Riskienhalllinta tietoturvallisuus jatkuvuudenhallinta osa

Riskienhalllinta – tietoturvallisuus
– jatkuvuudenhallinta
– osa meidän kaikkien kyberturvallisuudesta
huolehtimista
Kimmo Rousku
Riskienhallintajohtaja
Työ: [email protected]
Vapaa-aika: [email protected]
Lisää materiaalia aiheesta kyberturvaopasteokseni tukisivuilla http://ict-tuki.fi
2
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Mikä on Valtion tieto- ja
viestintätekniikkakeskus Valtori?
• Valtori tuottaa valtionhallinnon
toimialariippumattomat ict-palvelut.
• Valtorista asiakkaat saavat
käyttöönsä markkinoiden parhaan
ja sitoutuneimman valtionhallinnon
ict:n asiantuntemuksen.
• Tavoitteena on, että valtion
toimialariippumattomat ict-palvelut
ovat kilpailukykyisiä, laadukkaita,
ekologisia, tietoturvallisia ja
asiakastarpeet täyttäviä.
3
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Toiminta-ajatus, visio ja arvot
Toiminta-ajatus
Valtori tuottaa
valtionhallinnon
toimialariippumattomat
ict-palvelut
= Mitä Valtori tekee?
Visio
Valtion toimialariippumattomat ict-palvelut ovat
kilpailukykyisiä,
laadukkaita, ekologisia,
tietoturvallisia ja asiakastarpeet täyttäviä
= Mihin Valtori pyrkii?
Arvot
Vastuullisuus
Yhteinen toimintatapa
Kumppanuus
Jatkuva kehittyminen
Hyvä työpaikka
= Miten Valtori toimii?
4
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Valtorin toimintatapa
Alihankkijat
Valtori
Asiakkaat
Ulkoiset
Asiakas 1
Palvelutuottaja 1
Palvelutuottaja 2
Ostetut
palvelut
Palvelutuottaja n
Sisäiset
Palvelutuottaja 1
Oma
palvelutuotanto
Asiakaspalveluiden
integrointi
Asiakas 2
Asiakas 3
Asiakas n
Palvelutuottaja n
Valtori tuottaa toimialariippumattomat ict-palvelut valtionhallinnolle.
Valtori yhdistää palvelutuotannossaan itse tuottamaansa ja markkinoilta
hankittua palvelua ja sovittaa palvelut valtionhallinnolle soveltuviksi.
5
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Valtorin asiakkaat
Valtionhallinto
• Ministeriöt
• Virastot
• Laitokset
Muu julkinen
hallinto
• Valtion liikelaitokset
• Julkisoikeudelliset laitokset
• Välillinen julkishallinto
• Yritykset ja yhteisöt
• Kunnalliset viranomaiset:
kunnat ja kuntayhtymät
Kaikki
Valtorin palvelut
Valitut
Valtorin palvelut
Valtion tietoja viestintätekniikkakeskus
Valtori
• Kun tuottamisen järjestämi-
nen on valtionhallinnon
vastuulla ja
• Kun palveluita on tarkoitettu
käytettävän yleisesti ja
laajasti julkisten
hallintotehtävien tukena
• Muut laissa tai asetuksessa
säädetyt
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
6
Hyödyt asiakkaille
• Kustannustehokkaat ict-palvelut koko
valtiokonsernille
• Asiakkaan käytössä on markkinoiden paras
ja sitoutunein valtionhallinnon ict:n
asiantuntemus
• Valtionhallinnon organisaatiot voivat
keskittyä omaan perustoimintaansa ja
siihen liittyvän tietotekniikan kehittämiseen.
• Valtori huolehtii keskitetysti tarjoamiensa
ict-ratkaisujen hankinnasta, toimivuudesta,
ylläpidosta ja kehittämisestä.
• Palvelut sopeutuvat nopeasti toiminnan
volyymimuutoksiin ja niiden kustannukset
asiakkaalle muuttuvat volyymin mukaan
7
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Näin Valtori rakentuu 2014-2015
• Tällä hetkellä Valtorissa työskentelee
noin 430 henkilöä eri puolilla maata.
• Päätoimipaikka Jyväskylässä.
