Twitter: @CyberFinland · • Vuonna 2013 tietokannassa oli noin miljoona laitetta Suomesta •...

Twitter: @CyberFinland www.cyberfinland.fi

- muotisana vai digitaalisen reaalimaailman ilmiö ?


”Digitalisaatio” hyötykäyttöön


Kyberturvallisuus on Digitalisaation

perusta

Mitä kyberturvallisuus itseasiassa on ?

Eräs tieteellinen määritelmä –von Solms & van Niekerk


Lähde: From information security to cyber security”, 26.11.2012, Rossouw von Solms, Johan van Niekerk

Mitä kyberturvallisuus itseasiassa on ? (jatk.)



Kyberturvallisuus suojaa yrityksen tai toimijan

Omaa assettia

Hallinnassa tai saatavilla olevaa assettia



Kyberturvallisuus toteutuu

Tietojärjestelmissä

Prosesseissa ja menetelmissä

Viestinnässä ja kommunikaatiossa

Vaihe 1

Menetelmä a

Menetelmä b

Vaihe 2

Menetelmä cVaihe 3

Menetelmä d

Menetelmä e

Menetelmä f


Kyberturvallisuus ja operatiivinen / liiketoimintaRiskien hallinta ja operatiivinen jatkuvuus

Kyberturvallisuus on riskien hallinnan prosessi

… ja vaatii jatkuvaa johtamista ja mittaamista

TUNNISTATURVATTAVAT

ASSETIT

TUNNISTA ASETTEIHIN

KOHDISTUVAT UHAT

VALITSE TÄRKEIMMÄT UHAT JOITA VASTAAN

TULEE SUOJAUTUA

TUNNISTA JA TOTEUTA UHKIA VASTAAN

TARVITTAVAT VASTATOIMET

REAGOI TOTEUTUNEISIIN

UHKIIN

RISKIENHALLINTA

KYBERTURVALLISUUDEN JOHTAMINEN



Riskienhallinnassa auttaa…

Kyberturvallisuus ja operatiivinen / liiketoiminta (jatk.)Kyberturvallisuus mahdollisuutena

LuotettavuusLaatu

Hallinnoitavuus

Ennustettavuus

Lisäarvo(Differointi)


… osana digitalisaatiota –Digitalisaatio osana kyberturvallisuutta


Twitter: @CyberFinland

Case study – SHODAN-hakukone

• Kehittänyt John Matherly (2009 alk.)

• Skannaa internettiin kytkettyjä laitteita ja selvittää mitä ne on

• Serverit, reitittimet, webbikamerat, IP-puhelimet, älytelevisiot, jääkaapit

• Voimalaitokset, tuulivoimalat, tehtaiden ohjausjärjestelmät

• Vuonna 2013 tietokannassa oli noin miljoona laitetta Suomesta

• Hakee tietoa IP-osoitteista NMAP-skriptien avulla (portti + protokolla)

• Aalto-yliopiston (2013) tutkimuksen mukaan Suomessa n. 3000 avointa automaatiolaitetta internetissä, arvio todellisuudesta: n. 10 000


Case Study: Targetin tietomurto 2013


HVAC-yritys

1. HVAC-yrityksellälaskutusyhteys

Targetintoimipisteeseen

2. HVAC-yritykselläyhteys Targetintietoverkkoon

HVAC esimerkki Shodanissa

• Haku Shodan-kantaan avainsanoilla “HVAC” ja alueena “US” antaa mm. seuraavan tuloksen


• Valitsemalla ko. osoitteen saa lisätietoa ko. portista ja käytetystä protokollasta



Rajapinnat kertovat erityisesti ohjelmistojen ja ajureidenversiotietoja, joita voidaan käyttää hyödyksi haavoittuvuuksienlöytämiseksi- esim. OpenSSH:n vanhat versiot vs. tammikuussa 2016 kyberturvallisuuskeskuksen ilmoittamat haavoittuvuudet(https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2016/haavoittuvuus-2016-011.html )

https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2016/haavoittuvuus-2016-011.html

• Google haku avainsanoilla ‘Trane hvac tracer sc’ antaa mielenkiintoisen listan“suositelluista hauista”



• Valitsemalla hakusanat ‘sc manual’ antavat tuloksena pdf-tiedoston, joka on Tracer-järjestelmän ohjekirja.



• Manuaalista löytyy mielenkiintoista tietoa “will not launch Tracer SC if the Web browser security level is set too high”!

• “The Tracer SC Interface requires the Adobe Flash Player, Java Runtime Environment and browser with JavaScript enabled”.


MIKSI EI ?!

… kaikki turvallisia ratkaisuja,eikö ?!




Tietoa on todella helppo saadalaillisin keinoin verkosta

MIKSI TÄMÄ SAIRAALAN ILMASTOINTILAITE NÄKYY JULKISEEN INTERNETIIN ?

ONKO LAITE KYTKETTY OMAAN KIINTEISTÖAUTOMAATIOVERKKOON, VAI ONKO LAITE SAIRAALAN OPERATIIVISESSA VERKOSSA ?

SHODAN: älä tee näin …VAAN TEE NÄIN

• Esim. Estetään kaikki ylimääräinen liikenne palvelimelle palomuurisäännöillä


Kyberturvallisuus ja regulaatio


Suomen kyberturvallisuusstrategia

EU:n kyberturvallisuusstrategia

Network & Information Security (NIS) -direktiivi

TietoyhteiskuntakaariHenkilötietolaki / Tietosuoja-asetus

Kyberturvallisuus on arjen pieniä tekoja

• Tietoturvan perusasiat kuntoon: työntekijäkohtaiset tunnukset, vahvat salasanat, koneen lukitseminen, softapäivitykset!

• Varmuuskopiot: ”Mitä käy, jos läppäri katoaa tai kovalevy hajoaa?”

• Tietoturvapolitiikka & työntekijöiden kouluttaminen

• Kriittisten järjestelmien/yhteyksien varmentaminen tai varajärjestelmät/prosessit: ”Mitä käy, jos netti on alhaalla tai palvelu ei muuten vain toimi?”

• "What is your password?” https://www.youtube.com/watch?v=opRMrEfAIiI


https://www.youtube.com/watch?v=opRMrEfAIiI

… ja digitalisaatio –Mitä tulikaan sanottua ?


Digitalisaatio tulee, olemmeko turvassa ?

Kyberturvallisuus on arjen turvallisuutta, koskee jokaista ihmistä joka toimii ja vaikuttaa tietoverkossa

Kyberturvallisuus, hyvin tehtynä, lisää oman toiminnan luotettavuutta ja ennustettavuutta, ja parantaa asiakkaan saamaa laatua, palvelutasoa, turvallisuuskokemusta

Kyberturvallisuus on myös taloudellinen tekijä silloin, kun otat sen huomioon omassa toiminnassasi ja varsinkin kun pystyt osoittamaan että toimit kyberturvallisesti


“ON VÄLTTÄMÄTÖNTÄ OTTAA HUOMIOON”

“PARANTAA RATKAISUJA JA PALVELUJA”

“EI TARVI OLLA VÄLTTÄMÄTÖN ‘PAHA’, VAAN VOI OLLA MYÖS MAHDOLLISUUS”

Kysymyksiä ?

Kiitos !


Twitter: @CyberFinland · • Vuonna 2013 tietokannassa oli noin miljoona laitetta Suomesta •...

Documents

Transcript of Twitter: @CyberFinland · • Vuonna 2013 tietokannassa oli noin miljoona laitetta Suomesta •...