Teollisuusautomaatiojärjestelmän tietoturvan arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Samankaltaiset tiedostot
TITAN-käsikirja TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke. KANSALLINEN CIP-SEMINAARI Pasi Ahonen, VTT

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Tietoturvapolitiikka

Pasi Ahonen,

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

KONEAUTOMAATION LAATU JA TURVALLISUUS Marko Varpunen

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

TIETOTURVAPOLITIIKKA. Versio: 1.0

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Vihdin kunnan tietoturvapolitiikka

Voiko se oikeasti olla totta

Tuoteluettelo/hinnasto Liesikuvut. Oma moottori Huippuimuriohjaus. Keittotasot.

Lehtori, DI Yrjö Muilu, Centria AMK Ydinosaajat Suurhankkeiden osaamisverkosto Pohjois-Suomessa S20136

TIETOTURVA- POLITIIKKA

Ohjelmointitekniikka lyhyesti Survival Kit 1 Evtek KA ELINKAARIMALLEISTA

INSPIRE ArcGIS-tuotteilla. Ulla Järvinen ja Jussi Immonen INSPIRE-koulutuksessa

Digisovittimien testaus ja laitteiden linkitys HDpalveluissa. Timo Santi DigiPhilos Oy

Ristiinopiskelun kehittäminen -hanke

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

yritysneuvontapalvelut Yritys Suomi sopimuksen puitteissa koulutus ja kehittämispalvelut, joita kehitetään Yhessä hankkeessa

TEOLLISUUSAUTOMAATION TIETOTURVA. Jarkko Holappa Kyber-INKA Roadshow, Solo Sokos Hotel Torni, Tampere

Standardit tietoturvan arviointimenetelmät

Älyliikenteen palvelujen kehittäminen Matti Roine, johtava tutkija VTT

Tietojärjestelmän osat

Arkkitehtuurinäkökulma

Vesihuolto päivät #vesihuolto2018

Kokemuksia SIEM-järjestelmistä. Vesa Keinänen Senior Network Security Specialist, CISSP Insta DefSec

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Saara Hänninen: Hiilijalanjälki SUSTIS-hankkeen osana. Saija Vatanen: Hiilikädenjälki

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

K EHITYSYHTEISTYÖN PALVELUKESKUS SERVICE CENTRE FOR DEVELOPMENT COOPERATION

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Turvallinen etäkäyttö Aaltoyliopistossa

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Low Carbon Finland 2050 platform VTT:n, VATT:n, GTK:n ja METLA:n yhteishanke

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Liiketoimintaa ICT-osaamisesta vahvuuksilla eteenpäin. Jussi Paakkari, teknologiajohtaja, VTT, R&D, ICT

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Projektin tavoitteet

Ohjelmiston toteutussuunnitelma

Vaivattomasti parasta tietoturvaa

WCLIQUE. Ohjelmistoprojekti. Testaussuunnitelma

Kyberturvallisuus kiinteistöautomaatiossa

TIETOJÄRJESTELMIEN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

Sähköinen säilyttäminen

VIRTU ja tietoturvatasot

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Laboratorioprosessin. koostuu Labquality-päivät PSHP Laboratoriokeskus

Yritysvastuun johtaminen

LÄÄKINTÄLAITTEEN VASTAANOTTOTARKASTUS

Miten yhteiskunnalliset haasteet, julkiset palvelut ja yritysten liiketoiminta kohtaavat vai kohtaavatko?

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä

Tilaajan kalustovaatimusten vaikutus teiden talvikunnossapidon kustannuksiin. Heikki Ikonen

KLKH97 ICT-asiantuntijapalvelut

Teholähteet ja muuntajat Phaseo Poweria automaatioon!

VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

Agenda. Johdanto Ominaispiirteitä Kokonaisjärjestelmän määrittely Eri alojen edustajien roolit Sulautetut järjestelmät ja sulautettu ohjelmointi

Onnistunut Vaatimuspohjainen Testaus

KNX hyvä käytäntö ja laadukkaat kohteet Mitä pitää muistaa kohteen tekemisessä

Ohjelmiston testaus ja laatu. Ohjelmistotekniikka elinkaarimallit

Langattomien verkkojen tietosuojapalvelut

14 10 October 28, Liaison Technologies. All rights reserved. Liaison is a trademark of Liaison Technologies.

Tapahtuipa Testaajalle...

Teollisuusautomaation tietoturvaseminaari

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Väestorekisterikeskus. Lausunto

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

Hyökkäysten havainnoinnin tulevaisuus?

