Ads 468x60px

torstai 31. lokakuuta 2013

Kyberhyökkäys ulkoministeriöön korostaa jälleen kerran havainnointikyvyn merkitystä

31.10.2013 uutisissa oli laajasti esillä ulkoministeriöön kohdistunut ja pitkään jatkunut vakava ja laaja tietomurto. Murto havaittiin keväällä, mutta sen uskotaan jatkuneen pitkään ennen havaitsemista.

Valtionhallinnossa on panostettu paljon tietoturvallisuuden kehittämiseen muunmuassa tietoturvatasojen auditointien ja toteuttamisen kautta. Tämä ei kuitenkaan riitä. Tietoturvatasojen perus-, eikä korotetullakaan tasolla riittävässä määrin aseteta vaatimuksia havainnointi- ja reagointikyvyn kehittämiselle.

Tämä tietomurto nostaa jälleen kerran esille sen, mitä olemme eri yhteyksissä kyllästymiseen saakka korostaneet. Havainnointikyky on tällä hetkellä riittämätön, järjestelmistä ei saada aukottomasti tietoturvallisia ja havannointikyvyn riittämättömyys johtaa myös reagointikyvyn riittämättömyyteen.

Itse puhuin tästä aiheesta viimeksi kuukausi sitten Valtionhallinnin Hansel ICT päivässä otsikolla  "Kyberturvallisuus kulminoituu havainnointikykyyn"

Omat asiantuntijamme ovat kirjoittaneet aiheesta blogissamme moneen otteeseen esimerkiksi otsikolla "IDS:n käyttöönotto herättää todellisuuteen"

Viimeistään nyt olisi korkea aika aloittaa merkittävästi panostamaan niin valtionhallinnon kuin yritystenkin havainnointi- ja reagointikyvyn kehittämiseen. Aika, jolloin uskottiin, että järjestelmistä voidaan tehdä turvallisia on lopullisesti ohi.

Lue, miten olemme auttaneet huoltovarmuuskriittistä organisaatiota kehittämään havainnointikykyään ja mitä hyötyä he ovat kokeneet saavansa palveluistamme.

Miten KPMG on tukenut huoltovarmuuskriittisiä organisaatioita HAVARO-poikkeamien tutkinnassa?

Mika

maanantai 28. lokakuuta 2013

IT-tarkastus tänään ja huomenna




KPMG on julkaissut tutkimuksen IT Internal Audit Survey 2013. Tutkimukseen osallistui riskienhallinnan, sisäisen tarkastuksen ja IT-tarkastuksen johtoa yli 400 organisaatiosta. Tutkimus osoittaa, että IT-tarkastus on tienhaarassa. Sen perusteella IT-tarkastus haastetaan lähivuosina tavalla, joka pakottaa uudistamaan sitä merkittävästi.  

Tarkastussykli lyhenee ja vuosittaisten tarkastusten lisäksi tarvitaan jatkuvaa tarkastamista. Tarkastusten kirjo kasvaa. Ei riitä, että IT-tarkastuksella katetaan perinteisiä tarkastuskohteita. Rinnalle nousevat erityisesti pilvipalvelut, sosiaalinen media ja mobiilipalvelut. Toiminta on tehokasta vain, kun sisäisen tarkastuksen tuottamat IT-tarkastuspalvelut koordinoidaan muihin IT-toiminnan varmennuspalveluihin. Kaikki tämä edellyttää niin IT-tarkastuksen johdolta kuin IT-tarkastajiltakin uudenlaisia tietoja ja taitoja.  

Tutkimus valottaa IT-tarkastuksen nykytilaa ja keskeisiä kehitystarpeita. Samalla se tarjoaa käyttökelpoisia ratkaisuja IT-tarkastuksen tehostamiseksi. Ratkaisut auttavat löytämään vastauksia muun muassa seuraaviin kysymyksiin:
  • Kuinka pitkällä tähtäyksellä suunnitella IT-tarkastuksen toimintaa, jotta säilytetään kyky reagoida ympäristön yhä nopeampiin muutoksiin?
  • Miten valita IT-tarkastuksen kohteet siten, että kyetään reagoimaan vaatimuksiin, joita paitsi nykytoiminta myös strategiset muutokset tulevaisuudessa asettaa kontrolliympäristön kehittämiselle?
  • Miten tehostaa toimintaa koordinoimalla IT-tarkastus muihin auditointi- ja varmennuspalveluihin?
  • Miten varmistaa, että IT-tarkastuksella on riittävä osaaminen ja työvälineet myös jatkossa?
  • Miten arvioida IT-tarkastuksen vaikuttavuutta ja tunnistaa sen keskeiset kehittämistarpeet?
  • Kuinka hyödyntää hallitusta ja tarkastusvaliokuntaa IT-tarkastuksen kehittämisessä nykyistä aktiivisemmin?
Tutkimus löytyy osoitteesta: http://www.kpmg.com/FI/fi/Ajankohtaista/Uutisia-ja-julkaisuja/Neuvontapalvelut/Documents/IT-Internal-Audit-Survey-2013.pdf

Minna Hynninen,
Certified Information Systems Auditor CISA

keskiviikko 23. lokakuuta 2013

Isokin data on arvokasta vain hyötykäyttöön jalostettuna



Tällä kertaa blogissamme on ensimmäistä kertaa "vieraileva kynä", kun Tomi Mikkonen ja Antti Syväniemi kertovat isoon dataan liittyvistä asioista.
**********************

Nykyään kuulee usein toistettavan, että data on uutta öljyä. Vertaus on osuva, sillä jalostamattomana öljy on jokseenkin hyödytöntä, sotkuista ja pahanhajuista. Sama pätee dataan, joka ei itsessään ole arvokasta, vaan arvo muodostuu vasta hyödyntämisen kautta.
 
Sähköistynyt maailma tuottaa jatkuvan datavirran arvoketjusta riippumatta. Mobiililaitteista sekä palveluista lokeihin ja evästeisiin tallentuu aika- ja paikkatietoa suurista valtaviin määriin jatkuvasti kasvavaa vauhtia. Uudet tietolähteet, moninaiset datamuodot sekä aika- ja paikkasidonnaisuus muodostavat ison datan.
 
Jalostuuko tämä mullistava datamassa järjestelmällisesti tiedoksi ja viisaiksi päätöksiksi? Ja kunnioitetaanko käyttäjien tietosuojaa? Vaikka datan ja analytiikan hyödyntämisestä on jo pitkään puhuttu paljon, on niiden kokonaisvaltainen hyödyntäminen yrityksissä vielä yllättävän vähäistä. Datan keruu, jalostus ja varastointiteknologioiden pystytyskustannukset eivät ole samaa luokkaa perinteisen öljyn kanssa. Niihinkään ei kuitenkaan kannata investoida, ellei ole aidosti aikeissa muuttaa liiketoimintaansa tietopohjaisempaan suuntaan.
 
Sähköistymisen myötä pohjoismaiset yritykset ovat joutuneet uusien haasteiden eteen kilpailun muututtua kertaheitolla kansainväliseksi. Jos vielä pari vuotta sitten yrityksissä vähäteltiin kansainvälisen verkkokaupan ja sosiaalisen median vaikutusta, tänään lienee jo kaikille selvää, ettei menneeseen ole enää paluuta. Vielä hetki sitten toimintaa voitiin johtaa kotimaisten keskiarvokuluttajien tarpeiden perusteella. Nyt tiedetään, ettei keskivertoasiakasta ole. Yhdelle asiakkaalle optimi tuote-hinta-kombinaatio ei enää ole sitä toiselle, kun tarjolla on useita vaihtoehtoja helposti jokaiseen makuun. Tässä kilpailussa voi pärjätä vain tuntemalla ja tyydyttämällä asiakkaiden tarpeet luontevasti ja oikea-aikaisesti.

Asiakkaiden tarpeiden luonteva ja oikea-aikainen täyttäminen sekä odotusten ylittäminen sirpaloituneen kulutuksen maailmassa edellyttää asiakasymmärrystä. Käyttökelpoisen asiakasymmärryksen aikaansaaminen ei onnistu ilman asiakastietojen keruuta ja jalostamista asiakkaan kohtaavien prosessien ja henkilöiden käyttöön.
Isosta datasta puhutaan tällä hetkellä paljon ja usein siihen sävyyn, että se ratkaisee kaiken. Uusille ja rikkaille tietolähteille ja –muodoille löytyy uusia käyttökohteita, mutta suurin hyöty näistä saadaan, kun ne kytketään osaksi perinteistä tietokokonaisuutta. Lisäarvoa saadaan rikastamalla edelleen niitä tietoja, joihin liiketoimintapäätökset kohdistuvat, kuten asiakas-, tuote-, palvelu- ja kampanjatietoja. Ja rikastaminen pitää tehdä oikein, käyttäjän oikeuksista ja informoinnista huolehtien. Rikastetun tiedon hyödyntäminen voi näkyä esimerkiksi asiakaskohtaisesti paremmin osuvana palvelu- tai kampanjaviesteinä tai alueellisen tarpeen erinomaisesti kohtaavana tuote- tai palveluvalikoimana.

Asiakasymmärryksen lähteenä ovat asiakkaiden henkilötiedot, joiden käsittelyssä törmää usein kommenttiin "Eikö tietosuoja estä tämän? On totta, että tietosuoja pitää huolta kuluttajan oikeuksien noudattamisesta ja tietosuoja on tiukentunut esim. EU:n evästendirektiivillä ja sen tarkennuksilla. Tietosuoja ei kuitenkaan
estä datan käyttöä ja analysointia. Asiat pitää tehdä oikealla tavalla. Esimerkiksi kertomalla kuluttajalle, 

  • (i) mitä tietoa kerätään ja mihin tarkoitukseen, 
  • (ii) pyytämällä kuluttajalta tarvittavat suostumukset ja 
  • (iii) suojaamalla henkilötiedot hyvin, päästään pitkälle. 

Kun käsitellään tuhansien ihmisten tietoja yksityiskohtaisella tasolla, on peruskontrollin lisäksi rakennettava asiakkaille myös muita tietosuojapalveluita ja kerrottava heille näistä ymmärrettävästi. Tietosuojaa ei pidä nähdä esteenä, vaan mahdollistajana, koska hyvä tietosuoja varmistaa myös kuluttajien luottamuksen datan rekisterinpitäjään. Yhteenvetona tietosuojasta voidaan sanoa, että "ei estä datan käyttöä ja analysointia". Oikeammin voisi sanoa, että hyvä tietosuoja on kuluttajien luottamuksen ja siten kannattavamman liiketoiminnan edellytys.

Dataan perustuva analyyttinen kilpailukyky on strateginen valinta. Yritysten ei luonnollisesti ole pakko lähteä tiedon hyödyntämisen tielle, mutta Suomen markkinoille saapuu jatkuvasti lisää vahvan analyyttisen kilpailukyvyn omaavia yrityksiä, jotka eivät anna tasoitusta. Ilman analytiikkaa näitä laajalla valikoimalla ja syvällä asiakasymmärryksellä varustettuja yrityksiä vastaan on vaikea kilpailla. Voittaja on se yritys, joka onnistuu vastaamaan asiakkaiden tarpeisiin oikealla sisällöllä, oikeaan aikaan, oikeaan hintaan ja oikeassa kanavassa.

Datan hyödyntäminen auttaa voittamisessa, mutta mikään ei synny itsestään. Ensin on päätettävä tiedon hyödyntämisestä. Lisäksi on muistettava, että tiedon hyödyntäminen ja tietosuojan rakentaminen vaativat myös resursseja ja aikaa, sillä isokin data on arvokasta vain hyötykäyttöön jalostettuna. Osaamista Suomessa jo on. Esimerkkejä löytyy ainakin peliteollisuudesta ja kaupan alalta. Varmaa on, että käytettävissä olevan datan määrän ja sen hyödyntämiskapasiteetin kasvu johtavat lähivuosina markkinaosuuksien uusjakoon arvoketjusta riippumatta. Löytyisikö isosta datasta teidänkin yrityksen mahdollisuus kasvattaa markkinaosuutta?

Tomi Mikkonen
Hankejohtaja, tietosuoja
Trusteq Oy

Antti Syväniemi
Toimitusjohtaja
Houston Analytics Oy

maanantai 21. lokakuuta 2013

Ruotsin verkkovalvonta

Lätäkön takana, iloisessa naapurimaassamme Ruotsissa, on viime viikkojen aikana keskusteltu varsin kiivaasti FRA:n (Försvarets radioanstalt, Ruotsin puolustusvoimien alainen radiolaitos FRA) suorittamasta verkkovalvonnasta. FRA:ta on syytetty NSA:n ja GCHQ:n tärkeimmäksi yhteistyötahoksi Venäjää vastaan suoritetun verkkovakoilun yhteydessä. Ruotsin erittäin kehittynyt verkkoinfrastruktuuri tekee siitä tärkeän verkkoliikenteen solmukohdan, jonka läpi kulkee Venäjän ja Suomen internetliikenne. Näin myös suurin osa Suomesta ulkomaille suuntautuvista sähköposteista, pikaviesteistä ja sosiaalisen median päivityksistä. Vielä mielenkiintoisemmaksi asian tekee se, että FRA:lla on valmiuksia murtaa verkkoliikenteen salauksia.

Mitä siis tiedämme FRA:sta?

Laki verkkovalvonnasta säädettiin jo vuonna 2008. Verkkovalvontaa suorittaa Ruotsin puolustusvoimien alainen osasto FRA, joka työllistää noin 700 henkeä. Valvontaa suoritetaan enimmäkseen puolustusvoimien omaan tiedustelukäyttöön, mutta viime aikoina myös SÄPO (Ruotsin SUPO) on saanut oikeuden tilata informaatiota. Valvonnasta saatujen tietojen avulla FRA väittää pysäyttäneensä merkittävän määrän Ruotsia vastaan suunnitelluista terrorihyökkäyksistä. 

Who watches the watchers?

Verkkovalvonnan mahdollistaman lain säätämisen yhteydessä perustettiin erinäisiä kontrollielimiä, joiden avulla on tarkoitus estää väärinkäytöksiä. Tärkein näistä on FRA:n sisäinen tuomioistuin, jonka kautta jokainen valvontatehtävä olisi hyväksyttävä. Tähän asti yhtään pyyntöä ei ole evätty ja joidenkin tietojen mukaan koko luvanhakuprosessi on mahdollista ohittaa kutsumalla valvontatehtävää ”testiksi”. FRA:lla ei ole lupaa vakoilla omia kansalaisiaan, ellei kyseessä ole kansallista turvallisuutta uhkaava tieto. Siitä miten tiedon uhkaavuus määritellään ei ole tietoa.

FRA:lla on 70 vuoden salassapitoluokitus kaikelle tekemälleen työlle, joten verkkovalvonnan laajuus ei selviä vielä pitkään aikaan ellei Ruotsistakin löydy omaa Snowdenia, joka haluaisi paljastaa luottamuksellisia tietoja. Varsin yllättäen Ruotsin lainsäädäntö ei estä FRA:n salaisista toimista keskustelemista mutta dokumenttien vuotaminen on lakien vastaista.

Kohun keskellä on syytä muistaa, että verkkovalvonta ja -vakoilu on tärkeä osa monen maan puolustustoimintaa, eikä siinä ole mitään erikoista. Ongelma tulee siitä, ettei valvontaa rajoiteta ja valvota tarpeeksi tarkasti. Tarkasti valikoitujen kohteiden valvonnan sijasta tarkkaillaan kaikkea verkkoliikennettä, jolloin tavallisten ihmisten yksityisyydensuoja on uhattuna. Nykyistä valvontatapaa voisi verrata siihen, että jokaiseen kotiin asennetaan salakuuntelulaitteisto, jonka jälkeen luotetaan siihen, että viranomainen noudattaa määräyksiä koska kuuntelua saa suorittaa.

Näin siis Ruotsissa, mikäköhän on Suomen verkkovalvonnan laita? Kuinka laajasti meitä valvotaan? Entä miten valvontaa valvotaan? Toivottavasti ruoho olisi tällä puolella vihreämpää.


Kielimiehet voivat lukea lisää mm.


tiistai 8. lokakuuta 2013

Automaation tietoturva -koulutus


Hyviä uutisia automaation tietoturvan parissa toimiville: KPMG ja Tampereen teknillisen yliopiston (TTY) Systeemitekniikan laitos ryhtyvät tarjoamaan yhteistyössä automaation tietoturvan koulutusta. 

Yhteistyön kautta voimme tarjota parhaat mahdolliset eväät organisaatiosi automaation tietoturvan kehittämiseen. Kouluttajien pitkä kokemus automaatiosta ja tietoturvasta varmistavat kurssin laadukkaan sisällön. Vuosien koulutuskokemus takaa parhaat mahdollisuudet oppimiseen ja asioiden omaksumiseen. Kurssille osallistuville on tarjolla Suomen oloissa ainutlaatuinen, korkeatasoinen koulutus, joka kestää kansainvälisenkin vertailun. 