• Ict-toimintasiirrot Valtoriin toteutetaan
virastokohtaisissa siirtoprojekteissa,
joissa kartoitetaan siirtyvät
toimialariippumattomat ict-tehtävät,
henkilöt, sopimukset ja muut
tuotannontekijät.
• Vuoden 2015 lopussa Valtorin
henkilöstömäärä on noin 1300.
8
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Palvelut valtionhallinnolle
Päätelaite- ja
käyttäjätukipalvelut
Viestintätekniset palvelut
Tietoliikennepalvelut
Käyttöpalvelut
Projekti- ja
asiantuntijapalvelut
Muut palvelut
mm. sähköisen asioinnin
alustapalvelut
9
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Lisätietoja palveluistamme
www.valtori.fi
Asiakasvastaavamme:
• http://www.valtori.fi/yhteystiedot/asiakasvasta
avat
10
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Haaste – meillä on jokaisella hieman erilainen
näkökulma tähän aiheeseen
Liiketoiminta
Tieto(turvallisuus)
Kyber*.*
Vaatimustenmukaisuus
Jatkuvuus
Riskienhallinta
11
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Muutama havainto edellisistä osa-alueista
12
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Riskit + (luottamuksellisuus * eheys *
saatavuus) = jatkuvuus?
• Valitettavasti meillä (Oy Suomi ab) riskienhallinta ei ole toiminnassa siinä
laajuudessa, missä sen pitäisi.
• Nostan esimerkiksi tietoturvallisuuden ja jatkuvuudenhallinnan –
organisaatioissa hankitaan ja toteutetaan näihin liittyviä asioita ja toimenpiteitä
haulikko-menetelmällä (”roiskitaan sinne päin, jos sattuisi johonkin osumaan”)
• Mikäli riskit eivät ole aidosti tiedossa, investoinnit ja työ menee enemmän tai
vähemmän pieleen ja hukkaan
• Esimerkiksi jokainen (tietoturva)poikkeama on esimerkki siitä, että jokin uhka ei
ole ollut tiedossa => tunnistettu ja hallittu riski
• Osana tällaisen poikkeaman selvitystä pitäisi myös varmistua siitä, miksi tällainen on
jäänyt havaitsematta – ensimmäisen ja kuuluisan viimeisen kerran
• Kyberturvallisuutta tulee myös lähestyä riskilähtöisesti
13
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Riskit + (luottamuksellisuus * eheys *
saatavuus) = jatkuvuus?
• Välillä tuntuu siltä, että keskitymme
liikaa tietoturvallisuudessa sen yhden osa-alueen,
luottamuksellisuuden, takaamiseen
Luottamuksellisuus
Eheys
Eheys
Luottamukselliisuus
Eheys
Tiedon turvaaminen,
ei holvaaminen
tai halvaannuttaminen
Saatavuus
Nämä kolme tietoturvallisuuden
osa-aluetta voivat olla tasapainossa, tosin hyvin harvoin
Saatavuus
Julkisen tiedon osalta eheys ja
saatavuus voivat olla erittäin
tärkeässä roolissa
Saatavuus
Luottamukselliisuus
Muista!
Etenkin erilaisten kriittisten
viestintä- ja tiedotuspalveluiden
sekä liiketoimintasovellusten
osalta 24/7/365 saatavuus
saattaa olla tärkein vaatimus
14
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Jatkuvuuden takaaminen
(kyber)Häiriötiedote
Palvelussa XYZ on havaittu häiriö, jonka takia ÅÄÖ
ei ole toiminnassa.
Ilmoitamme lisätietoja kahden tunnin kuluttua,
mikäli häiriötä ei saada ennen sitä korjattua.
•
ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on häiriöaltista.
•
Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama
koskeen palveluiden käytettävyyttä. Voimme pyrkiä 99 + mahdollisimman moneen ysiin,
mutta jokainen ysi maksaa lisää rahaa
•
Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun
saatavuudesta (tietoturvanäkökulma) ja käytettävyydestä (sopimus - SLA). Jos
palvelu ei ole organisaatiolle tärkeä tai kriittinen, häiriön kesto voi olla pitempi mutta
toiminnon kriittisyyden kasvaessa myös keston eli korjaamiseen kuluvan ajan pitää
lyhentyä (arviointi BIA tai vastaavilla malleilla).
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
15
Jatkuvuuden takaaminen
• Häiriötilanne – tilanne korjaantuu pikku hiljaa, kun sitä aletaan
korjaamaan palvelutasosopimuksen mukaisesti. Entäs jos ei ole
palvelutasosopimusta? Käytetään siis ns. ”aika hoitaa” SLA-mallia…
• Häiriötilanne – koska kyseessä on kriittinen palvelu, saadaan a) häiriö
havaittua nopeasti sekä palvelutasovaatimusten mukaisesti b) sen
korjaaminen lähtee liikkeelle nopeasti ja häiriö saadaan korjattua ilman
merkittävää vaikutusta toimintaan
16
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Kaikki tämä oli kertausta – otetaan mukaan
uusi ulottuvuus eli kyber*.*
17
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Miten kyber*.* muuttaa kaavaa vai muuttaako?
Oma Suomen kyberturvallisuusstrategiaa mukaileva määritykseni
kyber*.*
 Kyberturvallisuus
• toiminta, jolla pyritään siihen, että kybertoimintaympäristöstä johtuvat uhat
ja riskit ovat hallinnassa
• Kyberturvallisuus voidaan ymmärtää myös tilaksi, jossa
kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta
turvataan; tätä määritelmää on käytetty mm. Suomen
kyberturvallisuusstrategiassa (valtioneuvoston periaatepäätös
24.1.2013).
18
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Miten kyber*.* muuttaa kaavaa vai muuttaako?
 Kybertoimintaympäristö
• yhdestä tai useammasta sähköisessä muodossa olevan datan
tai informaation käsittelyyn tarkoitetusta tietojärjestelmästä
muodostuva kokonaisuus, jolla ohjataan fyysisen maailman
toimintoja
• tässä rajaudutaan kenties hieman liikaa ”fyysisen maailman toimintoja”
=> prosessiautomaatioon, mutta itse näen tämän niiden ICTjärjestelmien kokonaisuutena, jolla on merkitystä
• A) koko yhteiskunnan
• B) organisaation oman toiminnan (sen olemassa olon edellytysten) kannalta
=> siis ihan normaali (ICT-) palvelutuotanto ja palvelut
19
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Miten kyber*.* muuttaa kaavaa vai muuttaako?
• Jolloin niitä vastaan tulee toimia tietoturvauhkia pienentäen <=> siis
ihan sitä samaa asiaa mitä ollaan tehty jo vuosia(kymmeniä) – ei
mtn uutta !
• Ja itse näen tämän laajempana kuin tietoturvallisuutta, itse asiassa
enemmänkin toimintaa ja jatkuvuutta uhkaavina asioina
• muussa tarkastelussa uhat voivat konkretisoitua myös muuta kuin
tietoturvallisuuden näkökulmasta
• Luonnonilmiöt, sähkön jakelu, inhimillinen toiminta ja virheet jne =>
jatkuvuus
20
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Miten kyber*.* muuttaa kaavaa vai muuttaako?
• Itse näen ”kyberturvallisuuden” myös
markkinointiterminä
• Vanha tuttu palvelu versio 1.0 voidaan myydä
”uutena kyberpalveluna v 2015” 2x hinnalla  ja mielellään pilvi vielä tuonne mukaan niin saa
vielä lisäkertoimen 1,75 eli 1*2*1,75 = 3,5 x
hinnalla
• Osin pitää paikkansa … LIVE-DEMO – LIVEDEMO ! WOW !!!
21
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Miten kyber*.* muuttaa kaavaa vai muuttaako?
• Oikea vastaus: muuttaa !
22
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Miten kyber*.* muuttaa kaavaa vai muuttaako?
• Vaikka miten tulee mieli todeta, että tiedusteluorganisaatioiden käyttämät
signaalitiedustelu- ja muut kehittyneet APT-keinot eivät kosketa tai näy
yrityskäytössä tai kotikäytössä, valitettavasti tilanne ei ole tällainen.
• Terrorisminvastainen taistelu on yksi syy, mutta muut kansalliset intressit
menevät näiden edelle
• Puolustus, politiikka, talous … järjestys vaihtelee toimijasta riippuen
• Tämän ohella on selvää, että tietoverkkorikolliset, haktivistit ja muut
ääriryhmittymät ottavat opikseen ja innovoivat sekä kehittävät omaa
suorituskykyään niiden paljastusten perusteella, mitä tietovuotajat
saattavat julkisuuteen
• Terroristijärjestöt ottaneet käyttöön uudenlaista tekniikkaa paljastusten johdosta
• Myös me tarvitsemme uusia keinoja suojautumiseen !
23
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Miten panokset kannattaa asettaa?
• 1) Jokainen organisaatio:
• Miten olet kehittänyt ja kehität kyvykkyyttäsi uusia, lähinnä tietoverkkojen
kautta tulevia uhkakuvia vastaan?
• Lokit – lokit – lokit - tiivistetysti
• Kerääminen ( riittävä kesto) | analysointi (automaattinen vs ihminen) | reagointi eli
toimenpiteet (oikeus suorittaa niitä) | raportointi (siitä mikä on tärkeää)
• Verkko- ja palvelintaso
• Jotta lokeja saadaan, tarvitaan kehittyneempiä keinoja kaivaa tietoliikenteestä
tarvittavat tiedot (palomuuri, ids, haavoittuvuusskannaukset, sovellusskannaukset)
• Päätelaitetaso
• Valitettavasti pelkkä henkilöstön ohjeistaminen ei riitä
• Vrt liikenneturvallisuus – miksi tarvitsemme nopeuskameroita jne?
24
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Miten panokset kannattaa asettaa?
• 2) Yhteiskunnan toiminnan kannalta kriittinen organisaatio
• Jatkuvan teknisen tietoturvallisuuden kehittämisen malli – uhkakuvat
muuttuvat koko ajan kuten ICT-palveluiden tuotantotapa, palvelut ja
käytettävät päätelaitteet
• Jatkossa tulossa lisää vaatimuksia esimerkiksi
• EU-direktiivi koskien tietoverkkojen ja tietojärjestelmien tietoturvallisuutta
• tietoyhteiskuntakaari
• kansallisen tilannekuvan tuottamisen osalta
25
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Tiivistys – päivitetty kaava – melkein, mutta …
Riskienhallinta
Liiketoiminta
Tieto(turvallisuus)
Kyberuhat
Jatkuvuudenhallinta
Vaatimustenmukaisuus
Tietoturvallisuuden korostunut rooli
pitäisi unohtaa ja puhua ennemmin
kokonaisturvallisuuden ja
riskienhallinnan avulla
toteutettavasta kokonaisuudesta
26
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Ja
itse kaava
Kokonaisvaltainen
riskienhallinta
Kokonaisturvallisuus (priorisointi, merkitys
vaihtelee merkittävisti organisaatioittain, voi
koostua muista osa-alueista)
1) Henkilöturvallisuus
2) Työturvallisuus
3) Tietoturvallisuus (ja esimerkiksi tietoriskienhallinta)
4) Tuotannon ja toiminnan turvallisuus – jatkuvuuden hallinta
5) Kiinteistö- ja toimitilaturvallisuus
6) Pelastustoiminta
7) Valmiussuunnittelu
Liike(ydin)toiminnan
8) Ympäristöturvallisuus
kannattava,
9) Rikosturvallisuus
vaatimusten- ja
10) Ulkomaantoimintojen turvallisuus
tarkoituksenmukainen
turvallinen toiminta
27
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
APUVA!
http://ict-tuki.fi/tietoturva/index.html
28
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Kimmo ja teknologiat
• Oletko jo LinkedIn-palvelussa?
• Mikäli tietoturva-asiat kiinnostavat sinua, tervetuloa 6.12.2010 perustamaani
# ICT-tietoturvallisuus ryhmään keskustelemaan ja seuraamaan
keskustelua ajankohtaisista asioista
29
Kyberturvallisuus 2014 - 3.9.2014 - Kimmo
Rousku
Kiitos!
Muista lähettää palautetta & kysymyksiä !