Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Samankaltaiset tiedostot
TITAN-käsikirja TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke. KANSALLINEN CIP-SEMINAARI Pasi Ahonen, VTT

Teollisuusautomaatiojärjestelmän tietoturvan arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Standardit tietoturvan arviointimenetelmät

Verkostoautomaatiojärjestelmien tietoturva

Hyvä Tekesin asiakas!

VALVO JA VARAUDU PAHIMPAAN

Vesihuolto päivät #vesihuolto2018

Verkostoautomaatiojärjestelmien tietoturva

Tietoturvapolitiikka

Sulautettu tietotekniikka Ubiquitous Real World Real Time

Low Carbon Finland 2050 platform VTT:n, VATT:n, GTK:n ja METLA:n yhteishanke

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Tietoturvallisuuden ja tietoturvaammattilaisen

Määräys SÄHKÖPOSTIPALVELUJEN TIETOTURVASTA JA TOIMIVUUDESTA. Annettu Helsingissä 19 päivänä syyskuuta 2008

AIEMMIN HANKITUN OSAAMISEN TUNNISTAMINEN JA TUNNUSTAMINEN (AHOT) KORKEAKOULUISSA

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) Dnro 4258/005/2011

LIIKETALOUDEN PERUSTUTKINTO, MERKONOMI 2013

Riskienhallinta ja turvallisuus FORUM 2012

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Tietoturvakonsulttina työskentely KPMG:llä

Green Mining. Huomaamaton ja älykäs kaivos

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Apulaisylilääkäri. Sädehoito. Tuija Wigren. TAYS Syövänhoidon vastuualue

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa

6AIKA - KESTÄVÄN KAUPUNKIKEHITTÄMISEN ESR- HANKEHAKU Info=laisuus Turku

OPAS TYÖSSÄOPPIMISEN JA AMMATTIOSAAMISEN NÄYTÖN TOTEUTTAMISEEN

Liiketoimintaa ICT-osaamisesta vahvuuksilla eteenpäin. Jussi Paakkari, teknologiajohtaja, VTT, R&D, ICT

Omaleimainen energiaratkaisu Hiedanrantaan

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Liiketalouden perustutkinto, merkonomi SÄHKÖINEN KAUPANKÄYNTI SÄKÄ 15 osp

Alueellinen verkostotapaaminen Rovaniemi

TIETOTURVAA TOTEUTTAMASSA

Avoin Kotka kokeiluhanke Kokemuksia,tuloksia, suosituksia

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Saara Hänninen: Hiilijalanjälki SUSTIS-hankkeen osana. Saija Vatanen: Hiilikädenjälki

Kyberturvallisuus kiinteistöautomaatiossa

K EHITYSYHTEISTYÖN PALVELUKESKUS SERVICE CENTRE FOR DEVELOPMENT COOPERATION

TEEMME KYBERTURVASTA TOTTA

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja

Teollisuuden digitalisaatio ja johdon ymmärrys kyvykkyyksistä

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

Vaivattomasti parasta tietoturvaa

Toimeksiannon määrittely

TEEMME KYBERTURVASTA TOTTA

SÄHKÖTEKNIIKAN KOULUTUSOHJELMA 2010

Alueellinen vesiensuojeluyhdistystoiminta Suomessa

Kauniaisten suomenkielisen perusopetuksen tietotekniikkapalveluiden

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Teknologiasta liiketoimintaa - case VTT

KESTÄVÄÄ TYÖTÄ CASE L&T Jorma Mikkonen, yhteiskuntasuhdejohtaja Eben

YHTIÖKOKOUS Finlandia-talo, Helsinki. Teleste Proprietary. All rights reserved.

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Suomen avoimien tietojärjestelmien keskus COSS ry

01/2016 ELÄKETURVAKESKUKSEN TUTKIMUKSIA TIIVISTELMÄ. Juha Rantala ja Marja Riihelä. Eläkeläisnaisten ja -miesten toimeentuloerot vuosina

Yhteistyöstä kilpailukykyä meriklusteriin - mahdollisuudet valtionhallinnon tasolla. Sauli Ahvenjärvi Turku

- Jarjestelmaasiantuntija Markku Jaatinen

Sosiaali- ja terveysalan toimialamalli tiedolla johtamisen avuksi

erisk-työpaja 5. "Yhteistoiminta"

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Yritysturvallisuuden johtamisen arviointi

