NIS2-direktiivi on hyvin niukkasanainen käytännön toimista ja vaatimuksista tietoturvan kohentamiseksi. Syy tähän on alati muuttuva teknologia, ja lainsäädännön hitaus, jonka seurauksena on parempi antaa laveat ohjeet, jotka muuttuvat teknologian kehittyessä. Käytännön toimien tarkastelun kannalta 21. artikla on keskeinen. Tässä artikkelissa otetaan näkökulmaksi nimenomaan verkkoinfrastruktuuri, sillä kaiken tietotekniikan kattaminen yhdessä artikkelissa olisi liian massiivista kertaluettavaksi.
NIS2:n 21. artikla määrittelee yleiset raamit sille, mikä tietoturvan tason on oltava. Suora lainaus alakohdista sekä toimista, jotka auttavat saavuttamaan määräystenmukaisuuden verkkoinfrastruktuurille:
a) Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
Tietoverkon näkökulmasta tämä on hyvin laaja toimi, mutta se alkaa potentiaalisten uhkien kartoittamisella. Lähtökohta on se, ettei luoteta mihinkään tai kehenkään. Sitten jaotellaan sekä verkko, että siinä kulkeva tieto luokkiin sen mukaan, kuinka kriittistä tieto on, ja kuinka suuri vaikutus tiedon vuotamisella on. Myös tärkeää on määritellä, kenellä on pääsy laitteisiin ja dataan, sekä mitkä oikeudet niihin annetaan.
Hyvä konsepti verkon suunnittelemiseksi on kyberturvallisuudessa käytetty ”CIA-periaate”: Confidentiality – luottamuksellisuus, Integrity – eheys ja Availability – saatavuus. Informaation pitää olla luottamuksellista, siihen ei tulisi olla pääsyä ulkopuolisilla, informaation pitää olla eheää, luvattomat muutokset pitäisi kyetä estämään, sekä informaation pitää olla saatavilla aina niille, jotka sitä tarvitsevat, ilman että luottamuksellisuus ja eheys kärsivät.
CIA-periaatetta käyttäen, sekä tiedon kriittisyyttä että riskejä tarkastellessa, verkko voidaan jakaa osiin. Hyvä periaate on lähetä aina siitä, että internet on aina saastunut. Internetin ja verkon väliin tulisi laittaa vähintään palomuuri, mutta monissa reitittimissä, kuten Moxan EDR-sarjoissa on myös lisäksi tunkeutumisen esto- ja havainnointityökaluja, sekä protokollakohtaisia syväluotaustekniikoita, joilla pääsyä voi rajata entisestään.
Kun internetistä pääsy sisään ja ulos on rajattu vain siihen mitä tarvitaan, rakennetaan loppuverkko kuin sipulin renkaat. Palvelimet ja muut laitteet, jotka vastaanottavat informaatiota internetistä, mutta joiden ei tarvitse ottaa yhteyttä sisempiin verkkoihin, laitetaan uloimmalle kehälle. Esimerkiksi verkko- ja sähköpostipalvelimet tai teollisuuden datanvälitys- ja ohjausrajapintapalvelimet. Sitten uusi palomuuri ja tiukemmat säännöt. Seuraava kerros voisi olla koneet, joiden täytyy päästä internetiin ja palvelimiin, mutta jotka eivät vastaanota mitään suoraan internetistä. Tästä hyvä esimerkki on toimiston verkot. Tässä verkossa voi myös olla VPN-palvelin, joka antaa etätyöntekijöille mahdollisuuden käyttää toimiston resursseja. Toimiston taakse voidaan sijoittaa tuotantotilat ja niiden taakse tuotantolinjat.
Kerroksia voi laittaa lisää sen mukaan mitä tarvitaan, rajaten pääsyä eri verkoista toisiin. Tekniikoita joita tähän voi käyttää, on monia, mutta mainittakoon esimerkiksi VLAN:it ja MAC-osoitesuotimet. Verkon suunnitteleminen tietoturvallisemmaksi vaatii myös verkkoliikenteen suojaamista. Esimerkiksi tyypillisesti sarjaliikenne menee suojaamattomissa paketeissa, mutta esimerkiksi Moxan NPort 6000-sarja voi kryptata sarjaliikenteen, jolloin hakkeri ei pysty yhtä helposti muuttamaan dataa kesken matkan.
b) poikkeamien käsittely
Kun tietoturvaloukkaus havaitaan, esimerkiksi virusskannauksen tai verkkoanalysaattorin, kuten Moxan IEC-G102:n ilmoituksesta, pitää löytää sekä laitteet jotka ovat mahdollisesti vaarannettuja, sekä kartoittaa data, johon rikollisilla on mahdollisesti ollut pääsy. Koneet jotka ovat saastuneita voidaan nähdä menetetyiksi, mutta rikosten selvittämiseksi kaikki tieto murrosta pitäisi silti saada.
Esimerkiksi monet verkkolaitteet, kuten Moxan kytkimet, pitävät sisäisiä lokeja, mutta niistä on mahdollisuus myös varmentaa lokit Syslog-protokollalla tai SNMP:llä lokipalvelimelle. Myös käyttöjärjestelmillä on omat lokit, mutta saastuneista koneista niiden kaivaminen kannattaa jättää ammattilaisille, sillä monet haittaohjelmat voivat levitä verkon lisäksi USB-massamuistilaitteilla.
Tietoturvarikkomuksista tulee ilmoittaa mahdollisimman nopeasti viranomaisille. Valitettavan usein rikokselle on mahdotonta tehdä mitään sen satuttua, mutta viranomaiset voivat siitä huolimatta auttaa ilmoitusvelvollisuuksien täyttämisessä, sekä joskus rikollisten kiinniottamisessa, sekä edesvastuuseen asettamisessa.
c) toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
Verkon toiminnan kannalta Moxalla on monia työkaluja pitämään huolta siitä, että verkko on saatavilla, ja verkon uudelleenrakentamisessa asetukset ovat tallella. TurboRing ja TurboChain varmentavat fyysisen linkin palautumisen vikatilanteissa, sekä asetusten varmuuskopiot digitaalisilla allekirjoituksilla auttavat palauttamaan verkon laitteiden hajotessa. Myös Moxan MXView auttaa havaitsemaan verkon ongelmat keskitetyltä palvelimelta, mahdollistaen verkon vikojen korjaamisen ennen ongelmien syntyä.
d) toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
Tämä on vaikeampi konsepti verkon turvallisuuden näkökulmasta, mutta esimerkiksi meillä Movetecilla voidaan sopia varastoinneista kriittisille komponenteille, jolloin saatavuus ongelmien sattuessa on paremmin turvattu.
e) verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
Jotta verkkoratkaisut olisivat turvallisia, meillä Movetecilla on koulutettu verkkotekniikka-asiantuntijatiimi aina käytössä. Pystymme auttamaan suurimmissa osissa ongelmia hyvinkin nopeasti, ja jos meiltä loppuu resurssit asian hoitamiseksi, meillä on Moxan asiantuntijat aina lähellä. Moxa on myös sitoutunut julkaisemaan haavoittuvuudet omissa tuotteissa, sekä pitkä tuotetuki auttaa saamaan Moxan tuotteista pitkän eliniän hankinnan jälkeen.
f) toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
Tämä kohta on myös hyvin kokonaisvaltainen, mutta kolmansien osapuolien auditoinnit ovat keskeinen osa arvioinnissa. Arviointia helpottamaan Moxalla on IEC-62443-4-1-sertifiointi, sekä monilla tuotteilla, etenkin tietoturvalle kriittisillä, on IEC-62443-4-2 sertifiointi, jolloin tietoturvallisen verkon osoittaminen jää konfigurointien ja verkkoinfrastruktuurin tarkisteluksi, eikä jokaista laitetta tarvitse erikseen auditoida. Tämä säästää aikaa ja rahaa auditoinneissa, vaarantamatta tietoturvaa.
g) perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
Verkkoinfrastruktuurin näkökulmasta tämä on helppo toteuttaa: Asiattomilta pääsy kielletty. Myös monissa Moxan uusissa kytkimissä on eri käyttöoikeustasoja, joilla tiettyjä toimia voi rajata tietyille käyttäjille. Kuitenkin tämän kohdan täyttämiseksi tärkeintä on muuttaa oletussalasana riittävän monimutkaiseksi. Lisäksi hallinnan pääsyä voi rajoittaa vain tiettyihin verkkoihin, jolloin vaikeutetaan asiattomien pääsyä entisestään.
h) toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
Moxan kytkimissä on vahvat salaukset, sekä mahdollisuus laittaa omat sertifikaatit, jolloin sekä liikenne, että kytkimen tunnistaminen oikeaksi on mahdollista. Varmuuskopiot voi allekirjoittaa sertifikaateilla, jolloin niiden muuttaminen havaitaan, sekä käyttö estetään. Varmuuskopiot voi myös kryptata, jolloin ilman oikeaa salausavainta niiden lukeminen on myös mahdotonta, tehden varmuuskopioista turvallisempia. Kytkinten lisäksi Moxalla on monia tuotteita, jotka tarjoavat normaalisti salaamattomien yhteyksien päälle lisäkerroksen tietoturvaa kryptaamalla verkon yli kulkevat paketit. Näin suojausta saatetaan myös niille teollisuuden alueille, joissa sitä ei perinteisesti ole ollut.
i) henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
Yleensä ohjeennuorana on, että jos hakkerilla on fyysinen pääsy laitteisiin, peli on menetetty. Siispä laitekaappien lukitseminen, ja tilojen fyysisen turvallisuuden ylläpitäminen on ensisijaista. Tämä ei kuitenkaan tarkoita, että laitteisiin päästyä hakkerin elämän pitäisi olla helppoa. Moxan kytkimissä on mahdollisuus estää konfigurointien muuttaminen paikallisesti sulkemalla sarjaportit ja määrittelemällä osoitteet, joista muutoksia saa tehdä. Joissain kytkimissä on myös mahdollisuus lukita linkki pois käytöstä jos yhteys katkeaa. Tällöin johdon irti ottaminen väliin pääsemiseksi muuttuu hankalammaksi. Toki johdon voisi kuoria ja väliin laittaa haistelijat kiinni kupariin, mutta kaikki tämä vaatii aikaa, ja kasvattaa rikollisen toiminnan havainnan todennäköisyyttä merkittävästi. Vielä jos liikenne johdoissa on salattua, jää pahantekijälle hyvin vähän käteen.
j) tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
Moxan kytkimissä on mahdollisuus esimerkiksi käyttää pääsynhallintaan tavallisen salasanan varmentamiseksi esimerkiksi RADIUS protokollaa, jolloin integrointi keskitettyyn pääsynhallintaan helpottuu. Koska pääsyn hallinta on muualla, voidaan salasana avata käyttöön esimerkiksi puhelulla järjestelmänvalvojalle. Lisäksi salasanojen hallinta, ja aikakatkaisu vähentää luvatonta pääsyä.
Kaikissa verkoissa tavanomaisen kaksivaiheisen tunnistautumisen rakentaminen ei ole mahdollista, jos verkosta ei esimerkiksi ole pääsyä ulos. Salasanojen keskitetyllä hallinnalla voidaan kuitenkin luoda raamit käyttäjien tunnistamiselle kun sitä tarvitaan.
NIS2:n 25 artikla vaatii merkityksellisten eurooppalaisten ja kansainvälisten standardien käyttöä antamaan raamit teknologioiden tietoturvan tason määrittelemiseksi. Vaikka näitä standardeja ei erikseen määritellä, on IEC-62443 varteenotettava standardi, etenkin kun ottaa huomioon, että monet kansainväliset tietoturvastandardit viittaavat ja pohjaavat siihen. Tämän takia Moxa on valinnut jo kauan sitten käyttää IEC-62443:a omana tietoturvastandardinaan, eikä ole päätöksessään ainoa. Tämän ansiosta Moxa tulee olemaan tietoturvan edelläkävijä teollisissa verkoissa vielä pitkään.
