VARAUTUMINEN SOPIMUKSIN KYBERTURVALLISUUSUHKIIN Varautumispäällikkö Erkki Räsänen Huoltovarmuuskeskus, Infrastruktuuriosasto
HUOLTOVARMUUDEN PERUSTAVOITE Väestön toimeentulon, maan talouselämän ja maanpuolustuksen kannalta välttämättömät taloudelliset toiminnot ja teknisten järjestelmien toimivuus vakavissa häiriöissä ja poikkeusoloissa. Markkinat yleensä turvaavat huoltovarmuuden, mutta monilla aloilla tarvitaan huoltovarmuusjärjestelyjä. Huoltovarmuustoiminta Yhteiskunnan toiminnot Markkinaperusteinen toiminta 2
HUOLTOVARMUUSTAVOITTEIDEN KEHITYS Nine eleven 2002 12 kk valmiuslain mukainen kriisi sisältäen puolustustilan ja terrorismiuhan Tuontimahdollisuudet väliaikaisesti vaikeutuneet Kv. yhteistyö olennainen osa varautumista Painopisteenä yhteiskunnan toimivuus, erit. tieto- ja viestintätekniikka EU-olosuhteet 1995 12 kk kestävä valmiuslain mukainen kriisi, johon voi sisältyä puolustustila Tuontimahdollisuudet olennaisesti vaikeutuneet Kansallisia toimia täydentävät EU, IEA ja bilateraalijärjestelyt Perushuollon priorisointi Kylmän sodan uhkakuvat 1988 Ulkomaankaupan sulkutila 1 vuosi 4 6 kk lievä kriisi Laaja perushuollon käsite Epävarmuuden ja konfliktien maailma 2013 New normal! Globalisaatio ja verkostotalous 2008 Tuonti väliaikaisesti häiriintynyt, normaaliolojen vakavat häiriöt Lähtökohtana kv. markkinat ja kansalliset toimenpiteet EU ja kv. sopimukset täydentäviä Yhteiskunnan kriittinen infrastruktuuri korostuu, kv. yhteistyö aktiivisempaa
MITÄ KYBERTURVALLISUUS ON? Kyberturvallisuus on kiinteä osa yhteiskunnan kokonaisturvallisuutta ja sen toimintamalli noudattaa Yhteiskunnan turvallisuusstrategiassa (YTS) määritettyjä periaatteita ja toimintatapoja. Kyberturvallisuus perustuu koko yhteiskunnan tietoturvallisuuden järjestelyihin eli kyberturvallisuuden edellytyksenä on jokaisen kybertoimintaympäristössä toimivan tahon toteuttamat tarkoituksenmukaiset ja riittävät tietojärjestelmien ja tietoverkkojen turvallisuusratkaisut. Kyberturvallisuuden toimintamalli perustuu tehokkaaseen ja laaja-alaiseen tiedon hankinta-, analysointi- ja keruujärjestelmään, yhteiseen ja jaettuun tilannetietoisuuteen sekä kansalliseen ja kansainväliseen yhteistoimintaan varautumisessa. Kyber 2020 -ohjelman kehys, jossa jatkuva muutos pyritään ottamaan huomioon 4
KYBER 2020 OHJELMA TIIVISTETYSTI Yhteiskunnan turvallisuusstrategia Kansallinen kyberturvallisuusstrategia (KKTS) Määrittelee yhteiskunnan elintärkeät toiminnot, joiden jatkuminen on pystyttävä takaamaan kaikissa olosuhteissa. Kyberturvallisuuden visio, toimintamalli ja strategiset linjaukset. KKTS toimeenpano-ohjelma Viranomaiset Elinkeinoelämä Keskeisimmät toimenpiteet kyberturvallisuusstrategian linjausten toteuttamiseksi. HVK:n Kyber 2020 -ohjelma HVO Yhteistyössä HVK Viestintävirasto Konkreettiset toimenpiteet, jotka parantavat huoltovarmuusorganisaation kriittisten yritysten kyberturvallisuutta. 5
KYBER 2020 TEEMAT JA PANOSTUKSET Ohjelman 7 keskeistä teemaa: Ohjelman ohjaus ja seuranta Luottamus kyberriskien hallintaan Kyberosaaminen ja kyvykkyydet Kansallinen havainnointikyky Viestintä, tilannekuva ja tiedonvaihto Kansainvälinen yhteistyö Tulevaisuuden huomioiminen Panostukset: 2016: 700 keur 2017 2020: 1 500 keur / v 6
KYBERTURVALLISUUS, ARVOVERKOT JA SOPIMUSTEN MERKITYS Yhteiskunnan avaintoimintojen tietojärjestelmä- ja sähköriippuvuus kasvaa nopeasti. Markkinavoimat eivät välttämättä spontaanisti vastaa tähän haasteeseen riittävän etupainotteisesti. Suuri osa huoltovarmuuden kannalta kriittisistä tuotteista ja palveluista tuotetaan useiden osapuolten muodostamissa arvoverkoissa, joiden häiriötön toimivuus tulee turvata niin normaali- kuin poikkeusoloissa. Velvoitteiden siirtäminen alihankintaketjuissa tapahtuu sopimusten kautta. 7
