Tietoturvan johtaminen automaatioympäristössä Automaation tietoturvallisuuden teemapäivä, 16.10.2013 Scandic Rosendahl, Tampere

Samankaltaiset tiedostot
Standardit tietoturvan arviointimenetelmät

TEOLLISUUSAUTOMAATION TIETOTURVA. Jarkko Holappa Kyber-INKA Roadshow, Solo Sokos Hotel Torni, Tampere

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP)

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Tietoturvallisuuden johtaminen

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Live demo miten tietomurto toteutetaan?

Sähköi sen pal l tietototurvatason arviointi

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Pelastuslaitosten tietoturvallisuuden

Tietoturvapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Kasva tietoturvallisena yrityksenä

Tietoturvaa verkkotunnusvälittäjille

Kyberturva varmistaa käytettävyyden ja tiedon eheyden teollisuusautomaatiossa. Teemu Pajala Liiketoimintayksikön johtaja Teollisuuden palvelut

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Tietoturvakonsulttina työskentely KPMG:llä

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

PK-yrityksen tietoturvasuunnitelman laatiminen

Espoon kaupunki Tietoturvapolitiikka

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

KONEAUTOMAATION LAATU JA TURVALLISUUS Marko Varpunen

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden ja tietoturvaammattilaisen

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Valtion yhteinen viestintäratkaisupalveluiden

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Digital by Default varautumisessa huomioitavaa

Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Välittäjän määritelmä:

TIETOTURVA- POLITIIKKA

Yritysturvallisuuden johtamisen arviointi

Antti Ylä-Jarkko. Miten oppijan palveluita rakennetaan

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Laatua ja tehoa toimintaan

Kyberturvallisuus kiinteistöautomaatiossa

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

TeliaSonera Identity and Access Management

TIETOTURVAPOLITIIKKA. Versio: 1.0

Tietoturvapalvelut valtionhallinnolle

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Yritysturvallisuuden johtamisen arviointi

OHSAS vs. ISO mikä muuttuu?

Ennakkovaroitustoimintojen sekä. uuden teknologian hyödyntäminen. toteutuspöytäkirjamenettelyssä

Vesihuolto päivät #vesihuolto2018

VIRTU ja tietoturvatasot

Virtu tietoturvallisuus. Virtu seminaari

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Johtamisen standardit mitä ja miksi

Käyttövaltuushallintaa kehitetään (SAP IDM -projekti), hyödyt virastoille

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Tietosuojavastaavan elämää

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Tietoturvapolitiikka Porvoon Kaupunki

Tutkimus web-palveluista (1996)

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

Kansalliset auditointivaatimukset terveydenhuollon organisaatioille

Verkostoautomaatiojärjestelmien tietoturva

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Ketterä ohjelmistokehitys unohtuiko tietoturva?

Tietoturvan ja -etosuojan suhde sovelluskehityksessä. An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Käyttövaltuushallinnan hyödyt tehokkaasti käyttöön. Johanna Lampikoski, RM5 Software Juha Arjonranta, TeliaSonera Finland

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa. Janne Tägtström Security Systems Engineer

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

PILVIPALVELUT. Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari

Suomi.fi-tunnistaminen Julkishallinto, valtion ja kuntien yhtiöt Versio 2.0, JTO142

Teollisuusautomaatiojärjestelmän tietoturvan arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

TOIMIJAREKISTERIN TOTEUTUKSEN JA YLLÄPIDON HANKINTA - HANKINNAN YKSI- LÖINTI HUOM!

Jatkuvuuden varmistaminen

ISO SFS Aamukahvitilaisuus Mira Saksi H&S Manager, Vaisala OYj

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Teemat. Vaativien säätösovellusten käyttövarmuus automaation elinkaarimallin näkökulmasta Tampere. Vaativat säätösovellukset

Tietoturvapäivä. Tietoturva nyt ja tulevaisuudessa Mitä uusi tietosuoja-asetus tarkoittaa? Fiarone Oy

ABB Drives and Controls, Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

Ulkoiset auditoinnit osana auditointijärjestelmää. ELT, ympäristöterveydenhuollon erikoiseläinlääkäri Outi Lepistö EnviroVet

Tietosuoja sosiaali- ja terveyspalveluissa. Ari Andreasson tietosuojavastaava, Tampereen kaupunki , Helsinki

Yhteiset konseptit ja periaatteet julkishallinnon palvelukehittämisen edistäjinä Kuntien avoin data hyötykäyttöön seminaari 27.1.