ITS Finland esiselvitys

Investointien turvaaminen, yhteensopivuuden ja jatkuvuuden varmistamisen kautta

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturvapolitiikka

Sytyke ry:n laivaseminaari Software Technology Transfer Pekka Forselius

HELSINKI AREA TESTBED. Martti Mäntylä, HIIT

Sulautettu tietotekniikka Ubiquitous Real World Real Time

Kyberturva varmistaa käytettävyyden ja tiedon eheyden teollisuusautomaatiossa. Teemu Pajala Liiketoimintayksikön johtaja Teollisuuden palvelut

Opas verkkopalvelun tietoturvan varmentamiseen

akkreditointistandardi SFS-EN ISO FINAS - akkreditointipalvelu

VALVO JA VARAUDU PAHIMPAAN

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Testauksen hallinta Testaustyökalut Luento 7 Antti-Pekka Tuovinen

Verkostoautomaatiojärjestelmien tietoturva

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Lapin yliopiston tietoturvapolitiikka

ANVIA PILVI. kotimaisia pilvipalveluita yrityksille 24/7

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Älykkäät tietojärjestelmät - turvalliset sensorit osana potilaan hoitoa

Merlin Systems Oy. Kommunikaatiokartoitus päätöksenteon pohjaksi. Riku Pyrrö, Merlin Systems Oy

PK-yrityksen tietoturvasuunnitelman laatiminen

Työyhteisötaitojen mittaaminen ja kehittäminen

Turvallisuuden ja toimintavarmuuden hallinta tieliikenteen kuljetusyrityksissä. Anne Silla ja Juha Luoma VTT

Liite 1: KualiKSB skenaariot ja PoC tulokset. 1. Palvelun kehittäjän näkökulma. KualiKSB. Sivu 1. Tilanne Vaatimus Ongelma jos vaatimus ei toteudu

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

HP Change Rules of Networking

KLKH97 ICT-asiantuntijapalvelut

Tietoturvakonsulttina työskentely KPMG:llä

Käyttöjärjestelmät(CT50A2602)

Transkriptio:

Teollisuusautomaatiojärjestelmän tietoturvan arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT

Evaluaation perusidea 2

Tietoturvaevaluaation keskeisiä kysymyksiä 3

Järjestelmän tietoturvaevaluaation päävaiheet Järjestelmän tietoturvaevaluaation voidaan katsoa koostuvan seuraavista päävaiheista: 1. evaluaatiokohteen määrittely, 2. evaluaatiokriteeristön määrittely, 3. evaluaatiometodien ja työkalujen valitseminen sekä evaluaatioohjeen tarkempi määrittely, 4. evaluointiaktiviteettien suorittaminen ja raportointi, 5. evaluaation tulosten validointi. 4

Automaatiojärjestelmän tietoturvaevaluaation päävaiheet Käyttöönotettavan automaatiojärjestelmän evaluaatioon kuuluvat vaiheet 5

Evaluaation perusongelma yleispätevää ratkaisua ei ole 6

Evaluaatiokohteen määrittely 7

Esimerkki evaluoitavaksi valituista kohteista (harmaa väri) ja evaluoitavien ominaisuuksien rajauksesta. 8

Arvioinnin edellytyksiä 1. Kullakin automaatio- ja tietoliikennejärjestelmän evaluoitavalla osalla tulee olla operoivan organisaation erityisesti määräämä ja käytössä oleva tietoturvatason (security level) määrittely, johon kuuluvat kiinteästi sekä tietyt tietoturvakontrollit että yksityiskohtainen tekninen ja hallinnollinen tietoturvapolitiikka. 2. Lisäksi kokonaisjärjestelmän arkkitehtuurikuvauksessa on oltava määriteltynä suojattavien kohteiden vyöhykkeet, joissa kussakin vallitsee tietty tietoturvataso. Yleisesti ottaen voidaan siis sanoa, että käyttöympäristöstä tulevat vaatimukset määräävät ehkä kaikkein voimakkaimmin valittavan evaluaatiokriteeristön yksityiskohdat sekä referenssitason, johon evaluoitavaa komponenttia verrataan. Lisäksi hyvän kriteeristön yleisiä ominaisuuksia ovat selkeys, yksiselitteisyys, käytettävyys, sekä riittävä kattavuus. Tällöin kriteeristö sopii käyttötarkoitukseensa hyvin ja antaa edellytykset saavuttaa evaluaatiolle asetetut tavoitteet. 9

Automaatiojärjestelmän suojaamisen vaatimuksia Automaatiojärjestelmän suojaamiseksi asetetaan usein muun muassa seuraavia vaatimuksia: järjestelmän saatavuuden ja käyttövarmuuden varmistaminen, resurssien käytön kontrollit vikatilanteista elpymisen suunnitelmat ja turvaaminen, toiminnan jatkuvuus valvontatiedon saannon ja prosessinohjauskyvyn turvaaminen pääsynvalvonnan kontrollit (esim. roolipohjainen), käyttäjätilien hallitseminen järjestelmän suojauksen ja eristämisen kontrollit järjestelmien kovennus, rajapintojen palveluiden rajoittaminen järjestelmään tallennetun datan ja viestien eheyden suojaaminen turvajärjestelmien signaloinnin (mm. hälytykset) varmistaminen tapahtumatiedon jäljitettävyys ongelmatilanteissa (accountability, ym.) haittaohjelmasuojauksen kontrollointi. 10

Arvioinnin metodit ja työkalut Evaluaatioon liittyviä tarkastuksia varten täytyy myös pohtia seuraavia kysymyksiä: Millä metodeilla ja työkaluilla evaluaation eri tarkastukset suoritetaan? Mitä testityökalujen asetuksia, laajennuksia, haavoittuvuuskantaa, tarkistuslistoja jne. evaluaation kussakin osatarkastuksessa käytetään? Teollisuusautomaatiojärjestelmien evaluointiin ja testaamiseen soveltuvia metodeja ja työkaluja ovat muun muassa seuraavat: Toimihenkilöiden haastattelu: tarkastuslistojen käyttö, tietoturvakontrollien ja prosessikuvausten vertaaminen todelliseen tilanteeseen. Haavoittuvuusanalyysi: lähdekoodianalysaattorit, haavoittuvuusskannerit, koodikatselmoinnit. Hyökkäysten sietoa testaavat menetelmät: teollisuusympäristöihin soveltuvat tietoturvatesterit, esimerkiksi Achilles Satellite, penetraatiotesterit, robustnesstesterit, testaus palvelunestohyökkäyksiä vastaan. Järjestelmien konfiguraation selvittäminen ja vertaaminen määriteltyyn: esimerkiksi verkkoskannerit, porttiskannerit, konfiguraatiotiedostojen tarkistus, palomuurisäännöstöjen ja eri järjestelmien pääsynvalvontasäännöstöjen läpikäynti. 11

Tärkeä vaihe käyttöönotossa - Käyttöönottotestaus Käyttöönottotestaus tehdään ennen valmiin järjestelmän käyttöönottoa, jolloin kaikki tietoturvakomponentit on asennettu järjestelmään ja kaikki asetukset ja ympäristöolosuhteet ovat mahdollisimmat realistiset ja käytössä. Käyttöönottotestauksen tarkoitus on validoida, että tietoturvaan liittyvät toiminnot toimivat odotetulla tavalla, mm. että [ISA99-TR2] tietoturvaominaisuuksien asennukset on tehty oikein tietoturvaan liittyvä konfiguraatio on oikea tietoturvakontrollit toimivat spesifikaation mukaisesti tietoturvavaatimukset ja -politiikat toteutuvat oikein kokonaisjärjestelmä sekä turvallisuustoiminnot toimivat oikein. 12

Evaluaation tuloksia 13

TITAN-käsikirjassa evaluaatiokriteeristöjä listattu suomeksi 14

Esimerkki Vaatimuksia ohjelmistojen asennuksesta ja korjaamisesta 15

Esimerkki Lähdekoodianalyysiin liittyviä vaatimuksia 16

Alustava ehdotus kansallisen ennakointiverkoston muodostamiseksi 17

Johtopäätökset TITAN projektissa on päädytty muun muassa seuraaviin johtopäätöksiin: Standardien mukaisen, turvallisen automaatiojärjestelmän hankinta on vaikeaa, joten yrityksen hankintaprosessin kehittämiseen kannattaa varata aikaa ja resursseja. Yhtenäisiä hankintakäytäntöjä täytyy edelleen kehittää. Tietoturvan parantaminen vaatii selkeitä, helppokäyttöisiä ja tehokkaita työkaluja ja käytäntöjä, jotka voidaan ottaa käyttöön kaikilla tarvittavilla osa-alueilla kriittisten järjestelmien toiminnan jatkuvuuden varmistamiseksi. Tietoturvavaatimukset täytyy työstää kehittäjien ja käyttäjien ymmärtämään muotoon. Kansallisella tasolla tarvitaan lisää yhteistyöfoorumeita ja verkostoja tietoturvatilanteen kartoittamiseksi ja tulevaisuuden riskiskenaarioiden tunnistamiseksi. Mikään yksittäinen toimenpide ei turvaa Suomen automaatioteollisuuden tietoturvatilannetta kokonaisuutena, sillä kilpailu- ja toimintakyvyn varmistaminen tulevaisuudessa edellyttää avoimuuden ja monenkeskisen kommunikaation lisäämistä muun muassa operaattoreiden, laite- ja ohjelmistovalmistajien, automaatiojärjestelmätoimittajien, asiakkaiden, sääntelijöiden, sekä jopa kuluttajien välisissä ja keskinäisissä verkostoissa. 18

PASI AHONEN Senior Research Scientist, SW Technologies, Security Assurance Tel.: +358 20 722 2307 GSM: +358 44 730 7152 Fax: +358 20 722 2320 Email: Pasi.Ahonen@vtt.fi VTT TECHNICAL RESEARCH CENTRE OF FINLAND Kaitoväylä 1, Oulu, FINLAND PL 1100, 90571 Oulu, FINLAND www.vtt.fi 19

VTT luo teknologiasta liiketoimintaa 20

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute