Sähköverkkotoiminnan tietoturvallisuuden itsearviointi. Konsulttitoimisto Reneco Oy / Jouko Tervo

Samankaltaiset tiedostot
Verkostoautomaatiojärjestelmien tietoturva

Verkostoautomaatiojärjestelmien tietoturva

Raportti TIKKA 2016-tietoturvallisuuden arviointityökalun kehittämisestä

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Kyberturvallisuus kiinteistöautomaatiossa

Tietoturvapäivä

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Pilvipalveluiden arvioinnin haasteet

VALVO JA VARAUDU PAHIMPAAN

Yritysturvallisuuden johtamisen arviointi

Tietoturvallisuuden johtaminen

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

- ai miten niin?

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Yritysturvallisuuden johtamisen viitekehys Kiwa Rima

Yritysturvallisuuden perusteet

Tietoturvallisuuden ja tietoturvaammattilaisen

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Auditoinnit ja sertifioinnit

Yritysturvallisuuden johtamisen arviointi

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Sähköi sen pal l tietototurvatason arviointi

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

- ai miten niin?

TEEMME KYBERTURVASTA TOTTA

Standardit tietoturvan arviointimenetelmät

Viestintäviraston tietoturvapolitiikka

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Kyberturvallisuudesta

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Johtamisen standardit mitä ja miksi

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

TIETOTURVAA TOTEUTTAMASSA

- ai miten niin? Web:

Vesihuolto päivät #vesihuolto2018

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Sovelto Oyj JULKINEN

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Lapin yliopiston tietoturvapolitiikka

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

Yritysturvallisuuden perusteet

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

TEEMME KYBERTURVASTA TOTTA

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

TEEMME KYBERTURVASTA TOTTA

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

Tietoturva AMM-järjestelmissä. Sähkötutkimuspoolin tutkimusseminaari Pekka Savolainen, VTT

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Tietoturvallisuus yhteiskunnan, yritysten ja yksityishenkilöiden kannalta

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Tietoturva Kehityksen este vai varmistaja?

Varmaa ja vaivatonta viestintää

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietoturvaa verkkotunnusvälittäjille

Varautuva, turvallinen opiskelu- ja työpaikka -reaktiivisesta kohti proaktiivista koulua

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Kasva tietoturvallisena yrityksenä

Kymenlaakson Kyläportaali

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

- ai miten niin?

Vihdin kunnan tietoturvapolitiikka

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Yritysturvallisuuden perusteet

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Standardien PCI DSS 3.0 ja Katakri II vertailu

Ehdotusten vaikutukset EU:n kilpailuasemaan luotettavien digitaalisten sisämarkkinoiden kehityksessä

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

ISO Toimitusketjun turvallisuuden johtamisjärjestelmä

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

T Yritysturvallisuuden seminaari

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Yritysturvallisuuden perusteet

TIETOTURVAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvapolitiikka

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

IEC Sähköisten/eletronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Uusi SFS-ISO/IEC 27001:2013. Jyrki Lahnalahti Versio 1.0

Transkriptio:

Sähköverkkotoiminnan tietoturvallisuuden itsearviointi ST-pooli 4.2.2016 Konsulttitoimisto Reneco Oy / Jouko Tervo

2 Renecon palvelut Toiminnan kehittäminen ICTjärjestelmien ja palvelujen hankinnat Selvitykset, tutkimukset ja arvioinnit

Esityksen sisältö 1. Tietoturvallisuuden käsitteistä 2. Havaintoja sähköverkkoyhtiöiden tietoturvallisuudesta 3. Tietoturvallisuuden mittaaminen/arviointi 4. Tietoturvallisuuden itsearviointityökalun kehittäminen 5. Lähdemateriaalia

Tietoturvallisuuden käsitteistä

Yritysturvallisuus Elinkeinoelämän keskusliiton näkemys yritysturvallisuuden osa-alueista

Tietoturvallisuuden monitahoisuus Kotipäivystäjät Toimittajan etätuki Julkinen tietoverkko Urakoitsijoiden tietoverkot Johto ja johtaminen Laitetilat Yritysverkko Verkkotietojärjestelmä Tilaturvallisuus Järjestelmäturvallisuus Ala-asemat ja älykkäät laitteet sähköasemilla ja jakeluverkossa Jatkuvuuden hallinta Käyttökeskus SCADA/DMS Toimisto PC Käytönvalvonnan tietoliikenneverkko Henkilöstöturvallisuus Tietoturvan huomioiminen prosesseissa ja toimintatavoissa

