Lääketieteellisen tekniikan ja taloautomaation suojaaminen digitalisoituvassa toimintaympäristössä Istekki Asiakaspäivät 2018 Tero Hemming Palvelupäällikkö, Turvallisuus ja riskienhallinta CEH,CNDA,CLPU,CPLA,CKM,C5,SO,ST
Digitaalinen verkottunut toimintaympäristö Tämän päivän haasteet ja historian painolasti
Verkottunut toimintaympäristö 2025 Internet of Things ei ole laitteistojen kytkettävyyteen liittyvä käsite Kyse on palvelusta Laitteiden turvallisuus on tarkastettava, kuitenkaan ei Asiakas haluaa ja saa palvelua, näkyvyyttä, raportteja jne. oman liiketoimintansa johtamisen Pari esimerkkiä: tueksi 2013: Ennustettiin että 46% vuonna 2025 myytävistä uusista autoista has connected services voida Palvelutuottaja luottaa voi tuottaa että 2017: palvelukerroksen laiteturvallisuus Ennuste korjattiin tehokkaasti lukemaan ja pysyisi oikea-aikaisesti ajantasalla 89% kehitysvauhdissa.kontrollit toteutettava verkoissa ja IoT sirun kustannus syöksyy taso asettunee kymmenien tuhansien erässä tasolle 0,25$ liikenteenvaihtopisteissä 2010: 0,85$ (applikaatiot, parametrit, käyttäjät, 2018: roolit 0,43$ jne ) 2024: 0,26$ Ei ole merkitystä valmistuskustannuksiin ja hyöty on valtava https://www.researchgate.net
Toivottavasti vuosi 2018 ei ala enää näin?.täällä on toimittaja paikalla, tarvitsee saada laitteelle yksi ip-osoite. Asennus on jo käynnissä!!!.täällä on toimittaja paikalla, tarvitsee saada laitteelle yksi ip-osoite. Asennus on jo käynnissä!!! http://endlessleadz.com/wp-content/uploads/2013/11/ Bring-your-own-doctor-healthcare-device-marketing.png
Toivottavasti vuosi 2018 ei ala enää näin?.täällä on toimittaja paikalla, tarvitsee saada laitteelle yksi ip-osoite. Asennus on jo käynnissä!!!.täällä on toimittaja paikalla, tarvitsee saada laitteelle yksi ip-osoite. Asennus on jo käynnissä!!!
Elinkaaressa olevat verkotetut laitteistot LTT- ja taloteknisissä ympäristöissä tällä hetkellä? Päätyneet tuotantoon adhoc-tyylisesti ja pirstaleisesti Vanhentuneita käyttöjärjestelmiä, joita ei enää tueta, eikä niihin tule päivityksiä Windows CE, XP Sulautettuja Linux järjestelmiä jotka eivät ole minkään paketinhallinnan piirissä Oletusasetuksin käynnistyviä WWW-palvelimia, joita ei voi päivittää, eikä suojata turvallisemmaksi Puutteellisia tai olemattomia autentikointimenetelmiä Vanhentuneita ja haavoittuvia sovelluskirjastoja ja liitännäisiä Suojaamattomia SNMP-rajapintoja ( SNMP v1 tai v2 ) Suojauksia parametreille ei juurikaan ole Salaamattomia ja heikosti turvattuja liittymiä ja rajapintoja ( ftp, http jne )
Mitä IoT parhaimmillaan tai pahimmillaan? (mielikuva vs. tavoitetila) Mielikuva: Ketterä, helppo,avoin mutta haavoittuva? Tavoitetila: Ketterä, helppo,avoin mutta vakaa, suojattu ja valvottu aidosti lisäarvoa tuottava http://maylab.my/wp-content/themes/aviation/images/i_o_t.jpg http://www.dts-solution.com/wp-content/uploads/2014/03/app-control.png
Miten eriytämme ja suojaamme lääkinnälliset ja talotekniset tietoverkot?
Uudet järjestelmät: (tai merkittävät muutokset nykyisiin ) Tieto- ja kyberturvallinen tietojärjestelmien käyttöönotto Uhkamallinnus, Haavoittuvuusskannaukset
Olemassaolevien järjestelmien läpikäyminen: Verkkojen ja toimintojen luokittelu ja osastointi: Erikoislaitteet jaetaan käyttötarkoituksen, L2/L3 tarpeiden, ulkoisten liityntätarpeiden ja suojausvyöhykkeen mukaisesti mahdollisimman pieniin verkkosegmentteihin. Verkon liikennettä verrataan Threat Intelligence Services tietovuon tuottamaan informaatioon Mikäli L2 verkkojen välille tarvitaan tehdä avauksia tai mikäli L2 verkosta liikennöidään L3 verkkoon, tulee käyttää L2 tasolla toimivaa palomuuria Verkkosegmentit jaetaan toiminnallisten ja turvallisuustarpeiden perusteella eritasoisiin vyöhykkeisiin, joilla määritetään vyöhykkeessä käytettävät tietoturvakontrollit. Erikoislaiteverkoissa käytettävät sovellukset tulee tunnistaa sovellustasolla ja verkkojen väliset yhteydet tulee sallia vain tunnettujen sovellusten osalta. Laitteiden turvallisuus on tarkastettava, kuitenkaan ei voida luottaa että laiteturvallisuus pysyisi ajantasalla kehitysvauhdissa.kontrollit toteutettava verkoissa ja liikenteenvaihtopisteissä (applikaatiot, parametrit, käyttäjät, roolit jne ) Esimerkkeinä: Potilaan hoitoon käytettävät laitteet Ovia, puomeja, nesteitä, kaasuja ohjaavat laitteet Potilastietoa käsittelevät laitteet Mittaus, ohjaus ja raportointia tuottavat laitteet Muut luottamuksellista tietoa käsittelevät laitteet Kameravalvonnat ymv. Muut laitteet
Etähallinta- ja huoltoyhteydet Aina: sopimus, vastuut, raportointi, henkilökohtaiset tunnukset Turvalliset etäyhteydet pääsääntöisesti julkaisuna ja 2- vaiheisella autentikoinnilla Organisaatioiden välisistä VPN tunneleista luovutaan, tai käytetään vain poikkeustapauksissa Poikkeuksiin tarkemmat sopimukset, tekninen malli ja vastuu (esim. Turvalliset etäyhteydet toimittajan dedikoidulla ratkaisulla)
Toimintaympäristön ja tietoturvakontrollien tilannekuvan muodostaminen
Tekninen tilannekuvapalvelu (SIEM) Kuvien lähteet: https://userscontent2.emaze.com/images, http://www.internet-creation-sites.net/images/ http://thesmartpanda.com https://stixproject.github.io/
Yhteenveto Tuo uudet järjestelmät ja palvelut hallitusti ja suunnitelmallisesti osaksi ympäristöäsi Tee uhkamallinnus, arvioi riskit, valitse oikeat kontrollit Tunnista käyttäjät ja roolit, luvita tilapäisesti ja toimenpidekohtaisesti Sopimukset ajan tasalle (vastuut, velvollisuudet, GDPR) Tunnista ja/tai mallinna applikaatiot Mikrosegmentoi palveluverkot käyttötarkoituksen ja palvelutarpeiden mukaan Kehitä ja systematisoi tyyppikatsastusmenettelyt kuinka laite tuodaan oikein oikeaan palveluverkkoon Tee säännöllistä haavoittuvuustarkastusta, päivitä ohjelmistot aina kun mahdollista IoT:n kehitys on niin nopeaa, että ainoa tapa tuoda turvallisuutta on siirtotiet ja liikenteenvaihtopisteet (varaudu purkamaan SSL ja mallintamaan applikaatiot) Laitteiden ja sensorien elinkaaren lyhenevät, softa nopeasti kehittyvää kulutustavaraa, turvallisuus ei voi perustua laitteen ja sen ohjelmiston kuoreen Huolehdi että käytössäsi on ajantasainen tilannekuva https://www.softaculous.com/website/images/secure.gif
Kysymyksiä? tero.hemming[at]istekki.fi 040-8080805