Kimmo Rousku, tietoturvakirjailija, vuoden 2015 tietoturvapäällikkö, VAHTI-pääsihteeri

@kimmorousku kimmo@ict-tuki.fi Kutsuthan minut verkostoosi - #ICT-tietoturvallisuus

SESKO-kevätseminaari - 29.3.2017 1

Taustastani – mainos ;-)

Mistä en pidä – pidän

Johdantoa kokonaisuuteen

Tieto- ja kyberturvallisuus

Tulevaisuus – uhka vs mahdollisuus

IOT – uhka ja mahdollisuus

Miten voit varautua?

Yhteenveto

SESKO-kevätseminaari - 29.3.2017 2

Tieto- ja kyberturvallisuuskatsaus - 22.3.2017 3

#tietoturvallisuus - inflaatio #kyberturvallisuus - siis mitä? #pilvipalvelut - jonkun muun tietokone

#luottamus #turvallisuus #yhteistyö #riskienhallinta => menestyminen!

SESKO-kevätseminaari - 29.3.2017 4

SESKO-kevätseminaari - 29.3.2017 5

SESKO-kevätseminaari - 29.3.2017 6

SESKO-kevätseminaari - 29.3.2017 7

IOT

Panostammeko liikaa näihin asioihin?

SESKO-kevätseminaari - 29.3.2017 8

SESKO-kevätseminaari - 29.3.2017 9

Tieto- ja kyberturvallisuus

SESKO-kevätseminaari - 29.3.2017 10

11

Kuinka vanha on kyberturvallisuus?

SESKO-kevätseminaari - 29.3.2017

Muutamaa vuotta myöhemmin Alessandro Volta kuitenkin osoitti, että kahden metallin koskettaessa toisiaan esiintyy samantapainen ilmiö ilman sammakonjalkaakin. Havainto johti Voltan parin ja samalla sähkövirran keksimiseen.[1]

12 SESKO-kevätseminaari -

29.3.2017

Myrsky tai

reitittimen

hajoaminen

Sähkökatko

tai muuten

tietoliikenne

poikki

13

Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa ICT-toimintaympäristöön voidaan luottaa ja jossa niiden toiminta turvataan, sisältää myös kyvyn sietää kyberuhkia

Onko kyseessä tieto- vai kyberturvallisuusongelma?

SESKO-kevätseminaari - 29.3.2017

Tietoturvallisuus

SESKO-kevätseminaari - 29.3.2017 14

Digitaalinen tieto (ICTn

avulla)

Analoginen tieto

Kyberturvallisuus - kybertoimintaympäristö

Digitaalinen tieto

Muuta kuin tietoa

(toiminta)

VAIKUTTAMINEN

Vaikuttaminen ICT:n avulla kohteeseen

Tietoturvallisuus Kyberturvallisuus - (ICT) kybertoimintaympäristö

Digitaalinen tieto (ICTn

avulla)

Analoginen tieto

Muuta kuin tietoa (toiminta)

IOT

Olemme digitalisaation ja robotisaation MS-DOS => Windows 95-vaiheessa

SESKO-kevätseminaari - 29.3.2017 15

???

SESKO-kevätseminaari - 29.3.2017 16

Toiminnan digitalisaatio

Robotisaatio

ICT

ATK - automaattinen

MTK – manuaalinen tietojenkäsittely

Teknologiset mahdollisuutemme

Nykyinen kyvykkyytemme teknologian

hyödyntämiseen

1

98

0 1

99

0

20

00

2

01

0 2

02

0 2

03

0 IOT &

KäRo

Vuosikymmenien varrella on ollut erilaisia ekosysteemikilpailuita markkinaherruuksista, seuraava merkittävä käydään – keinoälystä

Meidän keinoäly on parempi kuin teidän keinoäly! Entäs kun tulee IoT-ekosysteemit, verkot, alustat ja tietoliikenneyhteydet?

Haluaisitko sinä markkinoiden 2. tai 3. parhaan keinoälyn organisaatiosi johtoryhmään tai vastaamaan jostain liiketoimintaprosessin kehittämisestä tai toteuttamisesta? En minäkään.

Samoin tähän liittyy meidän kannalta kriittinen puheentunnistus – miten varmistamme sen, että jatkossa me voimme samalla tavalla ohjata robottejamme | IoT-ympäristöämme ja muita laitteita suomenkielellä vs muut kielet?

SESKO-kevätseminaari - 29.3.2017 17

1. Johdanto 2. MTK | ATK | ICT | digitalisaatio & robotisaatio – lyhyt

historia ja pala tulevaisuutta –Kimmo Rousku 3. Teknologiamurroksesta hallinnon toimenpiteiksi – Risto

Linturi 4. Kestävästi kehittyen kohti tulevaisuutta – Cristina

Andersson 5. Lohkoketjuteknologian mahdollisuudet – Graalin malja

vai Pandoran lipas? – Sari Stenfors 6. Digitalisaation seuraava aalto FinTech-myrskyssä – case

finanssitoiminta – Ilkka Lähteenmäki 7. Toiminnan digitalisaatio – miten sudenkuopat vältetään?