Capricode Oy

Euroopan unionin neuvosto Bryssel, 28. lokakuuta 2014 (OR. en) Euroopan komission pääsihteerin puolesta Jordi AYET PUIGARNAU, johtaja

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

AHOT- käytäntöjen jalkauttaminen ja jalkautuminen Savoniaammattikorkeakoulussa

Turvallisia palveluja ja asumisratkaisuja ikäihmisille

Hankintailmoitus: Pohjois-Savon sairaanhoitopiirin kuntayhtymä/kiinteistöyksikkö : Puijon sairaalan Pääaula-alueen uudistus, Sähköurakka

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Kansallinen CIP-seminaari. Jani Arnell Vanhempi tietoturva-asiantuntija CERT-FI

Kansallinen hankintailmoitus: Mikkelin ammattikorkeakoulu Oy : Palvelimet ja kytkin

Tietoturvakoulutus Turun ammattikorkeakoulun Tietojenkäsittelyn koulutusohjelmassa (AMK) ja DP in Business Information Systems issä (YAMK)

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Eläketurvakeskuksen tietosuojapolitiikka

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu

HEIKKI HELIN SUURTEN KAUPUNKIEN TALOUSARVIOT 2012 TUTKIMUSKATSAUKSIA 2011

Yritysturvallisuuden perusteet

Julkaisutiedonkeruu laadun työkaluna. Ammattikorkeakoulujen julkaisutoiminta: kuinka kehittää toiminnan laatua

TIMI TIETOTEKNIIKAN HYÖTYJEN MITTAAMINEN

Suomen mobiiliklusterin kansainväliset mahdollisuudet ja haasteet

Ota kumppaniksi. A UTC Fire & Security Company

TIIVISTELMÄ ETELÄ-SAVON ALUEEN METSÄSERTIFIOINNIN UUDELLEENSERTIFIOINTI-ARVIOINNIN RAPORTISTA VUODELTA 2014

SenCity Älykäs valaistus innovatiivisen kaupungin palvelualustana

Hyvä Tekesin asiakas!

JUURET LAAJALLA METROPOLIALUEELLA...YHDESSÄ TEEMME TULEVAISUUDELLE SIIVET. Siivet ja juuret LAAJAN METROPOLIALUEEN TULEVAISUUSTARKASTELU

Tekes kannustaa virtuaalisiin työkaluihin

Laki terveydenhuollon laitteista ja tarvikkeista velvoitteita välinehuollolle. Kimmo Linnavuori

Älyliikenteen palvelujen kehittäminen Matti Roine, johtava tutkija VTT

TIETOTURVA- POLITIIKKA

BUILDINGSMART ON KANSAINVÄLINEN FINLAND

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Liiketalouden perustutkinto, merkonomi HUIPPUOSAAJANA TOIMIMINEN HUTO 15 osp

PALVELUKUVAUS järjestelmän nimi versio x.x

Transkriptio:

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT

TITAN projektissa koottiin VTT:n päätuloksia yksiin kansiin: VTT Tiedotteita 2545: TITAN-käsikirja Julkaistiin elokuussa 2010 myös verkkojulkaisuna: http://www.vtt.fi/inf/pdf/tiedotteet/2010/t2545.pdf ISBN 978-951-38-7642-5 (nid.) ISSN 1235-0605 (nid.) ISBN 978-951-38-7643-2 (URL: http://www.vtt.fi/publications/index.jsp) ISSN 1455-0865 (URL: http://www.vtt.fi/publications/index.jsp) Copyright VTT 2010 JULKAISIJA UTGIVARE PUBLISHER VTT, Vuorimiehentie 5, PL 1000, 02044 VTT puh. vaihde 020 722 111, faksi 020 722 4374 VTT Technical Research Centre of Finland, Vuorimiehentie 5, P.O. Box 1000, FI-02044 VTT, Finland phone internat. +358 20 722 111, fax +358 20 722 4374 2

Sisältö 1. Motivaatio teollisuusautomaation tietoturvan hallintaan 2. Tunnistettuja tietoturvatrendejä 3. Soveltuvimpien standardien esittely ja vaikutusten arviointi 3