Fujitsu SPICE Lite. Kimmo Vaikkola Fujitsu Finland Oy Laatu ja liiketoimintatavat. Copyright 2010 FUJITSU

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Lääketieteellisen tekniikan ja taloautomaation suojaaminen digitalisoituvassa toimintaympäristössä Istekki Asiakaspäivät 2018

IT Service Desk palvelun käyttöönotto palvelukeskuksissa

Tietoturvan huomioon ottaminen tietojärjestelmähankinnassa

Transkriptio:

Tietoturvan johtaminen automaatioympäristössä Automaation tietoturvallisuuden teemapäivä, 16.10.2013 Scandic Rosendahl, Tampere Jarkko Holappa, Senior Security Consultant. Nixu Oy 16.10.2013 Nixu 2013 1

Nixu - Palvelualueemme Advise ohjeistaa Build rakentaa Develop kehi+ää Inspect tarkastaa Tietoturvastrategia Riskienhallinta Jatkuvuussuunnittelu Tietoturvapolitiikat ja ohjeistot Tietoturvakulttuurin luonti ja jalkautus Vaatimustenmukaisuus Identiteetinhallinnan konsultointi ja toteutus Pääsynhallinta (SSO) Tilannekuva (GRC&SIEM) Lokienhallinta Sisällön suojaaminen PKI kehitys Turva-arkkitehtuuri Turvakriittinen ohjelmistokehitys Linux/embedded ohjelmistokehitys Secure Software Development Life Cycle Teollisuusautomaation tietoturva Tietoturva-arvioinnit Web-sovellusten murtotestaus Verkon penetraatiotestaus PCI DSS auditoinnit Forensiikka ja tietoturvaloukkausten hallinta Haavoittuvuuksienhallinta 16.10.2013 Nixu 2013 2

Agenda Automaatiojärjestelmien tietoturvallisuuden erityispiirteitä Tietoturvan johtaminen automaatiojärjestelmissä Toimittajahallinta elinkaaren eri vaiheissa 16.10.2013 Nixu 2013 3

Automaatiojärjestelmien tietoturvallisuuden erityispiirteitä 16.10.2013 Nixu 2013 4

Automaa(ojärjestelmien (etoturvan nyky(la Digitalisaatio ja verkottuminen Safety-kulttuuri vahva, tietoturva vasta heräämässä Ympäristöt eivät ole staattisia, tarvitaan päivityksiä ja muutosten hallintaa Suorituskykyvaatimukset voivat poissulkea salauksen ja autentikoinnin käyttämisen Hyökkääjän näkökulmasta ero perinteiseen IT-maailmaan ei ole suuri: Järjestelmässä on Windows-pohjaisia tiedosto- ja tulostinpalvelimia. Reitittimet ja palomuurit perus IT-tuotteita Ero: päivitysten hallinta ja tietoturvallinen konfigurointi lapsenkengissä Suurin osa ICS-järjestelmistä löydetyistä haavoittuvuuksista on IT-tietoturvaammattilaisten löytämiä ilman mitään automaatiotaustaa (Läh. ICS-CERT, Department of Homeland Security) Stuxnet todisti, että ilmarako verkkojen välissä ei riitä turvaamaan ympäristöä. 16.10.201 3 Nixu 2013 5

Uhkat Mobiilijärjestelmät Tuotantokatkosten hallinta Kunnossapito Työmääräykset BYOD Langattomuuden suosion kasvu (kustannuskysymys) Nollapäivä-haittaohjelmien lisääntyminen (antivirus-ratkaisut eivät toimi) 16.10.2013 Nixu 2013 6

Automaatioverkon tietoturva vs. Perinteinen tietoturva Ohjausjärjestelmässä mielenkiinto on kestävyydessä (robustness) ja toiminnan varmistamisessa, ei tietoturvallisuudessa Mutta: Jos järjestelmä on tietoturvaton, se ei ole kestävä eikä toimintavarmuudesta ole takeita Haavoittuvuuksia ei voida käyttää hyökkäysten ennakoimiseen Tietoturvattomuus ja kykenemättömyys selvitä prosessissa tapahtuvasta vaihtelusta ovat järjestelmän ominaisuuksia Järjestelmässä tapahtuu asioita, joita ei ole suunniteltu Automaatio-insinööri ei puhu luottamuksellisuudesta, eheydestä, saatavuudesta, riskien todennäköisyyksistä, Tavoite on saada prosessi toimimaan ilman tuotantokatkoja 16.10.2013 Nixu 2013 7

