Riskienhalllinta – tietoturvallisuus – jatkuvuudenhallinta – osa meidän kaikkien kyberturvallisuudesta huolehtimista Kimmo Rousku Riskienhallintajohtaja Työ: [email protected] Vapaa-aika: [email protected] Lisää materiaalia aiheesta kyberturvaopasteokseni tukisivuilla http://ict-tuki.fi 2 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Mikä on Valtion tieto- ja viestintätekniikkakeskus Valtori? • Valtori tuottaa valtionhallinnon toimialariippumattomat ict-palvelut. • Valtorista asiakkaat saavat käyttöönsä markkinoiden parhaan ja sitoutuneimman valtionhallinnon ict:n asiantuntemuksen. • Tavoitteena on, että valtion toimialariippumattomat ict-palvelut ovat kilpailukykyisiä, laadukkaita, ekologisia, tietoturvallisia ja asiakastarpeet täyttäviä. 3 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Toiminta-ajatus, visio ja arvot Toiminta-ajatus Valtori tuottaa valtionhallinnon toimialariippumattomat ict-palvelut = Mitä Valtori tekee? Visio Valtion toimialariippumattomat ict-palvelut ovat kilpailukykyisiä, laadukkaita, ekologisia, tietoturvallisia ja asiakastarpeet täyttäviä = Mihin Valtori pyrkii? Arvot Vastuullisuus Yhteinen toimintatapa Kumppanuus Jatkuva kehittyminen Hyvä työpaikka = Miten Valtori toimii? 4 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Valtorin toimintatapa Alihankkijat Valtori Asiakkaat Ulkoiset Asiakas 1 Palvelutuottaja 1 Palvelutuottaja 2 Ostetut palvelut Palvelutuottaja n Sisäiset Palvelutuottaja 1 Oma palvelutuotanto Asiakaspalveluiden integrointi Asiakas 2 Asiakas 3 Asiakas n Palvelutuottaja n Valtori tuottaa toimialariippumattomat ict-palvelut valtionhallinnolle. Valtori yhdistää palvelutuotannossaan itse tuottamaansa ja markkinoilta hankittua palvelua ja sovittaa palvelut valtionhallinnolle soveltuviksi. 5 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Valtorin asiakkaat Valtionhallinto • Ministeriöt • Virastot • Laitokset Muu julkinen hallinto • Valtion liikelaitokset • Julkisoikeudelliset laitokset • Välillinen julkishallinto • Yritykset ja yhteisöt • Kunnalliset viranomaiset: kunnat ja kuntayhtymät Kaikki Valtorin palvelut Valitut Valtorin palvelut Valtion tietoja viestintätekniikkakeskus Valtori • Kun tuottamisen järjestämi- nen on valtionhallinnon vastuulla ja • Kun palveluita on tarkoitettu käytettävän yleisesti ja laajasti julkisten hallintotehtävien tukena • Muut laissa tai asetuksessa säädetyt Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku 6 Hyödyt asiakkaille • Kustannustehokkaat ict-palvelut koko valtiokonsernille • Asiakkaan käytössä on markkinoiden paras ja sitoutunein valtionhallinnon ict:n asiantuntemus • Valtionhallinnon organisaatiot voivat keskittyä omaan perustoimintaansa ja siihen liittyvän tietotekniikan kehittämiseen. • Valtori huolehtii keskitetysti tarjoamiensa ict-ratkaisujen hankinnasta, toimivuudesta, ylläpidosta ja kehittämisestä. • Palvelut sopeutuvat nopeasti toiminnan volyymimuutoksiin ja niiden kustannukset asiakkaalle muuttuvat volyymin mukaan 7 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Näin Valtori rakentuu 2014-2015 • Tällä hetkellä Valtorissa työskentelee noin 430 henkilöä eri puolilla maata. • Päätoimipaikka Jyväskylässä. • Ict-toimintasiirrot Valtoriin toteutetaan virastokohtaisissa siirtoprojekteissa, joissa kartoitetaan siirtyvät toimialariippumattomat ict-tehtävät, henkilöt, sopimukset ja muut tuotannontekijät. • Vuoden 2015 lopussa Valtorin henkilöstömäärä on noin 1300. 