Näkökulma | 31.1.2019

Ensin oli tehdas, sitten saapui tietoturva

Hyvin yleinen tilanne teollisuusyrityksissä on se, että tehdas ja jopa osa sen tuotantojärjestelmistä ovat olleet olemassa jo kauan ennen, kun niiden tietoturvallisuudesta alettiin edes puhua.

Robert Valkama

Robert Valkama,

Senior Information Security Consultant,

Nixu Oyj

Useimmille tehtaan kannattavuudesta vastuussa oleville tahoille vanhojen järjestelmien päivittäminen tietoturvallisiin malleihin, ennen niiden käyttöiän loppumista, tuntuu suhteettoman kalliilta investoinnilta. Tilannetta ei myöskään helpota se, että automaatiojärjestelmien toimittajat ovat usein vastahakoisia parantamaan olemassa olevien järjestelmien tietoturvallisuutta. Syy tähän on usein täysin järkeenkäyvä. Erinäisten järjestelmäriippuvuuksien takia muutostarve saattaa olla niin valtava, että helpompaa olisi rakentaa täysin uusi järjestelmä.

Tuotantojärjestelmän tietoturvallisuuden varmistaminen on monen tekijän summa. Tässä yhteispelissä tuotantolaitoksen omistajalla, ohjausjärjestelmien toimittajilla sekä kolmansilla osapuolilla, jotka tuottavat palveluita tuotantolaitokselle, on jokaisella tärkeä roolinsa.

Valitettavan usein kyberturva-asiantuntija kohtaa työssään yrityksiä, jotka ovat ajautuneet tuotantojärjestelmiensä tietoturvallisuuden osalta tilanteeseen, joka miltei halvauksen tavoin estää niitä ryhtymästä tarvittaviin toimiin. Tietoturvallisuudesta kannetaan toki huolta ja siitä keskustellaan järjestelmätoimittajien kanssa, mutta kun oletettua vastakaikua ei saada tai hintalappu koetaan liian kalliiksi, jätetään asiat yksinkertaisesti hoitamatta.

Tilanteesta voidaan syyttää osittain Stuxnetia ja sen mediamyllytystä. Valtiollisen tahon paljastuminen haittaohjelman tekijäksi herätti useassa epätoivon tunteen ja nosti pintaa kysymyksen: Miten tällaista vastaan pystyy ylipäätään edes puolustautumaan? Asiat kannattaa kuitenkin laittaa oikeaan perspektiiviin. Väitän, että tavalliset crypto-haittaohjelmat ovat aiheuttaneet maailmanlaajuisesti huomattavasti suuremmat taloudelliset menetykset tuotantojärjestelmissä kuin Stuxnetin kaltaiset suunnatut hyökkäykset.

Vaikka tilanne saattaa tuntua haastavalta kyberhyökkäysten yleistyessä ja muuttaessa jatkuvasti muotoaan, on olemassa toimenpiteitä, joita jokainen organisaation voi tehdä joko itse tai järjestelmätoimittajan vähäisellä tuella tietoturvallisuuden parantamiseksi. Alla on lista käytännönasioista, joista kannattaa lähteä liikkeelle.

1.   Nykytilanteen kartoitus

Tällä tarkoitan yksiselitteisesti järjestelmien rakenteen ja laitteiden tietojen dokumentointia. IT-puolella tätä kutsutaan lyhenteellä CMDB (Configuration Management Data Base) tai arkisesti laitteistolistauksena. Vaikka juuri tämä nykytilanteen kartoitus on kaiken perusta, yrityksistä silti suurimmalta osalta puuttuu kokonaan kaiken kattava laitteisto- ja ohjelmistolistaus. Toisinaan tiedot saattavat olla hajautettuna eri dokumentteihin eikä niiden ajantasaisuudesta ole takuuta. Tieturvallisuuden kannalta on kuitenkin erittäin tärkeää, että kaikki tiedot pidetään yhdessä paikassa ja että tietoja ylläpidetään asianmukaisesti. Tärkeää on myös, että kaikki tarvittavat henkilöt organisaatiossa tietävät missä listausta säilytetään.

Listauksen tulee sisältää laitteistojen sekä ohjelmistojen tiedot (myös applikaatiot, käyttöjärjestelmät ja mahdolliset firmware-ohjelmistot) helposti haettavassa muodossa (esim. tietokanta). Listauksen avuksi on tarjolla erityisesti tähän tarkoitukseen rakennettuja työkaluja myös avoimen lähdekoodin ohjelmistoja. Ympäristön koosta ja laitteiden määrästä riippuen voi olla myös järkevää käyttää kaupallisia tuotteita, jotka tukevat automaattista laiteiden ja ohjelmistojen tunnistamista.

Laite- ja ohjelmistolistauksien lisäksi on hyvä tunnistaa laitteiden, järjestelmien tai toimintojen väliset riippuvuudet - ainakin verkkotasolla. Näin saadaan selkeä käsitys siitä, mitkä palvelut tai toiminnot vaikuttavat toisiinsa. Tämä on ensiarvoisen tärkeää, kun tehdään jatkuvuussuunnitelmia tai arvioidaan yksittäisen haavoittuvuuden merkitystä tuotantoympäristölle. Tästä on myös huomattava apu kun suunnitellaan verkon segmentointia.

2.   Tuotantoverkon segmentointi

Segmentoinnilla tarkoitetaan verkon jakamista pienempiin osiin sekä tietoliikenteen rajoittamista eri verkkosegmenttien välillä. Segmentoinnin tarkoitus on rajata esimerkiksi haittaohjelman leviäminen verkon sisällä. Samalla se selkeyttää myös kunnossapidon tehtäviä, kun tarpeeton tietoliikenne saadaan rajattu pois verkosta. Suuntaviivoja tuotantoverkon segmentoinnista voi ottaa esimerkiksi ISA/IEC 62443 -standardista, ISF-viitekehyksestä tai SANS-julkaisuista.

Suorat etäyhteydet tuotantoverkkoihin kannattaa myös poistaa tai ottaa vähintään valvontaan. Suositus on, että kaikki yhteydet tuotantojärjestelmiin kulkevat tuotantolaitoksen omistajan verkon kautta käyttäen sellaisia palveluja, joita tuotantolaitoksen omista pystyy valvomaan ja ylläpitämään tietoturvallisuuden osalta.

3.   Haavoittuvuuksien hallinta

Tehdään ensin yksi asia selväksi. Haavoittuvuuksien hallinta ei ole sama asia kuin tietoturvallisuuspäivityksien asentaminen! Haavoittuvuuksien hallinnan ensisijainen tarkoitus on arvioida haavoittuvuuksien vaikutus sekä määritellä sopiva hallintatapa. Haavoittuvuuksien hallitsemiseksi on seuraavia tapoja:

-        Ohjelmistopäivityksen asentaminen (mikäli saatavilla, edellyttää yhteistyötä toimittajan kanssa)

-        Haavoittuvan ohjelmiston poistaminen (mikäli ei tarvita toiminnan tuottamiseksi)

-        Haavoittuvien palveluiden suojaaminen verkkotasolla (jos hyödyntää verkkoa)

-        Tehostettu valvonta (mikäli haavoittuvuudelle ei tällä hetkellä voi mitään)

Odotettavissa on, että tuotantojärjestelmästä löytyy päivittämättömiä ohjelmistokomponentteja. Syynä tähän on usein se, että ajettava sovellusohjelmisto ei tue niiden asentamista tai että asennuksen pitää odottaa seuraavaa huoltokatkoa, koska se edellyttää järjestelmän uudelleenkäynnistämistä tai toiminnallista testausta. Päivittämättömät ohjelmistokomponentit eivät kuitenkaan tarkoita, että järjestelmä olisi turvaton, kunhan oikeanlaisia vaihtoehtoisia tapoja on käytetty.

Haavoittuvuuksien hallinnan edellytys on hyvä ymmärrys ympäristön laitteista, ohjelmistoista sekä riippuvuussuhteista. Haavoittuvuuksien tunteminen ja ymmärtäminen auttaa myös keskusteluissa toimittajien kanssa. Mikäli koko ympäristön kattava haavoittuvuuksien hallinta koetaan liian suureksi tehtäväksi, suosittelen että työ aloitetaan järjestelmän kriittisistä komponenteista ja rajalaitteista (esimerkiksi palomuurit ja muut laitteet, joihin otetaan yhteyttä tuotantojärjestelmäverkon ulkopuolelta).

4.   Tietoturvallisuuden valvonta

Tuotantoverkkojen etu, verrattuna tavalliseen toimiston IT-verkkoon, on niiden hyvin staattinen liikenne ja rakenne. Laitteiden kuuluu toimia tietyllä tavalla eikä niitä lisätä tai poisteta tuotantoverkkoista jatkuvasti. Tästä syystä tuotantoverkot ovat tavallaan helpompia valvoa, mutta toisaalta IT-ympäristöihin suunnitellut työkalut eivät välttämättä sovellu täysin niiden valvontaan. Markkinoilla on nykyisin saatavilla toinen toistaan hienompia tuotantoverkkojen valvontatyökalua, ja ala elää nousukautta.  

Tietoturvallisuuden valvonta vaatii aina rahallisia panostuksia. Vaihtoehtoisesti organisaation voi panostaa omiin työkaluihin ja oman henkilöstönsä osaamisen kehittämiseen ja ylläpitämiseen tai ostaa ulkoisen palveluntarjoajan palveluita. Tietoturvaympäristö muuttuu jatkuvasti ja tästä syystä myös tietoturvallisuusvalvonnan on seurattava aikaansa. Organisaatiot voivat teknologioiden avulla havaita tietoturvatapahtumia mutta niiden verifiointi ja analysointi vaativat edelleen ihmisen osaamista.  

Tuotantoympäristön tietoturvallisuuden valvonta voi ja kannattaa toteuttaa vaiheittain. Ensimmäisessä vaiheessa kannattaa keskittyä tuotanto- ja IT-verkon rajapintojen valvontaan sekä mahdollisten keskeisten pisteiden valvontaa. Tässä on hyvä huomioida, että IT-verkon valvonta voi hyödyntää tuotantoverkon turvallisuutta, olettaen että suoria ulkoisia yhteyksiä tuotantoverkkoon ei ole olemassa.

Lopuksi

Kyberturva-asiantuntijan näkökulmasta tuotantojärjestelmien tietoturvallisuudessa ensisijainen huolenaihe ei ole aina pahimmalta kuulostava vastustaja. Suurempi uhka piilee tavallisissa haittaohjelmissa ja miltei triviaaleissa arkisissa asioissa.

On hyvä tiedostaa, että miltei jokaisessa tuotantoprosessissa on asioita, joita ei saa missään nimessä tapahtua. Nämä kriittiset tekijät on hyvä tunnistaa ja arvioida huolellisesti voiko niiden toteutumiseen vaikuttaa digitaalisesti. Suojaustoimenpiteet tulee valita ja toimeenpanna siten, että ne ovat kokonaisuuden kannalta järkeviä ja tukevat yrityksen liiketoimintaa. 

Uusimmat artikkelit

24.1.2020 | Alan Uutiset

Traficom: Vastuullisuuden merkitys kuljetusten tilauksissa kasvaa

Tieliikenteen kuljetusten tilaajat katsovat, että vastuullisuuden merkitys kasvaa tulevaisuudessa kuljetuspalveluiden hankinnoissa, mutta samalla vastuullisuuden arviointi todettiin haasteelliseksi. 

Pääkaupunkiseudun biojätteistä syntyy pian paikallista biokaasua

Energiatyhtiö Gasum ja Encore Ympäristöpalvelut ovat allekirjoittaneet sopimuksen Vantaan Viinikkalaan rakennettavasta biojätteen siirtokuormausasemasta. Asemalta biojätteet voidaan kuljettaa suurempina erinä Gasumin loppu vuodesta 2020 valmistuvalle Lohjan biokaasulaitokselle. 
 

23.1.2020 | Tutkimus ja koulutus

Kunnossapitoyhdistys Promaint ry ja Suomen Messusäätiö etsivät palkittavia opinnäytetyöntekijöitä

Kunnossapitoyhdistys Promaint ry:n ja Suomen Messusäätiön vuoden 2020 opinnäytekilpailussa palkitaan paras kevään 2020 aikana projektityönä toteutettu yrityksen ja opiskelijaryhmän pienimittainen kehitysprojekti.

Väylä ja VR FleetCare testaavat uutta teknologiaa liikennehäiriöiden vähentämiseksi

Junaliikenteen sujuvuuden kannalta vaihteet ovat keskeisessä roolissa.Vaihteiden kunnonvalvonnan tehostamiseksi VR FleetCare ja Väylävirasto ovat yhteistyössä aloittaneet pilottihankkeen, jossa dataa keräämällä ja analysoimalla pyritään saamaan reaaliaikaista tietoa vaihteen kunnosta.

Metso harkitsee varastotoimintojensa keskittämistä Euroopassa

Osana maailmanlaajuisen jakelu- ja logistiikkaverkostonsa kehittämishanketta Metso harkitsee varastotoimintojensa keskittämistä Euroopassa ja aloittaa tähän liittyvät yhteistyöneuvottelut Euroopassa.

Fortum jatkaa käyttö- ja kunnossapitoyhteistyötään Caverion-omisteisen Maintpartnerin kanssa Uudellamaalla

Fortum jatkaa Uudenmaan voima- ja lämpölaitoksia sekä verkkoja koskevaa käyttö- ja kunnossapitokumppanuuttaan Maintpartnerin kanssa neljällä vuodella. Maintpartner on hoitanut palvelua vuodesta 2016. Sopimuksen arvoa ei julkisteta.

16.12.2019 | Kumppaniartikkeli

Insta opettaa prosessit tuottavammiksi

Oikein käytetty data on teollisuudessa rahan arvoinen voimavara. Oppivat koneet tehostavat teollisia prosesseja, jolloin energiaa ja raaka-aineita säästyy, päästöt pienenevät ja yrityksen tuottavuus kohentuu. Opetusdata muuttuu prosessiteollisuudessa sen viimeisen viivan alla näkyväksi tulokseksi.