Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Kimmo Rousku, tietoturvakirjailija, vuoden 2015 tietoturvapäällikkö, VAHTI-pääsihteeri
@kimmorousku [email protected] Kutsuthan minut verkostoosi - #ICT-tietoturvallisuus
SESKO-kevätseminaari - 29.3.2017 1
Taustastani – mainos ;-)
Mistä en pidä – pidän
Johdantoa kokonaisuuteen
Tieto- ja kyberturvallisuus
Tulevaisuus – uhka vs mahdollisuus
IOT – uhka ja mahdollisuus
Miten voit varautua?
Yhteenveto
SESKO-kevätseminaari - 29.3.2017 2
Tieto- ja kyberturvallisuuskatsaus - 22.3.2017 3
#tietoturvallisuus - inflaatio #kyberturvallisuus - siis mitä? #pilvipalvelut - jonkun muun tietokone
#luottamus #turvallisuus #yhteistyö #riskienhallinta => menestyminen!
SESKO-kevätseminaari - 29.3.2017 4
SESKO-kevätseminaari - 29.3.2017 5
SESKO-kevätseminaari - 29.3.2017 6
SESKO-kevätseminaari - 29.3.2017 7
IOT
Panostammeko liikaa näihin asioihin?
SESKO-kevätseminaari - 29.3.2017 8
SESKO-kevätseminaari - 29.3.2017 9
Tieto- ja kyberturvallisuus
SESKO-kevätseminaari - 29.3.2017 10
11
Kuinka vanha on kyberturvallisuus?
SESKO-kevätseminaari - 29.3.2017
Muutamaa vuotta myöhemmin Alessandro Volta kuitenkin osoitti, että kahden metallin koskettaessa toisiaan esiintyy samantapainen ilmiö ilman sammakonjalkaakin. Havainto johti Voltan parin ja samalla sähkövirran keksimiseen.[1]
12 SESKO-kevätseminaari -
29.3.2017
Myrsky tai
reitittimen
hajoaminen
Sähkökatko
tai muuten
tietoliikenne
poikki
13
Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa ICT-toimintaympäristöön voidaan luottaa ja jossa niiden toiminta turvataan, sisältää myös kyvyn sietää kyberuhkia
Onko kyseessä tieto- vai kyberturvallisuusongelma?
SESKO-kevätseminaari - 29.3.2017
Tietoturvallisuus
SESKO-kevätseminaari - 29.3.2017 14
Digitaalinen tieto (ICTn
avulla)
Analoginen tieto
Kyberturvallisuus - kybertoimintaympäristö
Digitaalinen tieto
Muuta kuin tietoa
(toiminta)
VAIKUTTAMINEN
Vaikuttaminen ICT:n avulla kohteeseen
Tietoturvallisuus Kyberturvallisuus - (ICT) kybertoimintaympäristö
Digitaalinen tieto (ICTn
avulla)
Analoginen tieto
Muuta kuin tietoa (toiminta)
IOT
Olemme digitalisaation ja robotisaation MS-DOS => Windows 95-vaiheessa
SESKO-kevätseminaari - 29.3.2017 15
???
SESKO-kevätseminaari - 29.3.2017 16
Toiminnan digitalisaatio
Robotisaatio
ICT
ATK - automaattinen
MTK – manuaalinen tietojenkäsittely
Teknologiset mahdollisuutemme
Nykyinen kyvykkyytemme teknologian
hyödyntämiseen
1
98
0 1
99
0
20
00
2
01
0 2
02
0 2
03
0 IOT &
KäRo
Vuosikymmenien varrella on ollut erilaisia ekosysteemikilpailuita markkinaherruuksista, seuraava merkittävä käydään – keinoälystä
Meidän keinoäly on parempi kuin teidän keinoäly! Entäs kun tulee IoT-ekosysteemit, verkot, alustat ja tietoliikenneyhteydet?
Haluaisitko sinä markkinoiden 2. tai 3. parhaan keinoälyn organisaatiosi johtoryhmään tai vastaamaan jostain liiketoimintaprosessin kehittämisestä tai toteuttamisesta? En minäkään.
Samoin tähän liittyy meidän kannalta kriittinen puheentunnistus – miten varmistamme sen, että jatkossa me voimme samalla tavalla ohjata robottejamme | IoT-ympäristöämme ja muita laitteita suomenkielellä vs muut kielet?
SESKO-kevätseminaari - 29.3.2017 17
1. Johdanto 2. MTK | ATK | ICT | digitalisaatio & robotisaatio – lyhyt
historia ja pala tulevaisuutta –Kimmo Rousku 3. Teknologiamurroksesta hallinnon toimenpiteiksi – Risto
Linturi 4. Kestävästi kehittyen kohti tulevaisuutta – Cristina
Andersson 5. Lohkoketjuteknologian mahdollisuudet – Graalin malja
vai Pandoran lipas? – Sari Stenfors 6. Digitalisaation seuraava aalto FinTech-myrskyssä – case
finanssitoiminta – Ilkka Lähteenmäki 7. Toiminnan digitalisaatio – miten sudenkuopat vältetään?
– Timur Kärki 8. Digitaalinen turvallisuus kehityksen ja toiminnan
mahdollistajana – Jarno Limnéll ja Kimmo Rousku
Seminaarin videotallenne ja muut esitykset ja materiaalit
18 SESKO-kevätseminaari -
29.3.2017
”Halvalla | hyvin | nopeasti”
- tiedäthän, ettet voi kahta näistä saada?
SESKO-kevätseminaari - 29.3.2017 19
SESKO-kevätseminaari - 29.3.2017 20
Uhat: - Insecurity by design
- Kustannustehokkuus - ”kertakäyttöelektoniikkaa”
- Käyttäjien ymmärtämättömyys – jos ostan laitteen ja laitan virran päälle ja laite hakeutuu nettiin – eikö se riitä? Mikä oletussalasanan muutos? Mikä laitteen firmware-ohjelmiston päivitys? - valmistajien asennemuutos!
SESKO-kevätseminaari - 29.3.2017 21
Mahdollisuudet: - Miksi pitää aina odottaa, että ”Siperia opettaa” – siis että koittaa 1. netin totaalinen blackout?
- Suomella tässä loistava mahdollisuus profiloitua; ok, maailman puhtaimmat verkot voidaan ymmärtää monella tavalla ;-)
- Miksemme voi kehittää mallia näiden laitteiden turvallisuuden toteuttamiseen – tietoturva sisäänrakennettuna (”ohjelmoituna”), ei pultattuna tai betonisena rakenteena? Olisiko nyt todellakin aika käynnistää tähän liittyvän regulaation vahva edistäminen?
SESKO-kevätseminaari - 29.3.2017 22
Saatavuus
Eheys
Luottamuksellisuus
Kimmo Rousku 28081999-1234
Tietosuoja
EU-tietosuoja-asetuksen muutokset tuovat velvoitteita myös tietoturvallisuuden kehittämiseen Pelottaako hallinnolliset sanktiot? - prosessien facelift Varmista, että organisaatio on huolehtinut osoitusvelvollisuuden (”accountability”) toteuttamisesta Voi olla, että nyt IOT-verkossa tai laitteissa ei kulje henkilötietoa, entä jatkossa tai entä sen hallinnassa?
Ei jos jotain tapahtuu vaan KUN jotain tapahtuu
SESKO-kevätseminaari - 29.3.2017 23
Ennakointi Suojattava
kohde Reagointi
SESKO-kevätseminaari - 29.3.2017 24
Rautaa rajalle | IoT-kovennus Prosessien mukainen toiminta Henkilöstön ohjeistus, tietoisuuden kasvattaminen, koulutus
Turvallisuuden seuranta ja arviointi
Toiminnan jatkuvuuden varmistaminen
Riskienhallinta
Johtaminen
SESKO-kevätseminaari - 29.3.2017 25
Tietoturvapoikkeama ~kyberturvallisuus-häiriö – entäs muut
häiriöt (ict, muu toiminta, luonto)
Lakisääteisyys Henki Raha
Omaisuus Tieto Maine
Kyvykkyys reagoida!
Varautumissuunnittelu- ja suunnitelmat
Toipumissuunnitelmat – tietojärjestelmä(t)
Jatkuvuus- ja valmiussuunnittelu
Oliko poikkeaman aiheuttama tunnettu uhka ~ei siis vielä riskiksi tunnistettu tai hallinnassa oleva riski, joka kuitenkin laukesi? Todennäköisyys kasvoi tai sovitut toimenpiteet eivät purreet?
Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvuussuhteet | vuorovaikutus Riskienhallinta-prosessi ja BIA-vaikutusanalyysi
SESKO-kevätseminaari - 29.3.2017 26
Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista
Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot
Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt
ICT-toiminnan häiriöt 26
Varautumissuunnittelu- ja suunnitelmat
Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunnitelmat
Toipumissuunnitelmat – tietojärjestelmä(t)
Teknologian osalta olemme vielä alkutaipaleella – jälleen valtavan mielenkiintoiset seuraavat ~10 vuotta
◦ Meidän täytyy digitalisoida myös turvallisuustoimintamme => keinoäly |
ohjelmistorobotiikka => fyysisellä puolella lisäksi robotisaatio myös
tietoverkkorikolliset tekevät näin (odotan uutista kun robottirikollinen tekee varkauden – v 2026 ?)
IoT-laitteita tulisi ajatella kuin mitä tahansa päätelaitteita – tosin jos vaaditaan samaa vaatimustenmukaisuutta, niitä ei saisi käyttää – uhat pitää tunnistaa | riskit arvioida | kuuluisan jonkun pitää arvioida ja hyväksyä jäännösriskit <> tai todeta, että ei käy!
Henkilöstön koulutuksen, ohjeistamisen ja jatkuvan tiedottamisen korostuva merkitys | kuuluisa ”heikoin lenkki” > siirretään enemmän teknologian puolelle! ~tai toiseen organisaatioon …
SESKO-kevätseminaari - 29.3.2017 27
SESKO-kevätseminaari - 29.3.2017 28
Kiitos!
@kimmorousku [email protected] Kutsuthan minut verkostoosi - #ICT-tietoturvallisuus