Lisätietoa kurssista ja ilmoittautumisohjeet kurssin avoimille toteutuskerroille löydät kurssisivuiltamme (seuraava toteutuskerta löytyy kohdasta "Automaation tietoturva"). Kursseja järjestetään myös yrityskohtaisina, suljettuina toteutuksina. Koulutus voidaan pitää myös yrityksen omissa tiloissa. Kysymykset ja kyselyt yrityskohtaisista kursseista voi lähettää sähköpostilla (koulutukset@kpmg.fi). 

Kahden päivän käytännönläheisessä (”hands on”) kurssissa osallistujat pääsevät konkreettisesti harjoittelemaan teollisuusautomaatiojärjestelmää vastaan hyökkäämistä. Viimeaikoina kriittisen infrastruktuurin ja automaatiojärjestelmien tietoturvan puutteellisuus on herättänyt keskustelua aina valtamediaa myöten. Automaatioalan toimijoille ei tule uutisena, että tietoturva on alalla vielä monessa suhteessa lapsenkengissään. Vaikka asia ainakin ”periaatteessa tiedostetaan", on konkreettinen demonstraatio kuitenkin vaikuttavin tapa saada viesti perille. Juuri tällainen silmiä avaava vaikutus kurssilla on. Onneksi tässä on kyse koulutuskäyttöön tehtyä mallijärjestelmää vastaan hyökkäämisestä - toivottavasti emme joudu nyt emmekä tulevaisuudessa todistamaan konkreettisia demonstraatioita oikeiden järjestelmien haavoittuvuudesta. 
Kun pääsee käytännössä kokeilemaan miten kehittyneitä ja helposti saatavilla nykyiset murtautumistyökalut ovat, ja miten haavoittuvia järjestelmät usein ovat, tilanteen vakavuus hahmottuu uudella tavalla. Kautta aikain sotataktikot ovat toistelleet hyökkäyksen olevan paras puolustus. Kurssin ydinajatus ei ole kouluttaa automaatiojärjestelmiä vastaan hyökkäämiseen.  Kuitenkin eräs tärkeimpiä keinoja kehittää puolustajan ajattelutapaa on hypätä hetkeksi hyökkääjän saappaisiin. Kun miettii, miten itse parhaiten hyökkäisi järjestelmään, oppii samalla havaitsemaan olennaisimpia haavoittuvuuksia.

Kuten todettu, kriittisen infrastruktuurin ja teollisuusautomaation tietoturvan tärkeyteen on vihdoin havahduttu. Rehellisyyden nimissä tuntuu, että asiasta on toitotettu lähes kyllästymiseen asti (mikä ei silti riitä, jos tarvittaviin toimiin ei ryhdytä). Puuduttavan paljon on puhuttu myös automaatiojärjestelmien ja IT-järjestelmien eroavaisuuksista, ja hankaluuksista, joita erot aiheuttavat tietoturvalle. Automaation tietoturvasta vastaava saattaa miettiä, että selvä: tiedän että järjestelmän tietoturvassa on todennäköisesti vakavia puutteita, ja tiedän että korjauskeinoja ei voida suoraan kopioida IT-maailmasta. Helposti herää kysymys: mitä seuraavaksi pitäisi tehdä? 

Eräs olennainen keino tietoturvan kehittämiseksi on käyttäjien tietoisuuden ja osaamisen kehittäminen koulutuksen avulla. Automaatiojärjestelmien erityispiirteistä johtuen (... siinä se taas tuli!) tämä on alalla erityisen tärkeää. Järjestelmät ovat pidemmälle räätälöityjä kuin IT-järjestelmät tyypillisesti: käytännössä jokainen automaatiojärjestelmä on uniikki, omanlainen kokonaisuutensa. ”Vakioratkaisujen” hankkiminen - esimerkiksi eri tietoturvatuotteiden/ohjelmistojen muodossa - ei välttämättä ole optimaalinen tai edes mahdollinen valinta. Paras tieto järjestelmästä ja tuntemus sen toiminnasta on yleensä käyttäjillä. Järjestelmän toiminnasta huolehtivien avainhenkilöiden tietoisuuden ja osaamisen kasvattaminen on siis elintärkeässä roolissa. Ennen henkilöstön kouluttamista on toki ratkaistava eräs tietoturvan vakiohaasteista, eli johdon sitouttaminen tietoturvan kehittämiseen ja sitä kautta riittävän rahoituksen takaaminen. 