8 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Palvelut valtionhallinnolle Päätelaite- ja käyttäjätukipalvelut Viestintätekniset palvelut Tietoliikennepalvelut Käyttöpalvelut Projekti- ja asiantuntijapalvelut Muut palvelut mm. sähköisen asioinnin alustapalvelut 9 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Lisätietoja palveluistamme www.valtori.fi Asiakasvastaavamme: • http://www.valtori.fi/yhteystiedot/asiakasvasta avat 10 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Haaste – meillä on jokaisella hieman erilainen näkökulma tähän aiheeseen Liiketoiminta Tieto(turvallisuus) Kyber*.* Vaatimustenmukaisuus Jatkuvuus Riskienhallinta 11 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Muutama havainto edellisistä osa-alueista 12 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Riskit + (luottamuksellisuus * eheys * saatavuus) = jatkuvuus? • Valitettavasti meillä (Oy Suomi ab) riskienhallinta ei ole toiminnassa siinä laajuudessa, missä sen pitäisi. • Nostan esimerkiksi tietoturvallisuuden ja jatkuvuudenhallinnan – organisaatioissa hankitaan ja toteutetaan näihin liittyviä asioita ja toimenpiteitä haulikko-menetelmällä (”roiskitaan sinne päin, jos sattuisi johonkin osumaan”) • Mikäli riskit eivät ole aidosti tiedossa, investoinnit ja työ menee enemmän tai vähemmän pieleen ja hukkaan • Esimerkiksi jokainen (tietoturva)poikkeama on esimerkki siitä, että jokin uhka ei ole ollut tiedossa => tunnistettu ja hallittu riski • Osana tällaisen poikkeaman selvitystä pitäisi myös varmistua siitä, miksi tällainen on jäänyt havaitsematta – ensimmäisen ja kuuluisan viimeisen kerran • Kyberturvallisuutta tulee myös lähestyä riskilähtöisesti 13 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Riskit + (luottamuksellisuus * eheys * saatavuus) = jatkuvuus? • Välillä tuntuu siltä, että keskitymme liikaa tietoturvallisuudessa sen yhden osa-alueen, luottamuksellisuuden, takaamiseen Luottamuksellisuus Eheys Eheys Luottamukselliisuus Eheys Tiedon turvaaminen, ei holvaaminen tai halvaannuttaminen Saatavuus Nämä kolme tietoturvallisuuden osa-aluetta voivat olla tasapainossa, tosin hyvin harvoin Saatavuus Julkisen tiedon osalta eheys ja saatavuus voivat olla erittäin tärkeässä roolissa Saatavuus Luottamukselliisuus Muista! Etenkin erilaisten kriittisten viestintä- ja tiedotuspalveluiden sekä liiketoimintasovellusten osalta 24/7/365 saatavuus saattaa olla tärkein vaatimus 14 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Jatkuvuuden takaaminen (kyber)Häiriötiedote Palvelussa XYZ on havaittu häiriö, jonka takia ÅÄÖ ei ole toiminnassa. Ilmoitamme lisätietoja kahden tunnin kuluttua, mikäli häiriötä ei saada ennen sitä korjattua. • ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on häiriöaltista. • Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama koskeen palveluiden käytettävyyttä. Voimme pyrkiä 99 + mahdollisimman moneen ysiin, mutta jokainen ysi maksaa lisää rahaa • Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun saatavuudesta (tietoturvanäkökulma) ja käytettävyydestä (sopimus - SLA). Jos palvelu ei ole organisaatiolle tärkeä tai kriittinen, häiriön kesto voi olla pitempi mutta toiminnon kriittisyyden kasvaessa myös keston eli korjaamiseen kuluvan ajan pitää lyhentyä (arviointi BIA tai vastaavilla malleilla). Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku 15 Jatkuvuuden takaaminen • Häiriötilanne – tilanne korjaantuu pikku hiljaa, kun sitä aletaan korjaamaan palvelutasosopimuksen mukaisesti. Entäs jos ei ole palvelutasosopimusta? Käytetään siis ns. ”aika hoitaa” SLA-mallia… • Häiriötilanne – koska kyseessä on kriittinen palvelu, saadaan a) häiriö havaittua nopeasti sekä palvelutasovaatimusten mukaisesti b) sen korjaaminen lähtee liikkeelle nopeasti ja häiriö saadaan korjattua ilman merkittävää vaikutusta toimintaan 16 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Kaikki tämä oli kertausta – otetaan mukaan uusi ulottuvuus eli kyber*.* 17 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Miten kyber*.* muuttaa kaavaa vai muuttaako? Oma Suomen kyberturvallisuusstrategiaa mukaileva määritykseni kyber*.*  Kyberturvallisuus • toiminta, jolla pyritään siihen, että kybertoimintaympäristöstä johtuvat uhat ja riskit ovat hallinnassa • Kyberturvallisuus voidaan ymmärtää myös tilaksi, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan; tätä määritelmää on käytetty mm. Suomen kyberturvallisuusstrategiassa (valtioneuvoston periaatepäätös 24.1.2013). 18 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Miten kyber*.* muuttaa kaavaa vai muuttaako?  Kybertoimintaympäristö • yhdestä tai useammasta sähköisessä muodossa olevan datan tai informaation käsittelyyn tarkoitetusta tietojärjestelmästä muodostuva kokonaisuus, jolla ohjataan fyysisen maailman toimintoja • tässä rajaudutaan kenties hieman liikaa ”fyysisen maailman toimintoja” => prosessiautomaatioon, mutta itse näen tämän niiden ICTjärjestelmien kokonaisuutena, jolla on merkitystä • A) koko yhteiskunnan • B) organisaation oman toiminnan (sen olemassa olon edellytysten) kannalta => siis ihan normaali (ICT-) palvelutuotanto ja palvelut 19 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Miten kyber*.* muuttaa kaavaa vai muuttaako? • Jolloin niitä vastaan tulee toimia tietoturvauhkia pienentäen <=> siis ihan sitä samaa asiaa mitä ollaan tehty jo vuosia(kymmeniä) – ei mtn uutta ! • Ja itse näen tämän laajempana kuin tietoturvallisuutta, itse asiassa enemmänkin toimintaa ja jatkuvuutta uhkaavina asioina • muussa tarkastelussa uhat voivat konkretisoitua myös muuta kuin tietoturvallisuuden näkökulmasta • Luonnonilmiöt, sähkön jakelu, inhimillinen toiminta ja virheet jne => jatkuvuus 20 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Miten kyber*.* muuttaa kaavaa vai muuttaako? • Itse näen ”kyberturvallisuuden” myös markkinointiterminä • Vanha tuttu palvelu versio 1.0 voidaan myydä ”uutena kyberpalveluna v 2015” 2x hinnalla  ja mielellään pilvi vielä tuonne mukaan niin saa vielä lisäkertoimen 1,75 eli 1*2*1,75 = 3,5 x hinnalla • Osin pitää paikkansa … LIVE-DEMO – LIVEDEMO ! WOW !!! 21 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Miten kyber*.* muuttaa kaavaa vai muuttaako? • Oikea vastaus: muuttaa ! 22 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Miten kyber*.