Teollisuusautomaation tietoturvaseminaari Käyttöympäristön tietoliikenneratkaisujen tietoturvallisuus Jari Seppälä Tutkija TTY Systeemitekniikka Automaatio ja informaatioverkkojen tutkimusryhmä
Jari Seppälä? 2 Tutkimus Älykkäät menetelmät, pehmolaskenta DI96, Tasavirtakäyttöisen hissin neuroverkkomalli Dynaamisen prosessidatan älykäs visualisointi Tietoverkkopohjainen automaatio Etäteknologioiden automaatiosovellukset, 1999-2002 Hajautettujen automaatiojärjestelmien sovellukset, 2003-2005 Tietoturvaa teollisuusautomaatioon, 2008-2010 Ohjelmaturva, 2009-2011 Julkaisuja Teollisuusautomaation tietoturva verkottumisen riskit. SAS 2005 Langaton tekniikka - hypeä vai hyötyä? Automaatioväylä 1/2007 Teollisuuden tietoliikenne kenttäväylät. Inspecta Oy 2008 Tietoturva on osa automaation käytettävyyttä, Automaatioväylä 5/2008
Sisältö - näkökulmana ulkopuoliset käyttäjät 3 Ulkoistettu tutkimustoiminta (Yliopistot, VTT,...) Huoltohenkilöstö Tarpeet, vaarat sekä esimerkkitapauksia Yhteenveto Vendor s security process Customer s security process Product Development Process Sales Delivery Project Management Delivery Integration Common Principles Hand-over Maintenance Long Lifecycle Vendor s responsibilities Development Projecting Start-up Production Customer s responsibilities Lähde: edelliset esitykset
Ulkoistettu tutkimustoiminta 4 Tarpeet: Tietoa (prosessimittaus/tuotanto/diagnostiikka) kehitystyöhön Yhteys joko etänä, tai jollain muulla tavalla (adidasverkko ei ole enää mielekäs) Käyttäjiä esimerkiksi Yliopistot VTT... Vaarat: "Putken pää on juuri niin turvallinen kuin sen käyttäjä"
Esimerkkitapaus 5 Tekes-hanke Kesto 1 vuosi Budjetti noin 250k Tavoite Suunnitella globaalin kunnossapitojärjestelmän tietoturvallinen viestinvälitysarkkitehtuuri eri tehtaiden ja kunnossapitokeskuksen välillä Tarve Konfiguroitava verkkoyhteys tutkimusverkon ja yrityksen välillä
Esimerkkitapaus - ongelma 6 Yhteyden saamisen arvio noin 6kk
Esimerkkitapaus - luova ratkaisu 7
Kenttälaitteen huoltohenkilöstö 8 Tarpeet: Pääsy kenttälaitteeseen omalla tietokoneella Samanaikainen pääsy huoltoyrityksen sisäverkkoon Käyttäjiä esimerkiksi Automaatiojärjestelmätoimittajat, PK-yritykset Vaarat Huoltoyrityksen sisäverkko saastunut ("...putken pää...") Huoltoyrityksessä joku liian innokas ja taitava käyttäjä Tietokone.fi perjantaina 11.9.2009: "Sosiaalinen Cliq-puhelin Androidilla. Motorolan mukaan Cliq on ainoa puhelin, joka synkronoi esimerkiksi Facebook-, Myspace-, Twitter- ja Gmail-palvelujen sisällön puhelimeen, ja yhdistää ne vielä käyttäjän kontakteihin ja kaikkiin sähköpostitileihin."
Esimerkkitapaus 9 Älykkään kenttälaitteen prototyyppi Yritys ostanut uudentyyppisen kenttälaitteen pk-yritykseltä, hinta 100k Tavoitteena laitteen optimaalinen toimivuus Laite parantaa selkeästi prosessin toimintaa ja tuottaa merkittäviä kustannussäästöjä Tavoitteen saavuttaminen vaatii Säännöllistä vierailua paikanpäällä Reaaliaikainen yhteys huoltohenkilöltä pk-yrityksen tietojärjestelmiin
Esimerkkitapaus - ei ajateltu etukäteen 10
Esimerkkitapaus - yksi ratkaisu 11
Suurimmat haasteet? 12 Ulkopuolisen loppukäyttäjän tarpeita ajatellen Prosessia ei ole olemassa Prosessin on miettinyt IT-henkilö/-yksikkö yksinään kuuntelematta asiakkaitaan IT:tä ei nähdä palveluna IT-osaston kanssa ei ole selkeää keskusteluyhteyttä ulkoistettu yrityksellä ei selkeää automaation ja IT:n rajapintaa Yrityksen henkilöstöllä ei ole tietoa oikeasta toimintatavasta
Yhteenveto 13 Käyttöympäristön tietoliikenneratkaisujen tietoturvallisuus on palvelu, jolla on useita käyttäjiä. Tietoturvallisuus tulisi suunnitella kuten hyvä käytettävyys yleensä saadaan aikaan eli kuuntelemalla loppukäyttäjiä Tietoturva vaarantuu jos käytettävyys ei ole käyttäjien tarpeiden tasolla Automaattinen kieltäminen ei ole oikea lähestymistapa, vaikka se usein onkin se helpoin
Hyvä muistaa 14 Toimittaja Käytettävyys PK-yritykset / Tutkimuslaitokset Automaatiojärjestelmä Tietohallinto Isot yritykset Tietoturva Asiakas
Automaation tietoturvan osa-alueet 15 Automaation tietoturva Fyysiset ratkaisut Tekniset ratkaisut Riskianalyysi ja riskien hallinta Menettelyt Tietämys
16 Lisää kysymyksiä?