Tietoturva : Automaatiojärjestelmien tietoturvaan liittyviä erityishaasteita

Created by Jukka Koskinen, last modified on Aug 15, 2017

Risto Eerola, 2011

Johdanto

Monet yhteiskunnan kriittiset toiminnot perustuvat automaatiojärjestelmien hyödyntämiseen. Nämä järjestelmät vastaavat niin energiantuotannosta ja -jakelusta, vesihuollosta, liikenteen ohjauksesta ja raaka-aineiden jalostuksesta kuin tuotteiden valmistuksestakin. Automatisointi siirtää yksinkertaiset, toistuvat, raskaat, vaativat ja vaaralliset tehtävät koneiden suoritettavaksi. Moderni automaatio suorittaa tehtäviä, jotka ovat ihmiselle mahdottomia. Järjestelmät poikkeavat totutuista IT-järjestelmistä, joista saatuihin kokemuksiin tietoturvaosaaminen pitkälti perustuu. Automaatiojärjestelmien tietoturvan erityisluonteen käsittely on toistaiseksi jäänyt suhteellisen vähälle huomiolle – siitä huolimatta, että näiden järjestelmien tietoturvan pettäminen voi johtaa katastrofaalisiin seurauksiin. Tässä tuodaan esille automaatiojärjestelmien tietoturvan tavoitteita, joitakin tunnettuja poikkeamia seurauksineen sekä nykyisiä ja tulevia haasteita ja niihin löytyviä ratkaisuja.

Automaatiojärjestelmän määrittely tämän tekstin puitteissa

Automaatio on laaja käsite, ja tulkinnasta riippuen todella monenlaiset järjestelmät voidaan mieltää automaatiojärjestelmiksi (vrt. esim. ATK, automaattinen tietojenkäsittely). Tässä rajataan käsittely koskemaan teollisuuden automaatiojärjestelmiä (ICS, Industrial Control Systems), joihin erään määritelmän mukaan [1 s. 2-1] kuuluvat ainakin

  • Ohjelmoitavat logiikat (PLC, Programmable Logic Controller),
  • Hajautetut automaatiojärjestelmät (DCS, Distributed Control System) ja
  • SCADA (Supervisory Control and Data Acquisition, tiedonkeruu ja valvonta).

Terminologia ei välttämättä ole kaikille lukijoille tuttu, joten seuraavilla yleistyksillä [2 s. 1] voidaan toivottavasti antaa selkeämpi kuva eri järjestelmistä. Ohjelmoitavat logiikat ovat yksittäisiä laitteita, joita käytetään yleensä osana suurempaa järjestelmää (kuten DCS tai SCADA). DCS on nimensä mukaisesti hajautettu järjestelmä, mutta se sijaitsee yleensä maantieteellisesti pienellä alueella (esim. tehdasrakennus), kun taas SCADA-järjestelmä voi mahdollisesti olla hajautettu laajemmalle alueelle (esim. maakaasuputki).

Termit eivät ole missään nimessä yksiselitteisiä, ja jaottelu ja rajaus voisi olla erilainen kuin edellä. Automaatiojärjestelmä on näiden tarkennusten jälkeen edelleen laaja käsite, ja tässä tekstissä luotu lyhyt katsaus jää pakostakin yleisluontoiseksi. Korkeamman tason toiminnallisuuden ja tietoturva-aspektien tarkastelun kannalta automaatiojärjestelmät voidaan nähdä hyvin samankaltaisina riippumatta siitä, millä teollisuudenalalla niitä käytetään [3 s. 3].

Tietoturvatavoitteet (CIA) automaatiossa

Automaatiojärjestelmän tarkoituksena on hallita tuotantoprosessia siten, että prosessi on turvallinen ihmisille, ympäristölle ja tuotantolaitteistolle ja samalla mahdollisimman tehokas, tuotteiden laadun varmistava ja tuotannon jatkuvuuden takaava. Tietoturva on pieni osa järjestelmän kokonaisturvallisuutta. Tietoturvan yleiset tavoitteet luottamuksellisuus, eheys ja saatavuus (Confidentiality, Integrity, Availability eli CIA), koskevat myös automaatiojärjestelmiä, ja alan käytännöt perustuvatkin tietotekniikasta saatuihin kokemuksiin [3 s. 60]. Painotus on kuitenkin merkittävästi erilainen – itseasiassa päinvastainen. IT-järjestelmissä tärkeysjärjestys on C-I-A, kun taas automaatiojärjestelmissä se on päinvastainen A-I-C, eli tiedon saatavuus ja eheys ovat yleensä huomattavasti luottamuksellisuutta tärkeämpiä [4 s. 3].

Järjestelmät ovat usein jatkuvatoimisia ja reaaliaikakriittisiä, jonka vuoksi tiedon saatavuudelle ja eheydelle asetetaan korkeat vaatimukset. Haastavissa tosiaikasovelluksissa vasteiden on oltava deterministisiä (”tarkasti ennustettavissa”) eikä viiveitä voida sallia. Pienikin viive (siis ongelma saatavuudessa) voi johtaa järjestelmän kannalta virheelliseen toimintaan.

Luottamuksellisuutta ei tule jättää huomiotta, mutta sen merkitys ei yleensä ole yhtä suuri kuin tietotekniikassa, jossa usein arvokkainta on itse informaatio. Automaatiojärjestelmissä valmistetut tuotteet, järjestelmän häiriötön ja turvallinen toiminta sekä itse järjestelmä ovat tärkeämpiä kuin järjestelmän sisältämä informaatio. Poikkeuksena tähän saattavat olla tietyt monimutkaiset algoritmit tai salaiset valmistusreseptit (esimerkiksi lääke- tai virvoitusjuomateollisuudessa).

Automaatiojärjestelmille on ominaista, että ne jollain tavoin tarkkailevat ja ohjaavat konkreettisia, reaalimaailman prosesseja. Weiss esittää karkean ja osuvan yleistyksen:”-- IT uses ’physics to manipulate data’ while an ICS uses ’data to manipulate physics’” [4 s. 3]. Järjestelmien pettämisellä saattaa olla erittäin konkreettisia ja tuhoisia seuraamuksia niin liiketoiminnalle, ympäristölle kuin ihmisillekin. Automaatiojärjestelmiltä edellytetäänkin yleensä korkeampaa tietoturvallisuuden tasoa kuin toimistoympäristön järjestelmiltä.

Tavoitteiden samankaltaisuudesta huolimatta kaikkia IT-järjestelmistä tuttuja menetelmiä ei voida soveltaa automaatiossa. Tämä teksti esittelee soveltuvia menetelmiä, joita voidaan ja pitää hyödyntää ja toisaalta varoittaa, mitkä menetelmät ovat soveltumattomia ja mistä syistä.

Tunnettuja tietoturvapoikkeamia teollisuuden automaatiojärjestelmissä

Teollisuuden automaatiojärjestelmiin kohdistuvia tietoturvapoikkeamia on raportoitu suhteellisen vähän, mutta vuodelta 2005 löytyy eri lähteistä koottu lista 120 tunnetusta tapauksesta [5]. Osasyynä raportointihaluttomuuteen on varmasti pelko maineen kärsimisestä ja sitä seuraavista taloudellisista menetyksista [5 s. 13]. Ongelmia ei haluta tuoda julki, jos se vain voidaan välttää. Todellisia tapauksia on todennäköisesti huomattavasti enemmän kuin julkisuuteen on raportoitu.

Seuraavaan luetteloon on poimittu muutamia tunnettuja ja laajasti raportoituja tapauksia:

  • Marraskuu 2011: Springfield, Illinois, Yhdysvallat. Mahdollinen hyökkäys vesijohtojärjestelmään johtaa pumpun hajoamiseen. Raportointi on ristiriitaista, ja on epäselvää, oliko kyseessä tahallinen hyökkäys vai ei.
  • 2010: Tuntemattoman tahon luoma haittaohjelma Stuxnet kohdistaa hyökkäyksen automaatiojärjestelmään, mikä aiheuttaa vaikeuksia Iranin ydinohjelmalle.
  • Elokuu 2005: Zotob-mato johtaa kolmentoista Daimler-Chryslerin tehtaan alasajoon tunnin ajaksi ja häiriöihin mm. Boeingin ja Caterpillarin tehtaiden toiminnassa [2].
  • Tammikuu 2003: Slammer-mato aiheutti ongelmia David-Besse -ydinvoimalan turvallisuutta valvovassa verkossa pysäyttäen sen viideksi tunniksi [2 s. 7, kts. 6].
  • 2000: Maroochy, Australia. Katkeroitunut entinen työntekijä hyökkäsi langattomasti jätevedenkäsittelylaitoksen automaatiojärjestelmään ja päästi satoja tuhansia litroja jätevettä puistoihin [6].
  • 1999: Bellingham, Washington, Yhdysvallat. Öljyputken vuoto ja sitä seurannut räjähdys aiheuttivat kolme kuolemantapausta, kahdeksan haavoittumista ja yli 45 miljoonan dollarin taloudelliset vahingot. Onnettomuus johtui ongelmista SCADA-järjestelmässä, mutta järjestelmän toimimattomuuden perimmäisiä syitä ei ole saatu selville.
  • 1982: Siperia, Neuvostoliitto. Haittaohjelma aiheutti erittäin voimakkaan räjähdyksen kaasuputkessa ja mittavat taloudelliset tappiot.

Esimerkkitapausten perusteella voidaan tehdä seuraavia huomioita. Tapaukset voidaan jaotella kolmeen ryhmään

  • tahalliset hyökkäykset,
  • tahattomat seuraamukset ja sivuvaikutukset johtuen
    • haittaohjelmista kuten viruksista ja madoista tai
    • käyttäjien virheistä tai prosessimekanismeista [2 s. 5].

Monessa tapauksessa seuraamukset olivat vakavia ja erittäin konkreettisia. Suurta osaa tunnetuista ongelmista ei olisi voitu estää perinteisillä IT-alan tietoturvaratkaisuilla [4 s. 12].

Tapauksiin liittyvä raportointi ja tiedonanto on välillä epäselvää, eikä perimmäisiä syitä tai mahdollisia tekijöitä ongelmien takana aina saada selville tai ainakaan tuoda julki. Automaatiojärjestelmät ovat usein osa yhteiskunnan kriittistä infrastruktuuria, mikä tekee niistä otollisia kohteita terrorismille ja kybersodankäynnille. Tämä tarkoittaa, että niiden tietoturvassa pitää huomioida kehittyneiden Stuxnetin kaltaisten hyökkäysten uhka.

Tietoturvan kannalta merkittäviä erityispiirteitä automaatiojärjestelmissä

Pitkä elinkaari

Tyypillinen elinkaari automaatiojärjestelmälle on IT-alan mittapuulla pitkä, 15-30 vuotta. Tämä poikkeaa selvästi esimerkiksi työasemille, palvelimille ja älypuhelimille tyypillisestä muutamasta vuodesta. Iso osa tällä hetkellä toiminnassa olevista automaatiojärjestelmistä on siis suunniteltu ja toteutettu viime vuosituhannella. Teknologian kehityksen arviointi vuosikymmeniä eteenpäin on ymmärrettävästi käytännössä mahdotonta.

Automaatiojärjestelmän tietoturva pitää siis jo suunnitteluvaiheessa huomioida koko elinkaaren käsittävänä prosessina. Pitkän elinkaaren mukanaan tuomia ongelmia ovat muun muassa käyttöjärjestelmien ja ohjelmistojen päivitykset. Tyypillisesti ohjelmistotalot tarjoavat päivityksiä ja tuotetukea tuotteisiinsa muutaman vuoden, parhaimmillaan ehkä vuosikymmenen ajan. Tämän jälkeen päivitysten saaminen voi olla hankalaa tai mahdotonta. Vanhimpien sulautettujen järjestelmien ylläpitämiseksi ja päivittämiseksi voi olla vaikeaa löytää osaajia. Voi käydä niinkin, että laitteistojen ja ohjelmistojen toimittaneita yrityksiä ei enää vuosien kuluttua ole olemassakaan.

Pitkä elinkaari ei tarkoita, että järjestelmä asennettaisiin ja sen jälkeen sitä käytettäisiin muuttamattomana kymmeniä vuosia. Järjestelmän osia päivitetään, siihen lisätään ominaisuuksia ja siihen saatetaan liittää kokonaan uusia järjestelmiä. Käytössä olevan kokonaisuuden eri osat ovat usein eri aikakausilta ja eri toimittajilta. Tietoturvan kannalta tällaisen kokonaisuuden hahmottaminen voi olla erittäin haastavaa. Toisaalta koska laitteita ja konfiguraatioita vaihdetaan harvemmin, käyttäjät usein tuntevat ne hyvinkin yksityiskohtaisesti.

Vaatimukset toiminnan jatkuvuudelle ja reaaliaikaisuudelle sekä resurssien rajallisuus

Automaatioverkkojen laitteet on usein suunniteltu toteuttamaan vain tiettyjä yksinkertaisia toimintoja. Ylimääräiset toiminnot on jätetty pois, ja laitteiden laskentateho ja muistikapasiteetti ovat usein (työasemaan verrattuna) hyvin vaatimattomia. Resurssien rajallisuus ja toisaalta kovat reaaliaikavaatimukset voivat estää esimerkiksi virustorjunnan, salausalgoritmien ja autentikoinnin käytön: näistä aiheutuvaa viivettä ei voida sallia tai laitteella ei ole tarvittavaa laskentatehoa näiden toteuttamiseksi.

Toiminnan jatkuvuuden ja turvallisuuden vaatimukset voivat estää tai rajoittaa päivitysten asentamista. Toimistosovelluksissa järjestelmä voidaan uudelleenkäynnistää ja päivityksiä voidaan asentaa automaattisesti. Automaatiojärjestelmissä tämä ei useimmiten ole mahdollista: ennen sopivaa huoltokatkoa voi kulua viikkoja tai kuukausia, joiden aikana tuotannon pitää jatkua keskeytyksittä.

Päivitysten asentaminen ja muutoksien tekeminen käynnissä olevaan järjestelmään on erittäin riskialtista. Ilman kattavaa testausta asennettavat päivitykset saattavat jopa aiheuttaa enemmän ongelmia kuin varsinainen uhka, jolta päivityksen on tarkoitus suojata järjestelmää. Päivitysten huolellinen testaus voi kestää pitkään. Automaatiojärjestelmien käyttöjärjestelmät ja ohjelmistot eivät siis oletusarvoisesti ole jatkuvasti ajan tasalla.

Verkkotekniikoille asetetut vaatimukset

Toimistoverkkojen tekniikkaa ei alunperin suunniteltu vastaamaan automaatioverkolle asetettuihin vaatimuksiin. Automaatiosovellukset ovat usein jatkuvatoimisia ja tosiaikaisia. Suurelle tiedonsiirtokapasiteetille on harvoin tarvetta, mutta viiveitä ja verkon hetkittäistäkään toimimattomuutta ei yleensä voida sallia. Vastaavasti toimistoverkko vaatii suurempaa tiedonsiirtokapasiteettia, mutta ei ole herkkä pienille viiveille tai välttämättä edes hetkittäisille alasajoille. Automaatioverkon suorituskyky ja deterministiset vasteet ovat prioriteetiltaan tärkeämpiä kuin tietoturvaominaisuudet. Osittain juuri näistä syistä automaatioverkot rakennettiin alunperin eri tekniikalla ja omiksi, eristetyiksi kokonaisuuksiksi.

Epäselvyydet vastuunjaossa

Vastuunjako projektien toteutuksessa on usein epäselvää. Selkeitä, sovelluskohtaisia ohjeita, standardeja ja käytäntöjä ei välttämättä ole. Tietoturva-aloitteet, politiikat ja määräykset tulevat useammin IT-osastolta kuin automaatio-osastolta. Konsernitasolla IT-osasto voi sijaita esimerkiksi eri maassa kuin tuotantolaitokset, eikä se välttämättä ymmärrä syvällisesti tuotantolaitoksen olosuhteita tai automaatiojärjestelmän tietoturvapuolta. Kommunikaatio on haasteellista ja saattaa edelleen lisätä tietoturvaohjeistuksen epäselvyyttä.

Tietoturvan kannalta positiivisia erityispiirteitä

Lisähaasteiden vastapainoksi automaatiojärjestelmillä on myös piirteitä, jotka tekevät tietoturvan hallinnasta jossain määrin helpompaa. Osa näistä seikoista on jo edellä mainittu, mutta tässä kootusti automaatiojärjestelmään liittyviä yleisiä ominaisuuksia [3 s. 60]:

  • suoraa internet-yhteyttä ei yleensä tarvita
  • järjestelmä ei yleensä sisällä salassa pidettävää tietoa
  • järjestelmää ei yleensä käytetä muihin tarkoituksiin
  • käyttäjien fyysinen pääsynhallinta on usein tarkoin järjestetty
  • laitteet tunnetaan hyvin ja järjestelmää pidetään pitkään käytössä
  • toimintojen ja henkilöstön valvonta on usein tiukkaa.

Automaatiojärjestelmien kehityssuunta ja uudet tietoturvahaasteet

Historia

Teollisuuden automaatiojärjestelmät suunniteltiin toimimaan omina, eristettyinä kokonaisuuksinaan, eivätkä ne olleet yhteydessä ulkopuolisiin verkkoihin. Automaatioverkko oli suljettu ja kokonaisuudessaan yhden organisaation hallinnassa. Fyysinen pääsy järjestelmiin oli (ja on yhä) yleensä tarkasti rajattu. Järjestelmien toteutus perustui pitkälti räätälöityihin laitteisto- ja ohjelmistoratkaisuihin.

Alunperin automaatiojärjestelmien suunnittelussa ja toteutuksessa tietoturvalla tarkoitettiin pikemminkin fyysistä kulunvalvontaa kuin tietoliikenteen valvontaa. Vastaava tilanne tulee usein esiin tietoturva-alalla: järjestelmää käytetään muussa kuin sen alkuperäisessä käyttötarkoituksessa ja -ympäristössä, jolloin sen sisäänrakennetut tietoturvaominaisuudet ovat täysin riittämättömiä (vrt. esim. sähköposti ja IPv4).

Nykytila

Viimeaikaisen kehityksen – niin järjestelmien kuin niihin kohdistuvien uhkienkin muuttumisen myötä tietoturvan merkitykseen automaatioalalla on havahduttu. Automaatiolalan tietoturva on kuitenkin monella tavoin lapsenkengissä, aivan kuten tietoturva IT-alalla oli 10-15 vuotta sitten [7, 4 s. 14].

Toistaiseksi saattaa olla haastavaa löytää henkilöitä, joiden osaamisessa yhdistyvät sekä automaatio- että tietoturva-alat. Automaatioalan ammattilaiset eivät ehkä ymmärrä tietoturva-asioita riittävällä tarkkuudella, ja toisaalta tietoturvaosaajat eivät välttämättä hahmota automaatiojärjestelmien erityisluonnetta. Molemmat alat ovat itsessäänkin erittäin haastavia, ja yhteistyö eri alojen ammattilaisten välillä muodostuukin tärkeäksi tekijäksi järjestelmien tietoturvan parantamisessa.

Yhteistyön kehittämiseksi perustettiin vuonna 2001 Suomen Automaatioseuran turvallisuusjaosto. Tietoturvan osalta jaoston tavoitteena on ”edistää teollisuusautomaation tietoturvaa osana automaatiojärjestelmän kokonaisturvallisuutta siten, että teollisuusautomaatiojärjestelmien erityisominaisuudet otetaan huomioon.” [3 s. 4]

Kehityssuuntia

Räätälöidyistä ratkaisuista kohti standardeja

Standarditekniikoita ja massatuotantoa hyödyntämällä saavutetaan yleensä kustannussäästöjä. Toisaalta räätälöidyt, toimittajakohtaiset ratkaisut on helpompi luoda turvallisiksi, toimiviksi ja luotettaviksi, koska koko järjestelmä on yhden toimittajan hallussa (tämä ei tietystikään automaattisesti tee näistä ratkaisuista turvallisia!). Huonoja puolia ovat usein korkeammaksi muodostuvat kustannukset ja riippuvuus toimittajasta.

Laajasti käytössä olevat ratkaisut (kuten TCP/IP, MS Windows) ovat hyvin tunnettuja ja niihin liittyvää osaamista on monilla tahoilla. Myös niihin liittyvät haavoittuvuudet ovat tunnettuja, mikä tekee niistä suosittuja hyökkäyksien kohteita. Näihin tekniikoihin perustuvat ratkaisut voivat tuoda huomattavia säästöjä, mutta ne myös altistavat järjestelmän kaikille tekniikoiden haavoittuvuuksille.

Hyödyt saattavat silti olla haittoja suurempia. Osittain juuri kustannussyistä niin verkkotekniikoissa, käyttöjärjestelmissä, ohjelmistoissa kuin laitteissakin siirrytään automaatioalalla kohti valmiita, yleiskäyttöisiä COTS-ratkaisuja (commercial off-the-shelf).

Murros verkkotekniikoissa ja liitynnät ulkomaailmaan

Toimistoverkkojen ja internetin tekniikkaa (Ethernet, TCP/IP) pystytään nykyään tietyin rajoituksin ja muutoksin soveltamaan myös yhä vaativammissa reaaliaikasovelluksissa. Markkinoilla yritykset kohtaavat entistä kovempaa kilpailua. Pysyäkseen kilpailukykyisinä yritykset vaativat nopeampaa tiedonvälitystä tuotannosta yrityksen johdolle ja toisaalta johdon päätösten välittämistä takaisin tuotantolaitoksille. Tätä toteutetaan muun muassa vertikaalisella integraatiolla, jolloin korkeamman tason tuotannonohjausjärjestelmistä (ERP, MES) voidaan vaihtaa tietoja alemman tason automaatiojärjestelmien kanssa. Samaan verkkoteknikkaan perustuvat ratkaisut helpottavat integraatiota.

Toimistoverkot ja erityisesti internet ovat kuitenkin peruslaadultaan ja tietoturvan toteutukseltaan hyvin erilaisia kuin suljetut automaatioverkot [3 s. 42]. Internet ja IP ovat maailmanlaajuisia ja laajasti käytettyjä, ja niihin liittyy paljon riskejä. Nykyisten erillisten kenttäväylätoteutusten etu on, että liikenne ei reitity väylän ulkopuolelle ja kenttälaitteet ovat suhteellisen hyvin suojassa. Kehityssuunta on kuitenkin kohti verkkojen laajempaa yhdistämistä ja IP-protokollan tunkeutumista yhä syvemmälle automaatiojärjestelmään (kenttälaitteille oma IP-osoite). Tällöin laitteet ovat potentiaalisesti maailmanlaajuisesti tavoitettavissa.

Verkkomadot hyödyntävät TCP/IP-protokollia, ja näitä hyödyntävät automaatiojärjestelmät ovat myös alttiina hyökkäyksille. Välttämättä haittaohjelmien tekijöiden tarkoituksena ei ole ollut hyökätä kriittisiä järjestelmiä vastaan. Järjestelmien toiminta voi tästä huolimatta joutua alttiiksi näille haittaohjelmille, ja esimerkiksi pelkkä ylimääräinen verkkoliikenne saattaa aiheuttaa häiriöitä järjestelmässä.

Oman ongelmansa muodostavat langattomat verkot, jotka yleistyvät ainakin tietyissä sovelluskohteissa kovaa vauhtia. Fyysinen pääsy automaatiojärjestelmiin on yleensä tarkoin rajattu, mutta langattomien verkkojen vuoksi voi riittää pelkkä lähietäisyydelle pääsy. Langattomat verkot ovat myös alttiimpia tahalliselle häirinnälle. Kaiken kaikkiaan fyysistä eristystä (air gap) automaatiojärjestelmän ja ulkomaailman välillä ei enää ole [8 s. 32].

Etäkäyttö ja palveluliiketoiminta

Järjestelmien etäkäyttö on yleistynyt ja etäkäytön toteutustapoja on entistä enemmän. Tämä lisää ulkopuolisten yhteyksien määrää automaatiojärjestelmään ja siten myös tietoturvariskejä. Samalla automaatiotoimittajien liiketoimintamalli vaikuttaa kehittyvän kohti palveluliiketoimintaa ja käytettävyyden toimittamista. Pelkän järjestelmän asentamisen sijaan myydään siis käytettävyyttä koko järjestelmän elinkaaren ajaksi.

Automaatiotoimittajan vastuulla saattaa olla suuri määrä erilaisia järjestelmiä ympäri maailmaa. Näiden järjestelmien kunnossapito on usein ainakin jollain tavoin toimittajan vastuulla, ja toimittaja saattaa etäkäyttää ja -diagnosoida järjestelmiä keskitetysti. Tällä saavutetaan jälleen hyötyjä, mutta myös riskit kasvavat, kun useaan järjestelmään voidaan päästä tunkeutumaan samasta kohteesta.

Automaatiojärjestelmiä hyödyntävät yritykset ovat usein suuria, kansainvälisiä konserneja. Näiden yritysten sisäverkko on vastaavasti usein suuri ja kansainvälinen. Häiriöt voivat siirtyä automaatioverkosta yrityksen sisäverkkoon ja päinvastoin, mistä saattaa aiheutua maailmanlaajuisia ongelmia.

Ratkaisuja

Kaikkia IT-alalta tuttuja tietoturvaratkaisuja, kuten esimerkiksi virustorjuntaa, ohjelmistojen säännöllistä päivittämistä tai salaustekniikoita, ei välttämättä voida hyödyntää automaatiojärjestelmissä. Kuitenkin monet tietoturva-ammattilaiselle tutut menetelmät ovat käyttökelpoisia ja niitä tulisi ehdottomasti soveltaa. Seuraavassa mainitaan tärkeimpiä, useimpien aihetta kattavasti käsittelevien lähteiden (mm. [1, 3, 8]) esille nostamia menetelmiä automaatiojärjestelmien tietoturvan parantamiseksi.

Verkon suojaus tulisi perustaa kerrokselliseen puolustukseen, jolloin yhden kerroksen pettäminen ei vielä altista koko järjestelmää hyökkäykselle. Verkko tulee segmentoida sopivan kokoisiin osiin. Vain tarvittava liikenne sallitaan, lähtökohtaisesti kaikki muu liikenne estetään. Verkon liikennettä ja palomuurien tilaa on tarkkailtava aktiivisesti ja jatkuvasti. Automaatioverkko ei saa olla suoraan yhteydessä internetiin. Monissa verkon toteutuksissa esitetään automaatioverkon ja toimistoverkon väliin vastaavaa demilitarisoitua aluetta kuin toimistoverkon ja internetin välillä on (tai tulisi olla).

Kriittisten järjestelmien toimintaa tulee valvoa ja seurata jatkuvasti. Käyttöjärjestelmät ja ohjelmat tulee koventaa, eli kaikki tarpeettomat ominaisuudet poistetaan käytöstä. Ohjelmisto- ja laitteistopäivitysten toteuttaminen tulee organisoida ja suunnitella huolellisesti. Kaikki muutokset ja päivitykset tulee testata kattavasti ennen käyttöönottoa.

Hallinnolliset ratkaisut liittyvät olennaisesti myös automaatiojärjestelmien tietoturvaan: tietoturvatyön organisointi ja henkilöstön kouluttaminen ja ohjeistaminen on tärkeää. Tietoturvavaatimukset ovat osa kokonaisuutta ja niitä tulisi hallita kuten muitakin vaatimuksia (tämän toteutumisessa on yhä puutteita). Sopimuksissa tulee ottaa huomioon tietoturvaan liittyvät asiat ja vastuun jakautumisesta on sovittava mahdollisimman kattavasti. Sopimusteknisissä asioissa ja yhteisen terminologian määrittelyssä (englanniksi) auttaa Yhdysvaltain Department of Homeland Securityn ohje [9].

Poikkeustapausten varalta laaditaan toipumissuunnitelmat, jotta aiheutuneet vahingot voidaan minimoida. Ongelmatilanteissa sovelletaan toiminnallisesta turvallisuudesta tuttua niinsanottua turvallisen vikaantumisen periaatetta: häiriötilanteen sattuessa tai vian ilmetessä järjestelmä ajaa itsensä aina turvalliseen tilaan.

Yhteenveto

Tietotekniikassa laajasti käytettyjä tekniikoita hyödynnetään yhä enemmän myös teollisuuden automaatiojärjestelmissä. Automaatiojärjestelmät ja -verkot eivät ole enää eristettyjä kokonaisuuksia, vaan ne ovat yhteydessä muihin tietoverkkoihin. Järjestelmät altistuvat näin ollen IT-järjestelmistä tutuille tietoturvariskeille. IT-alalta saatuja kokemuksia ja tietoturvaosaamista voidaan ja pitää hyödyntää automaatioalalla. Automaatiojärjestelmien erityispiirteet on kuitenkin ymmärrettävä ja otettava huomioon. Automaation tietoturva on haastava aihealue, mutta tekniset ratkaisut ovat pitkälti olemassa. Parannettavaa on ongelmien tiedostamisessa, osaamisessa ja ratkaisujen soveltamishalussa. Teollisuuden automaatiojärjestelmät ovat olennainen osa modernin yhteiskunnan kriittistä infrastruktuuria. Toivottavasti niiden tietoturvan kehittämisen tärkeys ymmärretään ilman uusia varoittavia esimerkkejä.

Lähteet