Kyberturvallisuus ja tietosuoja Professor of Practice, Martti Lehto 1.11.2017 JYU. Since 1863. 1
Esityksen sisältö 1 Digitaalisen maailman muutos 2 Kognitiivinen tietojenkäsittely 3 Tekoäly terveydenhuollossa 4 Kybermaailman uhat 5 Riskit tekoälymaailmassa 6 Turvallisuutta rakentamassa JYU. Since 1863. 2.11.2017 2
Mega Data Breaches Yahoo: 500 million accounts, 3Billion? Friend Finder Network: 412 million accounts Equifax: 143 million customer information Anthem: 78 million patient information Target: 70 million customers information Ashley Madison attack: 32 million user information US Office of Personnel Management: 22 million personal information US T-Mobile: 15 million customers information JYU. Since 1863. 2.11.2017 3
HAAVOITTUVUUDET UHAT RISKIT JYU. Since 1863. 2.11.2017 4
Kyberuhkamalli Kybersodankäynti Kyberterrorismi Kybervakoilu Kyberrikollisuus Kybervandalismi JYU. Since 1863. 2.11.2017 5
Kybervandalismi JYU. Since 1863. 2.11.2017 6
Kyberrikollisuus Tietokoneen kryptaus ja lunnasvaatimus University of Washington School of Medicine, USA Hospital District of Southwest Finland Hospital District of Helsinki and Uusimaa, Finland Lukas Hospital, Germany Hollywood Presbyterian Medical Center, USA Ottawa Hospital, Canada Methodist Hospital in Henderson, USA Chino Valley Medical Center, USA Desert Valley Hospital, USA MedStar Medical System, USA Kansas Heart Hospital, USA Lincolnshire Hospitals, UK Urology Austin, USA National Health Service, UK USA: 6,2 Mrd. $/vuosi Asiakas/potilastietojen anastaminen Excellus BlueCross BlueShield, USA Anthem, USA Community Health Systems, USA Premera Blue Cross, USA CareFirst Blue Cross and Blue Shield, USA UCLA Health, USA Medical Informatics Engineering, USA 21st Century Oncology, USA Valley Anesthesiology and Pain Consultants, USA Jinan, East China's Shandong Province, China Medical Colleagues of Texas, USA Newkirk Products, USA Athens Orthopedic Clinic, USA Banner Health, USA Bizmatics, USA Central Ohio Urology Group, USA Man Alive, USA Central Ohio Urology Group, USA Community Health Plan of Washington, USA Emory Healthcare, USA The International Association of Athletics Federations, Monaco JYU. Since 1863. 2.11.2017 7
Kybervakoilu The Department of Insurance for the state of California revealed this week that it believes that the breach of over 78.8 million healthcare records belonging to the Anthem healthcare company was carried out by a foreign government. January 13, 2017 By Mike Vizard JYU. Since 1863. 2.11.2017 8
Kyberterrorismi JYU. Since 1863. 2.11.2017 9
Kriittinen infrastruktuuri kybersodankäynnin kohteena JYU. Since 1863. 2.11.2017 10
Kyberturvallisuus SOTE-ympäristössä 1. SW-riskit 5. Inhimilliset riskit 2. HW-riskit Kyberturvallisuusriskit 4. Tietosuojariskit 3. Datan luotettavuuden riskit 2.11.2017
SOTE ICT-ympäristö Lähde: KSSHP JYU. Since 1863. 2.11.2017 12
