Kansallinen kyberturvallisuusstrategia
description
Transcript of Kansallinen kyberturvallisuusstrategia
Turvallisuus- ja puolustusasiain komitean sihteeristö1
Kansallinen kyberturvallisuusstrategia
R0457.5.2012
Turvallisuus- ja puolustusasiain komitean sihteeristö2
SisällysluetteloMitä kyber tarkoittaa?
Miksi tarvitaan kyberturvallisuusstrategia?Visio
Hallitusohjelman kyberkohdatYhteiskunnan elintärkeät toiminnot
Suomen vahvuudetLaki
Kybertilanne maailmassaRiski ja uhka
Kyberuhkan tasotKuka ja miksi?
Kyberturvallisuuden toimijoitaKyberturvallisuuden prosessi
Yhdentoista maan kyberturvallisuusstrategiatStrategiatyön painopistealueet
Kyberturvallisuustyön päävaiheetTyöryhmä ja sihteeristö
Turvallisuus- ja puolustusasiain komitean sihteeristö3
Mitä kyber tarkoittaa?
Kyberuhka liittyy toisistaan riippuvaisiin tai erilisiin verkostoihin, sisältäen
• erilaiset tieto- ja tiedonsiirtoverkot, • internetin, • puhelinverkot, • tietokonejärjestelmät sekä • kriittisen tuotannon sulautetut prosessorit ja kontrollointilaitteet.
Kansainvälistä yhdessä hyväksyttyä määritelmää ei ainakaan toistaiseksi ole olemassa. Strategiatyössä käytetään tätä
YTS:stä hieman mukailtua määritelmää.
Turvallisuus- ja puolustusasiain komitean sihteeristö4
Keskinäisriippuvuus ja sitä kautta koko yhteiskunnan haavoittuvuus ovat lisääntyneet suuresti Suomen hallintoon ja elinkeinoelämään kohdistui vuonna 2010 yli kaksi miljoonaa
järjestelmähaavoittuvuuksien hyväksikäyttöyritystä tai murtoyritystä Poikkeamia hallinnon verkkoliikenteessä on tilastoitu vuodesta 2000 alkaen ja hyökkäyksiä vuodesta 2004 alkaen
Ammattimaiseen ja myös valtiolliseen toimijaan liittyviä tapauksia esiintyy säännöllisesti, joissa on mukana tarkka kohdentaminen, laadukas huijauskomponentti, hyvä ennakkotiedustelu, toiminnan pitkäjänteisyys tai varsin kehittynyt tekniikka
Yhteiskunnan elintärkeiden toimintojen kannalta kriittisten tietojärjestelmien ja tietoverkkojen varautumisen ohjeistus, kansalliseen tilannekuvaan kytkeytyminen ja poikkeustilanteiden ohjeistus ovat puutteellisia
Tietoturvatapahtumien havaitsemis-, valvonta- ja reagointikyky on sektorikohtaista ja ei tasalaatuista Kansallinen tilannekuva yhteiskunnan elintärkeiden toimijoiden kyberturvallisuustilanteesta ei ole
tosiaikainen Yhteiskunnan kyky hoitaa laaja, useita elintärkeitä toimijoita samanaikaisesti koskeva kyberhyökkäys tai kyberhäiriö on
tällä hetkellä puutteellinen Prosessit ja vastuut yhteiskuntaa laajasti koskettavan kyberkriisin johtamisessa ja selvittämisessä vaativat
selkiinnyttämistä ja harjoittelua Lait ovat osin puutteellisia tai tulkinnanvaraisia kyberasioissa niin Suomessa kuin kansainvälisestikin Kyberiin liittyvä käsitteistö on kansallisesti ja kansainvälisesti hajanainen ja puutteellinen Kybertoimintaympäristö on globaali, mutta kansainvälinen yhteistyö on tilannekohtaista ja ei ole osa
jatkuvaa toimintaa
Miksi tarvitaan kyberturvallisuusstrategia?Kyberuhka on noussut keskeiseksi tekijäksi yhteiskunnan
kokonaisturvallisuuden ja kansantalouden kannalta ja siten kokonaisvaltaisen kansallisen kyberarvion ja kyberpolitiikan tarve on ilmeinen
Turvallisuus- ja puolustusasiain komitean sihteeristö5
