Tulostusversio

1/2010

Tietoturva: Teollisuusautomaatiossa turva vaatii yhteistyötä

Teksti: Markku Tyynelä

Tietoturvan tärkeys teollisuuden ohjausjärjestelmissä on kasvanut jatkuvasti 2000-luvulla. Lisääntyneet uhat, tietoisuus kriittisen infrastruktuurin suojaamisesta sekä halu turvata liiketoiminnan jatkuvuus ja minimoida tietoturvariskit asettavat uusia vaatimuksia sekä käyttäjille että toimittajille.

Teollisuuden ohjausjärjestelmiä käytetään kaikilla teollisuudenaloilla ja yhteiskunnan toimivuuden kannalta kriittisessä infrastuktuurissa. Ne vastaanottavat kentältä tietoja laitoksen tai verkon toiminnasta ja näiden pohjalta ohjaavat prosessia varmistaen tuotannon jatkuvuuden. Häiriötilanteissa ne suorittavat toimenpiteitä tilanteen vakauttamiseksi ja tarvittaessa ajavat järjestelmän alas nopeasti ja turvallisesti.

Perinteisesti teollisuuden ohjausjärjestelmät perustuivat suljettuihin, valmistajakohtaisiin käyttöjärjestelmiin ja verkkoihin. Näin ne pysyivät omina turvallisina saarekkeinaan eivätkä niiden häiriöt haitanneet laajasti muun yhteiskunnan toimintaa.

Viime vuosikymmeninä ohjausjärjestelmistä on kuitenkin tullut osa yhteiskunnan peruspalvelujen tuotantoa. Esimerkiksi sähkön jakeluverkot, teollisuuden ohjausjärjestelmät sekä tietoverkot ovat nivoutuneet yhteen muodostaen sähköverkon infrastruktuurin. Sen toimintaongelmat voivat aiheuttaa laajoja häiriöitä ja pahimmillaan lamauttaa koko yhteiskunnan toiminnan.

Tietoverkkojen yleistyminen ja yhä laajeneva verkottuminen on lisännyt sellaisia uhkia, joiden torjunnassa tietoturva on merkittävässä roolissa. Yhteiskunnan toiminnan suojaaminen vaatii teollisuuden ohjausjärjestelmien tietoturvan asianmukaista hoitamista.

Käytettävyys etusijalla

Teollisuuslaitoksen toiminnassa ohjausjärjestelmä ja sen tietoturva ovat osa kokonaisuutta.

Teollisuuden ohjausjärjestelmien käyttöikä on pitkä, jopa kymmeniä vuosia. Tänä aikana tuotantolaitoksella tehdään toimenpiteitä, joiden lopputuloksena käytössä on eri ikäisiä ohjausjärjestelmiä usealta toimittajalta. Tässä ympäristössä koko elinkaaren kattavan tietoturvan ylläpito on haastavaa.

Samalla, kun järjestelmät ovat enenevässä määrin verkottuneet, niiden käytettävyysvaatimukset ovat kasvaneet. Ohjelmistoissa ja laitteissa käytetään entistä enemmän kaupallisia komponentteja, mikä lisää tietoturvauhkia.

Teollisuuden päätavoitteena on tuotannon varmistaminen. Tuotantoa vaarantavat ratkaisut, kuten uudelleenkäynnistyksen vaativat automaattiset ohjelmistopäivitykset, eivät siksi tule kyseeseen. Tämä on huomioitava valittaessa IT-ratkaisuja ohjausjärjestelmiin.

Mukaan jo ostovaiheessa

Ohjausjärjestelmän toimitusprojektissa on yleistä, että tietoturva huomioidaan liian myöhään. Järjestelmän käyttöönotossa saatetaan huomata, etteivät sen tietoturvaratkaisut sovi yhteen laitoksessa jo käytössä olevien ratkaisujen kanssa.

Tietoturva tuleekin huomioida jo hankintaprosessissa. Jo alussa on hyvä tietää vaadittava tietoturvataso, vaikka teknistä osuutta ei tarkasti vielä määritellä. Teollisuuslaitoksen ja tilatun ohjausjärjestelmän tietoturvapolitiikat pitäisi käydä läpi hyvissä ajoissa ennen käyttöönottoa. Asiakkaan IT-osaston tarjoamien ratkaisujen pitää olla perusteltua. Niiden toimivuus on varmistettava yhdessä automaatio-osaston ja ohjausjärjestelmän toimittajan kesken tuotantoa vaarantamatta.

Tekniikka toimittajalta

Ohjausjärjestelmien toimittajalla on syvällisin tekninen tietämys tuotteestaan, joten tietoturvan tekniset ratkaisut ovat sen vastuulla. Tilannetta hankaloittaa se, että teollisuusautomaatioihin suunnitellut tietoturvastandardit tekevät vasta tuloaan.

Tietoturvaa varmistetaan jo tuotekehitysvaiheessa. Laitteistojen ja ohjelmistojen kehittämiseen, esimerkiksi monille ohjelmistokielille, on olemassa omat suositeltavat tietoturvakäytäntönsä. Avoimen lähdekoodin käyttö on yleistä ja silloin koodin oikeellisuus voidaan joutua varmistamaan käymällä läpi koodirivit. Valmiin tuotteen toimivuus varmistetaan aina kattavalla testauksella.

Järjestelmätason tietoturvaan käytetään yleisesti hyviksi havaittuja perusratkaisuija. Esimerkiksi ohjausverkko erotetaan muusta tehdasverkosta palomuurilla tai suojavyöhykkeellä. Hyvä suunnittelu suojaa ohjausverkkoa häiriöiltä, samoin verkkolaitteiden oikeaoppinen konfigurointi. Mahdollisuuksien mukaan PC-koneita suojataan virustorjuntaohjelmistoilla. Käyttöjärjestelmiä ”kovennetaan” poistamalla käytöstä tarpeettomat palvelut ja portit.

Yleistymässä ovat myös kehittyneemmät ratkaisut, kuten tunkeutumisen havaitsemis- ja estojärjestelmät (IDS/IPS, Intrusion Detection/Protecion System) ja erilaiset toimittajakohtaiset ratkaisut.

Turvaa myös toimituksen jälkeen

Toimittajalla on velvollisuus varmistaa toimitettavan ohjausjärjestelmän tietoturva toimitusprojektin ajan ja tarjota ratkaisut toimituksen jälkeiseen ylläpitoon. Asiakkaalla on vastuu liiketoiminnasta ja velvollisuus huomioida tietoturva järjestelmähankinnoissa sekä ottaa käyttöön parhaiten sopivat tietoturvaratkaisut.

Teollisuusympäristössä tietoturvan ylläpito on erityisen haastavaa. Jotta tietoturva toimii käytännössä, sen eri työvaiheiden on oltava mukana teollisuuslaitoksen normaaleissa toimintaprosesseissa kattaen laitoksen koko elinkaaren hankinnasta ylläpitoon. Tärkeää on, että toimittaja ja asiakas yhdessä sopivat hyvän tietoturvatason takaavasta ylläpitotoiminnasta. 

Toimittajan tulee luoda tietoturvaprosessit myynnistä tuotekehityksen kautta asiakaspalveluun, sisältäen tietoturvauhkien havainnointi ja haavoittuvuuksien käsittely mukaan lukien.. Tietoturvapolitiikat ja -ohjeistukset auttavat käytettävien ratkaisujen ymmärtämisessä ja tiedottamisessa.

Turvattu tulevaisuus?

Uusien teknisten ratkaisujen, kuten langattomien tekniikoiden, käyttö ohjausjärjestelmissä on lisääntymässä. Uudet teknologiat vaikuttavat usein myös tietoturvaan, ja myös kehitettävät tietoturvastandardit asettavat vaatimuksia ohjausjärjestelmille. Nämä on huomioitava hyvän tietoturvatason saavuttamiseksi. Tietoturvan tulee olla osa järjestelmän elinkaaren hallintaa.

Teollisuuden ohjausjärjestelmien tietoturva vaatii eri osapuolten yhteistyötä. Näin voidaan jatkossakin varmistua sekä liiketoiminnan jatkuvuudesta että yhteiskunnan infrastruktuurin toimivuudesta.

----

[KIRJOITTAJA]

Projektipäällikkö Markku Tyynelä työskentelee Metso Automationilla. Hän on mm. osallistunut ”Teollisuusautomaation Tietoturva”-kirjan (Suomen Automaatioseura, SAS julkaisusarja no. 29, 2005) tekemiseen ja toimii parhaillaan puheenjohtajana kriittisten automaatiojärjestelmien tietoturvaa käsittelevässä CERT-FI-alityöryhmässä.

Lue myös

Tietoturva: Teollisuusautomaatiota verkoista voimaloihin »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.