Arvokas tuotantodata turvaan         

Monessa yrityksessä panostetaan IT-järjestelmien (Information Technology) tietoturvaan, mutta unohdetaan teollisia OT-järjestelmiä (Operational Technology) uhkaavat riskit. OT-järjestelmien tietoturvakartoitus on järkevä tapa tarkastaa, onko tietoturva ajan tasalla ja miten suojaa voisi parantaa.

Teollisten tuotantolaitosten automaatiojärjestelmät ovat potentiaalinen kyberturvahyökkäyksen kohde − etenkin jos niiden tietoturva ei ole ajan tasalla.

 

”Usein tilanne on se, että yrityksen tietoturva on suunniteltu niin, että se koskee toimistoverkkoa mutta ei lainkaan automaatiopuolta”, kyberturva-asiantuntija Antti Lehvonen Siemensiltä kertoo.

 

Lehvonen arvioi tämän johtuvan siitä, että asiakkaat eivät vain ole tulleet ajatelleeksi asiaa, sillä automaatiojärjestelmiä on alettu liittää ulkopuolisiin verkkoihin vasta vähän aikaa sitten. Muutos lähtee liikkeelle asenteista.

 

”Yrityksen tietoturvapolitiikka täytyy suunnitella kokonaisvaltaisesti niin, että se ottaa huomioon kaikki mahdolliset haavoittuvuudet sekä tuotannollisella että hallinnollisella puolella”, Lehvonen toteaa.

Kyberhyökkäys voi tulla kalliiksi

”Yritysten edun mukaista olisi ensiksi selvittää automaation tietoturvan nykytaso”, Antti Lehvonen arvioi.

 

Automaatiojärjestelmä voi lamautua hakkeri- tai krakkerihyökkäyksellä, mutta myös niin, että haittaohjelma leviää järjestelmään. Ongelman selvittäminen ja vahinkojen paikkaaminen voivat kestää kauan ja tulla kalliiksi sekä iskun kohteena olevalle yritykselle että sen asiakkaille.

 

”Hyökkäys OT-järjestelmään voi aiheuttaa konkreettisia ja näkyviä haittoja, jotka helposti tuovat mukanaan myös epätoivottua julkisuutta”, Lehvonen sanoo.

 

Yhteiskunnallisesti vielä dramaattisempia vaikutuksia on esimerkiksi sähköverkon kaatumisella. Tällaisia kyberhyökkäyksiä on tehty maailmalla useita.

 

Lehvosen mukaan tietoturvasuunnittelu täytyy ulottaa myös pilvipalveluihin.

 

”On varmistettava, että käytettävän pilviympäristön tarjoaja ymmärtää tietoturvan merkityksen tuotantojärjestelmälle. Turvallisen tiedon keräämisen täytyy olla mahdollista.”

On varmistettava, että käytettävän pilviympäristön tarjoaja ymmärtää tietoturvan merkityksen tuotantojärjestelmälle.  
Antti Lehvonen, Siemensin kyberturva-asiantuntija

Katselmus selvittää puutteet

Siemensin tietoturva-asiantuntijat ovat tehneet asiakkailleen useita tietoturvakatselmuksia. Niiden tarkoituksena on selvittää, ovatko yrityksen valmiudet vastata kyberturvauhkiin riittävällä tasolla. Riskien arviointi perustuu kansainväliseen kyberturvauhkien torjuntamenetelmiä ja -tekniikoita peilaavaan IEC 62443 -standardiin.

 

”Kartoituksissa ei ole väliä, onko automaatiolaitekanta Siemensin vai jonkun muun yrityksen toimittama”, Lehvonen huomauttaa.

 

Kartoituksen tekeminen asiakkaan luona kestää aloituspalaverin jälkeen kaksi päivää. Kartoituksen aikana tutustutaan tuotantotiloihin ja käydään laajan kysymyspatteriston avulla läpi tietoturvan nykytila ja mahdolliset puutteet.

 

Kyseessä ei Lehvosen mukaan ole yksisuuntainen haastattelu, vaan kaksisuuntainen keskustelu, jonka tarkoitus on auttaa asiakkaita ja lisätä heidän ymmärrystään tietoturvasta.

 

”Arvioimme riskiperusteisesti, mitkä olisivat isoimmat korjauskohdat tietoturvassa.”

Tiedätkö oman OT-tukihenkilösi nimen?

Katselmuksen jälkeen asiakas saa raportin, joka sisältää suositukset korjaaviksi toimenpiteiksi. Myöhemmin järjestettävässä palautetilaisuudessa keskustellaan seuraavista askelista.

 

”Ilman konsultaatiota asiakkaalla voi olla runsaudenpula ratkaisuvaihtoehtojen suhteen tai vaikeus hahmottaa, mistä lähteä liikkeelle. Me annamme oman asiantuntija-arviomme, mutta loppukädessä asiakas tietysti itse päättää, mihin toimenpiteisiin ryhtyy.”

 

Lehvonen korostaa, että kokonaisvaltainen IT- ja OT-järjestelmät sisältävä tietoturvasuunnittelu vaatii kokonaisvaltaista johtamista. Myös sisäinen viestintä on tärkeää: jokaisen työntekijän on esimerkiksi tiedettävä, keneen olla yhteydessä, jos havaitsee mahdollisia tietoturvariskejä, kuten tiedonkalasteluyrityksiä tai mahdollisesti viruksia sisältäviä viestejä.

 

”IT-järjestelmien osalta näiden yhteyshenkilöiden tiedot yleensä ovatkin olemassa, mutta OT-järjestelmien osalta tilanne on usein toinen.”

 

Teksti ja kuva: Tuomo Tarvas

Siesta auttaa, kun dokumentaatio laahaa perässä

Siemensin tarjoamassa uudessa Siesta-palvelussa ei ole kyse keskipäivän lepohetkestä vaan tietoturvaosaston mielenrauhasta. Palvelu on kuin tekninen auditointi, joka tarkistaa asiakkaan haluamat automaatiosolut ja varmistaa, että verkosta löytyy juuri ne laitteet kuin pitääkin ja että niiden tietoturva on ajan tasalla.

 

”Vuosien saatossa automaatiosoluun on saattanut tulla dokumentoimattomia muutoksia, kuten uusia tai poistuneita järjestelmiä. Siesta raportoi erilaiset haavoittuvuudet ja antaa toimenpide-ehdotukset eteenpäin”, Antti Lehvonen sanoo.

 

Raportti antaa varmuuden automaatioympäristön nykytilaan ja helpottaa huoltokatkojen suunnitelmallisuutta.

 

”Siesta on oma palvelunsa, mutta täydentää hyvin OT-järjestelmän tietoturvakartoitusta.”

 

Teksti: Päivi Lukka