Tietoturvallisuuden käsitteitä Tietoturvallisuus Saatavuudella (käytettävyys, toimintavarmuus, availability) tarkoitetaan sitä, että tieto, järjestelmä tai palvelu on niihin oikeutettujen käyttäjien saatavilla ja hyödynnettävissä haluttuna aikana Saatavuus Luottamuksellisuus Luottamuksellisuus (confidentiality) on tiedon ominaisuus, joka ilmentää sitä, että tieto on vain sen käyttöön oikeutettujen käytettävissä Tiedon oikeellisuus Sähköverkon käyttötoiminnassa korostuu toimintavarmuus Viranomaispuolella korostuu tietojen luottamuksellisuus Tiedon oikeellisuus (eheys, integrity) on tiedon ominaisuus, joka ilmentää sitä, ettei tiedon sisältöä ole luvattomasti muutettu tai se ei ole satunnaisten virheiden vuoksi muuttunut Kyberturvallisuus on tietoturvallisuuden osa-alue, joka keskittyy yhteiskunnan sähköisen infrastruktuurin suojaamiseen Lähde: Federal Information Security Modernization Act (FISMA)

Tietoturvauhkia - leikkeitä mediasta

Tietoturvauhkien takana olevia tahoja Ei valtiolliset uhkat Hakkerit, krakkerit ja haktivistit Valtiolliset uhkat Rikolliset Valtiolliset tiedustelu- ja kybersodankäynnin organisaatiot Katkeroituneet, osaamattomat ja huolimattomat henkilöt Terroristit Bottiverkkooperaattorit Teollisuusvakoilijat

Havaintoja tietoturvallisuudesta

Tietojärjestelmiin kohdistuvat tietoturvauhkat lisääntyneet Syitä tietoturvariskien ja uhkien lisääntymiseen Globaalia internet-tietoverkkoa käytetään osana yrityksen tietojärjestelmäkokonaisuutta Tietojärjestelmien integraatiot lisääntyvät nopeasti yleistyvien IPteknologian ja langattomuuden vauhdittamina Uhkatahojen määrä on kasvanut ja rikolliset ovat muuttuneet ammattimaisiksi Uutena uhkana valtiolliset vakoilu- ja kyberyksiköt Laaja valikoima vakoilu- ja murto-ohjelmistoja on helposti kaikkien saatavilla Kaupallisten ohjelmistojen käyttö verkostoautomaatiojärjestelmissä on tavanomaista (mm. käyttöjärjestelmä) Palveluketjut ovat monimutkaistuneet; käytetään lukuisia ulkopuolisia toimittajia ja alihankkijoita erilaisten rakentamis-, huolto- ja ylläpitopalvelujen tuottamisessa

Tietoturvallisuuteen kohdistuvia uhkia Käytännön riskejä/uhkia Kyky valvoa ja ohjata sähköverkkoa estyy Ohjelmistovirheiden aiheuttamat tilanteet Tietojärjestelmän, tietoverkon tai tietoliikenneverkon laitteiden vioittumisten tai ulkopuolisten häiriötekijöiden aiheuttama järjestelmän toimimattomuus Merkittävät virheet tai viiveet tietoliikenteessä Ulkopuolinen tai sisäinen taho estää järjestelmien toiminnallisuuksia Järjestelmien tiedot korruptoituvat toimintavirheitä, luottamus? Ulkopuolinen taho voi ohjata sähköverkkoa Ulkopuolinen saa luottamuksellista tietoa haltuunsa Suojausten asetusten tahallinen muuttaminen virheellisiksi Tunkeutuminen kriittisiin tiloihin yhdistettynä muuhun haitalliseen toimintaan Henkilöstön osaamattomuus, huolimattomuus tai sabotointi Valtiollisten tahojen tiedustelu- ja valmistelutoiminta

Tietoturvallisuuden haavoittuvuuksia Käytännön haavoittuvuuksia Virheet ja puutteet tietojärjestelmissä ja niiden ohjelmistoissa Julkisen ja heikosti suojatun tietoverkon (esim. internet) käyttäminen osana käytönvalvonnan tietoverkkoa Tietojärjestelmissä on päivittämättömiä ohjelmia, jotka sisältävät tunnettuja haavoittuvuuksia (myös ns. nollapäivähaavoittuvuuksia) Koventamattomia tieto- ja tietoliikennejärjestelmiä Tietoliikenneverkon puutteellinen segmentointi, heikot/reikäiset palomuurit ja heikosti suojatut käytönvalvonnan tietoliikenneyhteydet Puutteita tieto- ja tietoliikennejärjestelmien kunnossapidon organisoinnissa, vastuunjaossa ja sopimuksissa Pääsynhallinta: Käyttäjien tunnistaminen ja salasanat puutteellisia, käytetään laitteissa oletusasetuksia tai käytetään yhteisiä käyttäjätunnuksia. Vahva tunnistaminen ei ole käytössä Kotipäivystyksessä käytettävien työasemien suojaukset ovat puutteelliset tai käytetään sähköverkon käytönvalvontaan monikäyttötyöasemia, joissa ajetaan myös toimistosovelluksia Dokumentaatio ei ole ajan tasalla