PITKIEN ALIHANKINTAKETJUJEN KIROUS Kukaan ei voi antaa toiselle parempaa etua kuin mitä hänellä itsellään on! Palvelun vastaanottaja on aina riippuvainen alihankkijoistaan ja joutuu myös vastaamaan muille osapuolille antamistaan sitoumuksista silloin kun palvelun vastaanottajan prosessin osia hankitaan ostopalveluna toiselta. Tämän vuoksi palvelusopimuksia laadittaessa tulee varmistua siitä, että myös nämä velvoitteet siirretään arvoketjussa eteenpäin ja, että ketjussa aina seuraava ymmärtää ja hyväksyy nämä vaatimukset sekä sitoutuu niitä noudattamaan sekä tarvittaessa siirtämään nämä velvoitteet myös omille sopimuskumppaneilleen. 8
TIETOTURVA-ASIOITA, JOIDEN TULEE OLLA KUNNOSSA LÄPI KOKO ARVOVERKOSTON Tietoturvallisuuden hallintaprosessi Organisaatio ja vastuut Verkostonhallinnan menettelyt Tietoliikenneratkaisut Verkkojen eriyttäminen Verkkoliikenteen suodattaminen Liiketoimintakriittinen tieto-omaisuus Taltioidun tiedon suojaaminen Tiedonsiirron suojaaminen Salausmenetelmät ja salausavainten hallinta Konesaliverkon palvelinlaitteet Haavoittuvuuksien hallinta Palvelunestohyökkäyksen torjunta Yritysverkossa olevat päätelaitteet Kyky tunnistaa vieraat päätelaitteet Haittaohjelmatorjunta Sovellusohjelmistot Turvallisen ohjelmistokehityksen elinkaarimalli Ohjelmistojen tietoturva-auditointi Käyttövaltuuksien hallintaprosessi Pilvipalvelut Tietosuojan toteutuminen Tietoturvallisuuden tilannekuva Järjestelmien ja niiden käytön tekninen valvonta Toiminnan jatkuvuus, poikkeusolot! 9
DEVIL IS IN THE DETAILS - SOPIMUSEHTO VAI VARMENNUSLAUSUMA Sopimuskumppanin tietoturvan tasosta varmistuminen voidaan käytännössä tehdä joko siten, että sopimuksissa määritellään riittävällä tarkkuudella palveluiden tietosuojaa ja tietoturvallisuutta koskeva vaatimustaso sekä toimituksen seurantamenettelyt ja sanktiot mahdollisille poikkeamille näiden osalta. Toisena tulokulmana on se, että sopimuskumppani sitoutuu sopimuksessa hankkimaan määrävälein oman toimintansa turvallisuudesta riippumattoman kolmannen osapuolen antaman, tiettyyn yleisesti hyväksyttyyn viitekehikkoon pohjautuvan, varmennuslausuman (ns. assurance report) sekä korjaamaan mahdollisesti esiintuodut puutteet tietyn määräajan kuluessa. Jälkimmäisen edut korostuvat erityisesti pitkissä sopimussuhteissa. 10
KYBERTURVALLISUUSSUOSITUKSET SOPIVA-suositusten päivittäminen kyberaikaan (valmisteilla) 11
KYBERTURVALLISUUSSUOSITUKSET Kyberturvallisuussuositukset kannustavat sekä yrityksiä että julkishallinnon organisaatioita suojaamaan toimintaedellytyksensä ja tuotannontekijänsä kyberuhkilta. Kyberturvallisuussuosituksia noudattamalla organisaatiot voivat: ehkäistä kyberuhkista johtuvia toiminnan häiriöitä tehokkaammin, pienentää kybertoimintaympäristön häiriön vaikutuksia organisaation toimintaan, palautua häiriöistä nopeammin. Huoltovarmuusorganisaatio on muokannut nämä turvallisuussuositukset aikaisempien, ns. SOPIVA-suositusten pohjalta, jotta mahdollisimman moni organisaatio ottaisi kyberuhkat systemaattisesti huomioon, kun ne turvaavat toimintansa jatkuvuutta. Jos jokainen organisaatio torjuu kyberuhkia järjestelmällisesti, vahvistuu myös koko itsenäisistä toimijoista koostuvan verkoston toimintavarmuus erilaisissa uhka- ja häiriötilanteissa. 12
KYBERTURVALLISUUSSUOSITUKSET 1.1 Strateginen ohjaus Suositus 1: Johto edellyttää organisaatiolta ydintoimintojen ja kriittisten tukitoimintojen informaatioprosessien jatkuvuuden hallinnan suunnittelua. Suositus 2: Organisaatio on tunnistanut ydintoimintojensa ohjaamisen kannalta välttämättömät ja tärkeät informaatioprosessit. Suositus 3: Ydintoimintojen asettamat vaatimukset informaatioprosesseille ja niiden jatkuvuuden hallinnalle on määritetty. 