Ajatuksia OT-verkoista ja -tietoturvasta

Tämän kirjoituksen aiheena on perinteisten tuotantolaitosten infra. Myöhemmissä kirjoituksissa otamme enemmän kantaa dynaamisiin tuotantoverkkoihin, kuten  sairaala-, IoT- ja taloautomaatioverkot sekä pilvituotantoverkot. Haasteet samoja, ympäristöt erilaisia.

Perinteisten tuotantolaitosten tietoliikenneverkot ovat viimeisen kvartterin aikana kehittyneet äärimmäisen paljon. Kvartteri on tosin tässä yhteydessä 25 vuotta, mutta ei anneta sen häiritä. Modernit verkkoteknologiat, pilvipalvelut, kolmansien osapuolten etäyhteydet ja ATK yleisesti on saavuttanut ennen niin suljetut tuotantoympäristöt. Sarjaliikenteen lisäksi liikennöinti tapahtuu Ethernet-kaapelissa tai valokuidussa ja IP-protokollaa käyttäen. IP-protokollan sisällä tosin ei kuitenkaan kulje HTTP, kuten nykyisin on tapana, vaan näihin ympäristöihin suunniteltujen laitevalmistajien omat hyvin vaihtelevat protokollat. Laitevalmistajien ensisijainen ajatus on ollut tuottaa ja toimittaa hyvin toimintavarmoja yksinkertaisia laitteita. Tietoturva alustassa tai laatu koodissa eivät ole olleet kehitystyössä kovinkaan korkealla prioriteetillä.

Uusia tuotantolinjoja tehdään jatkuvasti, mutta vanhojen kokonaisuudistukset ovat harvinaisia. Yksittäisen linjan elinkaari voi olla jopa kymmeniä vuosia. Sen sijaan tietoliikenteeseen ja tietoturvaan käytettävien laitteiden elinkaari on tyypillisesti 5-7 vuotta. Tämä aiheuttaa elinkaariongelman, joka usein kuitataan sillä, että ajetaan tietoliikenne- ja tietoturvalaitteita reilusti niiden viimeisen käyttöpäivän ylitse. Tämä altistaa laiterikoille, pahimmillaan tietoturvauhille, koska laitteisiin ei ole enää saatavilla esimerkiksi päivityksiä tietoturva-aukkoihin. Oleellisinta on, että tuotantolinjan päästä tulee laatuvaatimukset täyttävää tavaraa eikä verkkoliikenteessä tapahtuvien häiriöiden takia roskiin kaadettavaa hävikkiä.

Ennen seilattiin sokeana ja elettiin mukavuusalueella lintukodossa, koska ulkoisia tai sisäisiä riskejä tuotantolaitoksissa oli niin vähän. Maailmanpoliittinen tilanne, kansallinen tietoturvailmapiiri, tekoäly ja nuorison ohjaamaton vapaa-aika vaikuttavat myös tuotantolaitosten tietoturvatilanteeseen. Vaikka kansallisen ja EU-tason lainsäädäntö ja regulaatio laahaa hieman perässä niin todellisuuteen ja tilanteeseen on kiinnitetty vuoden sisään merkittävästi enemmän huomiota kuin aikaisemmin.

Tuotantolaitosten ja kriittisen infrastruktuurin tietoturvasta on tulossa tulevien vuosien kuumin peruna. Ja tämä ei johdu ainoastaan suomalaisiin tuotantolaitoksiin ja Ukrainan infrastruktuuria vastaan kohdistetuista hyökkäyksistä. Vaikka aikaisemminkin on ollut hirveä määrä standardeja, joita toimialasta riippuen on pitänyt toteuttaa, on toteutus ollut kovin tulkitsijasta riippuvaa ja jopa erittäin vaillinainen. Nyt kuitenkin samaan aikaan tarjotaan keppiä ja porkkanaa, hyvinä esimerkkeinä NIS2 ja tietoturvaseteli. Riskejä halutaan tunnistaa, niille halutaan oikeasti tehdä jotain ja budjettiakin pitää löytyä. Sakon uhka toimii hyvänä motivaattorina, kuten yleisen tietosuoja-asetuksen (GDPR) toteutuksissa huomattiin. Hyökkäyksissä ja niiden palautumisessa on sakkojen lisäksi kuitenkin kyse koko liiketoiminnan vaarantumisessa. Viime kädessä vastuussa tietoturvan laiminlyönneistä on organisaation ylin johto.

Ennakoivien toimenpiteiden suunnittelu on käynnistynyt kaikissa liiketoimintariskejä analysoivissa pöydissä. Halvempaa on satsata muutamia promilleja liikevaihdosta uusin ratkaisuihin ja palveluihin, jos kolikon toisella puolen on parin prosentin globaalin liikevaihdon tai 10 miljoonan euron sakot. Usein hankkeiden läpivienti hidastuu kuitenkin osaamispulaan. Kuka osaisi puhua niin liiketoiminnalle, automaatioihmisille, tietoturvakavereille ja tietoverkkoveijareille sekä ottaa huomioon kolmansien osapuolien sidosryhmät. Tämän lisäksi pitää tietysti ymmärtää kaikkien osapuolten tarpeet ja prosessit sekä tehdä toteutus.

Asiakastarpeiden ymmärtämisen jälkeen oleellisinta näissä ympäristöissä on luoda kokonaiskuva ja näkyvyys. Oikeilla teknologisilla ratkaisuilla on pystyttävä tuottamaan dataa niin liiketoimintariskeistä, suunnittelemaan järkevästi ennakoivia huoltotoimenpiteitä ja parantamaan tietoturvaa sekä yleistä reagointikykyä ympäristössä tapahtuviin (tietoturva, tuontanto) muutoksiin tai poikkeamiin. Toinen merkitsevä asia on verkkojen suunnittelu ja segmentointi - mikro- tai makrotasolla. Tärkeintä on, että oikeat laitteet (ohjelmoitavat logiikat tai ohjainserverit) pääsevät vapaasti liikennöimään oikeille laitteille asianmukaisia protokollia käyttäen. Tarpeeton verkkomöly tai haitallinen verkkoliikenne havainnoidaan ja vaiennetaan. Etäyhteydet modernisoidaan ja logitetaan. Pilviyhteydet ja -alustat suojataan tarpeiden mukaisesti. Myös omat serverit ja päätelaitteet suojataan, jos se on mahdollista. Kun riskejä on pienennetty, jäljelle jää enää jatkuva kehitystyö, asioiden valvonta ja hallinta. Joka on kyllä melkoisen iso kakku sekin.

Kiinnostaako aihe lisää? Onko se organisaatiollenne ajankohtainen? Pyydä asiantuntijamme paikalle keskustelemaan lisää aiheesta.