Automaatioverkkojen tietoturvallisuus ilman mystiikkaa

Aalto-yliopisto julkaisi hiljattain tutkimuksen Suomen automaatioverkkojen haavoittuvuudesta. Tutkimuksen julkistamisen jälkeen julkisessa keskustelussa on esitetty tutkimukseen viitaten, että Suomen liikenteen ja muun infrastruktuurin saisi valtakunnallisella tasolla helposti sekaisin, jopa aiheutettua onnettomuuksia, hyödyntämällä tutkimuksessa havaittuja ongelmia. Johtopäätöksenä Suomen kyberturvallisuus olisi pohjoiseurooppalaista pohjasakkaa.

Aalto-yliopiston tutkimuksen menetelmien yksityiskohdat eivät välttämättä aukea kadunmiehelle. Yksinkertaistaen voisi sanoa, että tutkimuksessa käytetty Shodan-hakukone on kuin keltaiset sivut, joka on tehty ilman yrityksen pyyntöä, soittamalla kaikkiin numeroihin ja kuuntelemalla kuka vastaa. Tässä Aallon tutkimuksessa etsittiin sitä keiden suomalaisten automaatioverkkojen palvelujen tiedot löytyvät tästä hakemistosta.

Tämän jälkeen vain soitettiin numeroon ja katsottiin vastaako sama palvelu numerosta edelleen. Tutkimuksesta ei käynyt ilmi kuinka kriittinen palvelu on kyseessä ja onko palvelussa todellisuudessa haavoittuvuuksia, joita voidaan helposti hyödyntää.

Mahdollista, mutta motiivi ja tekijät vaaditaan

Nixun näkemyksen mukaan tutkimuksessa on tuotu esiin asiallisia huomioita tietoturvallisuuden tärkeydestä yhteiskunnan perustoiminnoissa, mutta julkisessa keskustelussa esitetyt johtopäätökset tutkimuksen tuloksista ovat yliampuvia. Teimme myös oman vertailun Shodanin tietoihin perustuen ja tuloksemme vastasivat tutkimuksen tuloksia. Suurin osa internetissä näkyvistä automaatiolaitteista eivät välttämättä ole yleisen kyberturvallisuuden osalta merkityksellisiä. Yksittäisen organisaation osalta tietomurrot aiheuttavat kuitenkin paljon päänvaivaa ja näitä tietomurtotapauksia tutkiessamme kyseessä ovatkin olleet tämänkaltaiset tietoturvallisuuden perusasioiden laiminlyönnit.

Tutkimuksessa oltiin huolestuneita siitä, että Suomessa on väkilukuun suhteutettuna eniten internetiin kytkettyjä automaatiolaitteita. Tämä ei kuitenkaan mielestämme tarjoa yksin perusteita sille, että Suomessa tilanne olisi poikkeuksellisen huono tietoturvallisuuden osalta muuhun maailmaan verrattuna. Internetiin kytketyksi automaatioverkkojen laitteet ovat päätyneet joko tarkoituksella tai inhimillisen erehdyksen kautta, koska yleensä automaatioverkkojen näkyvyyttä internetiin ei seurata. Automaatioverkkoihin liittyviä laitteita voi kytkeä internetiin myös turvallisesti konfiguroituna ja asianmukaisesti suojattuna. Alalla yleisesti tiedetään, että automaatioverkkojen tietoturvallisuudessa on runsaasti parannettavaa kaikkialla maailmassa – meillä Suomessakin. On kuitenkin vielä pitkä matka siihen, että naapurin tietokonenörtti aiheuttaisi Suomen voimalaitoksissa tai liikenteessä helposti onnettomuuksia. Emme kuitenkaan kiistä sitä mahdollisuutta, etteikö taitava hakkeriryhmä riittävällä panostuksella kykenisi tekemään mittavaa vahinkoa missä tahansa maailman kolkassa – oli kyseessä sitten yhdysvaltalaiset, kiinalaiset, israelilaiset, iranilaiset, ruotsalaiset tai suomalaiset automaatioverkot.

Oletko tietoinen organisaatiosi tietoturvan tasosta?

Aalto-yliopiston tutkija on esittänyt, että Suomeen tulisi perustaa kansallinen palvelu, joka säännöllisesti seuraisi kriittisten automaatioverkkojen tietoturvallisuuden tilaa. Olemme Nixussa samaa mieltä ja siksi olemme tuottaneetkin vastaavaa palvelua jo yli kymmenen vuotta. Nykyisellään palvelun piirissä on mm. valtion virastoja, valmistavan teollisuuden, finanssi- ja kaupanalan toimijoita – yhteensä satoja tuhansia internetiin kytkettyä IP-osoitteita. Joukossa on myös automaatiolaitteita. Tämä palvelu on parantanut merkittävästi palvelun piirissä olevien järjestelmien tietoturvallisuutta sekä lisännyt organisaation näkyvyyttä internetiin näkyvään omaan laitteistokantaan. Tällä hetkellä vastaava kansallinen palvelu olisi Suomen kyberturvallisuuden kannalta lyhyellä tähtäimellä tehokkain investointi, koska suurimmalla osalla yksityisistä yrityksistä ei ole edes tämän tason näkyvyyttä verkkojensa tietoturvallisuuteen.

Ratkaisuna ongelmaan haluamme tarjota huhtikuun aikana kampanjanomaisesti kaikille suomalaisille automaatiolaitteita käyttäville yrityksille edullisen tilaisuuden kartoittaa oma uhkakenttä Nixu Watson -palvelun avulla. Ota yhteyttä Nixun myyntiin nixu.sales(at)nixu.com.

Kirjoituksen laatimiseen ovat osallistuneet Matti Suominen ja Petteri Arola.