1.2 Organisointi ja resursointi Suositus 4: Välttämättömien ja tärkeiden informaatioprosessien jatkuvuuden hallinta on vastuutettu ja organisoitu osana normaalia johtamista, toimintaa sekä yhteistoimintaverkoston hallintaa. Suositus 5: Välttämättömien ja tärkeiden informaatioprosessien jatkuvuussuunnittelu on vastuutettu ja organisoitu. Suositus 6: Välttämättömien ja tärkeiden informaatioprosessien jatkuvuuden hallinnalle on asetettu tavoitteisiin nähden riittävät resurssit. 1.3 Yhteistyön koordinointi Suositus 7: Informaatioprosessien jatkuvuuden hallinnan suunnittelu toteutetaan organisaation ydin- ja tukitoimintojen yhteistyönä. 1.4 Viestintä sidosryhmien kanssa ja raportointi johdolle Suositus 8: Informaatioprosesseihin liittyvän viestinnän ja raportoinnin vastuut ja toimintamalli keskeisimpien sidosryhmien kanssa on määritetty ja organisoitu. Suositus 9: Organisaation johto seuraa informaatioprosessien jatkuvuuden hallinnan kehittämistä, jatkuvuussuunnittelua sekä toimenpiteiden vaikutuksia ja kustannuksia. 1.5 Johtaminen erityistilanteissa Suositus 10: Informaatioprosessien häiriöihin liittyvien erityistilanteiden hallinta on organisoitu, ohjeistettu ja huomioitu toimintamalleissa. 13
KYBERTURVALLISUUSSUOSITUKSET 2.1 Toiminnan kehittäminen riski- ja vaikutusarvioinnin avulla Suositus 11: Säännöllinen ydintoimintoihin ja palveluihin kohdistuvien kyberuhkien tunnistaminen, uhkien vaikutusten arviointi sekä kyberuhkiin liittyvä riskienhallintamenettely on käytössä. 2.2 Toimintaverkoston hallinta Suositus 12: Informaatioprosessien jatkuvuuden hallinta toimintaverkostossa on suunniteltu ja sovittu. 2.3 Erityistilanteiden hallinta Suositus 13: Informaatioprosesseihin liittyvien erityistilanteiden hallinnan menettelyt on suunniteltu. Suositus 14: Informaatioprosesseihin liittyvät kriisiviestintämenettelyt on suunniteltu ja harjoiteltu. Suositus 15: Välttämättömien ja tärkeiden informaatioprosessien häiriöiden hallintaohjeet on laadittu, koulutettu ja toiminta harjoiteltu. 3.1 Osaamisen ja tietoisuuden kehittäminen Suositus 16: Organisaatio kannustaa henkilöstöä noudattamaan ja kehittämään hyvää kyberturvallisuuden toimintamallia. Suositus 17: Organisaatiossa on sovittu tapa toimia informaatioprosessien valvonnassa, turvallisuuspoikkeamissa sekä väärinkäytöksiin liittyvissä tilanteissa. 3.2 Henkilöresurssien ja tehtävien hallinta Suositus 18: Suositus 19: Välttämättömiin ja tärkeisiin informaatioprosesseihin liittyvät avainroolit ja -henkilöt on tunnistettu ja varajärjestelyt on suunniteltu. Henkilöstö ja sen käyttö on suunniteltu ja mitoitettu vähintään välttämättömien ja tärkeiden informaatioprosessien jatkuvuuden hallinnan edellyttämällä tavalla. 14
KYBERTURVALLISUUSSUOSITUKSET 4.1 Sopimusten hallinta Suositus 20: Välttämättömiin ja tärkeisiin informaatioprosesseihin liittyvät kriittiset yhteistoimintaverkoston jäsenet, alihankkijat ja resurssit on tunnistettu. Suositus 21: Sopimuksissa on mukana keskeiset vaatimukset kyberturvallisuuden toteuttamiselle. 4.2 Toiminnan varmistaminen erityistilanteissa Suositus 22: Kyberuhkiin liittyvien erityistilanteiden hallinnan menettelyt on suunniteltu ja sovittu. Suositus 23: Kyberturvallisuuden hallinta toimintaverkostossa on suunniteltu ja sovittu. Suositus 24: Kyberturvallisuuteen liittyvä yhteistoiminta kumppanien kanssa häiriö- ja erityistilanteiden hallitsemiseksi on organisoitu ja vastuutettu. 4.3 Kyberturvallisuuskeskus Suositus 25: Organisaatio on mukana Kyberturvallisuuskeskuksen verkostossa. Suositus 26: Organisaatio toimittaa tietoja keskukselle ja saa tietoja keskukselta sovittujen menettelyjen avulla/perusteella. 5.1 Kyberturvallisuuden arviointi Suositus 27: Organisaatio seuraa ja arvioi kyberturvallisuuden toteutumista ja sen toteuttamisen edellyttämien toimien tarkoituksenmukaisuutta. 15
KYBERTURVALLISUUSSUOSITUKSET ALUSTAVA LANSEERAUSAIKATAULU 16
KIITOS! Yhteystiedot Huoltovarmuuskeskus Aleksanterinkatu 48 A FI-00100 Helsinki, Finland Puh. 02950 51000 Fax 09 260 9584 www.huoltovarmuus.fi www.nesa.fi www.varmuudenvuoksi.fi