Tunnista ja torju – Nixu SANS Instituten ICS Security Summit -tapahtumassa

Teollisen internetin tietoturva edellyttää suojausten rakentamisen ohella myös ajantasaista tilannekuvaa.

Yhdysvaltalainen riippumaton ja kansainvälisesti erittäin arvostettu SANS Institute järjestää syyskuun lopussa Amsterdamissa Industrial Control System (ICS) security summit -tapahtuman, joka kokoaa teollisuuden automaatiojärjestelmien turvallisuudesta vastaavia ammattilaisia, viranomaistahojen edustajia ja alan tutkijoita osallistumaan koulutuksiin, kuuntelemaan esityksiä ja vaihtamaan kokemuksiaan. 

Tapahtumaan on kutsuttu 20 esitelmöijää, joiden joukossa on asiantuntijoita National Gridin, Shellin, Aramcon, Ruotsin varautumista koordinoivan viraston MSB:n, Thales Groupin ja Mandiantin kaltaisista organisaatioista.

Nixun Jarkko Holapalla on tässä tapahtumassa puheenvuoro Nixun tavasta kehittää kyberturvallisuuden tilannekuvaa automaatioympäristöön. Tilannekuvalla saavutetaan ajantasainen näkymä siihen, mitä asiakkaan järjestelmässä tapahtuu. 

Teollisten tuotannollisten järjestelmien suojaaminen perinteisin tunkeutumista torjuvin tietoturvaratkaisuin ei riitä, vaan niitä tukemaan tarvitaan myös riittävän vahva kyky havaita onnistunut tunkeutuminen järjestelmään ja reagoida siihen tehokkaasti. 

Muussa tapauksessa hyökkäys havaitaan vasta kun järjestelmä jumittuu sen seurauksena, tai tuotantoprosessi ei toimi halutulla tavalla. Ilman riittävää havainnointikykyä saattaa kulua kuukausia tai jopa vuosia, ennen kuin hyökkääjän haittaohjelma havaitaan. 

Yhteiseen tilannekuvaan

Kyky havaita tunkeutujat edellyttää tiivistä yhteistyötä operaattorin, järjestelmätoimittajan ja kyberturva-asiantuntijan kesken, sillä prosessia ohjaavat järjestelmät on kytketty yhä tiiviimmin eri osapuolten tietojärjestelmiin. Järjestelmätason tuntemus ympäristöstä on välttämätöntä tehokkaan tilannekuvan muodostamiseksi. Automaatiojärjestelmät ovat tyypillisesti monitoimittajaympäristöjä, joka lisää valvonnan tarvetta myös palvelunlaatuseurannan kautta. Tällaisissa ympäristöissä on myös tärkeää, että on saatavilla riittävästi tietoa suoritetuista toimenpiteistä (audit trail) ongelmanselvityksen tueksi.

Tuotantoympäristöä ja siihen liittyviä ulkoisia yhteyksiä ja tietovarastoja on myös pystyttävä suojaamaan niiden elinkaaren kaikissa vaiheissa. Täydellistä suojausta ei ole ja lähes täydellinen maksaa tolkuttomasti. Niinpä kustannustehokkainta onkin yleensä panostaa ajantasaisen tilannekuvan rakentamiseen ja nopeaan reagointiin. 

Mitä uutta?

Automaatioympäristössä tärkeintä on kyky havaita uusia ja yllättäviä toiminnan poikkeamia ja muutoksia kuten järjestelmien poikkeuksellista tai vaikkapa ulos Internetiin lähtevää viestiliikennettä. Poikkeuksien havaitsemista helpottaa, että teolliset järjestelmät ovat luonteeltaan staattisia, eikä muutoksia voi tehdä hallitsemattomasti. 

Teollisten järjestelmien epästandardit protokollat tuovat toisaalta omat haasteensa, ja edellyttävät yleensä myös tiivistä yhteistyötä järjestelmätoimittajan kanssa. Lisäksi on aina otettava huomioon automaatiojärjestelmiin useimmiten liittyvä reaaliaikaisuuden vaatimus. Automaatioympäristössä ei esimerkiksi voida tehdä aktiivista verkonskannausta, vaan seurannan on tapahduttava passiivisesti, esimerkiksi peilaamalla liikennettä tai valvomalla haavoittuvuuksia laiterekisteristä.