Energiasektori tietoturvahyökkäysten jatkuvana kohteena
Energiasektori ja sitä lähellä olevat automaatiojärjestelmät ovat olleet hakkeroinnin ja tietoturvahyökkäysten kohteena hyvin pitkään. Stuxnet sai syystäkin palstatilaa 2010 kun tämä iski Iranissa Natanzin kylän lähellä sijaitsevan rikastamon sentrifugeihin. Voitaneen sanoa, että viimeistään siinä vaiheessa viimeistään tietoturvamaailma heräsi laajasti OT-järjestelmiin (Operational Technology, OT) kohdistuviin hyökkäyksiin.
Oma laajempi kiinnostukseni heräsi kun tutustuin tarkemmin Kyle Wilhoitin tekemään tutkimukseen aiheesta (Who’s Really Attacking Your ICS Equipment?, 2013). Tässä tutkimuksessa hän rakenteli automaatiojärjestelmää hyvin pitkälle muistuttavan kokonaisuuden ja jätti sen suojaamattomana internetin raadeltavaksi. 28 päivän aikana tuli kaikkiaan 39 hyökkäystä 14 eri maasta, joista sitten 12 oli hyvin pitkälle vietyjä eli hyökkääjä tiesi hyvin millainen teolliseen käyttöön tarkoitettu järjestelmä oli kyseessä. Tämä oli itselleni varsin silmiä avaava informaatio.
Suomessa vastaavaa on toki tehty myös esimerkiksi Aalto-yliopiston toimesta. Siinä menetelmä on huomattavasti helpompi eli tutkimuksessa on hyödynnetty Shodan-hakukonetta, joka soveltuu internettiin liitettyjen järjestelmien tietoturvan analysointiin. Ensimmäisessä vuonna 2013 tehdyssä raportissa ilmaistaan tulos, jonka puitteissa löydetyistä laitteista 60%:iin löytyi yleisesti tiedossa oleva haavoittuvuus julkisista haavoittuvuustietokannoista.
Automaatiojärjestelmän hakkerointi - helppoa kuin ristinolla?
No miten maailma on muuttunut vuonna 2020? Kävin joulukuussa 2019 Black Hat -seminaarissa kuuntelemassa Ali Abbasin, Tobias Scharnowski ja Thorsten Holzin luennon aiheesta: “Doors of Durin: The Veiled Gate to Siemens S7 Silicon”. Tässä luennossa esiteltiin tapa, millä päästään murtautumaan automaatioympäristöissä hyödynnettävään varsin yleiseen PLC-kontrolleriin (Programmable Login Controller). Demossa tällä laitteella sitten pelattiin ristinollaa ko. järjestelmällä eli se oli varsin selkeästi valjastettu omaan ”hyötykäyttöön”. Esityksessä käytiin varsin yksiselitteisesti käytiin läpi miten ja miksi tämä on mahdollista. Luennossa oli sinällään mielestäni hämmentävää, kuinka yksityiskohtaisesti järjestelmä perattiin auki. Tämä käytännössä osoittaa sen, että mielenkiintoa tutkijoilla riittää yksittäisiin järjestelmiin. Tähän käytetty työmäärä ei ole ihan pieni.
”Olennaista tässä kaikessa on huomata, että automaatiolaitteita liitetään yhä monipuolisemmin verkkoon ja näin ne ovat myös uusien tietoturvauhkien piirissä.”
Tietoturvaseminaareissa kuultujen yksittäisten luentojen lisäksi on saatavilla käteviä koostesivustoja (esim. www.scadahacker.com), josta voidaan hyvin nopeasti päästä tarkastelemaan ja vaikkapa stressitestaamaan teollisuusautomaatiojärjestelmiä. Internetin aikakautena tämä ei enää edellytä valtavaa määrää erityisosaamista, vaan mielenkiintoa aiheeseen ja halu tehdä asioita. Ko. esimerkkisivuston laajuus on hämmentävää.
Jos tiedon saaminen on helppoa ja työkalut saatavilla, niin onko maailma avoin pahantekijälle? Kaikki ei ole ihan näin yksinkertaista. Tuotantojärjestelmille on saatavilla paljon suojauksia ja suojausmenetelmiä. Vaikka itse automaatiojärjestelmä onkin haavoittuva ja kovettamaton (esim. tarpeettomia hakkeria kiinnostavia palveluita, jotka tarjoavat herkullisen hyökkäysrajapinnan, on tiedostamattomasti käytössä), niin tämä ei tarkoita, että kokonaisuus on suojaton.
Onko verkkojen segmentointi enää paras ratkaisu?
Tuotantojärjestelmät on monesta syystä tyypillisesti eristetty muista järjestelmistä. Tietoturva on luonnollisesti tärkeä syy eristämisen tekemiseen, mutta syitä on toki muitakin. Koska tuotantojärjestelmien primääritarkoitus on luotettava toiminta, ei tietoturvaa ole tyypillisesti implementoitu ensimmäisenä järjestelmään. Tietoturvan perusperiaatteet on toteutettu eristämällä tuotantojärjestelmät omaan tai suljettuun verkkosegmenttiin. Verkkojen segmentointi (Network Isolation) on tietoturvan ja toiminnallisuuden varmistamisen kautta järkevää.
Eristäminen on varmasti tehokas tapa suojata järjestelmiä, mutta digitalisaation ja avointen rajapintojen aikana tämä ei enää liiketaloudellisesti ole välttämättä ainoa järkevä ratkaisu. Siksi segmentointi on hyvä periaate, mutta siitä voidaan joutua tinkimään digitalisaation lonkeroiden lähestyessä.
Sovellustietoinen verkko saa tekemisen näkyväksi
Sovellustietoiset verkkoratkaisut, kuten esimerkiksi uuden sukupolven palomuurit pystyvät tunnistamaan eri sovelluksia. Edistyksellisimmät laitteet pystyvät oppimaan näytteiden perustella uusia sovelluksia ja jopa harvinaisempia automaatiojärjestelmissä käytettäviä sovelluksia tai protokollia. Olennainen asia tässä on sovellustietoisten verkkolaitteiden tarjoama näkyvyys, jota voidaan kohtuullisen riskittömästi hyödyntää automaatioverkossa esimerkiksi verkkoliikennettä monitoroimalla verkkojen reunoilla.
Moni verkkolaitelaite tukee Netflow-pohjaista informaation tuottamista verkkoliikenteestä. Jos oikein yksinkertaistetaan ja ajatellaan, että jos IP-paketit olisivat puhelinnumeroita, niin Netflow-informaatiota voitaisiin kuvata eriteltynä puhelinlaskuna. Tämän flow-liikenteen lisäksi on usein mahdollista päätellä myös käyttävä sovellus, riippuen tietysti lähteestä ja Netflow-liikenteen vastaanottavasta ohjelmistosta. Eli käytännössä sovellustietoisuuden saavuttaminen ei välttämättä lainkaan tarkoita koko verkon komponenttien uusimista. Olennaista on tietää mitä on käytössä ja miten sitä halutaan hyödyntää tietoturvan kannalta. Automaatioverkon näkyvyyttä voidaan siis tehostaa monella eri tavalla, mikä on syytä huomioida verkkoinvestointeja tehtäessä.
Näkyvyydessä on syytä huomioida aina itä-länsi- ja etelä-pohjoissuuntainen liikenne. Tämä tarkoittaa käytännössä sitä, että palomuuri verkon reunalla näkee verkosta lähtevän ja tulevan liikenteen (etelä-pohjoinen) kun taas verkon sisäinen liikenne (itä-länsi) vaatii eri mekanismit. Tähän soveltuu mainosti Netflow-liikenteen kerääminen. Täytyy muistaa, että palvelinten virtualisointi-alustoissa käytettävät virtuaaliverkkokortit antavat mainion näkyvyyden, jos ne tukevat Netflow-liikenteen keräämistä.
Lainsäädäntö ja erilaiset käytänteet ohjaavat toimintaa
Lähes kaikki it-alalla toimivat tahot ovat varmasti kuulleet ja joutuneet jossakin määrin ottamaan kantaa EU:n tietosuoja-asetukseen. Elämä ennen ja jälkeen GDPR-asetuksen on asia, johon käytännössä jokainen organisaatio on tottunut ottamaan kantaa. Tämä ei kuitenkaan ole ainoa tietoturvan ja tietosuojaan liittyvä osa-alue, joka vaatii toimenpiteitä.
EU:n verkko- ja tietoturvadirektiivissä (NIS-direktiivi, The Directive on Security of Network and Information Systems) säädetään tietoturvavelvollisuuksista ja häiriöraportoinnista useilla toimialalla. Suomessa velvoitteet säädetään näiden toimialojen omassa säädännössä ja niitä valvovat toimialakohtaiset valvontaviranomaiset.
Direktiivin mukaan keskeiset palveluntarjoajat sekä tietyt digitaalisten palvelujen tarjoajat velvoitetaan verkko- ja tietoturvallisuusriskienhallintaan. Tämän lisäksi se velvoittaa palveluntarjoajaa raportoimaan vastuuviranomaisille turvallisuuspoikkeamista, jotka erityisesti haittaavat tai uhkaavat toiminnan jatkuvuutta. Energiahuolto on yksi toimialoista, joita NIS-direktiivi koskee. Tämä on huomioitava myös tietoturvaa rakennettaessa.
Käytännössä tämä tarkoittaa sitä, että tietoturva tulee rakentaa usean eri osa-alueilla operoivien kumppanien kanssa. Vain harvoilla isoilla toimijoilla on täysin omat resurssit kaiken it-järjestelmiin liittyvien osa-alueiden järjestämiseen. Siksi tarvitaan kumppaneita, jotka esimerkiksi ylläpitävät konesaleja, monitoroivat tietoturvaa ja toimittavat esimerkiksi datayhteyksiä. Eli kaikkea on vaikea rakentaa itse ja vieläpä tietoturvallisesti.
Liiketoiminnan tarpeet tunnistavan osaavan it-toimittajan merkitys kasvaa
Mielestäni energia-ala ja automaatioympäristöt laajemmin tarvitsevat nyt kumppanin, joka osaa puhua liiketoiminnan ymmärtämää kieltä ja samalla toteuttaa digitalisaation vaatimuksia siten, että tietoturvan on osa laatuajattelua iT- ja OT-järjestelmiä toteutettaessa. Erityisen tärkeänä osana tässä näen tietoverkot, joiden kautta käytännössä kaikki olennaisen sovelluskommunikaatio tapahtuu. Atealta löytyy laaja skaala palveluita kertaluonteisesti tai jatkuvana palveluna. Suosittelen lämpimästi tutustumaan tarkemmin meidän tietoturvan ja tietoliikenteen konsultointipalveluihimme. Haluamme rakentaa asiakkaillemme tietoturvaa ja tietoliikennettä turvallisella tavalla, mutta ennen kaikkea siten, että digitalisaation tarjoamat mahdollisuudet on saavutettavissa ennakoiduilla kustannuksilla. Käytännöllisyys ja ymmärrettävyys on tietoturvan keskeisimpiä elementtejä.
