Mikä tulevaisuudessa menikään pieleen? Turva-automaation uudet vaatimukset ja automaation tietoturva, Automaatioseuran teemapäivä 10.5.

Samankaltaiset tiedostot
Ubicom tulosseminaari

Hankkeen toiminnot työsuunnitelman laatiminen

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

Toiminnallinen turvallisuus

- ai miten niin? Web:

Hankkeiden vaikuttavuus: Työkaluja hankesuunnittelun tueksi

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1

MAAILMAT YHTYY MITEN YLITTÄÄ KUILU TURVALLISESTI

Lataa Legislating the blind spot - Nikolas Sellheim. Lataa

Riskin arviointi. Peruskäsitteet- ja periaatteet. Standardissa IEC esitetyt menetelmät

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Use of spatial data in the new production environment and in a data warehouse

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Vesihuolto päivät #vesihuolto2018

Efficiency change over time

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Kyberturvallisuus kiinteistöautomaatiossa

RAIN RAKENTAMISEN INTEGRAATIOKYVYKKYYS

Työelämän ja koulutuksen vuorottelu

Infrastruktuurin asemoituminen kansalliseen ja kansainväliseen kenttään Outi Ala-Honkola Tiedeasiantuntija

Puolustusvoimien laadunvarmistuspäivät

Salasanan vaihto uuteen / How to change password

Millainen on onnistunut ICT-projekti?

Toimitusketjun vastuullisuus ja riskien hallinta

The BaltCICA Project Climate Change: Impacts, Costs and Adaptation in the Baltic Sea Region

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

Muuttuva markkinointi muuttuvat tiedontarpeet. Päivi Voima Senior Researcher Hanken

CMM Capability Maturity Model. Software Engineering Institute (SEI) Perustettu vuonna 1984 Carnegie Mellon University

CMMI CMM -> CMMI. CMM Capability Maturity Model. Sami Kollanus TJTA330 Ohjelmistotuotanto Software Engineering Institute (SEI)

Helsinki Metropolitan Area Council

TEEMME KYBERTURVASTA TOTTA

Akateemiset fraasit Tekstiosa

Capacity Utilization

Yritysturvallisuuden perusteet

Teollisuusautomaation tietoturvaseminaari

NESTE ENGINEERING SOLUTIONS

LYTH-CONS CONSISTENCY TRANSMITTER

Tietoturvapäivä

ETELÄESPLANADI HELSINKI

NPS:n toinen huutokauppa (2 nd auction) Markkinatoimikunta

Maailman laatupäivä , Laatukeskus Finlandia-talo

Tekoäly ja ihmisyyden tulevaisuus Keski-Suomen tulevaisuusfoorumi XVI Maija-Riitta Ollila

Systeeminen turvallisuuden suunnittelu ja johtaminen. MS-E2194 Björn Wahlström 1-3 syyskuuta 2015

Megaprojekti pysyi aikataulussa. Totta vai tarua?

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Vaalihäirintä ja kyberturvallisuus

Hans Aalto/Neste Jacobs Oy

- ai miten niin?

CMMI CMMI CMM -> CMMI. CMM Capability Maturity Model. Sami Kollanus TJTA330 Ohjelmistotuotanto

Kyber- hyökkäykset. Mitä on #kyberturvallisuus #CyberSecurity.

Aiming at safe performance in traffic. Vastuullinen liikenne. Rohkeasti yhdessä.

Itseohjautuvat tiimit tie menestykseen? Henri Hämäläinen Toimitusjohtaja, Contribyte

Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

Tietoturvallisuuden johtaminen

LUONNOS RT EN AGREEMENT ON BUILDING WORKS 1 THE PARTIES. May (10)

Työsuojelurahaston Tutkimus tutuksi - PalveluPulssi Peter Michelsson Wallstreet Asset Management Oy

- ai miten niin?

Internet of Things. Ideasta palveluksi IoT:n hyödyntäminen teollisuudessa. Palvelujen digitalisoinnista 4. teolliseen vallankumoukseen

1. SIT. The handler and dog stop with the dog sitting at heel. When the dog is sitting, the handler cues the dog to heel forward.

Technische Daten Technical data Tekniset tiedot Hawker perfect plus

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Ajatuksia jatkuvuuden varmistamisen suunnitteluun

Teollinen Internet & Digitalisaatio 2015

Totuus IdM-projekteista

EU GMP Guide Part IV: Guideline on GMP spesific to ATMP. Pirjo Hänninen

Cross Border Bioenergy

Hyppylentämisen Turvallisuusseminaari. Skydive Finland ry & Laskuvarjotoimikunta Utti, Finland

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance

KYSELYLOMAKE: FSD3101 KANSALAISKESKUSTELU RUOTSIN KIELESTÄ: KONTROLLI- KYSELY 2014

Advanced Test Automation for Complex Software-Intensive Systems

Kuivajääpuhallus IB 7/40 Advanced

anna minun kertoa let me tell you

ATLAS-kartan esittely - Peli palveluiden yhteiskehittämisen menetelmistä Päivi Pöyry-Lassila, Aalto-yliopisto

Tieto ja päätöksenteko. Valtiosihteeri Olli-Pekka Heinonen

Operatioanalyysi 2011, Harjoitus 3, viikko 39

Tapausriskien arviointiin tuotiin uudet kysymykset, jotka liittyvät vain yhteen yksittäiseen tapaukseen.

KUINKA ONNISTUN TYÖHAASTATTELUSSA? URAVALMENTAJA RIKU RIMMI TEKNIIKAN AKATEEMISET TEK

3 Kokouksen puheenjohtajan, sihteerin ja pöytäkirjan tarkastajien valinta. Tapio Siirilä ja Harri Heimbürger valittiin pöytäkirjan tarkastajiksi.

Sähkönjakeluverkon hallinnan arkkitehtuuri. Sami Repo

Jatkuva parantaminen Case: Alkon laboratorio Pekka Lehtonen /

Veijo Notkola, projektin johtaja Harri Lindblom, esteettömyysasiantuntija

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Green Growth Sessio - Millaisilla kansainvälistymismalleilla kasvumarkkinoille?

Esimerkki Metson ESD-ventiilidiagnostiikasta (osaiskutesti)

ART ART pairs PPE Cat. III SIZE XS (EN 420:2003+A1:2009) SV FI PL

Cross Border Bioenergy

Digitaalisen työvoiman asiantuntija. Jari Annala Digital (R)evolutionist

Choose Finland-Helsinki Valitse Finland-Helsinki

The Truth in Information

<raikasta digitaalista ajattelua>

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Information on Finnish Language Courses Spring Semester 2017 Jenni Laine

Metropolia Ammattikorkeakoulu Liiketalouden ala

Yritysturvallisuuden perusteet

Ekokem Finland Riihimäki ISO 9001:2008

Digitaalisten pelit hyvinvoinnin edistämisessä

Transkriptio:

Mikä tulevaisuudessa menikään pieleen? Turva-automaation uudet vaatimukset ja automaation tietoturva, Automaatioseuran teemapäivä 10.5.2017 Mika Koskela / Oy

Into

Johtava ajatus Peruskysymykset Osaammeko tehdä oikeita asioita? Jos osaamme, teemmekö silti? (Siis haluammeko?) Seuraavan ison tapahtuman jälkeen joku kysyy näitä jokatapauksessa, Miksi meni pieleen? Tässä esityksessä pari täkyä tulevaisuuden rootcause pohdintoihin

Osaaminen Hypoteesi: Automaation tietoturvallisuuden taso on parantunut merkittävästi Tietoisuus on loikannut eteenpäin Tietoisuus: Totta. Kaikki osaavat ainakin pelätä (post-stuxnet era) Standardeja ja kirjallisuutta löytyy Tosi on. Koulutusta löytyy sekä teoriamielessä + hand-on:nina Vapailla markkinoilla tarjonta runsastunut, ja taitoja opiskellaan myös oppilaitoksissa Tekijöitä löytyy sekä palveluina että työmarkkinoilta Tilanne koko ajan parantumassa Kaiken kaikkiaan näyttää hyvältä.

Osaaminen Hypoteesi: Automaation tietoturvallisuuden taso on parantunut merkittävästi Tietoisuus on loikannut eteenpäin Tietoisuus: Totta. Kaikki osaavat pelätä. (post-stuxnet era) Osataanko toimia? Standardeja ja kirjallisuutta löytyy Standardeja ja kirjallisuutta löytyy. Totta. Suurin osa opettaa riskianalyysilähtöistä epistolaa. Koulutusta löytyy sekä teoriamielessä + hand-on:nina Koulutus: keihäänkärkiosaaminen kyllä. Monessako oppilaitoksessa opetetaan soveltavan riskianalyysin tekemistä? Tekijöitä löytyy sekä palveluina että työmarkkinoilta Tilanne koko ajan parantumassa Kaiken kaikkiaan näyttää yhä hyvältä, etenkin jos uhkataso on pysynyt samana.

