- ai miten niin?
- miksi ihmeessä?
2015 Medtronic Kyberturvallisuus - miksi ihmeessä? Kyberrikollisuus Kyberrikollisuudessa vuotuisesti liikkuvan rahan määrä on ylittänyt huumausainerikollisuudessa vuotuisesti liikkuvan rahan määrän.
Digitaalinen potilastieto on kauppatavaraa?! vuosikatsaus 2014: Amerikkalainen Community Health Systems Inc. (CHS) tiedotti 18.8.2014, että siihen oli huhti- ja heinäkuussa 2014 kohdistunut tietovuotoon johtaneita kyberhyökkäyksiä. CNBC: 29.5.2014 2014 Hackers are coming after your medical records => 94% of US medical institutions have reported being the victims of cyberattacks Digitaalinen potilastieto on kauppatavaraa?! (jatk.) Paneelikeskustelu European Cyber Security Forum 2015 tapahtumassa syyskuussa Puolan Krakowassa : - Voiko henkilötiedosta tulla kauppatavaraa? - Tuskin välittömästi, mutta todennäköistä on että esim. tiettyjä palveluja tai ratkaisuja subventoidaan tilanteessa, jossa käyttäjä antaa oikeuden käyttää omia henkilö- ja käyttäjätietojaan ja käyttöhistoriaansa palvelun kehittämisessä ja/tai palvelun paremmassa räätälöinnissä kuluttajan tarpeeseen sopivaksi Käyttäjät antavat tyypillisesti hyvinkin laajoja oikeuksia palveluille ja sovelluksille hyväksyessään palvelun käyttäjäehdot! Twitter: ter: @CyberFinland nd w.cy nd.f.fi
Kyberturvallisuus - miksi ihmeessä? Onnettomuudet ja vahingot Tiedon saatavuus (availability), luotettavuus (integrity) ja luottamuksellisuus (confidentiality) voivat vaarantua myös vahingon tai onnettomuuden seurauksena.
Kyberturvallisuus on kilpailuetua - ai miten niin?
Mitä kyberturvallisuus itseasiassa on? Artikkelista From information security to cyber security, 26.11.2012, Rossouw von Solms, Johan van Niekerk Lähde: From information security to cyber security, 26.11.2012, Rossouw von Solms, Johan van Niekerk Mitä kyberturvallisuus itseasiassa on?
Mitä kyberturvallisuus itseasiassa on? (jatk.) Kyberturvallisuus suojaa yrityksen tai toimijan Omaa assettia Hallinnassa tai saatavilla olevaa assettia Mitä kyberturvallisuus itseasiassa on? (jatk.) Kyberturvallisuus toteutuu Tietojärjestelmissä Vaihe 1 Menetelmä a Menetelmä b Vaihe 2 Menetelmä c Vaihe 3 Menetelmä d Menetelmä e Menetelmä f Prosesseissa ja menetelmissä Viestinnässä ja kommunikaatiossa
Kyberturvallisuus ja operatiivinen / liiketoiminta Riskien hallinta ja operatiivinen jatkuvuus Kyberturvallisuus on riskien hallinnan prosessi ja vaatii jatkuvaa johtamista ja mittaamista TUNNISTA NIST TA TURVATTAVAT TTA AVAT ASSETIT KYBERTURVALLISUUDEN UUDEN JOHTAMINEN TUNNISTA TA JA TOTEUTA TEUT TUNNISTA TA VALITSE TÄRKEIMMÄT UHKIA VASTAAN ASETTEIHIN TEIH UHAT JOITA VASTAAN TARVITTAVAT KOHDISTUVAT T TULEE SUOJAUTUA VASTATOIMET UHAT RISKIENHALLINTA REAGOI TOTEUTUNEISIIN TEUTUN UNEIS EISI IIN UHKIIN Riskienhallinnassa auttaa
Kyberturvallisuus ja operatiivinen / liiketoiminta (jatk.) Kyberturvallisuus mahdollisuutena Ennustettavuus Lisäarvo (Differointi) Hallinnoitavuus Luotettavuus Laatu Sosiaali- ja terveystoimen tietojärjestelmissä ja sähköisessä asioinnissa
Digitalisaatio hyötykäyttöön Operatiivisen toiminnan jatkuvuus ja riskien hallinta Päätöksenteko olemassa olevan ymmärryksen ja tiedon pohjalta mutta tieto onkin tietoverkossa, laitteiden välisessä integraatiossa, mittareissa, sensoreissa, pilvessä/pilvissä. tehdäänkö päätös oikeiden ja riittävien tietojen perusteella? ja kuka tiedon itseasiassa omistaa?
SoTe vs. IoT / IoE / Teollinen Internet hypeä, tulevaisuutta vai jo tätä päivää? IoT (Internet of Things) IoE (Internet of Everything) Teollinen Internet Terveydenhuollon järjestelmät Case study SHODAN-hakukone Kehittänyt John Matherly (2009 alk.) Skannaa internettiin kytkettyjä laitteita ja selvittää mitä ne on Serverit, reitittimet, webbikamerat, IP-puhelimet, älytelevisiot, jääkaapit Voimalaitokset, tuulivoimalat, tehtaiden ohjausjärjestelmät Vuonna 2013 tietokannassa oli noin miljoona laitetta Suomesta Hakee tietoa IP-osoitteista NMAP-skriptien avulla (portti + protokolla) Aalto-yliopiston (2013) tutkimuksen mukaan Suomessa n. 3000 avointa automaatiolaitetta internetissä, arvio todellisuudesta: n. 10 000
Case Study: Targetin tietomurto 2013 HVAC-yritys 1. HVAC-yrityksellä laskutusyhteys Targetin toimipisteeseen 2. HVAC-yrityksellä yhteys Targetin tietoverkkoon HVAC esimerkki Shodanissa Haku Shodan-kantaan avainsanoilla HVAC ja alueena US antaa mm. seuraavan tuloksen
HVAC esimerkki Shodanissa Valitsemalla ko. osoitteen saa lisätietoa ko. portista ja käytetystä protokollasta HVAC esimerkki Shodanissa Google haku avainsanoilla Trane hvac tracer sc antaa mielenkiintoisen listan suositelluista hauista
HVAC esimerkki Shodanissa Valitsemalla hakusanat sc manual antavat tuloksena pdf-tiedoston, joka on Tracer-järjestelmän ohjekirja. HVAC esimerkki Shodanissa Manuaalista löytyy mielenkiintoista tietoa will not launch Tracer SC if the Web browser security level is set too high! MIKSI EI?! The Tracer SC Interface requires the Adobe Flash Player, Java Runtime Environment and browser with JavaScript enabled. kaikki turvallisia ratkaisuja,eikö?!
HVAC esimerkki Shodanissa Tietoa todella saada laillisin n on keinoin n verkosta a helppo s MIKSI TÄMÄ SAIRAALAN ILMASTOINTILAITE NÄKYY JULKISEEN INTERNETIIN? ONKO LAITE KYTKETTY OMAAN KIINTEISTÖAUTOMAATIOVERKKOON, VAI ONKO LAITE SAIRAALAN OPERATIIVISESSA VERKOSSA? SHODAN: älä tee näin VAAN TEE NÄIN Esim. Estetään kaikki ylimääräinen liikenne pelvelimelle palomuurisäännöillä
Kyberturvallisuus ja regulaatio Suomen kyberturvallisuusstrategia EU:n kyberturvallisuusstrategia Network & Information Security (NIS) -direktiivi VS. Tietoyhteiskuntakaari Henkilötietolaki / Tietosuojaan liittyvä lainsäädäntö Ehdoton tarve : Standardi di IoT:lle / IoE:lle
Onko kyberturvallisuus välttämätön paha myös Sosiaali- ja Terveydenhuollon järjestelmissä ja palveluissa? Kyberturvallisuus on arjen turvallisuutta, koskee jokaista ihmistä joka toimii ja vaikuttaa tietoverkossa ON VÄLTTÄMÄTÖNTÄ OTTAA HUOMIOON Kyberturvallisuus, uus, hyvin tehtynä, lisää oman toiminnan luotettavuutta ja ennustettavuutta, ja parantaa asiakkaan saamaa laatua, palvelutasoa, turvallisuuskokemusta PARANTAA RATKAISUJA JA PALVELUJA MYÖS SOTE-ALUEELLA Kyberturvallisuus uus on myös taloudellinen tekijä silloin, kun otat sen huomioon omassa toiminnassasi ja varsinkin kun pystyt osoittamaan että toimit kyberturvallisesti EI TARVI OLLA VÄLTTÄMÄTÖN PAHA, VAAN VOI OLLA MYÖS MAHDOLLISUUS Sosiaali o ali- ja terveydenhuollon e toiminnassakin Kysymyksiä? Kiitos!