Materiaaleja kriittisen infran turvaamiseen
Tälle sivulle on koottu yhteen eri hankkeissa toteutettuja julkisia työkaluja, dokumentteja sekä tarkastuslistoja, joita voi hyödyntää niin energia-alalla kuin muillakin kriittisen infran sektoreilla tietoturvan sekä -suojan parantamiseksi.
Hankkeet
Energia‐alan kyberturvallisuutta kehittävä KYBER‐ENE‐hanke toteutettiin useiden alan keskeisten yritysten (Ulkoinen linkki), Liikenne‐ ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen, Huoltovarmuuskeskuksen (Ulkoinen linkki)ja VTT:n (Ulkoinen linkki)yhteistyönä. Tavoitteena oli tuottaa konkreettisia ja liiketoimintalähtöisiä ratkaisuja energia‐alan yritysten tarpeisiin. KYBER‐ENE oli osa Huoltovarmuuskeskuksen kyberturvallisuuden kehittämiseen tähtäävää Kyber2020‐ohjelmaa, ja osa vuosia jatkunutta elinkeinoelämän, hallinnon ja tutkimuksen yhteistyötä kriittisen infrastruktuurin kyberturvallisuuden parissa. Keskeistä KYBER‐ENE‐hankkeen onnistumiselle oli energia‐alan yritysten sitoutuminen. Hankkeen aktiivinen ohjaus ja erityisesti yritysten vertaistuki auttoi luomaan käytännöllisiä yrityksiä hyödyttäviä tuloksia.
Muissakin Huoltovarmuuskeskuksen, Tekesin ja/tai Business Finlandin rahoittamissa hankkeissa (kuten KYBER-VESI (Ulkoinen linkki), KYBER-TEO (Ulkoinen linkki), COREQ-VE, COREQ-ACT ja TITAN) on parannettu automaatiojärjestelmiä käyttävien huoltovarmuuskriittisten yritysten tietoturvaa. Esimerkiksi Huoltovarmuuskeskuksen rahoittamassa COREQ-VE-hankkeessa kehitettiin tietoturva- ja tietosuojavaatimusten lista käytettäväksi automaatiojärjestelmien hankinnoissa. Kyseisen listan käyttö vaatii hieman perehtymistä hankintaa tekevältä organisaatiolta eikä listaa ole tarkoitettu liitettäväksi sellaisenaan jokaiseen tarjouspyyntöön.
Kyberturvallisuuskeskuksen kehittämässä Kybermittari-hankkeessa kehitettiin työkalu auttamaan yritysjohtoa ja organisaatioita saamaan kyberriskit kattavammin hallintaan ja turvaamaan toimintansa jatkuvuuden. Kybermittarin työkalut sekä ohjeet löytyvät Kyberturvallisuuskeskuksen sivuilta https://www.kybermittari.fi (Ulkoinen linkki).
Suomen automaatioseuran "Automaation tietoturva - Verkottumisen riskit ja niiden hallinta (Ulkoinen linkki)" -julkaisu sisältää ohjeita kaikille automaatiojärjestelmiä käyttäville sektoreille. Kirja on saanut jatko-osan vuonna 2021. Tältä verkkosivulta löydät kirjaa täydentävää lisämateriaalia (Ulkoinen linkki), esimerkiksi päivittyviä, uusien teknologioiden arvioinnin ja soveltamisen kuvauksia. Liitteet ovat vapaasti ladattavissa.
Muita tällä sivulla jaettuja materiaaleja voi hyödyntää esimerkiksi organisaatioiden tietoturvan -ja suojan parantamisessa, hankintojen suunnittelussa sekä yhteistyökumppaneiden arvioinnissa ja valinnassa.
Hyviä käytäntöjä, muttei virallisia ohjeita
Tällä sivulla jaetut ohjeet sekä tietoturva- ja tietosuojavaatimusten listat ovat luonteeltaan kriittistä infrastruktuuria turvaavien kyberturvallisuuden ja tietosuojan asiantuntijoiden käsityksiä hyvistä käytännöistä, mutta ne eivät ole virallisia ohjeita tai suosituksia. Esimerkiksi KYBER-ENE-hankkeissa tehtiin huomattava työ sen eteen, että ohjeissa olisi esimerkkejä siitä, miten erityisesti energia-alan tietojärjestelmien ja laitteiden virallisesti vaadittuja tietoturva- ja tietosuojatavoitteita voitaisiin toteuttaa.
Versiot ja laitokset
Kyberturvallisuuskeskus pitää tällä verkkosivulla listaa julkisesti saatavilla olevista dokumenteista.
Mikäli toimit kriittisellä infrastruktuurissa energiasektorilla ja haluat tutustua Kyber-ENE:n dokumentteihin, jotka eivät ole saatavilla julkisesti, voit kysyä niitä Kyberturvallisuuskeskuksesta tai Huoltovarmuuskeskuksesta. Vastaavasti esimerkiksi KYBER-VESI-hankkeessa (Ulkoinen linkki) toteutetut oppaat ja työkalut (Ulkoinen linkki) ovat saatavilla Vesihuoltolaitosyhdistyksen varsinaisille jäsenille VVY:n extranetissä (Ulkoinen linkki)ja Huoltovarmuuskeskuksen kautta.
Mm. KYBER-ENE2-projektissa tuotetut IoT-hankintaohjeet sekä COREQ-VE:n dokumentit ovat erityisen hyödyllisiä vaatimusten läpikäyntiin ja valitsemiseen hankintojen asiantuntijoiden kanssa. Käyttöehtojen vain salliessa, eri ohjeita voi myös jatkojalostaa omaan organisaatioonne tai omalle sektorille sopivammiksi. Esimerkiksi Huoltovarmuuskeskuksen COREQ-VE teollisuusautomaation tietoturvahankkeen tuloksia hyödynnettiin sosiaali- ja terveydenhuoltosektorilla Kyber-Terveys-hankkeessa .
Hankittavan tuotteen myyjälle voi olla järkevää lähettää englanninkielisestä versiosta poimitut vaatimukset, sillä useita tuotteita myyvät kansainväliset yritykset, joille suomenkielisten tarjouspyyntöjen käsittely on vaikeaa ja virhealtista. Tältä sivulta löytyy KYBER-ENE2-projektissa toteutetut suomen- ja englanninkieliset tarkastuslistat IoT-hankintoihin.
Käytä vapaasti - parilla ehdolla
Epävarmoissa tilanteissa varmista dokumenttien lisenssit ja käyttöehdot suoraan niiden julkaisijoilta!
Kyber-ENE-hankkeen julkiset dokumentit on tarkoitettu vapaasti jaettavaksi ja muokattavaksi. Niitä voivat hyödyntää myös kaupalliset toimijat tai viranomaiset. Seuraavat ehdot pätevät:
- Nimeä - Sinun on mainittava lähde asianmukaisesti.
- Käyttöoikeus: Creative Commons - Nimeä 4.0/ CC BY 4.0. (Ulkoinen linkki)
Kybermittari on tarkoitettu vapaasti yritysten, järjestöjen ja julkisten toimijoiden käyttöön. Lisäksi sitä voivat hyödyntää kaupalliset toimijat tai viranomaiset. Seuraavat ehdot pätevät:
- Nimeä - Sinun on mainittava lähde asianmukaisesti.
- Kybermittarin käyttöehdot. (Ulkoinen linkki)
Suomen Automaatioseuran "Teollisuusautomaation tietoturva - verkottumisen riskit ja niiden hallinta" -julkaisun (Ulkoinen linkki) verkkoversio vuodelta 2010 sisältää seuraavan ehdon:
- © Suomen Automaatioseura ry. Julkaisun verkkopainoksen käyttö ja kopiointi sallittu.
Kommentit, ehdotukset ja pyynnöt dokumentteihin liittyen
Ota yhteyttä: kyberturvallisuuskeskus@traficom.fi
TLP:CLEAR -jakelurajoitteiset ohjeet, vaatimuslistat ja muut materiaalit
Alla olevat dokumentit ovat TLP:CLEAR -jakelurajoitteella (rajoittamaton). Jakelurajoitteista ja liikennevaloluokittelusta löytyy lisätietoja sivuiltamme .