Visio
Vuonna 2016 Suomi on maailmanlaajuinen edelläkävijä kyberuhkiin varautumisessa ja
yhteiskunnan toimintakyvyn säilyttämisessä kaikissa oloissa
Turvallisuus- ja puolustusasiain komitean sihteeristö6
Hallitusohjelman 17.6.2011 kyberkohtia
Turvallisuus- ja puolustuspolitiikka Keskinäisriippuvaisessa maailmassa uudet turvallisuushaasteet, kuten ilmastonmuutos,
hallitsemattomat muuttoliikkeet, köyhyys ja eriarvoisuus, epidemiat, kansainvälinen rikollisuus, joukkotuhoaseiden leviäminen, terrorismi ja tietoverkkoihin kohdistuvat hyökkäykset, vaativat laajan turvallisuuskäsityksen mukaista johdonmukaista varautumista
Tietoverkkojen toimintavarmuus on välttämätöntä modernin tietoyhteiskunnan toiminnalle Hallitus laatii kansallista tietoverkkoturvallisuutta koskevan kyberstrategian ja osallistuu aktiivisesti
alan kansainväliseen yhteistyöhön. Tavoitteena on, että Suomi on yksi johtavista maista kyberturvallisuuden kehittämisessä
Sisäinen turvallisuus Sisäisen turvallisuuden tavoitteena on, että Suomi on Euroopan turvallisin maa, jossa ihmiset ja
eri väestöryhmät kokevat yhteiskunnan yhdenvertaisena ja oikeudenmukaisena Tietoverkkorikollisuuden torjuntaan panostetaan osana järjestäytyneen rikollisuuden torjuntaa Turvataan keinot torjua identiteettivarkaudet kaikissa tapauksissa Huolehditaan kansalaisten oikeusturvan yhdenvertaisesta toteutumisesta digitaalisessa
ympäristössä
Turvallisuus- ja puolustusasiain komitean sihteeristö7
Valtion johtaminen Henkinen
kriisinkestävyys
Kansainvälinen
toimintaSu
omen
puol
ustu
skyk
y
Sisäinen turvallisuus
Talouden jainfrastruktuurintoimivuus
Väes
tön
toim
eent
ulo-
turv
a ja
toim
intak
yky
Väestön elinmahdollisuudet
Yhteiskunnan turvallisuus
Valtion itsenäisyys
Yhteiskunnan elintärkeät toiminnot
Turvallisuus- ja puolustusasiain komitean sihteeristö8
YTS UHKAMALLIT
Yksilö
Yhteiskunta
Globaali
Ensisijaisesti yksilöön kohdistuvat uhkat
YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN
Ensisijaisesti maapallon ja sen väestön tulevaisuuden turvallisuuteen
kohdistuvat uhkat
Voimahuollon vakavat häiriöt
Tietoliikenteen ja tietojärjestelmien vakavat häiriöt
Sotilaallisen voiman käyttö
Poliittinen, taloudellinen ja sotilaallinen painostus
Rajaturvallisuuden vakavat häiriötKuljetuslogistiikan vakavat häiriöt
Yhdyskuntatekniikan vakavat häiriöt
Terrorismi ja muu yhteiskuntajärjestystä vaarantava rikollisuus
Suuronnettomuudet, luonnon ääri-ilmiöt ja ympäristöuhkat
Elintarvikehuollon vakavat häiriöt
Rahoitus- ja maksujärjestel-män vakavat häiriöt
Väestön terveyden ja hyvinvoinnin vakavat häiriöt
Julkisen talouden rahoituksen saatavuuden häiriintyminen
Turvallisuus- ja puolustusasiain komitean sihteeristö9
Suomen vahvuudet
Monet seikat edesauttavat meitä korkealaatuisen kyberstrategian aikaansaamissa ja toimeenpanossa Suomessa on vallinnut jo viime sodista lähtien huoltovarmuus- ja varautumisajattelu,
jonka puitteissa yhteiskunta varautuu laajasti poikkeustilanteisiin
Valmiit poliittiset foorumit, kuten UTVA kokonaisuuden koordinointia varten
TPAK:aa voidaan luontevasti käyttää kyberturvallisuusstrategia työn ohjaamiseen ja myöhemmin mahdollisesti strategian toteuttamisen ohjaamiseen ja seurantaan
TIETO-harjoitukset ovat jo monen vuoden ajan keskittyneet tietoverkkoihin
Viranomaisyhteistyö on vakiintunut käytäntö
Suomi on kooltaan kompakti ja riittävän pieni asioiden tekemiseksi kattavasti kansallisella tasolla kohtuullisessa ajassa
Suomi on korkean teknologian maa ja teknologiamyönteinen. Suomesta löytyy osaamista kyberturvallisuuden teknisiin ratkaisuihin kotimaan tarpeisiin ja myös vientiin
Ministeriöissä, virastoissa ja yrityksissä jo toistakymmentä vuotta tehty pitkäjänteinen tietoturvatyö ja työtä tekemällä kumuloitunut osaaminen luovat hyvän pohjan laadukkaan kyberturvallisuusstrategian tekemiselle ja sen jämäkälle toteuttamiselle
Turvallisuus- ja puolustusasiain komitean sihteeristö10
LakiLaki Puolustusvoimista 1.1.2008 rinnastaa aseellisen hyökkäyksen ja sitä vastaavan ulkoisen uhkan§ Puolustusvoimat turvaa Suomen aluetta, kansan elinmahdollisuuksia ja valtionjohdon toimintavapautta sekä
puolustaa laillista yhteiskuntajärjestystä tarvittaessa sotilaallisin voimakeinoin aseellisen hyökkäyksen tai sitä vastaavan ulkoisen uhkan kohdistuessa Suomeen.
Puolustusvoimalain hallituksen esitys HE 264/2006 sisällyttää tietosodankäynnin voimakeinoihin§ Voimakeinojen käyttäminen käsittää myös nykyaikaiset sotilaallisen vaikuttamisen keinot kuten elektronisen
tai tietosodankäynnin.
Uudistettu valmiuslaki mahdollistaa laajan passiivisen kybertoimintaympäristön puolustamisen§ 1.3.2012 voimaan tullut laki mahdollistaa passiivisen kybertoimintaympäristön puolustamisen laajasti
antaen lakia sovellettaessa viranomaisille laajat valtuudet muun muassa avata tai katkaista omia viestiyhteyksiämme, määräämällä omien viestiyhteyksiemme salaamisen tai salaamatta jättämisen ja kotiuttamalla Suomeen järjestelmien valvontaa.
Rikoslain 34 luvun mukaan vaaran aiheuttaminen tietojenkäsittelylle on rangaistavaa§ Joka aiheuttaakseen haittaa tai vahinkoa tietojenkäsittelylle taikka tieto- tai viestintäjärjestelmän
toiminnalle tai turvallisuudelle tuo maahan, valmistaa, myy tai muuten levittää taikka asettaa saataville sellaisen laitteen tai tietokoneohjelman taikka ohjelmakäskyjen sarjan, joka on suunniteltu tai muunnettu vaarantamaan tai vahingoittamaan tietojenkäsittelyä tai tieto- tai viestintäjärjestelmän toimintaa taikka murtamaan tai purkamaan sähköisen viestinnän teknisen suojauksen tai tietojärjestelmän suojauksen taikka tietojärjestelmän toiselle kuuluvan salasanan, pääsykoodin tai muun vastaavan tiedon taikka levittää tai asettaa saataville tietokoneohjelman tai ohjelmakäskyjen sarjan valmistusohjeen, tai joka pitää hallussaan tällaista laitetta, tietokoneohjelmaa tai ohjelmakäskyjen sarjaa taikka salasanaa, pääsykoodia tai muuta vastaavaa tietoa, on tuomittava…
Turvallisuus- ja puolustusasiain komitean sihteeristö11
Haitanteko, rikollisuus, tiedustelu ja operaatiot tietoverkossa lisääntyvät merkittävästi Viimeisen 12 kuukauden aikana onnistuneen kyberhyökkäyksen kohteeksi ovat joutuneet mm:
Onnistuneita hyökkäyksiä on enemmän, mutta ne pidetään pois julkisuudesta mikäli mahdollista Hyökkääjä-puolustaja asetelmassa hyökkääjä on nyt voitolla, normaalia paremmatkaan suojaukset
eivät anna riittävää suojaa taitavimpia toimijoita vastaan Erityisenä vaarana ovat hyökkäykset, joita ei huomata koskaan tai jotka huomataan
liian myöhään Stuxnet on aloittanut uuden kyberaikakauden
Kybertilanne maailmassa vuonna 2012
Turvallisuus- ja puolustusasiain komitean sihteeristö12
Stuxnet aloitti uuden aikakauden
Täsmäohjattu kyberase, jolla onnistuttiin hidastamaan Iranin uraanin- rikastamisohjelmaa jopa kahdella vuodella
Haittaohjelma vietiin perille USB-tikulla suljettuun järjestelmäympäristöön, ei siis tietoverkon välityksellä
Vaikutus toteutettiin teollisuusautomaation ohjelmoitavan SCADA (Siemens Supervisory Control And Data Acquisition) piirikortin välityksellä muuttamalla piirikortilla olevaa ohjelmaa siten että se ohjaa sentrifugin pyörimisnopeutta väärin ja väärentää myös palautetiedon prosessinvalvojalle
Haluttu vaikutus saatiin aikaiseksi 1/100 osalla siitä hinnasta mitä sotilaallinen isku olisi maksanut, ja ilman ihmisuhreja
Vastaavanlaisia PLC (Programmable Logic Controller) piirikortteja on miljoonia erimerkkisiä mitä moninaisimmissa laitteissa joka maassa, myös asejärjestelmissä, ja näiden piirikorttien sisäinen tietosuoja on huono
Stuxnet aloitti uuden kyberaikakauden, jossa siirrytään hakkerismista kohti hyvin organisoituja ja erittäin korkeatasoista teollisuusautomaatio-osaamista vaativia operaatioita, joissa osapuolina ovat valtiot tai suuret organisaatiot
Turvallisuus- ja puolustusasiain komitean sihteeristö13
Riski ja uhka
Aikomus x Kyky = Uhka
Todennäköisyys x Vaikutus = Riski
Turvallisuus- ja puolustusasiain komitean sihteeristö14
Kyberuhkan tasot
Volyymi
Tote
utun
een
uhka
n va
ikut
us
Turvallisuus- ja puolustusasiain komitean sihteeristö15
MOTIIVI
Kansallinen tai ideologinen etu
Vakooja, vahingontekijä, terroristi tai valtio
Taloudellinen hyöty Rikollinen tai rikollisjärjestö
Huomion tarve Murtautuja
Uteliaisuus Ilkivallan tekijä
Aloittelija Amatööri Ammattilainen Huippu-osaaja
OSAAMISEN TASO
Kuka ja miksi?
Turvallisuus- ja puolustusasiain komitean sihteeristö16
Kyberturvallisuuden toimijoita
VM / JulkICT Valtion tietoturvallisuus, tietohallintolaki, VAHTICERT Elinkeinoelämän tietoverkkoturvallisuusLVM Kansalaisten tietoverkkoturvallisuus, tietoverkotNSA, NCSA ja DSA:t Kansalliset ja määrätyt vastuuviranomaisetOM ja VM Tietoturva-asetusPLM / TPAK YTS ja kokonaisturvallisuusPoliisi Kyberrikosten selvittäminen ja tiedusteluPuolustusvoimat Kyberpuolustus, vaikuttaminen ja tiedusteluVNK / TIKE Tilannekuva valtiojohdolleAlan yritykset Suojaamisen ratkaisut ja apu kriisitilanteissaPalvelujen tilaajat Vaatimusmäärittelyt koskien turvallisuuttaPalvelujen tuottajat Palvelutuotanto ja ongelmien hoitaminenPalvelujen käyttäjät Netiketti ja kyberhygieniaTietosuojavaltuutettu Tietosuoja-asioiden toimivaltainen viranomainen
Turvallisuus- ja puolustusasiain komitean sihteeristö17
Kyberturvallisuuden prosessi
Uhkat,riskit jahaavoittuvuudet
Tutkimus,koulutus janeuvonta
Suojaaminen,auditointi jaharjoittelu
Palautuminen
ja tiedottaminen
Havaitseminen, tiedon jakaminen,
tilannekuva ja analyysi
Rajoittaminen,torjunta, vastatoimenpiteetja tiedottaminen Ohjaus Varautuminen
Tilannetietoisuus
Palautuminen
Torjunta
Turvallisuus- ja puolustusasiain komitean sihteeristö18
Yhdentoista maan kyberturvallisuusstrategiat
Yhtäläisyyksiä= Poikkihallinnollisuus= Kansainvälisyys= Lainsäädännön tarkastelu= Neuvoa antava elin= Kyberturvallisuuskeskus= Tutkimus- ja kehittämistyö= Koulutus ja tietämys
Eroja≠ Terminologia≠ Laajuus≠ Kriittisen infrastruktuurin
ja teollisuusautomaation osuus
≠ Suhtautuminen ja vastaaminenkyberhyökkäyksiin
≠ Offensiivinen kyvykkyys
Turvallisuus- ja puolustusasiain komitean sihteeristö19
Strategiatyön painopistealueet
LainsäädäntöKansallisesti
Kansainvälisesti
Kyberturvallisuuden toimeenpanoOhjaus, rakenteet, vastuut ja tuotokset
Suorituskyvyt = tiedustelu, suojaaminen, puolustus ja vaikuttaminen
Hankkeiden ja strategioiden koordinointi
Käsitteet ja määrittelyt
OsaaminenKoulutus
Kehittäminen Tutkimus
Kokonaistilannekuva Uhkat, riskit ja haavoittuvuudet
Yhteiskunnan elintärkeät toiminnot
Kansainvälinen yhteistyö
Mahdol-lisuuk-
sien hyödyn-täminenKansalais-yhteiskunta
Uudet liike-toiminnot
Turvallisuus- ja puolustusasiain komitean sihteeristö20
Kyberturvallisuustyön päävaiheet
Aika Työvaihe Tulos
3/11 - 4/11 Valmistelu UTVA:n päätös jatyöryhmän asetus
5/11 - 1/12 Strategian esiselvitys Nykytilan kartoitus ja kehittämistarpeet
2/12 - 12/12 Strategian laatiminen Strategia ja toteutussuunnitelma
2013 - 2015 Strategian toteutus Kyvykkyyspuutteet on paikattu
2016 Jatkuva parantaminen Jatkuvan parantamisen prosession käytössä
Turvallisuus- ja puolustusasiain komitean sihteeristö21
Kyberturvallisuusstrategian työryhmäHallinnonala Nimi Kommentti
Työryhmän johtaja Yliasiamies Mikko Kosonen SITRAValtioneuvoston kanslia Osastopäällikkö Auni-Marja VilavaaraUlkoasiainministeriö Lähetystöneuvos Leena RitolaSisäasianministeriö Poliisijohtaja Pentti SairaPuolustusministeriö Prikaatinkenraali Eero Pyötsiä 1.1.2012 alkaenValtiovarainministeriö Julkisen hallinnon ICT-johtaja Timo Valli 1.1.2012 alkaenLiikenne- ja Viestintäministeriö Lainsäädäntöneuvos Laura Vilkkonen 1.11.2011 alkaenTyö- ja Elinkeinoministeriö Kehittämispäällikkö Petteri Ohvo 1.3.2012 alkaenPuolustusvoimat Prikaatinkenraali Harri Ohra-AhoPoliisi Poliisijohtaja Robin Lardot PoliisihallitusSupo Apulaispäällikkö Petri Knape DSAViestintävirasto Johtaja Erka Koivunen CERT-FIHuoltovarmuuskeskus Varautumispäällikkö Sauli SavisaloElinkeinoelämä 1 Toimitusjohtaja Reijo Svento FiComElinkeinoelämä 2 Vice President Mika Ståhlberg F-SecureElinkeinoelämä 3 Asiantuntija Mika Linna Finanssialan keskusliitto, 1.12.2011 alkaenTPAK sihteeristö Pääsihteeri Aapo Cederberg
Virka Nimi ToimialaSihteeristön pääsihteeri Yrjö Benson TPAK sihteeristöNeuvotteleva virkamies Timo Kievari LVMNeuvotteleva virkamies Tiina Ferm SMAsiantuntija Kari Wirman FiCom, 1.1.2012 alkaenKansallinen MNE-koordinaattori Harri Suni TPAK sihteeristö
Sihteeristö
Turvallisuus- ja puolustusasiain komitean sihteeristö22
Kiitos!
http://www.defmin.fi/index.phtml?4508_m=4492&s=547
http://www.yhteiskunnanturvallisuus.fi/fi/component/content/article/44-esimerkkejae-ja-ajankohtaista/90-kansallinen-kyberturvallisuusstrategiatyoe-on-aloitettu
http://kyberturvallisuus.blogspot.com/