Kaukokäyttöjärjestelmän tietoturvallinen operointi ja ylläpito
Mäki, Jere (2016)
Kuvaus
Opinnäytetyö kokotekstinä PDF-muodossa.
Tiivistelmä
Tietoturva on noussut viime vuosien aikana esille mediassa. Stuxnet-haittaohjelma hyökkäsi muutama vuosi sitten automaatiojärjestelmään tehden suurta tuhoa. Vuoden vaihteessa julkaistiin uutinen, jonka mukaan hakkerit olivat päässeet murtautumaan USA:n energiaverkkoon. Samoihin aikoihin Ukrainassa hakkerit olivat onnistuneet katkaisemaan sähkönjakelun. Tällaiset tapahtumat ovat johtaneet siihen, että kansalliset tahot, kuten Huoltovarmuuskeskus ja kansainväliset tahot, kuten ENISA ovat luoneet ohjeistuksia kriittisten järjestelmien turvaamiseksi. Sisäministeriön tuoreimpaan riskinarvioon kuuluu myös kybertoimintaympäristön riskit, jotka voivat äärimmilleen mennessä johtaa hyökkäyksiin myös yhteiskunnallisesti tärkeää sähkönjakelua vastaan. Tämä diplomityö pyrkii määrittämään sähköverkon kaukokäyttöjärjestelmän tietoturvallisia toimia, joilla pyritään pienentämään murtautumisriskiä.
Teorian alussa esiteltiin sähköverkko ja sen hallintaan käytettävä kaukokäyttöjärjestelmä. Sähköverkon luonne yhteiskunnallisesti kriittisenä infrastruktuurina johtaa siihen, että tietoturvaa tulee parantaa jatkuvasti. Työssä avattiin tietoturva käsitteenä ja esitettiin tietoturvan yleinen jako osa-alueisiin. Tietoturvan toteuttamiseen ja hallintaan liittyen käytiin läpi kaukokäyttöjärjestelmään soveltuvia kansallisia ja kansainvälisiä vaatimuksia, standardeja ja ohjeistuksia.
Kaukokäyttöjärjestelmän tietoturvan heikkoja kohtia etsittiin vertailemalla energia-alalle tehtyjä aiempia tutkimuksia sekä kohdennetun sähköpostikyselyn avulla. Havaittuihin ongelmiin pyrittiin muodostamaan kaukokäyttöjärjestelmän tietoturvallisen operoinnin ja ylläpidon kannalta olennaisia toimia vertailemalla Katakri-auditointi-kriteeristön ja ISO/IEC 27000 -standardiperheen asettamia vaatimuksia.
Työn tuloksena kaukokäyttöjärjestelmän tietoturvaa tulisi viedä eteenpäin tietoturvapolitiikan paremmalla tiedottamisella ja vastuiden selkeyttämisellä. Kaukokäyttöjärjestelmän operointia tulisi parantaa ohjeistamisella niin normaali- kuin poikkeustilanteissa. Järjestelmän ylläpitäjällä tulee olla riittävä osaaminen tietoturvalliseen ylläpitämiseen ja hallintaan.
Teorian alussa esiteltiin sähköverkko ja sen hallintaan käytettävä kaukokäyttöjärjestelmä. Sähköverkon luonne yhteiskunnallisesti kriittisenä infrastruktuurina johtaa siihen, että tietoturvaa tulee parantaa jatkuvasti. Työssä avattiin tietoturva käsitteenä ja esitettiin tietoturvan yleinen jako osa-alueisiin. Tietoturvan toteuttamiseen ja hallintaan liittyen käytiin läpi kaukokäyttöjärjestelmään soveltuvia kansallisia ja kansainvälisiä vaatimuksia, standardeja ja ohjeistuksia.
Kaukokäyttöjärjestelmän tietoturvan heikkoja kohtia etsittiin vertailemalla energia-alalle tehtyjä aiempia tutkimuksia sekä kohdennetun sähköpostikyselyn avulla. Havaittuihin ongelmiin pyrittiin muodostamaan kaukokäyttöjärjestelmän tietoturvallisen operoinnin ja ylläpidon kannalta olennaisia toimia vertailemalla Katakri-auditointi-kriteeristön ja ISO/IEC 27000 -standardiperheen asettamia vaatimuksia.
Työn tuloksena kaukokäyttöjärjestelmän tietoturvaa tulisi viedä eteenpäin tietoturvapolitiikan paremmalla tiedottamisella ja vastuiden selkeyttämisellä. Kaukokäyttöjärjestelmän operointia tulisi parantaa ohjeistamisella niin normaali- kuin poikkeustilanteissa. Järjestelmän ylläpitäjällä tulee olla riittävä osaaminen tietoturvalliseen ylläpitämiseen ja hallintaan.