1. Motivaatio teollisuusautomaation tietoturvan hallintaan TITANin päätavoitteena oli selvittää teollisuusautomaatioympäristöön soveltuvat parhaat tietoturvamenettelytavat ja -ratkaisut sekä kehittää niitä erityisesti suomalaisten alan yritysten tarpeet huomioiden. Tietoturvanhallinnan työpakettia aloiteltaessa päätettiin järjestää työpaja, jossa mietittäisiin tietoturva-asioita yhdessä alan suomalaisten toimijoiden kesken. Tavoitteena oli pohtia tulevaisuuden automaatiojärjestelmän järjestelmäkehitykselle, järjestelmien käyttöönotolle sekä käytön hallinnalle asetettavia luotettavuus- ja laatuvaatimuksia erityisesti tietoturvallisuuden näkökulmasta. Lisäksi esillä oli kysymys siitä, miten automaatioteollisuuden pitäisi asettaa tietoturvavaatimuksia automaatiojärjestelmä-, laite- ja ohjelmistotoimittajille käytännössä. Työpajan lopputuloksena syntyi jäsennelty kuva suomalaisen teollisuusautomaation kipupisteistä; siitä, millaiset tekijät vaikuttavat negatiivisesti tietoturvatilanteen hallinnassa pitämiseen. 4

1. Motivaatio teollisuusautomaation tietoturvan hallintaan

1. Motivaatio teollisuusautomaation tietoturvan hallintaan Tärkeimpiä negatiivisia tietoturva-asioita suomalaisessa teollisuusautomaatiossa olivat: yhteisen tietoturvastandardin puuttuminen, ulkopuoliset tekijät ja ulkoinen paine, pitkän elinkaaren hallitsemisen vaikeus, koulutuksen ja osaamisen haasteet. Koska yhteinen tietoturvastandardi puuttuu, projektissa päätettiin, että suomalaisille automaatioteollisuuden toimijoille koostetaan käytännön lähtökohdista suomenkielinen, suoraviivaisesti sovellettavissa oleva ohjeistus tietoturvan hallitsemiseen. Tätä ohjeistusta onkin nyt sisällytetty TITAN-käsikirjaan. 6

2. Tunnistettuja tietoturvatrendejä 7

2. Tunnistettuja tietoturvatrendejä Keväällä 2010 osallistuimme kansallisen tietoturvastrategian toimeenpanon yhteydessä Hankkeen 8 Tulevaisuuden tietoturvatrendit -työpajaan, jossa pohdittiin suomalaisten asiantuntijoiden kesken tietoturvaan liittyviä trendejä. Työpajassa käsittely jaettiin kolmeen teemaan: ihmiset, yhteiskunta ja yhteisöt teollisuus/liiketoiminta/palvelunäkökulmat tekniikan trendit. Työpajassa työskenneltiin siten, että kustakin teemasta pidettiin muutamia alustuksia, ja lisäksi teemoista keskusteltiin paikan päällä sekä reaaliaikaisesti verkossa 8

2. Teollisuusautomaation tietoturvaan vaikuttavien trendien yhteenveto 9

3. Teollisuusautomaatioon soveltuvat tietoturvastandardit ja -käytännöt 10

3. Teollisuusautomaatioon soveltuvat tietoturvastandardit ja - käytännöt Taustaa Teollisuusautomaation alueella ei ole Suomessa, yritysten tietoturvan hallinnan tarpeisiin soveltuvaa yhteistä standardia Erillisten standardien ja parhaita käytäntöjen soveltaminen ja käyttö toimialalla on kirjavaa ja hajanaista Ongelmatilanteita yhteisten tietoturvavaatimusten määrittelyssä sekä käytännön toiminnan arvioinnissa ja kehittämisessä, kuten esimerkiksi riittävien tietoturvasuojauksien määrittelyssä ja tulkinnassa. Aikaa ja työpanosta kuluu hukkaan ns. yhteisen kielen tai sapluunan puuttuessa tietoturva-asioista keskusteltaessa ja sovittaessa. Tarpeen määritellä yhtenäinen joukko parhaita käytäntöjä, joita Suomessa tulisi soveltaa eri toimijoiden toiminnassa ja yhteistyössä. o Operatiivisen toiminnan yhteistyötä esimerkiksi alihankkijoiden kuten laite- ja ohjelmistovalmistajien kanssa o Yhteistyötä perustoimijoiden kuten kehitystoimintojen, ylläpidon ja viranomaisvalvonnan välillä. 11

3. Teollisuusautomaatioon soveltuvat tietoturvastandardit ja - käytännöt Prosessi TITAN-hankkeessa Ensin tunnistetaan sellaiset tietoturvan hallintaan liittyvät käytännön standardit, ohjeet ja suositukset, joita hyödyntämällä teollisuusautomaatioalan toimijat voivat muun muassa kommunikoida tehokkaasti omat spesifit tietoturvan hallinnan vaatimuksensa sekä organisaation sisällä että eri organisaatioiden välillä. Seuraavaksi hyviksi tunnistetut ohjeistukset kuvataan yleisellä tasolla. Sitten valittujen osuuksien käyttökelpoisuutta arvioidaan alan toimijoiden keskuudessa (mm. yritysevaluaatioiden ja ryhmätyön keinoin). Lopuksi koostetaan ohjeistus suomalaisten alan toimijoiden käyttöön, sekä informoidaan toimialaa muun muassa seminaarien ja kirjallisen materiaalin avulla. 12

3. Valintakriteeristö relevanttien standardien (ohjeiden) tunnistamiseksi, kuvaamiseksi ja arvioimiseksi xxx 13

3. Esimerkki: ISO/IEC 15408 Common Criteria Yhteenveto 14

3. Standardien vaatimusten positiivisia vaikutuksia automaatiojärjestelmien tietoturvaan Altistus operatiivisen toiminnan jatkumista uhkaaville tekijöille pienenee, jolloin myös toimintahäiriöiden ja -katkosten negatiiviset vaikutukset yrityksen liiketoiminnalle ja maineelle pienenevät. Laitoksen toiminnan riskejä voidaan tunnistaa entistä paremmin ja laatia suuremmilta vahingoilta suojaavia varautumissuunnitelmia jo ennakkoon. Väestön yleinen turvallisuus paranee laitosten toimintahäiriöiden vähentyessä. Toiminnan turvallisuutta ja henkilötietojen käsittelyä säänteleviä lakeja ja asetuksia voidaan noudattaa paremmin. Suojaavat toimenpiteet osataan kohdistaa kustannustehokkaimmalla tavalla kriittisiin kohteisiin. Automaatiojärjestelmät toimivat häiriöittä tietoturvahyökkäysten uhatessa. Tietoturvatapahtumien sattuessa negatiiviset vaikutukset voidaan minimoida ja siirtyä reagointisuunnitelman mukaisesta toiminnasta nopeasti takaisin normaalimuotoiseen operatiiviseen toimintaan. Haittaohjelmat ja niiden torjuntajärjestelmät eivät aiheuta häiriöitä tietojärjestelmiin tai tietoliikenteen sujuvuuteen, jolloin sekä teollisuus että toimistoverkot säilyttävät kykynsä normaaliin liiketoimintaan. Laitteisiin ja ohjelmistoihin soveltuvat tietoturvaominaisuudet estävät laitteiden asiattoman käytön ja konfiguroinnin muun muassa rikollisiin tai muuten haittaa tuottaviin tarkoituksiin. Laitteiden ja ohjelmistojen tilaaminen ja ylläpito yksinkertaistuvat, sillä tietoturvavaatimuksia osataan esittää yhtenevästi, ja odotukset tietoturvan ylläpitämiseksi vaadittavista tilauksista, kustannuksista ja ylläpidosta ovat realistisia. 15

3. Standardien vaatimusten negatiivisia vaikutuksia automaatiojärjestelmien tietoturvaan Järjestelmien ja toiminnan määrittely vaatii alkuvaiheessa enemmän työtä. Tietoturva-asioihin perehtyminen vie työaikaa muulta toiminnalta. Henkilön osaaminen saattaa olla riittämätöntä tietoturva-asioiden käsittelyyn (mikä saattaa johtaa henkilöstön vaihtuvuuden lisääntymiseen). Mikäli laitoksen tai yksikön varsinaista ydintoimintaa ei ymmärretä tarpeeksi syvällisesti, saatetaan lisäämällä tietoturvamekanismeja ilman asiantuntemusta heikentää operatiivisen toiminnan käyttövarmuutta ja lopulta vaarantaa jopa yleistä turvallisuutta. 16

3. Standardien yleisiä vaikutuksia - Yhteenveto 17

PASI AHONEN Senior Research Scientist, SW Technologies, Security Assurance Tel.: +358 20 722 2307 GSM: +358 44 730 7152 Fax: +358 20 722 2320 Email: Pasi.Ahonen@vtt.fi VTT TECHNICAL RESEARCH CENTRE OF FINLAND Kaitoväylä 1, Oulu, FINLAND PL 1100, 90571 Oulu, FINLAND www.vtt.fi 18

VTT luo teknologiasta liiketoimintaa 19

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute