OT (Operational Technology) on perinteisesti nähty IT:stä eristetyksi saareksi. Tämä on kuitenkin vain pelkistetty näkökulma eikä kerro koko totuutta. Siispä mitä jos OT onkin IT:tä – tai uusilla termeillä ICS (Industrial Control System) olisikin myös ICT:tä?
OT:sta huolehtivat yleensä automaatioinsinöörit, -teknikot ja -asiantuntijat sekä laitevalmistajat . IT puolestaan pystyttää OT:n ja IT:n väliin palomuurin ja pysyy poissa. Tämä ei kuitenkaan tarkoita, etteivätkö OT ja IT tulisivat toimeen. Erillisyys johtuu useasti siitä, että OT:n ytimessä toiminteet ja prosessit ovat herkkiä, jolloin jopa ylimääräiset verkkoon lähetetyt ping-paketit saattavat sotkea toimintaa ja aiheuttaa tuotantoon ongelmia. OT ja IT siis vain helposti ajautuvat erilleen, vaikka niin ei tarvitsisi olla.
Erillisistä saarekkeista seuraa helposti tilanne, jossa IT yleensä huolehtii organisaation tietoturvasta, mutta se jää IT-tasolle ja OT-puolelle ei uskalleta mennä. Vähän vaarallinenkin lause ”älä korjaa, jos se ei ole rikki” tulee näin tutuksi. Tämä lausahdus on joskus perusteltuakin, koska OT:n järjestelmät voivat olla vanhoja ja niiden päivittäminen haastavaa. Tietoturvamielessä tämä tarkoittaa kuitenkin useasti vanhentunutta ajattelutapaa ja teknologiaa, mikä on uhka jo sinällään.
Kuva havainnollistaa prioriteettien erilaisuutta. IT:ssä luottamuksellisuus on ykkösenä, eli vain ne henkilöt/laitteet, joilla on oikeus, pääsevät tietoon tai järjestelmiin käsiksi. Saatavuus ei ole niin keskeinen tekijä. Ihminen voi yleensä odottaa sekunnin jos toisenkin tiimalasin pyöriessä ilman, että siitä aiheutuu haittaa. OT-puolella taas saatavuus on ykkönen, koska laitteet/robotit toimivat ihmistä nopeammin ja sekuntienkin viive voi kertautua prosessissa ja aiheuttaa koko tuotannon sakkautumisen. Kaikilla OT-verkkoon kytketyillä laitteilla on oletuksena hyvä tarkoitus, joten luottamuksellisuutta ei nähdä niin tarpeelliseksi tarkistaa.
Tietoturvassa ei ole saarekkeita
Todennäköisyys, että juuri sinun organisaatiosi OT-verkko joutuu hyökkäyksen kohteeksi, ei ole iso. Sen sijaan se, että jonkun muun organisaation OT-verkko joutuu hyökkäyksen kohteeksi, on täydet 100 prosenttia. En ole tilastotieteilijä, mutta rikolliset löytävät koko ajan käyttöönsä uusia haavoittuvuuksia ja tapoja toteuttaa hyökkäyksiä, joten hyökkäysten määrä kasvaa ja näin ollen myös todennäköisyys joutua hyökkäyksen kohteeksi luulisi myös kasvavan. Se on myös varmaa, että melkein kaikki hyökkäykset alkavat tai ainakin etenevät jossain vaiheessa perinteisen IT:n kautta. OT-verkon järjestelmiä ja laitteita ohjataan ja hallitaan monesti Windows- ja Linux-koneiden kautta, jotka ovat liitettynä IT-verkkoon, ja toimivat perinteisen IT:n tavoin.
Tietoturva on siis mietittävä kokonaisuutena, johon kuuluvat sekä OT että IT yhdessä. Kokonaisuutta hahmottamassa tulee olla asiantuntijoita molemmilta osa-alueilta. On nimittäin niin, että harva OT-asiantuntija on myös tietoturva-asiantutija ja päinvastoin. Näin toimien voidaan hahmottaa aidosti tietoturvan kokonaisuus.
Sitten käytäntöön…
OT-toteutuksissa noudatetaan yleensä niin sanottua Purdue-mallia, jossa tasoilla 0–2 ovat varsinaiset OT-laitteet ja niiden käyttämät protokollat. Tasolla 3 sijaitsevat hallintakoneet, tietokannat jne. Hallintakoneet ovat yleensä Linux- ja Windows-koneita eli perinteistä IT:tä. Eli IT tulee OT:hen mukaan tasolla 3. Tason neljä ja kolme välissä on DMZ-alue, jossa on hallinnointiin hyppykoneet ja esimerkiksi ohjelmistopäivityksiin käytettävät koneet. Taso 4 on normaali organisaation verkko ja taso 5 on jo auki internettiin. Periaate on, että ylemmältä tasolta on yhteys seuraavaksi alemmalle/ylemmälle tasolle. Näin ollen myös kyberhyökkäykset etenevät taso kerrallaan. Siksi tietoturvapoikkeamat tulee voida havaita kaikilla tasoilla ja pysäyttää mahdollisimman aikaisin. Lisäksi erityisen riskin luovat ”väliaikaiset” oikopolut, joita saatetaan tehdä kiireessä, kun joku toimenpide tai huolto pitää suorittaa nopeasti.
Viisaat sanovat, että on parempi, jos voi itse valita taistelunsa kuin joutua mukaan yllätettynä ja pakosta. Onko se taistelu organisaation sisällä tietoturvabudjetin kasvattaminen kattamaan IT:n lisäksi koko OT-ympäristön, OT:n vanhentuneiden järjestelmien päivittämisestä johtuva työmäärä ja käyttökatkos vai yllättävän kyberhyökkäyksen kohteeksi joutuminen ja siitä selviytyminen? Suunniteltu ja hallittu katkos on aina parempi kuin yllättävä, kuten vaikkapa rikkoutuminen tai kyberhyökkäys. Mielellään kaikkiin näihin kannattaa varautua. Se ettei hyökkäyksiä näe tai koe, ei tarkoita etteikö niitä olisi yritetty. Ne ovat vain pysähtyneet jo alkuunsa.
Meillä on ratkaisu
Loihteen CSOC-palvelussa katetaan OT-verkko sekä sen laitteet ja järjestelmät yhtenä tietoturvakokonaisuutena IT:n kanssa. Otamme tietoturvan suunnitteluun mukaan niin IT- kuin OT-puolenkin asiantuntijat. Loihteen CSOC:ssa on myös tietoturva-asiantuntijoita, jotka ovat sertifioituneet OT:nkin tietoturvaan.
Loihteen CSOC-ratkaisussa valvomme ja havaitsemme häiriöt ja poikkeamat turvallisesti tasoilla 0–2 puuttumatta OT-verkon ytimen toimintaan. Tasosta 3 ylöspäin voimme toteuttaa jo normaaleja IT-puolen suojauksia ja analytiikkaa sekä vastatoimia. Kuten todettua, OT-verkkoon kohdistuva hyökkäys käyttää kuitenkin lähes aina jossain vaiheessa perinteistä IT:tä. IT:n puolella voimme yleensä tehdä jo enemmän vaarantamatta itse tuotantoprosesseja. Näin pystymme kattamaan OT-ympäristön suojauksen kokonaisuutena eikä vain osittain – eli luomaan aitoa ja kokonaisvaltaista tietoturvaa.