Kriittisten tietojärjestelmien suojaaminen kyberuhilta
Pullinen, Mika-Jan (2012)
Pullinen, Mika-Jan
Laurea-ammattikorkeakoulu
2012
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2012060611923
https://urn.fi/URN:NBN:fi:amk-2012060611923
Tiivistelmä
Nykyaikana yhteiskunnan kriittisen infrastruktuurin toiminta on entistä enemmän riippuvainen tietojärjestelmistä. Opinnäytetyössä esitellään viime vuosina maailmalla tapahtuneita kyberhyökkäyksiä, joilla on ollut vaikutuksia kriittisten järjestelmien toimintaan. Kuvaamalla aiheeseen liittyvä keskeinen lainsäädäntö ja kansalliset toimijat, saadaan käsitys Suomen kyvykkyydestä puolustaa omia kriittisiä järjestelmiä. Lisäksi käydään läpi niiden maiden kyvykkyyksiä, jotka panostavat vahvasti kyberavaruuteen uutena sodankäynnin kenttänä. Hyökkäykseen ja puolustukseen käytettävistä menetelmistä käsitellään suosituimmat, sekä ne tunnetut hyökkäysmenetelmät, jotka erityisesti voisivat aiheuttaa vahinkoa kriittiselle infrastruktuurille.
Opinnäytetyön laatimisen yhteydessä kertyneiden havaintojen perusteella esitellään suosituksia kriittisten järjestelemien suojaamiseksi. Suosituksissa esitetään muun muassa, että järjestelmien omistajien vastuulla on tunnistaa kriittiset järjestelmät ja käynnistää niihin liittyvä tietoturva-auditointiprosessi. Kriittisille järjestelmille ehdotetaan lisäksi luotavan oma auditointikriteeristö, joka ei perustu pelkästään järjestelmässä olevan tiedon suojaustasoon, vaan myös järjestelmän toiminnan lamautumisen yhteiskunnallisiin vaikutuksiin.
Opinnäytetyössä on käytetty tutkimusotteena suunnittelututkimusta, jonka tavoitteena on luoda jotain uutta. Kriittisten järjestelmien suojaamisen apuvälineeksi on esitetty kolmiosaista mallia, joka on mahdollista jatkokehittää sovellukseksi. Suojausmallin luomisessa on hyödynnetty Hevnerin ryhmän seitsemää ohjetta. Ohjeet soveltuvat erityisesti tietojärjestelmätutkimukseen, jossa tavoitteena on kehittää jotain uutta. Mallissa esitetään suoritettavan uhka-analyysiä valtiollisten ja ei-valtiollisten toimijoiden muodostamien uhkien seuraamiseksi. Uhkien analysoinnin lisäksi kuvataan esimerkki kriittisten järjestelmien korkean
tason tilannekuvan seuraamiseksi.
Suojausmallin avulla voidaan parhaimmillaan parantaa olennaisesti yhteiskunnan kannalta kriittisten tietojärjestelmien tietoturvaa. Opinnäytetyössä esiteltävät kyberhyökkäykset tuovat esille tietotekniikan jatkavasti kasvavan merkityksen sodankäynnissä. Yhteiskunnan kriittisiä järjestelmiä ei kuitenkaan suojata pelkästään valtiollisilta toimijoilta, vaan myös ei-valtiollisilta toimijoilta. Kyberterroristit, krakkerit ja haktivistit voivat hyökätä kriittisiä järjestelmiä vastaan. Opinnäytetyö tarjoaa tiivistetyn tietopaketin kyberturvallisuuteen liittyvistä asioista, tietoa voidaan hyödyntää esimerkiksi kyberturvallisuusstrategian rakentamisen yhteydessä. Protection of Critical Information Systems against Cyber Attacks
Critical infrastucture is nowadays more and more dependent on information systems. This thesis introduces cyber attacks which have had impact on critical information systems around the world. By describing Finnish legislation and key actors on the field of information security, one can make conclusions about Finnish national capabilities to defend our critical Information systems. Cyberwarfare capabilites of some nations which are strongly investing in the cyber domain, are also shortly described. Most common attack and defence methods are introduced along with those methods that can especially pose a threat to critical information systems.
Recommendations to improve protection of critical systems are created based on the work done during composition of the thesis. The recommendations include the necessity to define which systems are critical. Furthermore, creating information security auditing criteria focusing on critical systems is suggested. The criteria should not only be based on the security classification of the data processed on the system. The effects that system malfunction or interruption of services would cause should be also considered. Design Science is used as a research approach in the thesis.
Design science is used for creating something new. The thesis introduces a model that can be used as an extra tool to protect critical systems. A new artefact is created based on Hevners seven guidelines. The model can be developed further to an application. Model includes a threat analysis of state and nonstate actors. The model also includes an operational picture of the statuses of critical information systems.
Information Security of national Critical Information Systems can be significantly improved with this new defence model. The thesis hilights the growing meaning of information warfare alongside traditional warfare.
Opinnäytetyön laatimisen yhteydessä kertyneiden havaintojen perusteella esitellään suosituksia kriittisten järjestelemien suojaamiseksi. Suosituksissa esitetään muun muassa, että järjestelmien omistajien vastuulla on tunnistaa kriittiset järjestelmät ja käynnistää niihin liittyvä tietoturva-auditointiprosessi. Kriittisille järjestelmille ehdotetaan lisäksi luotavan oma auditointikriteeristö, joka ei perustu pelkästään järjestelmässä olevan tiedon suojaustasoon, vaan myös järjestelmän toiminnan lamautumisen yhteiskunnallisiin vaikutuksiin.
Opinnäytetyössä on käytetty tutkimusotteena suunnittelututkimusta, jonka tavoitteena on luoda jotain uutta. Kriittisten järjestelmien suojaamisen apuvälineeksi on esitetty kolmiosaista mallia, joka on mahdollista jatkokehittää sovellukseksi. Suojausmallin luomisessa on hyödynnetty Hevnerin ryhmän seitsemää ohjetta. Ohjeet soveltuvat erityisesti tietojärjestelmätutkimukseen, jossa tavoitteena on kehittää jotain uutta. Mallissa esitetään suoritettavan uhka-analyysiä valtiollisten ja ei-valtiollisten toimijoiden muodostamien uhkien seuraamiseksi. Uhkien analysoinnin lisäksi kuvataan esimerkki kriittisten järjestelmien korkean
tason tilannekuvan seuraamiseksi.
Suojausmallin avulla voidaan parhaimmillaan parantaa olennaisesti yhteiskunnan kannalta kriittisten tietojärjestelmien tietoturvaa. Opinnäytetyössä esiteltävät kyberhyökkäykset tuovat esille tietotekniikan jatkavasti kasvavan merkityksen sodankäynnissä. Yhteiskunnan kriittisiä järjestelmiä ei kuitenkaan suojata pelkästään valtiollisilta toimijoilta, vaan myös ei-valtiollisilta toimijoilta. Kyberterroristit, krakkerit ja haktivistit voivat hyökätä kriittisiä järjestelmiä vastaan. Opinnäytetyö tarjoaa tiivistetyn tietopaketin kyberturvallisuuteen liittyvistä asioista, tietoa voidaan hyödyntää esimerkiksi kyberturvallisuusstrategian rakentamisen yhteydessä.
Critical infrastucture is nowadays more and more dependent on information systems. This thesis introduces cyber attacks which have had impact on critical information systems around the world. By describing Finnish legislation and key actors on the field of information security, one can make conclusions about Finnish national capabilities to defend our critical Information systems. Cyberwarfare capabilites of some nations which are strongly investing in the cyber domain, are also shortly described. Most common attack and defence methods are introduced along with those methods that can especially pose a threat to critical information systems.
Recommendations to improve protection of critical systems are created based on the work done during composition of the thesis. The recommendations include the necessity to define which systems are critical. Furthermore, creating information security auditing criteria focusing on critical systems is suggested. The criteria should not only be based on the security classification of the data processed on the system. The effects that system malfunction or interruption of services would cause should be also considered. Design Science is used as a research approach in the thesis.
Design science is used for creating something new. The thesis introduces a model that can be used as an extra tool to protect critical systems. A new artefact is created based on Hevners seven guidelines. The model can be developed further to an application. Model includes a threat analysis of state and nonstate actors. The model also includes an operational picture of the statuses of critical information systems.
Information Security of national Critical Information Systems can be significantly improved with this new defence model. The thesis hilights the growing meaning of information warfare alongside traditional warfare.