Tyypillisiä havaintoja automaatioympäristöistä Toimittajien (vendor) oletus käyttäjätunnukset ja salasanat käytössä (osassa järjestelmiä ei mahdollisuutta edes vaihtaa) Jaettuja salasanoja Käyttämättömiä ohjelmistoja ja palveluita järjestelmissä Ei lokienhallintaa Tyypillisiä IT-tietoturvakontrolleja ei käytössä (palomuurit, IDS,..), tai niitä ei voida käyttää ICS järjestelmien riippuvuus muista yritysverkon palveluista (DNS,..) Suoria VPN yhteyksiä Ei turvallisuussopimuksia toimijoiden välillä Ei tietoturvavaatimuksia toimittajille Päivitysten hallinta olematonta Ei kokonaiskuvaa ympäristöstä (laitteet, ohjelmistoversiot, kunnossapidon ohjelmistot, yhteydet) 16.10.2013 Nixu 2013 8

Tietoturvan hallinta automaatioympäristössä 16.10.2013 Nixu 2013 9

Tietoturvan hallinta Plan Tavoitteet Resurssit Riskien hallinta Toiminnan kehittäminen mittarien ja auditointien ohjaamana Act Do Riskienhallinta kontrollit Osaaminen, koulutus Dokumentaation ylläpito Check 16.10.2013 Nixu 2013 Raportointi Auditointi Mittaaminen 10

Tietoturvan hallinta automaatioympäristössä Hankintakäytännöt Kaikki oleellinen tulee olla dokumentoituna Tietoturvavaatimukset sopimuksissa Toimittajien auditointi ja hallinta Jäljitettävät muutoksen- ja konfiguraationhallintakäytännöt Politiikat ja toimintakäytännöt Roolit ja vastuut määriteltävä Auditoitava Dokumentoitava ja ylläpidettävä Tilannekuva Prosessit Järjestelmän toiminta, lokit Vaatimustenmukaisuus Seuranta 16.10.2013 Nixu 2013 11

Tietoturvan hallinta automaatioympäristössä: dokumentoinnin merkitys Dokumentaatio ja politiikat ovat perusta järjestelmän tietoturvaamisessa (ja robustisuuden parantamisessa) Jos järjestelmän toimintaa ei ymmärretä, se ei voi olla tietoturvallinen Kaikki laitteistot ja ohjelmistot on tunnistettava ja dokumentoitava Verkot ja tietovuot on dokumentoitava Dokumentaatiota on ylläpidettävä 16.10.2013 Nixu 2013 12

Toimiva tietoturvallisuuden hallinta on Jatkuvaa Mitattavissa olevaa Huomioi hankinnan Johdon tukemaa 16.10.2013 Nixu 2013 13

Tietoturvanhallintajärjestelmän kehittäminen ja ylläpito Johdon sitoutuminen yrityksen laajuisella ohjelmalla Tuotantoautomaatioympäristön liittäminen osaksi yrityksen tietoturvakäytäntöjä ICS-spesifisiä standardeja ja toimialakohtaisia vaatimuksia yrityksen olemassa olevien kontrollien ja politiikkojen lisäksi Erityisvaatimukset hankinnoille 16.10.2013 Nixu 2013 14

Yrityksen tietoturvallisuuden hallinta on kokonaisuus Yritys Riskien hallinta Turvallisuuspoli(ikka Vies(ntä Loukkausten hallinta Tietoturva(etoisuus/ koulutus Hankinta Tuotekehitys Tuotekehitysprosessin (etoturvavaa(mukset SDLC Katselmoinnit, auditoinnit Järjestelmän (etoturva Turva- arkkitehtuuri Verkkoturvallisuus Auten(koin( Salaus 16.10.2013 Nixu 2013 15

Tehokkuus: Jatkuva parantaminen vs projektit 1. Audit 2. Audit 3. Audit 1. Audit 16.10.2013 Nixu 2013 16

Toimittajanhallinta elinkaaren eri vaiheissa 16.10.2013 Nixu 2013 17

Vaatimukset hankinnan kohteen mukaan Lähde: VAHTI 3/2011 Valtion ICThankintojen tietoturvaohje 16.10.2013 Nixu 2013 18

