Taloudellisten ja hallinnollisten kannustimien edistäminen IoT:n tietoturvan parantamiseksi. Tässä voisi olla toiminnan paikka SSTY:llekin. IoT-tuotteiden ja -palveluiden tietoturvallisen elinkaaren hallinnan mallin luominen. Tämä on lähinnä valmistajien tehtävä. Vastuiden selkeyttäminen IoT:n sidosryhmien välillä. Tämä on lähinnä valmistajien ja viranomaisten tehtävä.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute