Teollisen internetin tietoturva tulee ottaa tosissaan, mutta pelolle ei saa antaa valtaa. Teollisuudessa prosessien etäohjausautomaatiot vaativat erityistä huomiota tietoturvan rakentamisessa.
Yritysten tietoturvaan liittyvien laitteiden ja palveluiden tarve kasvaa koko ajan
On tärkeää tiedostaa, että teollisen internetin tietoturvariskit perustuvat samoihin uhkiin kuin muutkin internetmaailman uhkat. Esimerkiksi paperikone itsessään ei ole haavoittuva, vaan siihen liitetyt lisäosat, joita ei aina edes osata ajatella verkkoon liitettyinä laitteina, joita pitäisi suojata. Näillä lisäosilla ohjataan vaikkapa liukuhihnoja ja uuneja tai leikkureita.
Isoissa yrityksissä tietoturvaan on valjastettua väkeä ja niissä käytetään myös ulkopuolisia asiantuntijoita. Joissakin yrityksissä asia jätetään it-tuen harteille ja odotetaan homman hoituvan näin. Toiset taas vain sinnittelevät oman osaamisensa varassa.
Tietoturvan asiantuntijat mukaan suunnitteluvaiheessa
Olisi toivottavaa, että tietoturvan asiantuntijat otettaisiin liiketoimintahankkeisiin mukaan jo suunnitteluvaiheessa, eikä vasta sitten, kun valmis järjestelmä pitää tarkastaa, tai jos vahinko on päässyt jo syntymään.
Kun yritys kertoo, mitkä liiketoiminta-alueet tai prosessivaiheet ovat kriittisiä, niin tietoturva-asiantuntijat osaavat suojata juuri ne. Näin säästetään aikaa ja rahaa. Kansainvälisesti ajateltuna tietoturva on Suomessa ihan hyvällä mallilla. Tietoturvaan liittyvät uhat tulee ottaa tosissaan, mutta pelkoon ei ole aihetta. En halua pelotella kyberuhkilla.
Teollisen internetin tietoturvaratkaisut eivät ole rakettitiedettä, vaan ihan arkijärjellä ymmärrettävää osaamista. Tärkeintä turvan suunnittelussa on tietää, miltä prosessi tai toiminto halutaan suojella. Kun riskianalyysi on tehty, voidaan myös suojaus kohdentaa oikein, ja pitää uhkamallia oikealla tasolla.
Verkkoon tunkeutujat voidaan jakaa neljään eri lajiin
Yksi ryhmä ovat uteliaat amatöörit, jotka kokeilevat onneaan. Toisen ryhmän muodostavat aktivistit, jotka toimivat aatteen palossa. Kolmantena ovat rikolliset, jotka yrittävät hyötyä taloudellisesti tietojen varastamisesta esimerkiksi kiristysmielessä. Neljäntenä ovat valtiollisten tahojen resursoimat toimijat.
Emme ole Suomessa suojassa hyökkäyksiltä. Alan ammattilaiset törmäävät säännöllisesti isoilla resursseilla tehtyihin hyökkäyksiin. Teollisuusvakoilu on totta monissa firmoissa.
Tekniset ratkaisut ovat korvaamattomia tietoturvaa rakennettaessa
Monet tekniset ratkaisut, joita on myös Sarlinin valikoimassa, ovat korvaamattomia tietoturvaa rakennettaessa. Ratkaisujen valinnassa on merkittävää juuri riskikartoitus, jotta osataan suojautua oikein. Räätälöidyt tekniset ratkaisut yhdessä suunnittelun kanssa rakentavat kokonaisuuden. Kokonaisuuden rakentamisessa on tärkeää säätää ja konfiguroida laitteet oikein. Pelkkä laite ei luo turvaa.
Teollisuusautomaatiojärjestelmien tietoturvan ongelmakohta on usein etäohjaus, jota saatetaan tehdä naapurihuoneesta tai toisesta maasta. Toisaalta järjestelmään pitää päästää esimerkiksi huollosta ja kunnossapidosta vastaavia kumppaneita. Etäohjauksessa on tärkeää huolehtia suojauksista, ja rajata, ketkä pääsevät verkkoon sekä valita tietoturvalliset VPN-ratkaisut.
On helpompaa avata VPN-pääsy verkosta verkkoon kaikille käyttäjille, mutta turvallisempi ratkaisu olisi tunnistaa ketkä käyttäjät oikeuksia tarvitsevat, minkätasoisia oikeuksia heille on sallittava, ja seurata järjestelmässä tehtyjä toimenpiteitä.
Ohjelmistopäivitykset ajallaan
Ohjelmistopäivitykset tuottavat myös ongelmia. Päivitykset olisi hyvä tehdä ajallaan, koska ne parantavat sovellutusten toimivuutta ja esimerkiksi havaittuja tietoturvariskejä on päivityksissä korjattu. Käytännössä laite saatetaan kuitenkin päivittää vaikka vain puolen vuoden välein huollon yhteydessä eikä väliajalla lainkaan.
Teollisuudessa haasteena on myös se, että koneiden ja laitteiden elinkaari on pitkä. Kone on saatettu valmistaa kymmenen vuotta sitten tai jopa ennen internetaikaa ja se toimii vielä seuraavat kaksikymmentä vuotta. Automaatio on kytketty niihin internettiin liitetyillä lisälaitteilla, joiden turvallisuudesta pitää huolehtia. Lisälaitteiden teknisiä ratkaisuja mietittäessä tulee miettiä tarkoin se, mihin tarkoitukseen tekniikka tulee, koska valikoimaa on paljon.
Palomuuri ei yksin riitä
On itsestään selvää, että täytyy olla toimivat palomuuri- ja antivirusjärjestelmät. Mutta palomuuri ei yksin riitä, koska siinä on pakko olla reikiä esimerkiksi sähköpostiliikennettä varten. Tunkeutujat myös etsivät aina ne verkon hauraimmat kohdat.
Suojaukseen on tarjolla myös yksisuuntaisia yhdyskäytäväratkaisuja. Niitä käytetään aina silloin, kun kaksisuuntaista liikennettä ei tarvita, jolloin puhdas yksityinen verkko ja likainen julkinen verkko voidaan pitää erillään. Yksisuuntaisuus ei kuitenkaan aina riitä. Vaarana tässä on myös se, että tietoturvan suurin riski eli ihminen vie laitetta ohjaavalle tietokoneelle haittaohjelman esimerkiksi muistitikkunsa kautta, kun kahdensuuntainen liikenne ei ole mahdollista.
Hyvää tietoturvaa käytetään ihan liian vähän kilpailuetuna. Tietoturvasta tulee keskustella avoimesti ja kertoa myös se, jos ongelmia on ollut, mutta ne on voitu voittaa. Tietoturvan rakentaminen on kaikissa yrityksissä haasteellista.
Pelkkä leima ei kerro toimivasta tietoturvasta, vaan aktiivinen toiminta. Jos avoimesti kertoo, että meillä oli tämä ongelma, mutta ratkaisumme selättivät sen näin nopeasti. Tämä vakuuttaa enemmän kuin pelkkä leima,
kirjoittanut Janne Kauhanen/F-Secure Oyj