Suunnitteluvaihe Tehtäviä: Projektin laajuuden määrittely Roolien ja vastuiden määrittely Riskien tunnistaminen ja arviointi Tietoturvavaatimusten määrittely ja dokumentointi (mm. riskiarvion pohjalta) Tietoturvatestauksen suunnittelu Toimittajahallinta Sopimukset: Vastuut eri vaiheissa Vaatimuksenmukaisuus Katselmoinnit 16.10.2013 Nixu 2013 19

Toteutusvaihe Tehtäviä Kehittäjien kouluttaminen (turvalliset ohjelmointikäytännöt, tietoturvaohjeistus, politiikat) Katselmoinnit Turvakontrollien toteuttaminen: Pääsynhallinta Liikenteensuodatus Haittaohjelmasuojaus Tietoturvatestaus Toimittajahallinta: Toteutusvaiheen tietoturvasta raportointi Auditointioikeus sekä järjestelmään että kehitysprosessiin ja ympäristöön Hyväksymiskäytännöt 16.10.2013 Nixu 2013 20

Ylläpitovaihe Tehtäviä: Tietoturvan seuranta Lokienhallinta Tilannekuva Muutosten hallinta Tietoturvapäivitykset Tietoturvaloukkausten hallinta Säännölliset tarkastukset, auditoinnit Jatkuva riskien hallinta Toimittajahallinta: Raportointikäytännöt Auditoinnit Huollon tietoturvalliset työskentelytavat Pääsyoikeuksien hallinta 16.10.2013 Nixu 2013 21

Käytöstäpoisto Tehtävät: Järjestelmien ja tietoaineiston turvallinen käytöstäpoisto ja hävittäminen Toimittajahallinta Toimittajan hallussa olevan tietoaineiston palauttaminen/tuhoaminen Käyttö- ja kulkuoikeuksien poisto 16.10.2013 Nixu 2013 22

Tietoturvavaatimuksia toimittajalle Riittävä dokumentaatio Laitteet, ohjelmisto, verkot à Kokonaiskuva ympäristöstä Konfiguraation hallinta Järjestelmän kovennus Versionhallinta Testauskäytännöt FAT, SAT Haavoittuvuusskannaukset Pääsynhallinta Salasanat, käyttöoikeudet, käyttöoikeuksien hallinta Toimittajan tietoturvakäytännöt Turvallinen järjestelmäkehitysprosessi (auditoinnit, katselmoinnit, testaus) Laadunhallinta Tietoaineiston käsittely Tietoturvaloukkausten hallinta ja kommunikointi 16.10.2013 Nixu 2013 23

Oikeat tietoturvan arviointimenetelmät oikeaan paikkaan Kohde Tarkastuksen luonne Esimerkkejä suorite+avista arvioinneista Automaa(ojärjestelmä Laaja tarkastus, riskilähtöinen ü Riskianalyysi ü Arkkitehtuurin katselmoin( ü Tietoturvan hallinnan prosessien arvioin( ü Sovellustason tarkastus ü Alustatarkastus Sovellus (black box) Sovellus (white box) Verkko Alustat Sovellustason tarkastus: toiminnallisuus Sovellustason tarkastus: laatu, vaa(muksenmukaisuus ü HaavoiVuvuusskannaus ü Manuaaliset testausmenetelmät ü HyväksikäyVömenetelmien kehiväminen ü Arkkitehtuurin katselmoin( ü Lähdekoodin analysoin( ü Verkon haavoivuvuuksien arvioin( ü Palvelimen tai työaseman käyvöjärjestelmätason konfiguraa(on arvioin(. 16.10.2013 Nixu 2013 24

Yhteenveto Automaatioympäristön tietoturvatyön on oltava jatkuvaa ja johtamisen perustuttava määriteltyihin (ja dokumentoituihin!) käytäntöihin ja sen on oltava linjassa koko yrityksen tietoturvanhallinnan periaatteiden kanssa (liiketoimintariskit, jatkuvuus). Tietoturvallisuus on tuotava automaatioympäristöön toimintavarmuutta ja prosessin ennustettavuutta parantavana tekijänä. Toimittajahallinta ulotettava läpi elinkaaren ja valvottava toteutumista. 16.10.2013 Nixu 2013 25

Kiitos! Jarkko.Holappa@nixu.com, mobile +358 40 766 3203 Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 16.10.2013 Nixu 2013 26

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute