TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN Tietoturva Nyt! 4.11.2015 Säätytalo Toimitusjohtaja Raimo Luoma
HUOLTOVARMUUDEN PERUSTAVOITE Huoltovarmuuden turvaamisesta annetun lain tarkoituksena on poikkeusolojen ja niihin verrattavissa olevien vakavien häiriöiden varalta turvata väestön toimeentulon, maan talouselämän ja maanpuolustuksen kannalta välttämättömät taloudelliset toiminnot ja teknisten järjestelmien toimivuus vakavissa häiriöissä ja poikkeusoloissa. Huoltovarmuuden kehittämistä ja ylläpitoa varten on huoltovarmuuskeskus VNP Huoltovarmuuden tavoitteista: Yleisenä tavoitteena on, että yhteiskunnan elintärkeiden toimintojen kannalta keskeiset yritykset ja organisaatiot ottavat jatkuvuudenhallinnassaan huomioon niihin kohdistuvat kyberuhat ja pitävät yllä tarvittavaa suojautumiskykyä. Huoltovarmuuskeskus ja muu huoltovarmuusorganisaatio tukevat toimintaa selvityksin, ohjeistuksin ja koulutuksella.
LÄHTÖKOHTIA Yhteiskunnan avaintoimintojen tietojärjestelmä- ja sähköriippuvuus kasvaa nopeasti. Kyberturvallisuuden merkitys kasvaa. Digitalisoituneessa yhteiskunnassa häiriöt digitaalisen tiedon käsittelyssä voivat edelleen aiheuttaa välillisiä häiriöitä tiedon käsittelystä riippuvissa palveluissa. Yritystason tietoturvasta poiketen huomion painopiste on verkotettujen sähköisten palveluiden keskinäisessä riippuvuudessa ja niiden muodostamissa arvoketjuissa. Vakavin ulkoinen uhka on kriisitilanne, jossa kyky tuottaa tai hankkia ulkomailta kriittisiä tuotteita ja palveluja on väliaikaisesti vaikeutunut.
KYBERTURVALLISUUDEN TALOUDELLINEN ULOTTUVUUS Teollistuneissa maissa kyberrikollisuuden aiheuttamat kustannukset ovat keskimäärin noin 1% BKT:sta (+/- 0,5%) (McAfee 2014) Suomen BKT:sta 1 % on noin 2 mrd
HVK:N TOIMENPITEET KYBERTURVALLISUUDEN KEHITTÄMISEKSI (VNP 2013 HV:N TAVOITTEISTA, YTS, KT-STRATEGIA) Tietoisuus (osaaminen, tutkimus, tilannekuva) HAVARO-järjestelmän käyttö ja kehittäminen PK-kyberturvallisuusopas, suunnitteilla opas pilvipalvelujen turvalliseen käyttämiseen Kyberturvallisuuden suositukset elinkeinoelämälle (ICT-pooli) Opetus Tutkimustyö ja selvitykset Tukitoimet yrityksille CERT toiminnan palveluhankinta SOPIVA-jatkokehittämisen ja markkinoinnin palveluhankinta KYBER-TEO hanke teollisuusautomaation kehittämiseksi KRIVAT-toiminta Suomen Huoltovarmuusdata Oy Teemaseminaarit Harjoitukset Kyberharjoitukset
KYBERTURVALLISUUS 2020 OHJELMA Käynnistyy vuoden 2016 alussa, Valmistelevat työpajat käynnissä, Fokus elinkeinoelämän kyberturvallisuudessa. HVK edistää ja tukee resurssein elinkeinoelämän kyberturvallisuuteen liittyviä tavoitteita yhdessä eri toimijoiden kanssa, HVK vastaa sellaisista tavoitteista, joihin ei löydy muuta luontevaa toimijaa, HVK tukee sovittuja muita tavoitteita osallistumalla työhön. Ohjelmallinen lähestyminen, puretaan projektiksi ja vuosittaisiksi tavoitteiksi; keskeisiä teemoja mm.: Tietoisuus osaaminen, tutkimus, tilannekuva, Tukitoimet yrityksille, Harjoitukset. HVK:n kyberturvallisuuteen osoittama rahoitus nyt noin 2,5 M /v, tarkoitus lisätä tätä merkittävästi. HVK:n Kyberturvallisuuskeskukselle kohdistama rahoitus pidetään ohjelmakaudella nykyisellä tasolla.
ELINKEINOELÄMÄN TARVITSEMIA JULKISIA KYBERTURVALLISUUSPALVELUITA Kybertietoisuuden kasvattaminen: Huoltovarmuuskriittisille yrityksille tarjottavan tilannekuvan kehittäminen uhkien ja riippuvuuksien globaali näkökulma huomioiden, Yritysten välisen yhteistyön (vapaaehtoinen) kehittäminen kyberturvallisuusasioissa, Luottamuksellisen tiedon jakamisen mahdollistava reaaliaikaisen tiedonvaihdon ratkaisu (Huovi => HVK-some?). Huoltovarmuuskriittisten yritysten tukeminen: Kumppaneiden kanssa tehtävään yhteistyöhön (sopimukset) panostaminen, Kyberharjoitustoiminnan kehittäminen, Kehittyvien teknologioiden ja uusien toimintamallien tukeminen niiden käyttöönottovaiheessa huoltovarmuusnäkökulmaan soveltuvin osin. Olemassa olevien palveluiden jatkon turvaaminen: HAVARO Suomen Huoltovarmuusdatan investointiohjelman loppuunsaattaminen
KYBERTURVALLISUUSSUOSITUKSET: 5 PÄÄRYHMÄÄ JA 27 SUOSITUSTA 1) Johtaminen i. Strateginen ohjaus ii. Organisointi ja resursointi iii. Yhteistyön koordinointi iv. Viestintä sidosryhmien kanssa ja raportointi johdolle v. Johtaminen erityistilanteissa 2) Toiminnan ohjaus i. Toiminnan kehittäminen riski- ja vaikutusarvioinnin avulla ii. Toimintaverkoston hallinta iii. Erityistilanteiden hallinta 3) Henkilöstö- ja henkilöresurssien hallinta i. Osaamisen ja tietoisuuden kehittäminen ii. Henkilöresurssien ja tehtävien hallinta 4) Kumppanuudet i. Sopimusten hallinta ii. Toiminnan varmistaminen erityistilanteissa iii. Kyberturvallisuuskeskus 5) Kyberturvallisuuden hallinnan arviointi ja kehittäminen
YHTEENVETO Kriittisen infrastruktuurin turvaamisen yleisenä tavoitteena on, että yhteiskunnan elintärkeiden toimintojen kannalta keskeiset yritykset ja organisaatiot ottavat jatkuvuudenhallinnassaan huomioon niihin kohdistuvat kyberuhat ja pitävät yllä tarvittavaa suojautumiskykyä. Huoltovarmuuskeskus ja muu huoltovarmuusorganisaatio tukevat toimintaa selvityksin, ohjeistuksin ja koulutuksella. Esimerkkejä huoltovarmuuskriittisten yritysten tukemisesta ovat mm.: Kybertietoisuuden kasvattaminen, Kyberharjoitusmahdollisuuksien luominen, Suositusten luominen kriittisten tieto- ja viestintäjärjestelmien sekä niihin liittyvien palveluiden varmistamiselle, turvallisuudelle ja jatkuvuudelle, Kehittyvien teknologioiden ja uusien toimintamallien tukeminen niiden käyttöönottovaiheessa huoltovarmuusnäkökulmaan soveltuvin osin, Keskinäisen reaaliaikaisen luottamuksellisen tiedonvaihdon edistäminen.
KIITOS! Yhteystiedot Huoltovarmuuskeskus Aleksanterinkatu 48 A FI-00100 Helsinki, Finland Puh. 02950 51000 Fax 09 260 9584 www.huoltovarmuus.fi www.nesa.fi www.varmuudenvuoksi.fi