Teollisuusautomaation tietoturvaseminaari Järjestelmätoimittajan vastuulla olevat tietoturva-asiat 30.9.2009 Markku Tyynelä
Metso ja Metso Automation Metso-konsernin yleiskatsaus
Metso: kestävien teknologioiden ja palveluiden kansainvälinen toimittaja Asiakkaamme toimivat seuraavilla toimialoilla: - Kaivosteollisuus - Maarakennusteollisuus - Energiateollisuus - Kierrätysteollisuus - Massa- ja paperiteollisuus Noin 29 000 (12/2008) työntekijää yli 50 maassa Vuoden 2008 liikevaihto 6,4 miljardia euroa Metson osakkeet noteerataan NASDAQ OMX Helsinki Ltd. -pörssissä 3
Noin 29 000 asiantuntijaa ympäri maailmaa lähellä asiakkaita Norja Suomi Kanada Yhdysvallat Meksiko Costa Rica Venezuela Ruotsi Tanska Iso-Britannia Belgia, Alankomaat Saksa, Sveitsi, Itävalta Ranska Portugali Italia Espanja Yhdistyneet arabiemiirikunnat Ghana Venäjä Viro Puola Tšekin tasavalta, Slovakia Kazakstan Ukraina Slovenia, Unkari, Kroatia, Makedonia, Bulgaria Turkki Libanon Uzbekistan Iran Intia Thaimaa Singapore Kiina Malesia Japani Etelä-Korea Taiwan Filippiinit Peru Brasilia Indonesia Zambia Chile Etelä-Afrikka Zimbabwe Australia Argentiina Uusi-Seelanti 4
Liiketoimintojemme strateginen painopiste Kaivos- ja maarakennusteknologia Markkinamahdollisuuksien hyödyntäminen, palveluliiketoiminta Energia- ja ympäristöteknologia Mielenkiintoisia uusia kasvu- ja kehittymismahdollisuuksia Paperi- ja kuituteknologia Vahva läsnäolo kehittyvillä markkinoilla Painopiste palveluihin Konsernin strategiset aloitteet Jatkuva prosessi, jolla parannetaan toimintaa ja kartoitetaan tuloksia kaikkialla Metsossa 9
Asiakastoimialoittain organisoiduista liiketoimintalinjoista muodostuva globaali verkosto Asiakkaat Metso-verkosto Kaivosalaliiketoimintalinja Voimantuotantoliiketoimintalinja Paperitliiketoimintalinja Maarakennusliiketoimintalinja Automaatioliiketoimintalinja Kuidutliiketoimintalinja Pehmopaperitliiketoimintalinja Kierrätysliiketoimintalinja Kaivos- ja maarakennusteknologia Toimitusjohtaja ja konsernihallinto Energia- ja ympäristöteknologia Paperi- ja kuituteknologia 7
Mittava tarjonta valituille toimialoille Maarakennusteollisuus Murskeen käsittelylaitteet ja -järjestelmät; kulutus- ja varaosat ja palvelut Kaivosteollisuus Kaivosten ja mineraalien käsittelylaitteet ja -järjestelmät; kulutus- ja varaosat sekä palvelut Voimantuotantoteollisuus Prosessiratkaisut, koneet ja palvelut energiantuotantoon kiinteistä ja nestemäisistä polttoaineista Prosessiautomaatio ja virtauksensäätöratkaisut Öljy- & kaasuteollisuus Automaatio ja virtauksensäätöratkaisut Kierrätysteollisuus Metallinkierrätysjärjestelmät Yhdyskuntajätteen kierrätysratkaisut Massa- ja paperiteollisuus Prosessiratkaisut, koneet ja palvelut massan, paperin, pehmopaperin ja kartongin tuotantoon, myös energiaratkaisut ja kemikaalien talteenottoratkaisut Prosessiautomaatio ja virtauksensäätöratkaisut 5
Metso Automation Maailmanlaajuinen automaatio- ja kenttälaitetoimittaja Päätuotteet - Prosessiautomaatioratkaisut - Erikoisanalysaattorit - Elinkaaripalvelut - Automaattiset, säätö- ja hätäsulkuventtiilit ja käsikäyttöiset venttiilit - Älykäs kunnonvalvonta Avainlukuja 2008 - Liikevaihto 783 Meur - 3900 työntekijää maailmanlaajuisesti - Yli 100 myynti- ja asiakaspalvelupistettä 38 maassa 8
Järjestelmätoimittajan vastuulla olevat tietoturva-asiat (ICS SECURITY)
Teollisuusautomaatiojärjestelmä Mikä on teollisuusautomaatiojärjestelmä (ICS)? Industrial control system (ICS) is a general term that encompasses several types of control systems, including supervisory control and data acquisition (SCADA) systems, distributed control systems (DCS), and other smaller control system configurations such as skidmounted Programmable Logic Controllers (PLC) often found in the industrial sectors and critical infrastructures. (http://en.wikipedia.org/wiki/industri al_control_systems) 10
Teollisuusautomaatiojärjestelmä Odotukset Teollisuusautomaation päätavoite on mahdollistaa liiketoiminta tuotantoprosessin avulla samalla minimoiden liiketoimintariskit. Automaatiojärjestelmä ja sen toimitus on hallittu siten että - Järjestelmän käytettävyys vastaa sille asetettuja korkean käytettävyyden vaatimuksia - Järjestelmä on tietoturvallinen - Luottamuksellisuus on otettu huomioon ja siitä on huolehdittu asianmukaisesti - Sekä tiedon että järjestelmän eheydestä on asianmukaisesti huolehdittu koko toimitusketjun ajan, myynnistä tuotantoon 11