Renecon havaintoja sähköverkkoyhtiöiden tietoturvallisuudesta Tietoturvallisuuspolitiikka ja -vastuita määrittelemättä Varautumissuunnitelmat tietoturvatapausten varalle puutteellisia Tietoturvan kehittäminen ei ole suunnitelmallista Järjestelmäkokonaisuuden huomioiminen vähäistä tietoturvassa Järjestelmissä paljon päivittämättömiä ohjelmistoja Järjestelmiä systemaattisesti koventamatta Puutteita tietoliikenteen rakenteellisessa tietoturvassa Laitteiden ja laitetilojen kuorisuojaus puutteellinen Dokumentaatio osin puutteellista ja päivittämätöntä

Tietoturvallisuuden mittaaminen/arviointi

Syitä tietoturvallisuuden arvioimiseen Tietoturvallisuuden arvioinnilla yleensä halutaan Tunnistaa ja hallita tietoturvallisuuteen liittyviä riskejä Varmistaa toiminnan jatkuvuus ja tietoturvatason riittävyys Osoittaa tietoturvallisuusvaatimusten täyttyminen. Vaatimuksia asettavat mm. viranomaiset, asiakkaat, yhteistyökumppanit, omistajat, yrityksen hallitus Tietää oma tietoturvataso verrattuna muihin vastaaviin organisaatioihin Arvioida valittujen (tieto)turvallisuuskontrollien tehokkuutta Osoittaa tietoturvallisuustoimenpiteiden hyödyt liiketoiminnalle Parantaa organisaation tietoturvatietoisuutta

Mitä tietoturvallisuuden mittaamisella/ arvioinnilla tarkoitetaan? Tietoturvallisuuden mittaamisen määritelmiä Tietoturvamittari kertoo tietoturvatason suhteessa valittuun tarkistuspisteeseen ja ohjaa tietoturvaa parantavien toimenpiteiden valinnassa. (W. Krag Brotby, Information Security Management Metrics) Tietoturvamittari on objektiivinen, määriteltävissä oleva, valittuun kohteeseen liittyvä suure, joka mahdollistaa organisaatiolle tietoturvallisuuden tehokkuuden arvioimisen. (Information Security Forum) Tietoturvan mittaaminen on tietoturvanhallintajärjestelmän ja kontrollien tehokkuudesta tietoa antava prosessi, käyttäen valittua metodia, laskentaa, analyyttista mallia ja päätöskriteeriä. (ISO/IEC 27004) Mittaaminen/arviointi/auditointi/itsearviointi? Mittari<>Mittarin arvo - esim. Lokien seuranta<>käytössä

Tietoturvallisuuden mittareista Esimerkkejä tietoturvallisuuden osa-alueista ja mittareista Tietoturvallisuuden osa-alue Hallinto Johtaminen Liiketoiminnan jatkuvuus Tietoturvallisuusriskit Henkilöstöturvallisuus Fyysinen turvallisuus (tilaturvallisuus) Turvallisuusresurssit Tietojärjestelmät Tietoliikennejärjestelmät Vaatimuksenmukaisuus Mittariesimerkki Turvallisuuspolitiikka laadittu Vastuiden määrittäminen Testatut jatkuvuussuunnitelmat Riskien ja uhkien tunnistaminen Taustaselvitykset Tilojen rakenne, kulkuoikeuksien hallinta Henkilöstön ja varojen riittävyys Järjestelmien tunnistaminen ja luokittelu Käyttöoikeuksien ajantasaisuus Palomuurisääntöjen muuttaminen Viranomaisvaatimukset

Tietoturvallisuuden itsearviointityökalun kehittäminen

Itsearviointityökalun taustaa Toteutetuissa tietoturva-arvioinneissa saatujen kokemusten pohjalta Renecossa nähtiin selkeä tarve parantaa sähköverkkotoiminnan ja erityisesti käyttötoiminnan tietoturvallisuutta Pohdittaessa erilaisia keinoja tietoturvallisuuden parantamiseksi asiasta tiedottamisen ja kaupallisten auditointipalvelujen lisäksi esille nousi itsearviointi ja sen työkalut Itsearviointityökalun kehityshanke esiteltiin Sähköturvallisuuden edistämiskeskus ry:lle (STEK) ja Energiateollisuus ry:lle syksyllä 2015 ja molemmat tahot myönsivät hankkeelle taloudellista tukea mahdollistaen työn käynnistämisen Hanke käynnistyi joulukuussa 2015 ja tavoite on saada työkalu sähköyhtiöiden käyttöön vielä tulevan kevään aikana

