Viime vuosina tuotantoverkkojen kyberturva on ollut laajemmalti fokuksessa huoltovarmuuden, geopolitiikan ja regulaationkin kautta. Sen myötä on ollut ilo seurata miten ammattilaisten toimesta pienilläkin resursseilla toimivat tahot ovat tehokkaasti jalkauttaneet tuotantoon kyberlainsäädännön velvoittamia, todella raskaitakin, kontrolleja. Välillä uidaan kuitenkin todella vahvasti vastavirtaan ja osaltaan ymmärrettävistäkin syistä. Uusi tarve ja budjetti on houkutellut paikalle tekijöitä ”en ole gynekologi, mutta voin vilkaista” -paidoissa.
Kuvitellaan hetki, että rakennat uuden tehtaan. Valmistuslinjat raksuttavat, sensorit mittaavat ja ohjausjärjestelmä puhuu verkossa. Kaikki toimii – hienoa. Sitten joku päättää, että tarvitaan etäyhteys. Ei tietenkään ilmoita kellekään, varsinkaan IT:lle tai CISOlle, joiden säännöt ja palomuurit mutkistavat arkea. Ostaa tutulta automaatiotoimittajalta tutun liitinvalmistajan pseudo-turvallisen reitittimen, joka mainostaakin “käyttävän porttia 443 ja kätkevän täten liikenteen IT:n palomuureilta. Menee läpi sukkana ilman tarvetta keskustella”. Onnittelut – juuri avasit OT-verkkoosi takaoven, josta kuka tahansa voi hiippailla sisään.
Turvallinen etäyhteys ei ole pelkästään VPN-yhteys hyväksytyllä kryptoalgoritmillä
Moni kuvittelee, että tietoturva tarkoittaa sitä, että laittaa VPN:n päälle ja antaa käyttäjälle jonkun salasanan, jota ei ole vaihdettu sitten vuoden 2015. Tässä kohtaa astuu näyttämölle väärä profeetta – se tyyppi, joka lukee blogeja ja toistaa ääneen “Zero Trust” ilman, että on koskaan edes määritellyt, mihin verkossa ei pitäisi luottaa.
Tuloksena syntyy ratkaisu, joka näyttää etäyhteyksien arkkitehtuurilta, mutta on oikeasti enemmän hakkerin unelma kuin kyberturvallisuussuunnittelijan taidonnäyte. Valvomaton vahvalla salauksella suojattu putki suoraan kohteeseen ohi kaikkien kyberturvainvestointien. Kuin salainen tunneli ali Vaalimaan passintarkastuspisteen.
RATit ja bottiverkot: hakkereiden arkkitehdit ovat jo piirrelleet tämän
Jos et sinä rakenna kunnollista, hallittua, dokumentoitua ja valvottua etäyhteysarkkitehtuuria ja politiikkaa, niin joku muu tekee sen kyllä – sinulle. Nimittäin käyttäjät ja automaatiotoimittajat. He tekevät sen aivan samalla tavalla kuin hyökkääjätkin: hankkivat hetkellisen pääsyn paikan päälle sisäverkkoon ja luovat pysyvän piilotetun hallintayhteyden. Hakkereiden kohdalla puhutaan RATeista (Remote Access Trojan) ja shadow IT:n kohdalla HTTPS-liikenteeksi naamioivista VPN-putkista. Tai pahimmillaan erillisistä 4G/5G-reitittimistä. He jopa konfiguroivat yhteyden siten, että se toimii silloinkin, kun työntekijä on lomalla.
Yksi Shadow IT -reititin siellä, toinen "kokeiluluontoinen" TeamViewer-yhteys täällä – ja kas, verkossa onkin sisällä perinteinen bottiverkkoarkkitehtuuri, joka ei välitä edes Active Directory -rajoitteista.
Miten oikea OT-etäyhteys rakennetaan?
- Zero Trust -periaatteella: jokainen yhteys tarkastetaan, autentikoidaan, ja auditoidaan
- Arkkitehtuuri suunnitellaan ja toteutetaan yhdessä IT- ja tietoturvaosastojen kanssa
- Valvotut, keskitetyt yhteysportaalit – ei suoria RDP-yhteyksiä mihinkään
- Näkyvyys on voimavara. Palomuurin tulee nähdä, jotta investoinnista saadaan hyöty irti.
- Lokit talteen, audit trailit käyttöön ja tiedot SIEM:iin asti
Yhteenveto: Tietoturva ei ole yksittäinen valinta – se on arkkitehtuuri
Et voi rakentaa turvallista OT-etäyhteysratkaisua sillä mentaliteetilla, että “tämä toimii just nyt meille”. Koska juuri se “just nyt” ratkaisu jää elämään verkkoon ikuisesti. Kukaan ei muista sitä puolen vuoden päästä, paitsi hyökkääjä, joka huomaa sen Shodanista ja liittyy linjoille tekemään omia mittauksiaan.
Tietoturva on rakennusta – ei rakennelmaa. Sen pitää kestää aikaa, päivityksiä ja käyttäjiä, ja ratkaisuja, joilla varsinkin OT-ympäristöissä voi olla hassujakin rajoitteita. Proprietary protokollat tai kotikutoiset RTU:n IP-stackit, rakennettuna standardinmukaisuuden sijaan, vaikka Windows XP-yhteensopivuus ohjaavana tekijänä, luovat haasteita, joita ei ratkota perinteisin “kun kuso (QSO) kulkee, niin homma on valmis” asenteella. Ja jos et rakenna sitä kunnolla, saat pian ylläpidettäväksesi arkkitehtuurin, joka ei ole sinun, mutta toimii – hakkereille.
Muista: Shadow IT ei ole käyttäjän virhe, se on turvallisen arkkitehtuurin puute
Haluatko oikean suunnitelman OT-etäyhteyksille? Ota mukaan tietoturva-arkkitehti, joka ei pelkää sanoa “ei”, ja jolla on valmiiksi suunniteltuna, testattuna ja dokumentoituna enemmän kuin vain exceli, jossa lukee “VPN valmis”. Meidän mielestä virtuaalinen sisääntulo tulee olla vähintään yhtä tarkka, tai jopa tarkempi prosessi, kuin tehtaan linjastolle suoritettava fyysinen vierailu. Täytyy tietää kuka tekee, tehdäänhän vain sovittuja asioita, ja kenen valvonnan alaisuudessa. Etukäteen, nyt ja jälkikäteen.