Vastuut Automaatiojärjestelmän elinkaari Järjestelmätoimittajan tietoturvaprosessi Asiakkaan tietoturvaprosessi Tuotekehitys prosessi Myynti Järjestelmän toimitusprosessi Toimitus Integrointi Yhteiset periaatteet Luovutus Ylläpito Pitkä elinkaari Järjestelmätoimittajan vastuu Tuotekehitys Projektointi Käyttöönotto Tuotanto Asiakkaan vastuu 12
Vastuut Yleiset periaatteet Teollisuusautomaatiojärjestelmä - Teollisuusautomaatiojärjestelmä tulee huolellisesti suunnitella, määritellä, toteuttaa ja testata jotta saavutetaan sille asetetut korkean käytettävyyden vaatimukset - Vain vaadittavat muutokset ja päivitykset tuotantoympäristöön tehdään, ja ne tehdään ainoastaan asiantuntevan henkilöstön toimesta Tietoturvatietämys (Security Awareness) - Elintärkeää ymmärtää ja ylläpitää perustietämystä tietoturvan osalta - Vaatii jatkuvaa koulutusta/kouluttautumista - Vastuuhenkilöt oltava nimettynä 13
Vastuut Tuotekehitys Tavoite kehittää tietoturvalinen korkean käytettävyyden automaatiojärjestelmä - Sekä prosessit että tekniset ratkaisut vaaditaan - Tietoturva oltava sisäänrakennettuna tuotekehitysprosessiin Ohjelmistokehitys (SW) - Tietoturvallinen koodi (Secure coding principles, ohjeet,...) - FOSS (Free and Open Source Software) asiat otettava huomioon ja hoidettava asianmukaisesti - Moduli ja integrointitestaus, koodikatselmukset, koodinluvut,... Laitteiston (HW) hallinta sekä omat ja kaupalliset ratkaisut - Säädökset, hyväksynnät, vaatimukset, jne. (EMC, ympäristö,...) - Myös käyttöjärjestelmäasiat otettava huomioon (koventaminen (USB, CD,...), päivitykset,...) Verkon suunnittelu ja verkkoarkkitehtuuri - Verkon suojaus ( Perimeter security, DMZ, konfigurointi,...) Uhkien ja haavoittuvuuksien hallinta - Seuranta, arviointi, päätöksenteko, tiedonjakelu (sisäinen ja ulkoinen) Järjestelmän toimivuuden varmistaminen - järjestelmätestaus Palaute asiakkailta, R&D yhteistyökumppaneilta, toimitusprojekteilta, jne. 14
Vastuut Tuotekehitysprosessi Tietoturva ei ole erillinen asia, vaan sisäänrakennettu ja oleellinen osa tuotekehitysprosessia. 15
Vastuut Toimitusprojekti Tavoite toteuttaa asiakkaan vaatimukset täyttävä korkean käytettävyyden automaatiojärjestelmä Luottamuksellisuudesta ja eheydestä huolehdittava asianmukaisesti Tietoturvan toteutus ja ylläpito - Tyypillisesti Tuotekehityksen antamien ohjeiden mukaan Uhkien ja haavoittuvuuksien hallinta - Osa tietoturvan ylläpitoprosessia Todentaminen että järjestlmä vastaa sille asetettuja vaatimuksia - Factory acceptance test (FAT) toimittajan tiloissa 16
Vastuut Käyttöönotto (toimitus - luovutus - takuuaika) Tavoite integroida järjestelmä asiakkaan ympäristöön ja aloittaa jatkuva tuotanto Integrointi yhteistyössä toimittajan ja asiakkaan henkilöstön toimesta Luottamuksellisuudesta ja eheydestä huolehdittava asianmukaisesti Tietoturvan ylläpito - Tyypillisesti Tuotekehityksen antamien ohjeiden mukaan Uhkien ja haavoittuvuuksien hallinta - Osa tietoturvan ylläpitoprosessia Sovittava toimintamallit ja periaatteet kuinka tietoturvaa ylläpidetään Todentaminen että järjestlmä vastaa sille asetettuja vaatimuksia - Site acceptance test (SAT) ja käyttöönotto asiakkaan tiloissa 17
Teollisuusautomaatiojärjestelmä Odotukset vs. käytäntö Tarvetta tietoturvaprosessien yhteensovittamiseen ei välttämättä huomioitu/tunnistettu riittävän aikaisessa vaiheessa Tietoturvaprosessien integrointi syytä aloittaa heti toimitusprosessin alkuvaiheessa - Toimittajat, asiakkaat, konsultit,... - Muutokset mahdollisia jos toteutus, kustannusjako ja vastuut sovittu Automaatiohenkilöstöllä ei toistaiseksi kovin syvällistä tietämystä tietoturvasta Automaatiohenkilöstön tulisi olla mukana tietoturvaprosesseissa ja tietoturvatiimeissä/ryhmissä - Toimittajat, asiakkaat, konsultit,... 18
Vastuut Automaatiojärjestelmän elinkaari Järjestelmätoimittajan tietoturvaprosessi Asiakkaan tietoturvaprosessi Tuotekehitys prosessi Myynti Järjestelmän toimitusprosessi Toimitus Integrointi Yhteiset periaatteet Luovutus Ylläpito Pitkä elinkaari Järjestelmätoimittajan vastuu Tuotekehitys Projektointi Käyttöönotto Tuotanto Asiakkaan vastuu 19
Kiitos! The best results are achieved through collaboration and synergy in the community not only by single individuals. 20