Itsearvioinnin tavoitteet Tietoturvallisuuden itsearvioinnissa keskitytään asioihin, jotka edistävät sähkön siirron ja jakelun jatkuvuuden varmistamista Itsearvioinnilla sähköverkkoyhtiön johto saa käsityksen tietoturvallisuuden nykytilasta ja kehittämistä vaativista alueista Tietoturvallisuutta käsitellään tarpeellisessa laajuudessa ja kokonaisvaltaisesti, ei vain yksittäisen tietojärjestelmän kyberturvallisuutta Tieto nykytilasta on välttämätöntä tietoturvallisuuden parantamisessa, kuten esimerkiksi kehityssuunnitelmien laadinnassa Kehittää henkilöstön osaamista ja ymmärrystä tietoturvasta ja viestiä henkilöstölle tietoturvan merkityksestä Muokata henkilöstön asenteita mahdollistaen tietoturvallisuuden huomioimisen päivittäisessä työskentelyssä Itsearvioinnin kautta myös tunnistetaan helppoja kohteita tietoturvallisuuteen parantamiseksi nopeasti Kehitettävää sähköistä arviointityökalua voidaan pienin muutoksin hyödyntää myös kaukolämmön, veden ja maakaasun siirron ja jakelun tietoturvallisuuden arvioinnissa

Tietoturvallisuuden itsearvioinnissa tarkasteltavia tietoturvallisuuden alueita 1. Tietoturvallisuuden hallinto ja johtaminen 2. Jatkuvuuden hallinta tieto- ja tieliikennejärjestelmiin liittyen 3. Tieto- ja tietoliikennejärjestelmien tietoturvallisuus 4. Henkilöstöturvallisuus 5. Tilaturvallisuus (fyysinen turvallisuus)

Vaatimuksia itsearviointityökalulle Tietoturvallisuutta tulisi käsitellä laajasti huomioiden eri turvallisuusalueet ja tasot Arvioinnin tulisi olla työmäärältään kohtuullinen Työkalussa huomioitava käyttäjien erilaiset taustat ja roolit Vastaaminen kysymyksiin ja väittämiin tulisi olla selkeää Vastausten luottamuksellisuus ja vastaajien mahdollinen anonyymius on huomioitava työkalussa Selkeät raportit ja toive toimialan yritysten väliseen vertailuun (benchmark) Toiminnallisia ja teknisiä vaatimuksia: o Yksinkertainen, helppokäyttöinen ja käyttäjää opastava o Erillistyökalu, joka ei vaadi uusien sovellusten asentamista työasemaan o Toimii windows-ympäristössä tavanomaisilla toimisto-ohjelmilla o Tulos voitava tallentaa työasemalle tai palvelimeen o Käyttö voitava keskeyttää tilapäisesti (välitallennus) o Työkalun oma tietoturvallisuus kunnossa

Lähdeaineistoa 1. SFS-ISO/IEC27002:2014 Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintakeinojen menettelyohjeet 2. SFS-EN ISO 22301:2014 Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset 3. SFS-ISO 31000:2011 Riskienhallinta. Periaatteet ja ohjeet 4. Kansallinen turvallisuusauditointikriteeristö, KATAKRI III (2015) 5. Soveltuvin osin eri VAHTI-ohjeet (Valtion tietoturvallisuuden johtoryhmä) 6. SFS-EN ISO 19011:2011 Johtamisjärjestelmän auditointiohjeet 7. Vulnerability Analysis of Energy Delivery Control Systems, Idaho National Laboratory, September 2011, USA 8. Good practice guide Process control and SCADA security, CPNI (Centre for the Protection of National Infrastructure) 9. NERC-CIP standardit CIP-001 CIP-011, North American Electric Reliability Corporation, Critical Infrastructure Protection 10. NIST SP 800-82 Guide to industrial control systems (ICS) security 2015, USA 11. NIST Framework for Improving Critical Infrastructure Cybersecurity, 2014 12. Viestintäviraston määräykset 54A/2012M ja 43D/2010M 13. IEEE Std 1686-2013, Standard for Intelligent Electronic Devices Cyber Security Capabilities, USA 14. Verkostoautomaatiojärjestelmien tietoturva, Konsulttitoimisto Reneco Oy, 2013 15. TITAN-käsikirja, VTT 2010

Reneco Ratkaiseva tekijä www.reneco.fi jouko.tervo@reneco.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute