Kumppaniblogi, Juhani Mäkelä, Nixu Oy: Teollisen internetin tietoturva


nixuOlipa kerran ATK

Teollisuuden tuotannonohjaus- ja valvontajärjestelmät olivat ensimmäisten joukossa hyödyntämässä tietotekniikkaa jo 1960-luvulta alkaen. Kuvaruudut ja näppäimistöt olivat tehtaissa ja voimaloissa arkipäivää silloin, kun kotitietekoneita ei osattu vielä kuvitellakaan.

Tiedonkäsittelykapasiteetin kasvaessa ja tiedonsiirtoverkkojen kehittyessä entistä nopeammiksi ja luotettavammiksi erilliset järjestelmät ovat sittemmin yhdistyneet tuhansia elementtejä käsittäviksi integroiduiksi tietojärjestelmiksi, joiden avulla teollisuuden prosesseja hallitaan pienimpiä yksityiskohtia myöten.

Mahdollisuus kerätä tarkkaa ja ajantasaista tietoa tuotantoketjun kaikista vaiheista lisää tuottavuutta, kun turhaa tyhjäkäyntiä voidaan eliminoida ja luotettavuutta parantaa tarkempaan seurantaan perustuvan ennakoivan huollon avulla. Kaikki on siis hyvin, vai onko?

Jos Googlen hakukenttään tänä päivänä kirjoittaa termit ICT (Information and Communications Technology) ja SCADA (Supervisory Control And Data Acquisition), heti ensimmäisten hakutulosten joukossa on silmiinpistävän paljon tietoturvaan ja järjestelmien luotettavuuteen liittyviä linkkejä. Se kertoo siitä kuinka omissa erillisverkoissaan toimimaan tottuneet kauppa ja teollisuus ovat liittyneet yhteiseen internetiin, jossa ne ovat joutuneet kohtaamaan kansainväliset rikolliset ja muut tietoverkoissa mellastavat epämääräiset ja nimettömät tahot.

Neljä vuotta sitten paljastui Iranin ydinvoimaohjelmaa horjuttanut Stuxnet-haittaohjelma, joka osoittautui myöhemmin läntisten tiedustelupalveluiden tarkoituksella valmistamaksi. Ensimmäistä kertaa haittaohjelman kohteena oli nimenomaan teollista prosessia ohjaava järjestelmä, jonka olisi pitänyt olla hyvässä turvassa omassa eristetyssä verkossaan. Peräti neljää ennestään tuntematonta haavoittuvuutta hyödyntävä ohjelma levisi nopeasti maailmalle verkkojen ja muistitikkujen välityksellä, vaikka se ei varsinaisen kohteensa ulkopuolella juuri vahinkoa aiheuttanutkaan.

Stuxnetia seuranneet Duqu, Flame ja Gauss -ohjelmat todistivat että kyse ei ollut yksittäisestä tapauksesta. Alettiin puhua kybersodankäynnistä. Viime vuonna tulivat sitten Snowden-paljastukset, jotka viimeistään osoittivat kuinka laajamittaista ja järjestelmällistä verkoissa tapahtuva urkinta ja luvaton järjestelmiin tunkeutuminen on.
Internet ei tunne rajoja eikä Suomea suojaa syrjäinen sijainti, vaan erilaisia vakoiluohjelmia löytyy meilläkin jatkuvasti niin viranomaisten, yritysten kuin yksityisten kansalaistenkin tietokoneista.

Selkeän rikollisetkin tahot ovat taas rohkaistuneet levittämään muiden muassa tiedostoja panttivangiksi kaappavia ransomware-ohjelmia, koska arvelevat bitcoineina maksettavien lunnaiden pienentävän kiinnijäämisen riskiä.

Tosiasiassa internetin hämärissä sopukoissa elää ja kukoistaa kokonainen oma teollisuudenhaaransa, jossa haittaohjelmien valmistamiseen, käyttäjätunnusten urkkimiseen, tiedon varastamiseen ja sen jälleenmyyntiin erikoistuneet yksilöt ja yritykset avoimesti mainostavat palveluitaan ja käyvät kauppaa keskenään. Jopa haittaohjelmien testaamiseen ja laadunvarmistamiseen erikoistuneita yrityksiä löytyy.

Kyberuhka vaikuttaa siis nykyään varsin kouriintuntuvalta, mutta mitä se tarkoittaa teollisuusyritysten kannalta? Pohjoismaiden suurin tietoturvaan erikoistunut konsulttiyritys Nixu Oy on seurannut tilannetta tiiviisti jo pitkään ja käynyt keskusteluja lukuisten teollisuusyritysten edustajien kanssa eri foorumeilla. Viime keväänä Nixu päättikin nostaa teollisen internetin tietoturvan uudeksi painopistealueeksi entisten palveluiden rinnalle, sillä nyt alkaa olla jo käytännön toimenpiteiden aika.

Onko uhka todellinen?

Suomalaisella teollisuudella on pitkät perinteet muutenkin kuin tietojenkäsittelyssä, eikä hötkyilyyn tai panikointiin olekaan mitään syytä.

Tehokkaimpia keinoja tietoturvauhkien torjumiseen ovat edelleen terve epäluulo ja varovaisuus.

Kun loveletter-mato aikoinaan levisi sähköpostissa 2000-luvun alussa, muuan ammattijärjestön johtaja kertoi saaneensa työnantajapuolelta postia otsikolla I Love You. En uskonut enkä avannut postia, hän sanoi ja välttyi tartunnalta. Sähköpostin liitteenä tulevat tiedostot ovat edelleen yksi tärkeimpiä verkkohyökkäysten etenemisreittejä, joilta suojaa parhaiten uhan tiedostaminen ja terve järki.

Uudenlaisen haasteen muodostavat erilaiset pilvipalvelut ja sosiaaliset verkot, joihin tietoa pyrkii siirtymään melkein kuin huomaamatta erilaisista laitteista. Kun sähköpostit ja muut viestit seuraavat nykyään mobiililaitteiden mukana kaikkialle, täytyy myös niiden tietoturvasta huolehtia entistä paremmin. Onneksi tähän on saatavana hyvät välineet, joiden avulla kaikille yrityksen verkkoon tavalla tai toisella kytketyille laitteille voidaan määritellä ja jakaa riittävän vahvat suojausprofiilit.

Ylipäätään tietokoneohjelmien laatu on ollut paranemaan päin, eikä väärän linkin klikkaaminen verkkoselaimessa enää välttämättä johda yhtä ikäviin seurauksiin kuin vielä muutama vuosi sitten.

Varsinaisten toiminnanohjausjärjestelmien ja sulautettujen ohjelmien kohdalla tilanne ei kuitenkaan ole yhtä hyvä. Etenkin niiden yritysten, jotka tekevät omat varusohjelmansa valmistamiinsa koneisiin tai laitteisiin, kannattaa harkita tietoturvatilanteen tarkistamista. Sulautetuissa järjestelmissä hyvin yleiset puutteelliset suojaukset, huollon vakioidut käyttäjätunnukset, salaamaton tiedonsiirto, salaamattomat tiedot massamuistilla ja vanhat versiot kolmansien osapuolien ohjelmista voivat muodostaa huomattavan riskin.

Joku saattaa epäillä kuka viitsisi uhrata aikaa ja vaivaa teollisen mittadatan varastamiseen. Onkin totta että sellainen järjestelmä, joka ei sisällä tärkeää tietoa tai yrityssalaisuuksia, tuskin valikoituu yhtä edistyneen vakoilun kohteeksi kuin esimerkiksi ulkoministeriön tietoverkko.

Toisaalta vähäpätöisenkin tuntuista järjestelmää vastaan voidaan hyökätä, jos sen kautta on mahdollista päästä mehukkaampiin kohteisiin. Esimerkiksi viime keväänä yhdysvaltalaisen Target-vähittäismyymäläketjun palvelimiin murtauduttiin ilmastointijärjestelmän etähuoltoyhteyden kautta. Varkaat saivat saaliikseen melkoisen määrän luottokorttitietoja, mistä aiheutui ketjulle huomattava tappio.

On hyvä muistaa, että verkkorikolliset ovat häikäilemätöntä porukkaa, jotka eivät juurikaan murehdi aiheuttamiaan oheisvahinkoja. Bottiverkkoja kokoavat roskapostittajat metsästävät koneita automaattisilla ohjelmilla, jotka eivät tee eroa kotikoneiden ja teollisuusautomaation välillä. Niille riittää että koneella on yhteys verkkoon ja prosessointiaikaa varastettavaksi. Rikollisia ei sureta vaikka lääketieteellinen instrumentti tai prosessia ohjaava PCL-yksikkö tekisi satojen tuhansien vahingon haittaohjelman vuoksi.

Kansalliset tietoturvatalkoot

Teollisen internetin tietoturvan kohentaminen tulee olemaan pitkäaikainen ja vaativa prosessi, jossa käydään kilpailua aikaa vastaan. Valmiuksien kehittäminen järjestelmien tietoturvatilanteen jatkuvaan seuraamiseen ja tarvittaessa nopeaan reagointiin on siinä keskeistä.

Viime vuosina onkin käynnistetty monta hanketta tilanteen parantamiseksi. Vuoden 2014 alusta Nixu on ollut mukana Tekes-rahoitteisessa Internet of Things -tutkimusohjelmassa, jossa kehitetään yhä monipuolisemmaksi muuttuvan verkon hallinta- ja suojausmekanismeja.

VTT:n johdolla etenevällä KYBER TEO-hankkeella on vastaavat tavoitteet. Suomalaisen tietoturva-alan yhteenliitymä FISC perusti keväällä Industrial Internet -työryhmän, jossa Nixu on niin ikään mukana. Myös teollisuuden omalla FIMECC-yhteisöllä on meneillään hyvin mielenkiintoisia tietoturvahankkeita.
Voi olla että tietoturva-alan näkökulmasta tilanne vaikuttaa huonommalta kuin se oikeasti onkaan. Kun työkseen seuraa uutisia toinen toistaan taitavammin toteutetuista tietomurroista ja osallistuu niiden selvittelyyn ja torjumiseen, saattaa perspektiivi vääristyä. Eiköhän suurin osa internetin käyttäjistä ole kuitenkin välttynyt pahimmilta ikävyyksiltä.

Toisaalta tuntuisi vastuuttomalta vakuuttaa, että mihinkään huoleen ei ole aihetta. Hyvin hoidettu tietoturva mahdollistaa uuden teknologian ennakkoluulottoman käytön ilman kohtuutonta riskiä. Toinen mahdollisuus on seurata tilannetta sivusta ja antaa muiden ensin kokeilla uudet tekniikat ja kantaa edelläkävijän riskit. Sekin toimii.

Pahin vaihtoehto on ajautua huomaamatta yhä verkottuvampaan ympäristöön ilman että riskejä tiedostetaan. Toivottavasti tämä blogikirjoitus vähän vaikuttaa siihen suuntaan, että ainakaan niin ei kenellekään kävisi.

Juhani Mäkelä toimii Nixulla SW Development -yksikön vetäjänä ja johtavana konsulttina sekä satunnaisena projektipäällikkönä ja auditorina. Hänen erikoisalaansa ovat kryptografia ja PKI-tekniikka sekä yleiset tietoturvaa sivuavat ohjelmistonkehitys ja -laatukysymykset.

Nixu on Fujitsun kumppanina mukana Turvallisesti 2014 -tilaisuudessa 19.9. Helsingissä. Lue lisää tapahtuman sivuilta.