Takaisin ajankohtaisiin

”Eristettyjen” verkkojen turvattomuus

Olli Haukkovaara

Tammikuu 30, 2013 at 10:30

Reikäjuusto pöydälle, eihän kukaan huomaa? Tällainen ajatus on tullut silloin tällöin mieleen, kun huomaa miten esimerkiksi kiinteistöautomaation, kulunvalvonnan, teollisuusautomaation tai vaikkapa pullonpalautusjärjestelmän laitteita on kytketty lähiverkkoon.

Aiemmin monet näistä järjestelmistä olivat todella eristyksissä eikä niihin päässyt käsiksi etänä mitenkään, koska verkkoyhteyttä ei laitteisiin ollut.

Maailma kuitenkin muuttuu ja verkot siinä sivussa. Kiinteistöautomaatio halutaankin huoltoyhtiön etävalvontaan, kulunvalvonta integroidaan vartiointiliikkeeseen, työajanseurantaan ja palkanmaksuun, teollisuusautomaatiolaitteet voivat olla myös etävalvonnassa ja niistä voi olla yhteydet jopa laitteen valmistajan verkkoon toisella puolen planeettaa. Jopa pullonpalautusjärjestelmääkin halutaan ylläpitää etänä.

Ongelma juontaa ajalta ennen verkottumista

Nämä järjestelmät voivat toimia jonkin eksoottisen, valmistajakohtaisen käyttöjärjestelmän tai vanhentuneen käyttöjärjestelmän, kuten Windows NT:n varassa. Tyypillistä on, ettei tällaisiin järjestelmiin ole enää saatavilla päivityksiä joko ollenkaan tai tietoturvapäivityksiä ei enää julkaista. Laitteita ei useinkaan ole suojattu palomuurilla ja koko järjestelmän elinkaari on saattanut päättyä jo vuosia sitten. Vanha käyttöjärjestelmä ei ollut ongelma silloin, kun verkko oli fyysisesti eristetty muusta maailmasta, mutta välittömästi muihin verkkoihin kytkemisen jälkeen ollaan ongelmissa.

Kun lisäksi tietohallinto yleensä keskittyy työasema- ja palvelinympäristöjen hallintaan, saatetaan nämä entiset eristetyt ympäristöt liittää verkkoihin lähes huomaamatta jonkin toisen liiketoimintayksikön tehostamisprojektin seurauksena. Ylimääräisiä harmaita hiuksia tietoturvapäällikölle, varsinkin jos tieto muutoksesta saavuttaa hänet vasta siinä vaiheessa kun eristetty verkko on jo kytketty muuhun verkkoon.

Mitä sitten tietohallinto- ja tietoturvapäälliköiden tulisi tehdä liiketoiminnan muutostarpeiden paineessa? Lähtökohta on tietysti peruskartoitus, jossa selvitetään yrityksen kaikki järjestelmät, ovat ne sitten sulautettuja tai perinteisiä IT-järjestelmiä, sekä niiden yhteydet tai yhteysmahdollisuudet verkkoihin. Sen jälkeen voidaan jatkaa tekemällä riskianalyysit jokaisesta järjestelmästä sekä toimenpidesuunnitelmat miten järjestelmien riskit voidaan minimoida. Ja lopuksi on kovennettava halutut järjestelmät sille tasolle, että ne voidaan hallitusti liittää muihin järjestelmiin.