Takaisin ajankohtaisiin

Terveisiä Wienin IAEA-tietoturvakonferenssista

Jarkko Holappa

Kesäkuu 22, 2015 at 10:30

Viimeistään nyt on selvää, että tietoturva on ydinturvallisuuden erottamaton osa.

Esittelin kesäkuun alussa kaikkien aikojen ensimmäisessä kansainvälisen atomienergiajärjestö IAEAn tietoturvakonferenssissa Nixun, Teollisuuden Voiman (TVO) ja Säteilyturvakeskuksen (STUK) yhteisen julkaisun tavasta kehittää ja ylläpitää ydinvoimalaitoksen tietoturvallisuuden hallintaa.

Julkaisumme herätti paljon kiinnostusta ja sen yhteenvetodokumenttia jaettiin runsaasti Nixun osastolla, jossa vieraili paljon kyselijöitä ja keskustelijoita koko viisipäiväisen konferenssin ajan.

Kansainvälistä yleisöä selvästikin kiinnostaa suomalainen tietoturvan sääntely ja sen vieminen käytäntöön.

Uskon, että kiinnostuksen on herättänyt tilanne, jossa Suomen kaltaisessa kehittyneessä maassa on tekeillä uusi ja moderni laitos. Täällähän tietoturvaan liittyvä sääntely on johdonmukainen osa viranomaisen suorittamaa valvontaa.
 

Positiivista suomalaisnäkyvyyttä

Suomalaiset olivat muutenkin konferenssissa erittäin hyvin näkyvillä ja suomalaisia asiantuntijoita – allekirjoittanut heidän joukossaan – toimi eri kanavien vetäjinä.

Maamme kokoon nähden panos oli poikkeuksellisen vahva. STUKin ylitarkastaja Timo Wiander oli koko konferenssin suunnittelutoimikunnan puheenjohtaja ja yksi sen puhujista. Codenomiconilla oli Nixun tavoin oma standinsa sekä yhteinen esitys Tampereen teknillisen yliopiston kanssa.

Codenomicon osallistui lisäksi myös IAEAn toimeksiannosta järjestettyyn demonstraatioon, jossa murtauduttiin ydinvoimalan ohjausjärjestelmiin hyödyntämällä fyysiseen turvallisuuteen ja tietoturvaan liittyneitä heikkouksia.

Skenaario oli luonnollisesti yksinkertaistettu ja siinä esitellyn voimalan tietoturvassa oli selviä puutteita. Jos asiat olisi toteutettu nykyisten parhaiten käytäntöjen mukaisesti ja tietoturvan perusta olisi siten kunnossa, esitetty hyökkäys ei olisi mahdollinen.

Itse pidin erityisesti esityksen yhdestä pääviestistä: vaikka fyysinen turvallisuus olisikin kunnossa, siihen saattaa liittyä haavoittuvia tietoteknisiä järjestelmiä, jotka on mahdollistavat myös fyysisen turvallisuuden järjestelmien, kuten kulunvalvonnan, väärinkäytön. Korkeat portit ja kulunvalvonta eivät enää yksinään takaa turvallisuutta.

Lue lisää IAEA:n International Conference on Computer Security in a Nuclear World: Expert Discussion and Exchange -konferenssista 1.-5.6.2015 ja siellä pitämästäni esityksestä edellisestä blogikirjoituksestani.

Wienin-konferenssin avainhavaintoja konferenssin presidentin Jazi Eko Istiyanton yhteenvedosta:
 

• Konferenssi täytti tehtävänsä tarjoamalla globaalin kohtauspaikan keskustelulle ydinlaitosten tietoturvasta. Sen aikaansaamaa sysäystä tietoturvan edistämiselle pitää vaalia ja ylläpitää jatkossakin.

• IAEAn täytyy kehittää ajanmukaista kansainvälistä tietoturvaa koskevaa ydinlaitosten turvallisuusohjeistusta.

• Tietojärjestelmien keskinäinen kytkettävyys kasvattaa koko ajan niiden monimutkaisuutta. Tietoturvallisuuteen kohdistuvien hyökkäysten estämiseen ja niihin vastaamiseen tarvitaan koordinoitua tutkimusta ja tietojen vaihtoa.

• Viranomaissääntelyn tulee kohdistua ydinteollisuudessa käytettäviin tietojärjestelmiin, teollisiin ohjausjärjestelmiin ja fyysistä turvallisuutta ylläpitäviin järjestelmiin.

• Inhimillisen pääoman kasvattaminen – koulutus, harjoittelu ja tietämyksenhallinnan edistäminen – ovat käytännön toimia, joilla pidetään yllä tietojärjestelmiin liittyvää asiantuntemusta ydinturvallisuuden alueella.