– Timur Kärki 8. Digitaalinen turvallisuus kehityksen ja toiminnan

mahdollistajana – Jarno Limnéll ja Kimmo Rousku

Seminaarin videotallenne ja muut esitykset ja materiaalit

18 SESKO-kevätseminaari -

29.3.2017

”Halvalla | hyvin | nopeasti”

- tiedäthän, ettet voi kahta näistä saada?

SESKO-kevätseminaari - 29.3.2017 19

SESKO-kevätseminaari - 29.3.2017 20

Uhat: - Insecurity by design

- Kustannustehokkuus - ”kertakäyttöelektoniikkaa”

- Käyttäjien ymmärtämättömyys – jos ostan laitteen ja laitan virran päälle ja laite hakeutuu nettiin – eikö se riitä? Mikä oletussalasanan muutos? Mikä laitteen firmware-ohjelmiston päivitys? - valmistajien asennemuutos!

SESKO-kevätseminaari - 29.3.2017 21

Mahdollisuudet: - Miksi pitää aina odottaa, että ”Siperia opettaa” – siis että koittaa 1. netin totaalinen blackout?

- Suomella tässä loistava mahdollisuus profiloitua; ok, maailman puhtaimmat verkot voidaan ymmärtää monella tavalla ;-)

- Miksemme voi kehittää mallia näiden laitteiden turvallisuuden toteuttamiseen – tietoturva sisäänrakennettuna (”ohjelmoituna”), ei pultattuna tai betonisena rakenteena? Olisiko nyt todellakin aika käynnistää tähän liittyvän regulaation vahva edistäminen?

SESKO-kevätseminaari - 29.3.2017 22

Saatavuus

Eheys

Luottamuksellisuus

Kimmo Rousku 28081999-1234

Tietosuoja

EU-tietosuoja-asetuksen muutokset tuovat velvoitteita myös tietoturvallisuuden kehittämiseen Pelottaako hallinnolliset sanktiot? - prosessien facelift Varmista, että organisaatio on huolehtinut osoitusvelvollisuuden (”accountability”) toteuttamisesta Voi olla, että nyt IOT-verkossa tai laitteissa ei kulje henkilötietoa, entä jatkossa tai entä sen hallinnassa?

Ei jos jotain tapahtuu vaan KUN jotain tapahtuu

SESKO-kevätseminaari - 29.3.2017 23

Ennakointi Suojattava

kohde Reagointi

SESKO-kevätseminaari - 29.3.2017 24

Rautaa rajalle | IoT-kovennus Prosessien mukainen toiminta Henkilöstön ohjeistus, tietoisuuden kasvattaminen, koulutus

Turvallisuuden seuranta ja arviointi

Toiminnan jatkuvuuden varmistaminen

Riskienhallinta

Johtaminen

SESKO-kevätseminaari - 29.3.2017 25

Tietoturvapoikkeama ~kyberturvallisuus-häiriö – entäs muut

häiriöt (ict, muu toiminta, luonto)

Lakisääteisyys Henki Raha

Omaisuus Tieto Maine

Kyvykkyys reagoida!

Varautumissuunnittelu- ja suunnitelmat

Toipumissuunnitelmat – tietojärjestelmä(t)

Jatkuvuus- ja valmiussuunnittelu

Oliko poikkeaman aiheuttama tunnettu uhka ~ei siis vielä riskiksi tunnistettu tai hallinnassa oleva riski, joka kuitenkin laukesi? Todennäköisyys kasvoi tai sovitut toimenpiteet eivät purreet?

Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvuussuhteet | vuorovaikutus Riskienhallinta-prosessi ja BIA-vaikutusanalyysi

SESKO-kevätseminaari - 29.3.2017 26

Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista

Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot

Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt

ICT-toiminnan häiriöt 26

Varautumissuunnittelu- ja suunnitelmat

Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunnitelmat

Toipumissuunnitelmat – tietojärjestelmä(t)

Teknologian osalta olemme vielä alkutaipaleella – jälleen valtavan mielenkiintoiset seuraavat ~10 vuotta

◦ Meidän täytyy digitalisoida myös turvallisuustoimintamme => keinoäly |

ohjelmistorobotiikka => fyysisellä puolella lisäksi robotisaatio myös

tietoverkkorikolliset tekevät näin (odotan uutista kun robottirikollinen tekee varkauden – v 2026 ?)

IoT-laitteita tulisi ajatella kuin mitä tahansa päätelaitteita – tosin jos vaaditaan samaa vaatimustenmukaisuutta, niitä ei saisi käyttää – uhat pitää tunnistaa | riskit arvioida | kuuluisan jonkun pitää arvioida ja hyväksyä jäännösriskit <> tai todeta, että ei käy!

Henkilöstön koulutuksen, ohjeistamisen ja jatkuvan tiedottamisen korostuva merkitys | kuuluisa ”heikoin lenkki” > siirretään enemmän teknologian puolelle! ~tai toiseen organisaatioon …

SESKO-kevätseminaari - 29.3.2017 27

SESKO-kevätseminaari - 29.3.2017 28

Kiitos!

@kimmorousku kimmo@ict-tuki.fi Kutsuthan minut verkostoosi - #ICT-tietoturvallisuus