* muuttaa kaavaa vai muuttaako? • Vaikka miten tulee mieli todeta, että tiedusteluorganisaatioiden käyttämät signaalitiedustelu- ja muut kehittyneet APT-keinot eivät kosketa tai näy yrityskäytössä tai kotikäytössä, valitettavasti tilanne ei ole tällainen. • Terrorisminvastainen taistelu on yksi syy, mutta muut kansalliset intressit menevät näiden edelle • Puolustus, politiikka, talous … järjestys vaihtelee toimijasta riippuen • Tämän ohella on selvää, että tietoverkkorikolliset, haktivistit ja muut ääriryhmittymät ottavat opikseen ja innovoivat sekä kehittävät omaa suorituskykyään niiden paljastusten perusteella, mitä tietovuotajat saattavat julkisuuteen • Terroristijärjestöt ottaneet käyttöön uudenlaista tekniikkaa paljastusten johdosta • Myös me tarvitsemme uusia keinoja suojautumiseen ! 23 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Miten panokset kannattaa asettaa? • 1) Jokainen organisaatio: • Miten olet kehittänyt ja kehität kyvykkyyttäsi uusia, lähinnä tietoverkkojen kautta tulevia uhkakuvia vastaan? • Lokit – lokit – lokit - tiivistetysti • Kerääminen ( riittävä kesto) | analysointi (automaattinen vs ihminen) | reagointi eli toimenpiteet (oikeus suorittaa niitä) | raportointi (siitä mikä on tärkeää) • Verkko- ja palvelintaso • Jotta lokeja saadaan, tarvitaan kehittyneempiä keinoja kaivaa tietoliikenteestä tarvittavat tiedot (palomuuri, ids, haavoittuvuusskannaukset, sovellusskannaukset) • Päätelaitetaso • Valitettavasti pelkkä henkilöstön ohjeistaminen ei riitä • Vrt liikenneturvallisuus – miksi tarvitsemme nopeuskameroita jne? 24 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Miten panokset kannattaa asettaa? • 2) Yhteiskunnan toiminnan kannalta kriittinen organisaatio • Jatkuvan teknisen tietoturvallisuuden kehittämisen malli – uhkakuvat muuttuvat koko ajan kuten ICT-palveluiden tuotantotapa, palvelut ja käytettävät päätelaitteet • Jatkossa tulossa lisää vaatimuksia esimerkiksi • EU-direktiivi koskien tietoverkkojen ja tietojärjestelmien tietoturvallisuutta • tietoyhteiskuntakaari • kansallisen tilannekuvan tuottamisen osalta 25 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Tiivistys – päivitetty kaava – melkein, mutta … Riskienhallinta Liiketoiminta Tieto(turvallisuus) Kyberuhat Jatkuvuudenhallinta Vaatimustenmukaisuus Tietoturvallisuuden korostunut rooli pitäisi unohtaa ja puhua ennemmin kokonaisturvallisuuden ja riskienhallinnan avulla toteutettavasta kokonaisuudesta 26 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Ja itse kaava Kokonaisvaltainen riskienhallinta Kokonaisturvallisuus (priorisointi, merkitys vaihtelee merkittävisti organisaatioittain, voi koostua muista osa-alueista) 1) Henkilöturvallisuus 2) Työturvallisuus 3) Tietoturvallisuus (ja esimerkiksi tietoriskienhallinta) 4) Tuotannon ja toiminnan turvallisuus – jatkuvuuden hallinta 5) Kiinteistö- ja toimitilaturvallisuus 6) Pelastustoiminta 7) Valmiussuunnittelu Liike(ydin)toiminnan 8) Ympäristöturvallisuus kannattava, 9) Rikosturvallisuus vaatimusten- ja 10) Ulkomaantoimintojen turvallisuus tarkoituksenmukainen turvallinen toiminta 27 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku APUVA! http://ict-tuki.fi/tietoturva/index.html 28 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Kimmo ja teknologiat • Oletko jo LinkedIn-palvelussa? • Mikäli tietoturva-asiat kiinnostavat sinua, tervetuloa 6.12.2010 perustamaani # ICT-tietoturvallisuus ryhmään keskustelemaan ja seuraamaan keskustelua ajankohtaisista asioista 29 Kyberturvallisuus 2014 - 3.9.2014 - Kimmo Rousku Kiitos! Muista lähettää palautetta & kysymyksiä !