Perinteisesti organisaatioissa tietoturvaa on käsitelty nimenomaan IT:n näkökulmasta. Tästä on seurannut se, että kyberturva ei useinkaan riittävästi ulotu OT-järjestelmiin ja -verkkoihin. OT ei kuitenkaan ole IT:stä erillinen saareke.
Kun keskustellaan OT/ICS-verkkojen ja -järjestelmien tietoturvasta tai modernimmin kyberturvasta, tulee helposti mieleen Star Trekin kuuluisa tehtäväkuvaus “go where no one has gone before”. Tämä sopisi käännettynä OT/ICS-maailmaan “…where no hacker has gone before”. Ainakin Star Trekissä lähes aina kävi niin, että sieltä jostain kuitenkin löytyi aina joku. Eikä ole enää tavatonta löytää hakkeriakaan OT/ICS-verkoista. Missä siis niiden tietoturva?
OT/ICS-järjestelmistä ajatellaan monesti yhä niin, että ne ovat oma maailmaansa omine protokollineen ja suljettuine verkoineen. Samalla kuvitellaan, ettei kukaan rikollinen hakkeri pääse järjestelmiin käsiksi tai pystyisi tekemään niille mitään. Lisäksi usein mielletään, että hakkerit murtautuvat vain IT-järjestelmiin ja verkkoihin. Tähän kun lisätään vielä se, että OT-järjestelmien ja verkkojen ajatellaan olevan ihan eri asia kuin IT. Jopa niin eri asia, että IT pidetään tarkoituksella erossa OT:sta. IT on kuitenkin yleensä se taho, joka käytännössä toteuttaa organisaation kyberturvaa. Tästä on seurannut, että kyberturva on jäänyt IT:hen eikä koskaan edennyt OT:hen. IT on tehnyt ehkä viisi vuotta sitten palomuuriasennuksen IT:n ja OT:n rajalle, mutta sitten poistunut paikalta. Ja OT puolestaan on etupäässä kiinnostunut prosessien toiminnasta. Kun jokin toimii eikä ole rikki, niin siihen ei haluta koskea. Samaa kuulee valitettavasti monesti myös valmistajien ja palveluntarjoajienkin taholta; ”emme voi taata, että järjestelmä toimii, jos asennatte EDR-agentin” tai ”tätä versiota ei ole testattu päivityksen kanssa”. Onneksi NIS2:n eli kyberturvallisuusdirektiivin myötä ainakin yhteiskunnan toiminnan kannalta kriittisissä OT/ICS-verkoissa velvoitetaan koko toimitusketjua huomioimaan kyberturvaa tarkemmin.
OT on jo IT:tä
Kaikissa OT-verkoissa on yleensä Windows- ja Linux-koneita. Lisäksi on tavallisia ethernet-kytkimiä ja palomuureja. Eli perus IT-kamaa. OT-prosesseja ohjelmoidaan ja ohjataan IT-laitteiden kautta. Ja kaikkihan nyt sentään myöntävät, että IT:ssä ainakin on niitä hakkereita; sekä hyviä valkohattuhakkereita kuin myös pahantahtoisia mustahattuhakkereita.
Koska OT:ssa itse asiassa on paljonkin IT-laitteita ja järjestelmiä, niin ei pitäisi olla yllätys, että hakkerit löytävät tiensä myös OT:ssa oleviin IT-järjestelmiin. Koska IT-järjestelmiä käytetään OT-järjestelmien hallintaan, reitti kyberhyökkäyksellä OT:hen menee IT:n kautta. Ja kun hyökkääjä on päässyt IT:n kyberturvan ohi OT:hen, yleensä vaara jäädä kiinni on pieni. OT-verkko ja siinä olevat järjestelmät voivat olla hyvinkin vanhoja ja niiden kyberturva hyvinkin rajallista.
Kyberhyökkäyksen riski on merkittävä niin kauan, kun...
- OT-verkoissa toimitaan järjestelmillä, joiden tietoturva on vanhentunut
- OT-verkkoja ei segmentoida kunnolla
- Otetaan turvattomia (ehkä 10 vuotta sitten turvallisia) etäyhteyksiä järjestelmiin eri tasojen yli
- Järjestelmissä käytetään yhteistunnuksia ja salasanoja (jotka monesti ovat oletusarvoilla)
- Ei tehdä nykyaikaista poikkeamien/uhkien havainnointia ja riittävän nopeaa reagointia
- Ei oikeasti tiedetä, mitä järjestelmiä OT-verkoissa on ja miten ne kommunikoivat eli assetin hallinta puuttuu
- IT ja OT eivät tee yhteistyötä
Ohjeistuksia tarvitaan
Todennäköisyys sille, että kyberhyökkäys juuri sinun organisaatiotasi vastaan huomenna onnistuu, on selkeästi pienempi kuin todennäköisyys, että päivä on samanlainen kuin eilenkin. Vähän sama periaate on autolla ajaessa. Turvavyö laitetaan päälle, vaikka todennäköisempää on olla ajamatta kolaria. Näin siksi, että tutkitusti turvavyö pelastaa henkiä, koska auto-onnettomuuksia sattuu – emme vain tiedä koska ja kenelle. Siksi myös aikoinaan viranomaiset tekivät turvavyön käytön pakolliseksi liikenteessä.
Turvavyötä ja ohjeistuksia tarvitaan myös kyberturvaan. Esimerkiksi NIS2:sta ei ole luotu rasitteeksi (aivan kuten turvavöitäkään eivät Volvon insinöörit keksineet kiusaksi). Edelleen moni huokaisee helpotuksesta, jos ei kuulu NIS2:n piiriin ja saa ajaa ilman ”turvavyötä”. Kannattaisi mieluummin ajatella niin, että NIS2 voi antaa ihan jokaiselle organisaatiolle hyviä ohjeita siitä, miten ja miksi kyberturvaa kannattaa kehittää. Se on myös hyvä työkalu, kun johdolle pitää perustella rahoitustarve kyberturvahankkeisiin.
Mielestäni NIS2 siis ensisijaisesti auttaa OT/ICS-organisaatioita. NIS2:n myötä organisaation johto on suoraan vastuussa kyberturvan toteuttamisesta. Tämä helpottaa kyberturvabudjetin läpiviemisessä niin IT:ssä kuin myös OT:ssa. Erityisen tärkeää tämä on alihankkijoilla (toimitusketju), jotka toimivat OT/ICS-teollisuudessa, koska NIS2:n myötä organisaatiot ovat vastuussa myös siitä, että heidän käyttämänsä alihankkijat ovat NIS2-kelpoisia.
PS. Loihteella meidän ajatuksemme OT/ICS-verkkojen kyberturvaan on yhdistää IT ja OT sekä luoda riittävä havainnointi-, reagointi- ja vastustuskyky kyberuhkiin. Kun laitetaan OT/ICS-verkon kyberturva kohdilleen, pienennetään huomattavasti riskejä, joita pahamielinen hakkeriryhmä voi saada aikaan. Samalla organisaatio saa kilpailuetua verrattuna muihin toimijoihin, joilla kyberturva ei ole kunnossa.
Blogin kirjoittaja
Tuomas Peltola
Palvelun omistaja