Toimintaympäristön kehitys IoI: Internet of Idiots Tästä ei tarvinne enempää sanoa Painopisteen siirtyminen (isojen resurssien) valtiolliseen toimintaan Harmaan alueen tummempi pää: yhteiskunnan normaalitoimintojen, tuotannon, logistiikan ja perusinfran häirintä Valtiolliskaupallisidealistiset toimijat Vaikeudet saada selkeää tilannekuvaa (ovatko oireet bugeja vai jotain muuta, epätietoisuus ja sen sietäminen) With today's attack sophistication, it is inevitable hackers will get in, the issue is all about containing and mitigating Gregory Hale, isssource.com, 14.9.2016

Motivaatio on parantunut Muutamia retorisia kysymyksiä: Moraali on parantunut? Tiedon kulku on parantunut? Kuka kaupallinen toimittaja joka tunnustaa että tuotteidensa tietoturvallisuudessa olisi parantamisen varaa? Taloudellista toimintaa ohjaa raha ja sen virtaaminen Vaihtoehto A: optimoidaan asiakkaan etu ja turvallisuustaso Vaihtoehto B: ALACA/ALARA (As Low As Contract Allows, turvallisuuskriittisille As Low As Regulator Allows) Oikeastaan: perusrajoitteille ei voida mitään

Etiikasta http://www.bsif.co.uk/en-149 YL E

Esimerkki: Riskianalyysiorientoituneisuus State-of-the-art nojaa riskianalyyseihin Lähestymistapa: suojattavat kohteet -> riskit -> riskit hallintaan kontrolleilla IEC 62443-1-1: Uhkien ja riskien arviointiprosessissa suojattavat kohteet ovat alttiina riskeille. Näitä riskejä vuorostaan minimoidaan käyttämällä vastatoimenpiteitä, joita sovelletaan erilaisten uhkien käyttämien tai hyödyntämien haavoittuvuuksien käsittelyyn. Can risk be effectively managed? The sober reality is that in respect to the cyber security of critical infrastructure, there is no empirical evidence that a risk-based approach, despite its near decade of practice, has had any success. ISO 27001: The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed. (Langner & Pederson, 2013: Bound to Fail: Why Cyber Security Risk Cannot Simply Be Managed Away) Käytännössä: Antaako (kalliin) virhekäsityksen hallinnasta? Tyypillinen virhe: pyöritellään riskianalyysin tuloksia liian korkealla tarkkuustasolla riskien arviointiin liittyvään epävarmuustasoon nähden Kalkkunaharha (aina läsnä, myös safety-puolella) Domain-osaamisen aliarviointi: Ajatellaan että määrämuotoisella riskiarviointiprosessilla voidaan korvata asiantuntijuutta Panos-tuottosuhde?

Isompi Pienempi EUC risk

Missä pitäisi onnistua Resilienssi (iskunkestävyys): "the ability [of a system] to cope with change" Filosofisesti avain on riippumattomuudessa ja tähän liittyvässä todennäköisyydessä P(A & B) = P(A)P(B) Vanha kunnon Ei kaikkia munia samaan koriin -ajattelu Systeeminen käsite, jossa systeemi tarkoittaa tyypillisesti jotain laajempaa kokonaisuutta kuin yksittäistä automaatiojärjestelmää Panos-tuotto mielessä kyse on sijoittaakko reduntanttiseen toimintaan (jolla varmistetaan riippumatomuus) vai optimoidaanko varsinaisen järjestelmän suojaa/sietokykyä Haasteena on, että oikeat ratkaisut ovat joskus kaupallisesti väärällä tasolla. Automaatiotoimittajalle alimman tason lelukauppa on helppoa, kun taas keskitasolla toimiminen vaatii kohdeorganisaatioilta kokonaisnäkemystä ja usein myös vahvaa verkostoitumista. Yhteiskunnallinen taso (sis. Regulatiiviset toiminnot) Organisaatioiden perustehtävätaso (ISA level 3/4) Tekninen taso (ISA level 0..2)

The Telegraph, 11.7.2013

Kiitos!

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute