Tulostusversio

3/2013

Automaation tietoturva varmistaa jatkuvuutta

Teksti: Antti J. Lagus

Teollisuudessa on viime vuosina kiinnitetty entistä enemmän huomiota automaation tietoturvaan, mutta vielä on parannettavaa.

Asiantuntijat ovat heränneet teollisuusautomaation tietoturvaan jo ennen suurta kohua aiheuttaneen Stuxnet-haittaohjelman paljastumista. Muutama vuosi sitten paljastunut Stuxnet kuitenkin toi teollisuuden tietoturvauhat kertaheitolla myös johdon tietoisuuteen.

Tietohallinto ja automaatio puheväleihin

Teollisuuden automaatiojärjestelmät on perinteisesti pyritty suojaamaan pitämällä ne tehdasverkon sisällä omassa verkossaan. Tehtaan omat palomuurit ja toimistoverkot pidetään erillään automaatioverkosta. Toki tuotannon ohjaukseen tarvitaan tietoa automaatiojärjestelmistä, mutta aukkojen määrä niiden rajapinnassa pidetään pienenä.

Suojauksista huolimatta järjestelmä ei ole sanalla sanoen aukoton.

Teollisuudessa tietoturvan yhtenä suurimpana haasteena ovat automaation ja tietoturvan erilaiset tarpeet sekä tietohallinnon ja automaation asiantuntijoiden vuoropuhelu erilaisista lähtökohdista huolimatta. Tietohallinnon kannalta tärkeintä on, että järjestelmien tietoturva on kunnossa. Automaatioasiantuntijat taas korostavat sitä, että tuotanto toimii tauotta.

”Automaatioihmisten keskustelu IT-ihmisten kanssa ei aina ole ollut helppoa, tosin tämä on muuttunut viime vuosikymmenen aikana”, Metso Automationin projektipäällikkö Markku Tyynelä sanoo.

Tietoturvatestausta parannetaan

Automaatiojärjestelmissä on tyypillisesti laitteita useilta eri toimittajilta, ja laitteiden huolto tehdään mielellään etäyhteyksien kautta. Tässä piilee yksi teollisuusyrityksen haasteista, sanoo tietoturva-asiantuntija Erika Suortti-Myyry. Hän työskentelee Viestintävirastossa toimivassa CERT-FI:ssä.

”Monitoimittajaympäristössä tämä voi tarkoittaa, että kukin toimittaja tulee järjestelmään sisään omalla menetelmällään. Asiakasyritysten intressissä kuitenkin olisi, että kaikki käyttävät samaa menetelmää”, hän lisää.

Automaatiolaitteiden ja -ohjelmistojen toimittajat ovat asiakkaiden toiveiden vuoksi alkaneet jo lisätä tietoturvapiirteitä järjestelmiinsä, mutta vielä ei ole muodostunut standardeja siitä, mitä järjestelmään tulisi kuulua.

Automaatiojärjestelmissä ei vanhastaan ole esimerkiksi tehty varsinaista tietoturvatestausta, vaikka normaalit testausrutiinit ovatkin sisältäneet myös tietoturvaan liittyviä testejä. Markku Tyynelä kertoo, että esimerkiksi Metso Automationissa tietoturvatestaukseen on käytetty myös kolmansia osapuolia todentamaan, että automaatiojärjestelmän ohjausyksiköiden tietoturva on asiallisesti toteutettu.

Tietoturvatestaus on vielä kehittyvä alue. Hiljattain Metso Automation osallistui Tekesin Diamonds-hankkeeseen, jossa tutkittiin mallipohjaisia tietoturvatestaus- ja valvontamenetelmiä. Metso Automationin vetämässä tapaustutkimuksessa perinteisten määrämuotoisten tietoturvatestien rinnalle kehitettiin uusia satunnaismenetelmillä luotuja testimenetelmiä, jotka vastaavat paremmin todellisuutta, muun muassa verkosta mahdollisesti tulevia syötteitä. Satunnaismenetelmätesteillä voidaan varmistua paremmin myös siitä, että järjestelmä toipuu erilaisista uhkatilanteista.

Automaatio ja perus-IT lähestyvät toisiaan

Ennen vanhaan teollisuusautomaatiossa käytettiin paljon omia, vain automaatiokäyttöön luotuja erikoisjärjestelmiä. Nyt automaation ja perusinformaatioteknologian raja-aita on madaltanut, ja teollisuudessa käytetään peruskäyttöjärjestelmien (Windows, eri Unixit, Linux) kovennettuja versioita.

Neste Oilin tietohallintojohtaja Tommi Tuovila arvioi, että teollisuusautomaatio ja muu tietotekniikka lähestyvät toisiaan. Tämä näkyy jo käyttöjärjestelmien ja tietoliikennelaitteiden yhdenmukaistumisessa.

Kun samankaltaisia käyttöjärjestelmiä hyödynnetään talon kaikissa toiminnoissa, myös tietohallintoyksiköiden ja sitä kautta tietoturvan rooli automaatiossa kasvaa. Tuovila luonnehtii teollisuusautomaation ja muun tietohallinnon rajaa ”veteen piirretyksi viivaksi”. Neste Oililla koko yrityksen tietoturvasta vastaa tietohallinto.

Tuovilan mielestä tietojärjestelmien laadussa on monesti ollut toivomisen varaa.

”Perus-IT:n puolella voitaisiin ottaa oppia operationaalisten järjestelmien suoraviivaisuudesta.”

Järjestelmässä ei vikaa

Peruskäyttöjärjestelmiä hyödyntämistä teollisuusautomaatiossa on pidetty myös riskialttiina. Esimerkiksi Stuxnet levisi työasemalta toiselle hyödyntämällä Windows-käyttöjärjestelmän haavoittuvuuksia. Ratkaisuna onkin esitetty oman käyttöjärjestelmän luomista nimenomaan automaation tarpeisiin.

Automaation tietoturva-asiantuntija Jari Seppälä Tampereen teknillisen yliopiston systeemitekniikan laitokselta ei usko, että teollisuuden oma käyttöjärjestelmä ratkaisisi tietoturvaongelmat.  

”Ongelma ei ole käyttöjärjestelmässä vaan ihmisissä, jotka käyttävät järjestelmiä. He voivat tehdä virheitä, ja he ovat alttiita erilaisille manipulointiyrityksille.”

Stuxnetkin pääsi alun perin suljettuun järjestelmään tiettävästi muistitikun kautta, Seppälä muistuttaa.

”Käyttäjille tulee usein halu asentaa automaatiota ohjaaviin tietokoneisiin myös muita ohjelmia, esimerkiksi toimistosovelluksia. Tällöin rikotaan automaatiota varten tehty kovennus”, Seppälä sanoo.

Hän peräänkuuluttaa tietoturvan sisällyttämistä yrityksen normaaliin riskienhallintaan. Yrityksen johdon pitää esimerkiksi ottaa kantaa siihen, miten vaikkapa tuotanto-optimointien varastaminen tai haittaohjelmien levittäminen laitteiden kautta vaikuttaisi liiketoimintaan.

Alihankkijoilta vauhtia uudistuksiin

Vaikka lähes kaikki isommat yritykset ovatkin Jari Seppälän mukaan ymmärtäneet automaation tietoturvaongelman, pienissä ja keskisuurissa yrityksissä edistyminen on ihmisistä kiinni: joko tehdään tai sitten ei. Välttämättä mitään ei tapahdu, jos asiakas ei vaadi alihankkijoitaan laittamaan prosessiaan kuntoon.

”Yksinkertaisesti toteutettava tietoturva, joka ei vaadi yliopistotutkintoa, parantaisi käytäntöjä. On myös ymmärrettävä, että tietoturva on olennainen asia kilpailukyvyn ja järjestelmän luotettavuuden kannalta”, Seppälä sanoo.

Yhtenä ratkaisumallina Seppälä ehdottaa automaation tietoturvaan liittyvän opinnäytetyön teettämistä yrityksessä. Tämä on hänen mukaansa halpa tapa levittää tietoturva-ajattelua ja siirtää osaamista.

Lue myös

Teollisuusautomaation viisi vinkkiä »
Teollisuuden standardityö etenee »
Ethernet tuli - onko teollisuus valmis? »
HAVARO analysoi ja varoittaa »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.