Kyberturvallisuuden tilannekuva energia-alalla Aapo Immonen Senior Manager, Information Security Consultant XCure Solutions Oy Email: aapo.immonen@xcure.fi Taustaa XCure Solutions Oy suoritti voimatalouspoolin ja Huoltovarmuuskeskuksen toimeksiannosta kyberturvallisuuden tilannekartoituksen energiasektorille syksyllä 2015. Perusteluna työlle voidaan pitää, että kriittinen infrastruktuuri ja siihen keskeisesti kytkeytyvä energiasektori on huoltovarmuuden näkökulmasta yksi ydintoimija. Yhteiskunnan digitalisaatioprosessissa tämä näkyy niin, ettei energiasektori ainoastaan ole tämän kehityksen ensimmäisessä aallossa vaan sen sidosryhmät ja asiakkaat luottavat omissa toiminnoissaan keskeisesti energiasektorin tarjoamiin tuotteisiin ja palveluihin asettaen toiminnan jatkuvuudelle suuren paineen. Tässä kehityksessä on tietoturvallisuudella merkityksellinen rooli. Usein haaste kohdataan teknisestä näkökulmasta tavoitteen ollessa tiedon suojaamisessa siten, ettei tieto joudu niiden tahojen haltuun, joilla ei ole niihin valtuuksia. Tietoturvallisuuden ilmentymät eli tiedon luottamuksellisuus, käytettävyys sekä eheys tekevät ilmiöstä kuitenkin moniulotteisemman. Käytännössä tietoturvallisuus vaatii teknistä näkökulmaa laajemman tarkastelun, jossa tietoturvallisuuden kaikki osa-alueet eli niin hallinnollinen, fyysinen, tekninen kuin henkilöstönkin tietoturva huomioidaan. Moderneissa tietoturvallisuuden kehitysprosesseissa hyödynnetäänkin kansainvälisiä ISO-standardeja, kansallista KATAKRI-kriteeristöä sekä valtionhallinnon julkaisemaa -dokumenttisarjaa ohjaamaan kokonaisvaltaista tietoturvallisuuden suunnittelua ja sen toteuttamista. Lainsäädännöllisten velvoitteiden lisäksi tietoturvallisuus tulee nähdä myös organisaatioille kilpailuetua tuottavana kokonaisuutena. Keskeistä tietoturvallisuuden kehityksessä on, että prosessinmuutoksessa on ehdottoman tärkeää varmistaa toimijoiden kypsyys ymmärtää tietoturvallisuus osana heidän ammatillista osaamistaan. Yhtä kriittistä on varmistaa toimintaympäristön kypsyys toteuttaa haluttu muutos hyödyntäen käyttöönotettavaa teknologiaa. Tämän vuoksi prosessissa tulee huomioida tietoturvallisuuden kaikki osa-alueet tietoturvallisuuden attribuuttien eli tiedon luottamuksellisuuden, käytettävyyden sekä eheyden näkökulmista. 1 Kyberturvallisuuden tilannekuva energia-alalla
Tavoitteet Tämän artikkelin tavoitteena on esitellä syksyllä 2015 energiasektorille toteutetun tietoturvallisuuden tilannekartoituksen tuloksia sekä siitä johdettuja toimenpide-ehdotuksia. Lisäksi artikkelissa tuodaan esille tietoturvallisuutta ohjaavat standardit, kriteeristöt sekä viranomaisohjeistukset, jotka toimivat tilannekartoituksen teoreettisena viitekehyksenä. Tavoitteena on saavuttaa tulokset niin, että energiasektorilla nähdään tietoturvallisuuden merkitys toiminnassa, tuodaan esille vastuukysymykset sekä tietoturvallisuuden merkitys kriittisen infrastruktuurin kontekstissa. Työn toisena tavoitteena on herättää keskustelua siitä, onko energiasektorilla tarve päivittää tietoturvallisuuttaan. Tehdyt toimenpiteet Tulokset Kypsyysanalyysi toteutettiin kvantitatiivisena kyselytutkimuksena, jossa käytössä olevien standardien ja kriteeristöjen pohjalta rakennettiin väittämäpatteristo. Väittämät lähetettiin alan asiantuntijoille, jotka kommentoivat väittämiä perustuen omiin subjektiivisen näkemyksiinsä. Työssä käytettiin - ja 27002-standardeja, valtionhallinnon -dokumentteja sekä KATAKRI versio III -turvallisuusauditointikriteeristöä. Näiden perusteella rakennettiin kysymyspatteri sisältäen 42 väittämää, joihin vastaajat pyydettiin vastaamaan 6 portaissa Likert -asteikolla. Väittämät arvioitiin asteikolla kriittinen vakava lievä ei poikkeamaa. Aineisto yhdistettiin yhdeksi metatiedostoksi, jonka perusteella analysoitiin energiasektorin tietoturvallisuuden kypsyyttä. Vastaukset luokiteltiin seuraavasti: ei poikkeamaa lievä poikkeama vakava poikkeama kriittinen poikkeama. Sähköinen kysely lähetettiin 299 energia-alan asiantuntijalle, päällekkäisyyksien karsimisen jälkeen n=254. Vastausprosentiksi saatiin n. 35 %. Huomioiden vastausprosentin lisäksi vastausten suurehko keskihajonta tarjoaa kerätty aineisto kohtuullisen luotettavuuden analyysille. Vastanneista 68 % edusti sähköverkkoyhtiöitä, 12 % kaukolämpötoimijoita, 17 % energiakonserneja (sähköverkko + kaukolämpö) sekä 2 % palveluntuottajia. Kerätty aineisto analysoitiin syksyllä 2015 kahden tietoturva asiantuntijan ( 1 CISA, CISPP sekä 1 KATAKRI pääauditoija, PhD. candidate) toimesta. Tulokset julkaistiin voimatalouspoolin viidellä eri voima-alueen varautumispäivillä syksyllä 2015. Kerätystä aineistosta muodostettiin metatietoja osa-alueiden perusteella, jotka johtivat analyysiin. Näin saatiin aineisto anonymisoitua ja samalla saatiin keskiarvoihin ja keskihajontaan perustuva yleinen näkemys asiantuntijoiden mielipiteistä. Kuvaan 1 on kerätty yhteen kaikki vastaukset ja arvio poikkeamista. Poikkeamien hajonta vastaa hyvin eri osa-alueilla esiintyviä tietoturvallisuuspoikkeamia. Poikkeamat osa-alueittain esiteltiin 2 Kyberturvallisuuden tilannekuva energia-alalla
syksyllä 2015 pidetyillä voimatalouspoolin alueellisilla varautumispäivillä ja ne ovat dokumentoituina julkaistuissa koulutusmateriaaleissa. 40,0 35,0 30,0 25,0 20,0 15,0 10,0 5,0 0,0 37,8 % 30,3 % 21,4 % 10,6 % Kriittinen poikkeama Vakava poikkeama Lievä poikkeama Ei pokkeamaa Kuva 1: Yhteenveto poikkeamista Kuvassa 1 esitellään yhteenveto kaikilla osa-alueilla esille tulleista tietoturvallisuuden poikkeamista. Koska yhteenvetoon on yhdistetty kaikkien vastanneiden organisaatioiden vastaukset jokaiselta osa-alueelta, on esitys suuntaa-antava. Tavoitteena onkin esittää yleisellä tasolla, että noin viidesosassa arvion kohteista ei vaadita päivityksiä ja että noin 10 % vaatii välittömiä toimenpiteitä. On myös huomioitava, että päivitettäessä kriittisiä poikkeamia se aiheuttaa lumipallo-ilmiön vaikuttaen samanaikeisesti merkittävästi useisiin vakaviin ja lieviin poikkeamiin positiivisesti. Näin ollen poikkeamat elävät päivitysten aikana. Tässä tutkimuksessa hajonta eri osa-alueiden välillä on niin suurta, ettei organisaatiokohtaisesti ole perusteltua lähteä tekemään korjaavia toimenpiteitä kuvan 1 analyysistä vaan tietoturvallisuuden tarkempi suunnittelu on syytä toteuttaa osa-alueittain perustuen organisaatioiden omiin vastauksiin. Tutkimuksessa kriittiseksi poikkeamaksi määriteltiin uhka, joka mahdollistaa valtuudettoman pääsyn tietojärjestelmään, toimintoon tai suojattaviin tietoihin ja jossa tunkeutuja voi muokata tietojärjestelmässä olevia tietoja valtuuksiensa ulkopuolisella tavalla. Uhka mahdollistaa ydintoimintojen toiminnan kannalta kriittisen tietojärjestelmän käytettävyyden lamauttamisen. Hyökkäys on toteutettavissa automatisoidusti tai manuaalisesti ilman merkittäviä ponnisteluja. Kyseinen havainto aiheuttaa välittömiä toimenpiteitä tietojärjestelmän tai toiminnon turvaamiseksi. Väittämiä arvioitaessa vastaajan ollessa joko täysin eri mieltä (5) tai ei osannut sanoa (6) tuli arvoksi Kriittinen poikkeama. Vakavaksi poikkeamaksi määriteltiin uhka, joka mahdollistaa rajatun pääsyn tietojärjestelmään tai keskeisiin toimintoihin. Tunkeutuja voi nähdä hänelle kuulumatonta tietoa. Uhka mahdollistaa ydintoimintojen toiminnan kannalta normaalin tietojärjestelmän käytettävyyden lamauttamisen tai kriittisen tietojärjestelmän käytettävyyden selvän 3 Kyberturvallisuuden tilannekuva energia-alalla
heikkenemisen. Hyväksikäyttö vaatii joko merkittäviä ponnisteluita tai paljastuvat tiedot eivät ole kriittisiä. Havainto on korjattava. Väittämiä arvioitaessa vastaajan ollessa jokseenkin eri mieltä (4) tai ei ollut mielipidettä (3) tuli arvoksi Vakava poikkeama. Lieväksi poikkeamaksi arvioitiin poikkeama, joka aiheuttaa muuta haittaa tietoturvallisuudelle tai lieviä häiriöitä saatavuudelle. Havainto suositellaan korjattavaksi riskianalyysiin perustuen. Väittämiä arvioitaessa vastaajan ollessa jokseenkin samaa mieltä (2) tuli arvoksi Lievä poikkeama. Mikäli vastaaja oli täysin samaa mieltä väittämän kanssa (1), ei poikkeamaa tunnistettu. Taulukkoon 1 on kerätty kyselyssä voimakkaimmin esille tulleet vahvuudet ja heikkoudet tietoturvallisuuden osa-alueilla. Vahvuudet Heikkoudet Lähdeviite Jatkuvuuden hallinta ja varautuminen häiriötilanteisiin on huomioitu. Tietoturvallisuusjohtamisessa on huomioitu energiasektoriin kohdistuvat erityisvaatimukset sekä lainsäädäntö. Varmuuskopiot on käytössä ja se on toteutettu tiedon luokittelu huomioiden (ristiriita tiedon luokitteluun liittyvien kysymysten kanssa). Organisaatioissa on heikosti käytössään tietojen luokittelumenetelmä. Luokitellun tiedon käyttöä hallitaan ja valvotaan heikosti. Salassapito- tai vaitiolositoumusmenettely on heikosti käytössä. Organisaatiolla on käytössään kamera- ja kulunvalvontajärjestelmä. (HUOM! Hajontaa vastauksissa. Osalla hyvin toteutettuna, osalla toteutus puutteellista. Väittämä myös puutteellinen, siitä ei voi päätellä, miten prosessi toimii, jos kulunvalvonnassa ilmenee poikkeamia.) Organisaatio on määritellyt turvallisuutta ohjaavat periaatteet ja politiikat. Fyysisten tilojen vyöhykkeet on suunniteltu riskienhallintaprosessin kautta. Ei juurikaan tunnisteta uhkia kuten sabotaasi, terrorismi, tiedustelu ja rikokset (HUOM! Hajonta vastauksissa). Tiedon luokittelua ei huomioida kaikissa tiedon elinkaaren vaiheissa. Organisaatiot eivät juurikaan ota käyttöön kovennetun asennusprosessin läpikäyneitä laitteistoja (työasemat, palvelimet, verkkolaitteet) uusiessaan ympäristöjään. Tietojenkäsittely-ympäristöön kohdistuvia hyökkäyksiä ja poikkeamia ei juurikaan tunnisteta eikä organisaatioon ole luotu toimintaprosesseja jotka mahdollistaa nopean reagoinnin. 4 Kyberturvallisuuden tilannekuva energia-alalla
Yhteenveto Analyysin perusteella energiasektorilla nähdään tietoturvallisuuden painopisteen olevan tiedon suojaamisessa teknisin menetelmin. Näiden toteutus onkin pääsääntöisesti erittäin hyvällä tasolla. Myös teknisten ratkaisujen monitorointiin ja raportointiin kiinnitetään pääsääntöisesti huomiota ja ne on myös pääsääntöisesti toteutettu. Koska toiminnan painopiste on hyvin teknisesti orientoitunut, toiminta on myös pääsääntöisesti vastuutettu tietohallinnolle. Organisaatiossa on haasteita määritellä tietoturvallisuuden vastuut, jotka yksiselitteisesti tulisivat olla toimivalla johdolla. Standardit ja suositeltavat kriteeristöt tuovat esille tietoturvan teknisiä ratkaisuja laajempana kontekstina, jonka kaikki osa-alueet tulee huomioida tiedon hallinnassa. Tietoturva tukee strategista johtamista ja tavoitteisiin pääsyä osana kokonaisarkkitehtuuria, jossa tietoturvallisuuden attribuutteina luottamuksen lisäksi tulee huomioida käytettävyys sekä tiedon eheys. Koska kyselyn tietoturvapolitiikkaan liittyviin väittämiin syntyi hajontaa, on syytä tuoda esille, että tietoturvapolitiikka on johdon hyväksymä julkinen dokumentti, josta pitää tiedottaa koko henkilökuntaa sekä koulutuksella että muilla viestinnällisillä keinoilla. Myös tiedon luokitteluun liittyvissä kysymyksissä ilmeni merkittävässä määrin epätietoisuutta. Tiedon luokittelu on tietoturvapolitiikan lisäksi keskeisimpiä toimenpiteitä, jonka perusteella voidaan organisaatiokohtaiset toimenpiteet suunnitella. Tähän liittyy keskeisesti tiedon ja tietojärjestelmien omistajuuden määrittely, johon energiasektorilla on kiinnitetty kohtuullisen vähän huomiota. Jotta toimijat sisäistävät tietoturvallisuuden asian kuuluvalla vakavuudella, tulee sekä henkilökunnan että sidosryhmien koulutukseen ja tiedottamiseen myöntää tarvittavat resurssit. Tiedon koko elinkaaren hallinta määritellään sen kontrolloitavuudella, jossa ilmenee kuka on luonut tiedon, kuka saa modifioida, arkistoida, jakaa, hyödyntää sekä tuhota tietoa. Kyselyn vastausten analyysin yhteenvedon perusteella juuri tiedon kontrolloitavuus on kokonaisuus, johon energiasektoria kehotetaan kiinnittämään huomiota. Analyysin perusteella energiasektorilla jää usein huomioimatta kontrolloitavuuteen liittyvät seikat. Etenkin tiedon arkistointiin, arkistoinnin kestoon ja tiedon hävittämiseen liittyviin ohjeistuksiin sekä arkistoidun aineiston tuhoamiseen liittyviin käytäntöihin on syytä kiinnittää nykyistä tarkempaa huomiota. Ehdotus jatkotoimenpiteiksi Tietoturvallisuuden kehittämisessä on tähdellistä priorisoida muutostarpeet niiden vaikuttavuuden ja relaatioiden mukaan. Tässä artikkelissa esitetyssä tilannekartoituksessa suurin vaikuttuvuus näyttää syntyvän päivittämällä organisaatioiden tietoturvapolitiikat, tiedon luokittelulla, aineiston omistajuuden määrittelyllä sekä henkilökunnan koulutuksella. Onkin ilmeistä, että edellä mainituilla toimenpiteillä on suora relaatio arvioituihin vakaviin ja lieviin poikkeamiin. 5 Kyberturvallisuuden tilannekuva energia-alalla