Tulostusversio

4/2013

Kyberturvallisuus: ”Mikään ala ei ole turvassa”

Teksti: Päivi Männikkö

TS_413_Schekkerman.jpgKaikki tuotannonalat ja niiden toimijat voivat joutua kyberiskun kohteiksi, muistuttaa tietoturva-asiantuntija Jaap Schekkerman.

Suomessa marraskuun lopussa vieraillut Jaap Schekkerman työskentelee CGI:ssä teollisuuden ohjausjärjestelmien tietoturvan parissa. Hänet tunnetaan myös kokonaisarkkitehtuurin asiantuntijana.

Maailmalla moni kriittisen infrastruktuurin toimija on joutunut kyberiskun kohteeksi, vaikka vain muutama tapaus on ollut esillä julkisuudessa. Yritykset eivät tahdo uskoa, kuinka yksinkertaista kyberhyökkäyksen tekeminen voi olla.

”Edellisen konferenssin jälkeen näytin erään valmistajan asiantuntijoille, kuinka helppoa heidän esittelemäänsä järjestelmään oli murtautua”, Schekkerman kertoo.

”Siihen tarvittiin viisi hiiren klikkausta ja netin ilmaistyökaluja, joilla pääsee melkein mihin tahansa järjestelmään.”

”He olivat todella hämmentyneitä.”

Takaovia on kaikkialla

Schekkermanin mukaan käytännössä kaikissa tuotantojärjestelmissä on haavoittuvuuksia, jotka mahdollistavat järjestelmään tunkeutumisen ja sen manipuloinnin.

”Sulje ensin takaovet. Tee sen jälkeen riskianalyysi, jotta tiedät, missä todelliset riskit ovat”, hän tiivistää.

Kokonaan muusta maailmasta eristetty tuotantoympäristö olisi melko hyvässä turvassa, mutta:

”Nykyisin pienetkin tuotantolaitokset ovat yhteydessä muuhun maailmaan tai ainakin pääkonttoriinsa. Kun näitä yhteyksiä ulkomaailmaan luodaan, pitää rakentaa myös suojaus- ja havaintomekanismeja.”

Hän korostaa ympärivuorokautisen havainto- ja reagointikyvyn välttämättömyyttä kriittisissä järjestelmissä. Kun järjestelmiä valvotaan jatkuvasti, tieto poikkeamasta saadaan nopeasti ja siihen voidaan reagoida.

Langattomuus on lisäriski

Järjestelmät tulisi Schekkermanin mukaan suojata automaatio- ja ohjausjärjestelmien tietoturvan standardiperheen IEC 62443 viitoittamalla tavalla. Toimiston, tehtaan ja ohjausjärjestelmien koneiden tulisi olla omissa verkoissaan ja niiden välisen tietoliikenteen kulkea suojattuja ja valvottuja väyliä pitkin.

Erityisen tärkeää on suojata hyvin langattoman ja langallisen verkon välinen väylä, Schekkerman huomauttaa. Näin siksi, että langattomien verkkojen suojaus on vaikeampaa ja vastaavasti niiden murtaminen langallisia helpompaa. Langattomia verkkoja ei siksi tulisikaan käyttää tuotannon kannalta kaikkein kriittisimmissä toiminnoissa.

Verifioi ensin, luota vasta sitten

Tuotantolaitosten tietoturvariskejä lisää se, että tyypillisesti niiden laitteistoilla on useita toimittajia. Usein ne saavat huolehtia toimittamansa laitteiston päivityksistä itsenäisesti etäyhteyden avulla – päästen samalla käsiksi automaation valvomojärjestelmiin.

”Minun mielestäni toimittajiin ei voi luottaa, koska mistä tiedät, että heidän tietoturvansa on samaa tasoa kuin sinun organisaatiossasi? Tehdasympäristöön ei saa olla suoraa pääsyä.”

Schekkerman kehottaa testaamaan toimittajan lähettämät päivitykset ensin esimerkiksi toimistoverkossa eristetyssä ympäristössä sen selvittämiseksi, että niiden sisältö on sovitunlainen.

Tuumasta toimeen

Kriittisen infrastruktuurin tietoturvapuutteista on viime vuosina keskusteltu yhä äänekkäämmin, ja viimeistään haittaohjelma Stuxnet herätti muutkin kuin asiantuntijat pohtimaan teollisuuden tietoturvaongelmia. Jaap Schekkermanin mukaan USA:ssa viranomaisten tietoisuus kyberuhista on korkeammalla tasolla kuin Euroopassa. USA:ssa on presidentti Obaman päätöksellä aloitettu strategiatyö, jossa standardiviranomainen NIST ja teollisuus kehittävät teollisuudelle vapaaehtoisuuteen perustuvaa kyberturvallisuuden säännöstöä. NIST on laatinut teollisuuden tietoturvastandardeja jo aikaisemminkin.

Euroopassakin on herätty. EU:n kyberturvallisuusstrategia julkistettiin helmikuussa, ja verkko- ja tietoturvavirasto ENISA julkaisi joulukuun alussa selvityksen teollisuusautomaation valvomo-ohjelmistojen (SCADA) parhaista käytännöistä.

Suomessa kansallinen kyberturvallisuusstrategia julkaistiin talvella 2013, ja nyt laaditaan strategian toimeenpano-ohjelmia. Meillä kyberturvallisuustyö perustuu hallinnon ja yksityisen sektorin tiiviiseen yhteistyöhön. Tämä todetaan myös valtioneuvoston joulukuussa antamassa päätöksessä huoltovarmuuden tavoitteista. Päätöksessä painotetaan yritysten vastuuta toimintansa kannalta ratkaisevien riskien tunnistamisesta ja niihin varautumisesta.

Strategiat pitää jalostaa toimintasuunnitelmiksi, ja päättäjien ja teollisuudenalojen yhteistyön pitää olla vahvaa, Jaap Schekkerman sanoo terveisinään kyberturvallisuusstrategian toimeenpanoa valmisteleville suomalaispäättäjille.

Lue myös

Automaation tietoturva varmistaa jatkuvuutta »
Teollisuusautomaation viisi vinkkiä »
Teollisuuden standardityö etenee »
Ethernet tuli - onko teollisuus valmis? »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.