Kyberuhka torjutaan järjestelmällisyydellä ja valvonnalla

Kyberturvallisuudella on entistä tärkeämpi rooli, kun IoT:n laitteiden ja sensorien määrä tuotantoympäristöissä kasvaa jatkuvasti. Tällä tarkoitetaan siis suoraan avoimeen internetiin yhteydessä olevia laitteita.

Aikaisemmin OT- ja IT-verkot eli tehdastason automaatio ja “tavallinen tietotekniikka” ovat saattaneet olla fyysisesti eristettyinä ja lähes immuuneja verkkohyökkäyksille. Lisääntyvä datankeruu aiheuttaa sen, että yhä useammat, mahdollisesti päällekkäiset, systeemit ovat yhteydessä nettiin, ja ulkopuolisen vaikuttamisen ja häirinnän riski kasvaa. OT tulee sanoista Operation Technology ja IT on tietysti Information Technology.

Kansainvälinen tietoturvakouluttaja SANS-instituutti kysyi alan toimijoita, minkälaisia uhkia ne pitävät kaikkein todennäköisimpinä. Vastauksissa suurimmaksi huoleksi nousevat laitteet, jotka eivät pysty suojelemaan itseään häirinnältä. Ne ovat yleensä vanhoja automaatiokomponentteja, joita ei alunperinkään ole rakennettu tietoturvallisiksi, ja joihin ei näitä ominaisuuksia voi lisätäkään esimerkiksi muistin vähäisyyden vuoksi.

Toiseksi suurin riski nähdään inhimillisessä virheessä. Työntekijä esimerkiksi voi kytkeä saastuneen usb-tikun laitteeseen.

Vasta kolmanneksi suurimmaksi uhaksi koetaan järjestäytyneet verkkohyökkäykset.

OT-verkkojen uhkia:

• Tuntemattomat yhteydet tai laitteet. Järjestelmän toimittajalla saattaa olla etäyhteys omaan laitteeseensa tai ulkopuolinen huoltohenkilökunta voi liittää tuntemattomia laitteita verkkoihin
• Autentikoinnin puute. Monet laitteet autentikoidaan käyttäen hyväksi autentikointiserveriä. Näin voi olla varma, että joku ei vaihda vahingossa tai tahallaan laitetta toiseksi samanlaiseksi, mutta väärillä asetuksilla olevaksi laitteeksi.
• Salaamattomat protokollat. Teollisuudessa käytössä olevat protokollat ovat usein aivan avoimia ja ”man in the middle” tapaisissa hyökkäyksissä joku mutta laitteille lähetettyjä komentoja.
• Laitteiden päivitykset eivät ole ajan tasalla. Tai niitä ei ole saatavilla.
• Omien ohjausjärjestelmien heikkoudet ja sisältäpäin leviävät uhat.

Yhdysvaltojen turvallisuusvirastossa teollisuuden järjestelmien tietoturvaominaisuuksia valvovan osaston  ICS-Certin mukaan haavoittuvuuksia on havaittu eniten energiateollisuuden ja prosessiteollisuuden sektoreilla. Nämä eivät ole siis toteutuneita hyökkäyksiä vaan niiden laitteissa havaittuja haavoittuvuuksia.

Onneksi jokaisen alan ja jokaisen yrityksen ei tarvitse erikseen miettiä mitä asioita pitää ottaa huomioon, että kyberturvallisuuden saisi rakennettua oikealle tasolle. Riittävän turvalliseksi, mutta ei niin, että jokapäiväinen asioiden hoito muuttuu ylivoimaiseksi.

”Tämän hahmottamiseksi on hyvä miettiä muutamaa asiaa.  Mitkä ovat todelliset riskit? Mikä voi olla seuraus, jos verkkohyökkäys todella onnistuu? Mitä suojellaan, ja kuinka arvokkaita asioita ne oikeasti ovat? Mitä vahvempi suojaus halutaan, sitä enemmän tietysti pitää investoida”, sanoo Movetecin tietoturva-asiantuntija Antti Laukkanen.

Yleensä teollisuusyritykselle riittää sellainen taso, jossa suojataan verkkoa ja laitteita taitamattomuudesta tai huolimattomuudesta tapahtuvista vahingoilta ja lisäksi kömpelöiltä ulkopuolisilta tunkeutumisyrityksiltä. ”Siis sellaisilta, joissa tekijällä itselläänkään ei ole kummoista osaamista tai resursseja ammattimaiseen tihutyöhön”, Laukkanen sanoo.

7 askelta kustannustehokkaaseen laitetason suojaukseen 

• Vahva salasana. Perusjuttu, mutta ei välttämättä aina käytössä. Laitteissa tietoturvallisuus voi olla yksinkertaisimmillaan sitä että laite pakottaa käyttäjän valitsemaan kovennetun salasanan.
• Suljetaan kokonaan portit joita ei käytetä. Ne ovat avoimia ovia sisäiseen verkkoon.
• Salataan (kryptataan) järjestelmän ja laitteiden määrittely- ja asetustiedostot.
• Listataan sallitut IP ja MAC-osoitteet. Näin varmistetaan, että vain sallitut laitteet pääsevät kytkeytymään verkkoon.
• Palomuuritoiminnot verkossa.
• Päivitykset. Vaikka laite tai palvelu olisi käyttöönotettaessa tietoturvallinen, tilanne voi muuttua. Tietoturva on kilpajuoksua uhkia vastaan.
• Käytetään kommunikointiin salattuja protokollia.

On hyvä muistaa, että kyberturvallisuuteen liittyy tekniikan lisäksi paljon toimintatapoja ja järjestelmällisyyttä. Verkkojen suunnittelun ja rakentamisen toimintamalleja on kuvattu useissa eri alojen tietoturvastandardeissa. Teollisen automaation sovelluksille on kehitetty tietoturvastandardi IEC 62443, jota käytetään useilla valmistavan teollisuuden toimialoilla.

Antti Laukkanen suosittelee, että ensimmäinen ja ehkä kaikkein olennaisin toimenpide, valitaan mikä suojautumisen taso hyvänsä, olisi verkon palastelu palomuurein.

Jos vahinko kuitenkin tapahtuu, ja esimerkiksi järjestelmään pääsee haittaohjelma, vahingot voidaan rajata.

Asiantuntijat käyttävät termiä Defence in depth – syväpuolustus. Useat automaatioverkot on alun perin kehitetty sellaisiksi, että niitä ei ollut ikinä tarkoituskaan kytkeä internetiin. Siksi niiden eristäminen toisistaan on kokonaisuuden kannalta suositeltavaa.

Lisäksi tarvitaan verkon valvontaan työkalut, joilla voidaan varmistaa ettei verkossa ole esimerkiksi ylimääräisiä laitteita ja tarkistaa laitteen tietoturva-asetusten määritykset. Moxan MXView on esimerkiksi tällainen ohjelma. Sillä voidaan suorittaa myös reaaliaikaista verkonvalvontaa, ja diagnostiikan lokien avulla voidaan havaita vääriä menettelytapoja ja haavoittuvuuksia jo ne ennen kuin ne ehtivät aiheuttaa vahinkoa.

Moxa on perustanut japanilaisen Trendmicron kanssa Txone Networks -yhteisyrityksen. Trendmicro joka on yksi maailman suurimmista IT-tietoturvayhtiöistä.  Txone tulee tarjoamaan kyberturvallisuustuotteita OT-järjestelmiin. Näitä ovat mm. uuden sukupolven EtherFire-palomuuri, joka sisältää viruskuvaukset, ja EtherCatch työnimellä kulkeva IPS (Intrusion protection system)-laite, jolla suojataan esimerkiksi vanha PC tai PLC johon ei enää päivityksiä ole tarjolla.