1. SW-riskit Siemensin sairaalalaitteista paljastui 2 vuotta vanha Windows-haavoittuvuus 48 NHS:n organisaatiota Englannissa ja Skotlannissa joutui kyberhyökkäyksen kohteeksi. Siemensin radiologiseen kuvantamiseen tarkoitetuissa tomografialaitteissa on tietoturva-aukko, jonka vuoksi hakkerin olisi mahdollista ottaa verkkoon liitetty laite hallintaansa, varoittaa Yhdysvaltojen turvallisuusvirasto (Department of Homeland Security). Viraston mukaan "haavoittuvuuksien hyödyntäminen onnistuu suhteellisen taitamattomaltakin hyökkääjältä". Hyökkäys käytti hyväkseen maaliskuussa paikkauksen saanutta Windows-käyttöjärjestelmän haavoittuvuutta. Bugs Haavoittuvuudet Riski JYU. Since 1863. 2.11.2017 13
2. HW-riskit Hakkeri saastuttaa laitteita hyökkäyksellä verkossa tai langattomasti. HACK attack LAB attack Hyökkääjällä mahdollisuus päästä käsiksi mikropiireihin niiden suunnitteluvaiheessa ja tuottaa niihin hyökkäysvektoreita takaisinmallinuksen avulla. Hyökkääjällä fyysinen pääsy laitteisiin. Kykenee valvomaan laitteita tai manipuloimaan laitteen HWkomponentteja (ei mikropiirejä). SHACK attack FAB attack Hyökkääjällä mahdollisuus asentaa haittakoodi tai -toiminnallisuus mikropiireihin mikropiirien tuotantovaiheessa. Source: Asif Iqbal, SDM, 2011 JYU. Since 1863. 2.11.2017 14
2. HW-riskit Fake & Bake DARPA initiated the Trust in ICs program. Nick the wire Add extra transistors Add or reconnected wiring Source : Thehuntforthekillswitch.http://www.spectrum.ieee.org/semiconductors/ design/the-hunt-for-the-kill-switch. JYU. Since 1863. 2.11.2017 15
3. Datan luotettavuuden riskit Datan muuntelu tavalla, joka tuottaa datan käsittelyssä vääriä lopputuloksia. Tekoälyratkaisuissa ja koneoppimisessa lähtötietojen oikeellisuus on toiminnan perusedellytys. Data poisoning JYU. Since 1863. 2.11.2017 16
4. Tietosuojariskit THL:n mukaan kyse on inhimillisestä virheestä eikä esimerkiksi tietomurrosta. Virhe tapahtui, kun henkilö erehdyksessä käytti henkilötietoja sisältävää aineistoa laatiessaan esitysmateriaalia raportointia varten. JYU. Since 1863. 2.11.2017 17
SOTE-alan tietomurto- ja häviämistapauksissa työntekijä osallisena 70 %:ssa tapauksista. JYU. Since 1863. 2.11.2017 18
Inhimilliset riskit JYU. Since 1863. 2.11.2017 19
Kyberturvallisuuden rakentaminen Uhka Haavoittuvuus Riskin arvo Vastatoimenpiteet Kybervandalismi Kyberrikollisuus Kybervakoilu Ihmiset Prosessit Arvo Maine Sääntely - Toimintaohjeet - Määräykset Yhteisöllisyys - Eettiset arvot - Harmonisointi - Yhteinen toimintapolitiikka Kyberterrorismi Teknologia Systeemi - Riskien hallinta - Suojausteknologiat - Suorituskyvyt Kybersodankäynti JYU. Since 1863. 2.11.2017 20
Kybermaailman johtamisympäristö VAJAA-NÄKYMÄ NÄKYMÄ Laitteet ja alustat (HW) Ohjelmistot (SW) Tietoliikennepalvelut epalvelut Pilvipalvelut IPR DATA INFO Liiketoiminta Prosessit (tuotanto, hallinto ) Kyberturvallisuuspolitiikka Kyberturvallisuusosaaminen Kyberturvallisuuskulttuuri Kyberrikollisuus Kybervakoilu
Kyberturvallisuuden rakentaminen sairaalassa Osaamisen hallinta: hoitajasta ylilääkäriin Digitaalisen sairaalalaiteympäristön hallinta: versioiden, päivitysten hallinta Kyberturvallisuusprosessien hallinta: tilannekuva, häiriötilanteiden hallinta, analysointikyky Kyberturvallisuuskulttuuri: jokaisen kyberhygienia, turvalliset työskentelytavat, käyttöoikeudet Yhteistoiminta: shp:t, Kyberturvallisuuskeskus JYU. Since 1863. 2.11.2017 22
Kiitos www.jyu.fi/it 2.11.2017