Ensin oli tehdas, sitten saapui tietoturva

Robert Valkama

Robert Valkama

Lead Consultant, ICS Security, Risk Management

Huhtikuu 24, 2019 at 12:50

Teollisuusyrityksissä on hyvin yleistä, että tehdas ja jopa osa sen tuotantojärjestelmistä ovat olleet olemassa jo kauan ennen kuin niiden tietoturvallisuudesta alettiin edes puhua. Vaikka tilanne saattaa tuntua haastavalta, on olemassa toimenpiteitä, joita jokainen organisaation voi tehdä joko itse tai järjestelmätoimittajan vähäisellä tuella tietoturvallisuuden parantamiseksi. Olen koonnut sinulle listan käytännönasioista, joista kannattaa lähteä liikkeelle.

Useimmille tehtaan kannattavuudesta vastuussa oleville tahoille vanhojen järjestelmien päivittäminen tietoturvallisiin malleihin, ennen niiden käyttöiän loppumista, tuntuu suhteettoman kalliilta investoinnilta. Tilannetta ei myöskään helpota se, että automaatiojärjestelmien toimittajat ovat usein vastahakoisia parantamaan olemassa olevien järjestelmien tietoturvallisuutta. Syy tähän on usein täysin järkeenkäyvä. Erinäisten järjestelmäriippuvuuksien takia muutostarve saattaa olla niin valtava, että helpompaa olisi rakentaa täysin uusi järjestelmä.

Tuotantojärjestelmän tietoturvallisuuden varmistaminen on monen tekijän summa. Tässä yhteispelissä tuotantolaitoksen omistajalla, ohjausjärjestelmien toimittajilla sekä kolmansilla osapuolilla, jotka tuottavat palveluita tuotantolaitokselle, on jokaisella tärkeä roolinsa.

Valitettavan usein kyberturva-asiantuntija kohtaa työssään yrityksiä, jotka ovat ajautuneet tuotantojärjestelmiensä tietoturvallisuuden osalta tilanteeseen, joka miltei halvauksen tavoin estää niitä ryhtymästä tarvittaviin toimiin. Tietoturvallisuudesta kannetaan toki huolta ja siitä keskustellaan järjestelmätoimittajien kanssa, mutta kun oletettua vastakaikua ei saada tai hintalappu koetaan liian kalliiksi, jätetään asiat yksinkertaisesti hoitamatta.

Tilanteesta voidaan syyttää osittain Stuxnetia ja sen mediamyllytystä. Valtiollisen tahon paljastuminen haittaohjelman tekijäksi herätti useassa epätoivon tunteen ja nosti pintaa kysymyksen: Miten tällaista vastaan pystyy ylipäätään edes puolustautumaan? Asiat kannattaa kuitenkin laittaa oikeaan perspektiiviin. Väitän, että tavalliset crypto-haittaohjelmat ovat aiheuttaneet maailmanlaajuisesti huomattavasti suuremmat taloudelliset menetykset tuotantojärjestelmissä kuin Stuxnetin kaltaiset suunnatut hyökkäykset.

Vaikka tilanne saattaa tuntua haastavalta kyberhyökkäysten yleistyessä ja muuttaessa jatkuvasti muotoaan, on olemassa toimenpiteitä, joita jokainen organisaation voi tehdä joko itse tai järjestelmätoimittajan vähäisellä tuella tietoturvallisuuden parantamiseksi. Alla on lista käytännönasioista, joista kannattaa lähteä liikkeelle.

1.   Nykytilanteen kartoitus

Tällä tarkoitan yksiselitteisesti järjestelmien rakenteen ja laitteiden tietojen dokumentointia. IT-puolella tätä kutsutaan lyhenteellä CMDB (Configuration Management Data Base) tai arkisesti laitteistolistauksena. Vaikka juuri tämä nykytilanteen kartoitus on kaiken perusta, yrityksistä silti suurimmalta osalta puuttuu kokonaan kaiken kattava laitteisto- ja ohjelmistolistaus. Toisinaan tiedot saattavat olla hajautettuna eri dokumentteihin eikä niiden ajantasaisuudesta ole takuuta. Tieturvallisuuden kannalta on kuitenkin erittäin tärkeää, että kaikki tiedot pidetään yhdessä paikassa ja että tietoja ylläpidetään asianmukaisesti. Tärkeää on myös, että kaikki tarvittavat henkilöt organisaatiossa tietävät missä listausta säilytetään.

Listauksen tulee sisältää laitteistojen sekä ohjelmistojen tiedot (myös applikaatiot, käyttöjärjestelmät ja mahdolliset firmware-ohjelmistot) helposti haettavassa muodossa (esim. tietokanta). Listauksen avuksi on tarjolla erityisesti tähän tarkoitukseen rakennettuja työkaluja myös avoimen lähdekoodin ohjelmistoja. Ympäristön koosta ja laitteiden määrästä riippuen voi olla myös järkevää käyttää kaupallisia tuotteita, jotka tukevat automaattista laiteiden ja ohjelmistojen tunnistamista.

Laite- ja ohjelmistolistauksien lisäksi on hyvä tunnistaa laitteiden, järjestelmien tai toimintojen väliset riippuvuudet - ainakin verkkotasolla. Näin saadaan selkeä käsitys siitä, mitkä palvelut tai toiminnot vaikuttavat toisiinsa. Tämä on ensiarvoisen tärkeää, kun tehdään jatkuvuussuunnitelmia tai arvioidaan yksittäisen haavoittuvuuden merkitystä tuotantoympäristölle. Tästä on myös huomattava apu kun suunnitellaan verkon segmentointia.

2.   Tuotantoverkon segmentointi

Segmentoinnilla tarkoitetaan verkon jakamista pienempiin osiin sekä tietoliikenteen rajoittamista eri verkkosegmenttien välillä. Segmentoinnin tarkoitus on rajata esimerkiksi haittaohjelman leviäminen verkon sisällä. Samalla se selkeyttää myös kunnossapidon tehtäviä, kun tarpeeton tietoliikenne saadaan rajattu pois verkosta. Suuntaviivoja tuotantoverkon segmentoinnista voi ottaa esimerkiksi ISA/IEC 62443 -standardista, ISF-viitekehyksestä tai SANS-julkaisuista.

Suorat etäyhteydet tuotantoverkkoihin kannattaa myös poistaa tai ottaa vähintään valvontaan. Suositus on, että kaikki yhteydet tuotantojärjestelmiin kulkevat tuotantolaitoksen omistajan verkon kautta käyttäen sellaisia palveluja, joita tuotantolaitoksen omista pystyy valvomaan ja ylläpitämään tietoturvallisuuden osalta.

3.   Haavoittuvuuksien hallinta

Tehdään ensin yksi asia selväksi. Haavoittuvuuksien hallinta ei ole sama asia kuin tietoturvallisuuspäivityksien asentaminen! Haavoittuvuuksien hallinnan ensisijainen tarkoitus on arvioida haavoittuvuuksien vaikutus sekä määritellä sopiva hallintatapa. Haavoittuvuuksien hallitsemiseksi on seuraavia tapoja:

  • Ohjelmistopäivityksen asentaminen (mikäli saatavilla, edellyttää yhteistyötä toimittajan kanssa)
  • Haavoittuvan ohjelmiston poistaminen (mikäli ei tarvita toiminnan tuottamiseksi)
  • Haavoittuvien palveluiden suojaaminen verkkotasolla (jos hyödyntää verkkoa)
  • Tehostettu valvonta (mikäli haavoittuvuudelle ei tällä hetkellä voi mitään)

Odotettavissa on, että tuotantojärjestelmästä löytyy päivittämättömiä ohjelmistokomponentteja. Syynä tähän on usein se, että ajettava sovellusohjelmisto ei tue niiden asentamista tai että asennuksen pitää odottaa seuraavaa huoltokatkoa, koska se edellyttää järjestelmän uudelleenkäynnistämistä tai toiminnallista testausta. Päivittämättömät ohjelmistokomponentit eivät kuitenkaan tarkoita, että järjestelmä olisi turvaton, kunhan oikeanlaisia vaihtoehtoisia tapoja on käytetty.

Haavoittuvuuksien hallinnan edellytys on hyvä ymmärrys ympäristön laitteista, ohjelmistoista sekä riippuvuussuhteista. Haavoittuvuuksien tunteminen ja ymmärtäminen auttaa myös keskusteluissa toimittajien kanssa. Mikäli koko ympäristön kattava haavoittuvuuksien hallinta koetaan liian suureksi tehtäväksi, suosittelen että työ aloitetaan järjestelmän kriittisistä komponenteista ja rajalaitteista (esimerkiksi palomuurit ja muut laitteet, joihin otetaan yhteyttä tuotantojärjestelmäverkon ulkopuolelta).

4.   Tietoturvallisuuden valvonta

Tuotantoverkkojen etu, verrattuna tavalliseen toimiston IT-verkkoon, on niiden hyvin staattinen liikenne ja rakenne. Laitteiden kuuluu toimia tietyllä tavalla eikä niitä lisätä tai poisteta tuotantoverkkoista jatkuvasti. Tästä syystä tuotantoverkot ovat tavallaan helpompia valvoa, mutta toisaalta IT-ympäristöihin suunnitellut työkalut eivät välttämättä sovellu täysin niiden valvontaan. Markkinoilla on nykyisin saatavilla toinen toistaan hienompia tuotantoverkkojen valvontatyökalua, ja ala elää nousukautta.  

Tietoturvallisuuden valvonta vaatii aina rahallisia panostuksia. Vaihtoehtoisesti organisaation voi panostaa omiin työkaluihin ja oman henkilöstönsä osaamisen kehittämiseen ja ylläpitämiseen tai ostaa ulkoisen palveluntarjoajan palveluita. Tietoturvaympäristö muuttuu jatkuvasti ja tästä syystä myös tietoturvallisuusvalvonnan on seurattava aikaansa. Organisaatiot voivat teknologioiden avulla havaita tietoturvatapahtumia mutta niiden verifiointi ja analysointi vaativat edelleen ihmisen osaamista.  

Tuotantoympäristön tietoturvallisuuden valvonta voi ja kannattaa toteuttaa vaiheittain. Ensimmäisessä vaiheessa kannattaa keskittyä tuotanto- ja IT-verkon rajapintojen valvontaan sekä mahdollisten keskeisten pisteiden valvontaa. Tässä on hyvä huomioida, että IT-verkon valvonta voi hyödyntää tuotantoverkon turvallisuutta, olettaen että suoria ulkoisia yhteyksiä tuotantoverkkoon ei ole olemassa.

Lopuksi

Kyberturva-asiantuntijan näkökulmasta tuotantojärjestelmien tietoturvallisuudessa ensisijainen huolenaihe ei ole aina pahimmalta kuulostava vastustaja. Suurempi uhka piilee tavallisissa haittaohjelmissa ja miltei triviaaleissa arkisissa asioissa.

On hyvä tiedostaa, että miltei jokaisessa tuotantoprosessissa on asioita, joita ei saa missään nimessä tapahtua. Nämä kriittiset tekijät on hyvä tunnistaa ja arvioida huolellisesti voiko niiden toteutumiseen vaikuttaa digitaalisesti. Suojaustoimenpiteet tulee valita ja toimeenpanna siten, että ne ovat kokonaisuuden kannalta järkeviä ja tukevat yrityksen liiketoimintaa. 

 

JOKO TEILLÄ ON SUUNNITELMA X? Suunnitelma B on aina hyvä olla, mutta se on usein se vaihtoehto, johon et halua tarttua – etenkin tietoturvallisuudessa, jossa jo suunnitelma A:n pitäisi toimia. Älä jää odottelemaan suunnitelma B:tä, ota käyttöön suunnitelma X. Lue lisää: Nixu.fi/planX >>