Kuinka sitten tulisi kouluttautua? Maailmalla on tarjolla useampia korkeatasoisia Industrial Control System (ICS) -aiheisia tietoturvakursseja. Tunnettuja ovat Yhdysvalloissa järjestettävät Idaho ja Sandia National Laboratories -kurssit. Näistä löytyvien testijärjestelmien kanssa on lievästi sanottuna haastavaa lähteä kilpailemaan: laboratoriot työllistävät tuhansia ihmisiä, kokonaisbudjetit liikkuvat sadoissa miljoonissa, ja testilaitteistoa on käytössä satojen neliökilometrien laajuisella alueella. Noh, toki näissä tutkitaan todella paljon muutakin kuin kyberturvallisuutta. Suomen näkökulmasta nämä ovat kuitenkin melko kaukaisia koulutuspaikkoja, ja kurssit on muutenkin tarkoitettu etupäässä Pohjois-Amerikan kriittisen infrastruktuurin parissa toimiville. Tunnetuista tietoturvakouluttajista mm. SANS tarjoaa ICS/SCADA -aiheisia tietoturvakursseja. Esimerkiksi tämän SANS-kurssin taustalla ovat Red Tiger Securityn kouluttajat, jotka tarjoavat vastaavia kursseja myös oman yrityksensä kautta. Lisäksi esimerkiksi SCADAhacker, ISA (International Society of Automation) sekä InfoSec Institute tarjoavat omia kurssejaan.

Kouluttajien taustojen sekä kurssien kuvausten perusteella kurssit ovat erittäin tasokkaita. Myös niille osallistuneiden kokemukset ovat olleet positiivisia. Kurssitarjonta laajenee jatkuvasti, mutta on silti vielä melko rajoitettua: edelleen erittäin harvat tahot pystyvät yhdistämään erinomaisen tietoturvaosaamisen ja syvällisen automaation erityispiirteiden ymmärryksen.  Jos ulkomaille matkustaminen järjestyy, on näille kursseille osallistumien mitä todennäköisimmin hintansa arvoista. Onneksi, kuten alussa jo mainostettiin, myös Suomessa on saatavilla laadukasta koulutusta automaation tietoturvasta.

Automaatiotekniikan tutkimuksen ja opetuksen keskittymiä edustaa Suomessa muun muassa Tampereen teknillinen yliopisto (TTY). Yhteistyö teollisuuden kanssa on läheistä, kuten tekniikan alan korkeakoulutuksessa yleensäkin. Muun muassa tietoverkkopohjainen automaatio on jo viime vuosituhannelta lähtien ollut automaatio- ja informaatioverkkojen tutkimusryhmän kohteena. Tutkimuksessa on pitkään painottunut myös tietoturvan merkitys luotettavalle automaatiolle. Vuosien saatossa tehdyn tutkimuksen ja teollisuusyhteistyön luoman osaamisen pohjalta Systeemitekniikan laitoksella on kehitetty käytännönläheinen automaation tietoturvan kurssi, joka vastaa teollisuusyritysten ja kriittisen infrastruktuurin parissa toimijoiden tarpeisiin.

Kouluttaminen on tuttua myös KPMG:lle: olemme Suomen johtava tietoturvakoulutuksia tarjoava yritys. Järjestämme mm. arvostettujen tietoturvasertifikaattien, kuten CISSP, CISM, ja teknisempi CPTE, suorittamiseen tähtääviä kursseja. Tekniseen tietoturvaan ja työkalujen käyttöön keskittyvän CPTE -kurssin kouluttajana KPMG on vuonna 2012 palkittu Authorized Training Center -palkinnolla, joita myönnetään vuosittain globaalisti vain viisi kappaletta. Sertifikaattien suorittamiseen valmistelevien kurssien lisäksi järjestämme myös yleisluontoisempia koulutuksia, kuten kurssi ”Tietoturvan koulutusohjelma”. Tuoreena lisänä kurssitarjonnassa on kyberturvallisuuden hyökkäys- ja puolustuskurssi (niin kutsuttu red team vs. blue team -harjoitus), josta kerrottiin blogissa jo aiemmin. Lisätietoja tarjoamistamme kursseista löydät tuttuun tapaan koulutussivuiltamme

Koulutuskokemuksen lisäksi KPMG:llä on kattavaa osaamista hyökkäys- ja murtotyökaluista. Tietoturva-ammattilaisten käyttämien työkalujen perusteet voi oppia vaikkapa kurssien kautta. Syvällinen osaaminen kuitenkin syntyy ja kehittyy vain jatkuvan harjoittelun avulla. Sen lisäksi, että tietoturva-ammattilaisemme toimivat eri kurssien kouluttajina, he myös käyttävät kursseilla opetettavia työkaluja päivittäisessä työssään. Automaation tietoturvan kokemusta KPMG:lle on kertynyt sekä Suomessa että maailmalla toteutettujen merkittävien ICS- ja SCADA-järjestelmien tietoturvatoimeksiantojen kautta. Esimerkiksi useat maailman suurimpiin yrityksiin lukeutuvat energia-alan toimijat, joiden toiminnalle massiiviset automaatiojärjestelmät ovat elintärkeitä, hyödyntävä automaation tietoturvapalveluitamme.

Mitä KPMG:n ja TTY:n yhteistyössä järjestämään kurssiin sitten sisältyy? Kurssin teoriaosuudessa käydään läpi verkottuneiden automaatiojärjestelmien yleispiirteitä, tietoturvan haasteita ja käytettyjä hyökkäystyökaluja. Teoriaosuus antaa hyvän kuvan siitä, millainen on nykyaikainen automaatiojärjestelmä, miksi sen tietoturva on haasteellista ja millaisia uhkakuvia siihen kohdistuu. Lisäksi nähdään, miten järjestelmää vastaan voidaan hyökätä. Sitä kautta opitaan myös kuinka hyökkäyksiltä voidaan suojautua. Kurssilaiset pääsevät käytännössä kokeilemaan työkaluja, joita tietoturva-ammattilaiset ja hyökkääjät käyttävät. Kohdejärjestelmänä on oikeaoppisesti segmentoitu automaatioverkko, joka on kuitenkin tarkoituksella tehty haavoittuvaiseksi (vastaavalla tavalla kuin todelliset automaatioverkot käytännössä usein ovat). Eri verkkosegmentit koostuvat niin Internetiin näkyvistä yrityksen web-palvelimista, toimistoverkon työasemista, kuin prosessiverkon automaatiolaitteista. Kurssi on kuitenkin riittävän yleisluontoinen, jotta sen suorittaminen ei vaadi esimerkiksi työkalujen tuntemusta etukäteen. Eräs tärkeimpiä tavoitteita on saada automaatio-, IT- ja tietoturva-ammattilaiset ymmärtämään toistensa kieltä. Edellä mainittujen asiantuntijoiden lisäksi on myös erittäin suositeltavaa, että budjetista päättävä taho pääsee osallistumaan kurssille!

Mikä tekee juuri tästä kurssista erityisen? Yhteistyön vahvuus: KPMG:n vahvuusalueita ovat vuosien ajalta kertynyt laaja kokemus tietoturvan kouluttamisesta, päivittäisen työn kautta kehittynyt syvällinen työkalujen tuntemus, sekä kokemus kansallisesti ja kansainvälisesti merkittävistä automaatioalan tietoturvaa koskevista toimeksiannoista. TTY:n Systeemitekniikan laitos edustaa tietoverkkopohjaisen automaation, automaation ohjelmistotekniikan ja automaation tietoturvan tutkimuksen ja opetuksen terävintä kärkeä Suomessa. Vahvuusalueidemme ja osaamisemme ansiosta pystymme yhdessä tarjoamaan erittäin korkeatasoisen kurssin kaikille toimijoille, joiden tehtäviin kuuluu automaatiojärjestelmien ja kriittisen infrastruktuurin tietoturvan kehittäminen.

Toivotamme kaikki kiinnostuneet lämpimästi tervetulleiksi kurssille kehittämään osaamistaan ja hankkimaan työvälineitä automaation tietoturvan kehittämiseen. Vielä kerran: lisätiedot kurssista, aikataulut ja ilmoittautumisohjeet löydät koulutussivuiltamme.

Oletko osallistunut kirjoituksessa mainituille maailmanlaajuisesti tarjolla oleville kursseille? Kerro ihmeessä kokemuksistasi! Heräsikö jotakin muuta kysyttävää, tai kenties palava halu jakaa kehitysideoita tähän kurssiin liittyen? Kommentoi alle, tai ota yhteyttä allekirjoittaneeseen (koulutukset@kpmg.fi). Nähdään kurssilla!

Risto Eerola