Suomen Automaatioseura Turvallisuusjaosto ASAF 3.3.2004/TS, MS Teemapäivä teollisuusautomaation tietoturva 27.1.2004 Yrityksen tai laitoksen ja Internetin välillä oleva palomuuri suodattaa tietoliikenteen, jolloin mato tai virus ei pääse sisään. Palomuurista voi kuitenkin löytyä reikiä, joita automaattinen verkkomato väsymättä etsii ja ennen pitkää löytää jokaisen reiän, josta se voi päästä sisään. Toinen reitti madoille ja viruksille on kannettavien tietokoneiden mukana. Vaikka laitokselle tulevan huoltomiehen tietokone tarkistettaisiinkin, voi mato tulla koneelle jo seuraavana iltana, kun huoltomies yhdistää hotellilla koneensa verkkoon sähköpostin lukemista varten. Suomen Automaatioseuran turvallisuusjaosto järjesti asiantuntijatapaamisen tammikuussa 2004. Tilaisuuden tarkoituksena oli kartoittaa niitä uhkia, joita tietoturvan puutteellinen toteuttaminen tai laiminlyönnit teollisuusyrityksissä voi aiheuttaa henkilöille ja ympäristölle. Tutkimusjohtaja Mikko Hyppönen F-Secure Oyj Automaattiset järjestelmät ovat haavoittuvia. Automaation tietoturva herättää erityistä huolestumista yhteiskunnassa ja niillä teollisuudenaloilla, joissa on turvallisuuskriittisiä prosesseja. TIETOKONEVIRUSTEN HISTORIAA Käynnistyslohkovirukset (1986... 1995): Nämä virukset levisivät vain levykkeiden ( lerppujen ja korppujen ) mukana. Leviämistä pidettiin aikoinaan nopeana, jos viruksesta tuli maailman laajuinen ongelma yhdessä vuodessa. Makrovirukset (1995... 1999): Nämä virukset levisivät paljon käytettyjen Microsoftin ohjelmatiedostojen (Wordin, Exelin ja Power Pointin) mukana ja saattoivat päätyä maailman laajuiseksi ongelmaksi yhdessä kuukaudessa. Office 2000 ohjelmiston käyttöönotto lopetti makrovirukset melko tehokkaasti. Sähköpostimadot (1999... 2003):
2 Sähköpostimato saastuttaa sähköpostin ja tavoittaa osoitteet, jotka ovat tartunnan saaneen koneen muistissa. Sähköpostin mukana leviävistä viruksista voi tulla maailman laajuinen ongelma jo yhdessä vuorokaudessa. Verkkomadot (2003...): Verkkomadot leviävät automaattisesti koneesta toiseen. Virus käy jatkuvasti ja nopeasti läpi kaikkia mahdollisia osoitekombinaatioita ja osuu minne sattuu ja löytää siksi sellaisiakin osoitteita, joita ihminen ei koskaan arvaisi etsiä. Jos suojaamaton osoite (tietokone) löydetään, mato kopioi itsensä sinne ja käynnistää sieltä samanlaisen kaikkien mahdollisten osoitteiden etsinnän. Tammikuussa 2003 Slammer-verkkomato kävi tällä tavalla läpi koko Internetin 13 minuutissa. Virusten ja matojen vakavuus jaetaan viiteen tasoon: - severe - high - elevated - guarded - low Pahimpaan (severe) luokkaan kuuluvia matoja oli vuonna 2003 kolme: tammikuussa Slammer-verkkomato ja elokuussa Blaster-sähköpostimato sekä Sobig F verkkomato. VERKKOMATOJEN TOIMINTA Nettiprotokolla on yleensä TCP/IP (Transmission Control Protocol/Internet Protocol). Siinä osoitteena on neljän luvun ryhmä (esim. 192.6.7.17). Kussakin luvussa on 0... 255 numeroa, jolloin osoitteita voi olla kaikkiaan noin 4,2 miljardia. Se on noin 1/100 maailmalla käytössä olevien puhelinnumeroiden määrästä. Verkkomato käy läpi kaikki mahdolliset neljän luvun osoiteryhmät. Huomattava osa osoitekombinaatioista menee hukkaan kun: - osoite ei ole käytössä - tietokone on palomuurin takana eikä mato pääse sen läpi - koneessa on väärä käyttöjärjestelmä, jonne mato ei pääse - mato ei jostain muusta syystä pääse tietokoneeseen. Silloin tällöin kuitenkin löytyy osoite, jolla mato pääsee tietokoneeseen, jossa on sopiva käyttöjärjestelmä, jossa on madon mentävä reikä. Mato menee silloin sisään ja jatkaa sieltä osoitteiden arpomista. Leviämistapansa vuoksi verkkomato-ongelma koskee kaikkia TCP/IP protokollaa käyttäviä yhteyksiä. Slammer-verkkomato:
3 Tammikuussa 2003 levinnyt Slammer verkkomato kävi edellä kuvatulla tavalla läpi kaikki nettiosoitteet ja löysi koneet, jotka saattoi saastuttaa. Slammer lähti liikkeelle lauantaina 24.1.2003 klo 7.31. Sen nopeaan leviämiseen (kaikki nettiosoitteet läpi 13 minuutissa) vaikutti se, että madon ohjelma oli pieni (376 tavua) ja se ajaa itsensä läpi noin 30 000 kertaa sekunnissa. Torjuntatoimenpiteisiin ei ehditty ryhtyä. Madon seurauksina oli ainakin seuraavia ilmiöitä: - verkkokäyttö hidastui. - Bank of American pankkiautomaattiverkosto oli pois käytöstä kaksi vuorokautta. - Seattlen aluehälytyskeskus oli pois käytöstä 14 tuntia. - Newarkin, Houstonin ja Clevelandin lennonjohto ei toiminut kunnolla, koneiden laskuissa ja nousuissa oli jopa puolentoista tunnin viiveitä. - Ohiossa olevan David-Bessen ydinvoimalan turvajärjestelmä oli pois käytöstä useita tunteja. Voimala oli onneksi huoltoseisokissa. Voimalaitoksen turvajärjestelmän ylläpito oli ulkoistettu ja siksi järjestelmän palomuuriin oli tehty aukko ylläpitäjiä varten. Mato pääsi sisään sisäiseen verkkoon kytketystä ylläpitäjän kannettavasta tietokoneesta. Sobig verkkomato: Sobigissa näkyy virusten ja matojen tekemisen ammattimaistuminen. Sobigista oli vuoden aikana liikkeellä useita versioita (A... F), kunnes sitten tehokas Sobig F laskettiin levitykseen elokuussa. Osa verkkoviruksista ja madoista on tehty kaupallisiin tarkoituksiin. Niiden avulla kerätään osoitetietoja roskapostittajia tai muuta käyttöä varten. Esimerkiksi luottokorttitietoja on haettu matojen avulla selville saaduista osoitteista. Osoitteeseen lähetetään viesti, jossa jollain järkevän tuntuisella syyllä pyydetään luottokortin numeroa ja usein joku antaakin korttinsa numeron. Virusten tekemisen muuttuessa yhä ammattimaisemmaksi saatetaan keksiä virus, jolle ei löydy tehokasta puolustuskeinoa. Toistaiseksi kuitenkin kaikkiin viruksiin on keksitty puolustuskeinot jossain vaiheessa. Swen eli Giba.E sähköpostimato: Kesällä 2003 levinnyt sähköpostimato pysäytti monen yrityksen sähköpostiliikenteen. Suomessa julkisuudessa olivat esillä erityisesti Soneran ongelmat, mutta maailmalla ongelmia oli paljon suuremmillakin operaattoreilla. Blaster eli Lovsan (11.8.2003): Tämä 11.8.2003 liikkeelle laskettu automaattinen verkkomato käytti hyväkseen käyttöjärjestelmän ns. RPC-reikää, joka löydettiin heinäkuussa 2003. Microsoft teki korjauspäivityksen, mutta kesälomien vuoksi 11.8.2003 oli kuitenkin vielä paljon koneita, joiden käyttöjärjestelmää ei oltu päivitetty ja siksi mato löysi reiän monista koneista.
4 Madon seurauksena tietokone käynnistää itseään silmukassa eikä siksi pystytä lataamaan korjauspäivitystäkään. Mato aiheutti monenlaisia ongelmia. Seuraavassa on joitain esimerkkejä: - Nordean pankkikonttorit suljettiin 14.8.2003 - Tietoenatorilla ja Finnairilla oli ongelmia - Air Canadan lennot seisahtuivat päiväksi. Itse lentokoneiden ja lennonjohdon ohjelmistot toimivat ongelmitta, mutta lähtöporteilla olevat lentolippujen tarkistukseen käytettävät koneet saastuivat. - Windows käyttöjärjestelmää käyttävät Diebold-pankkiautomaatit saastuivat. Mato pääsi järjestelmään todennäköisesti jonkun huoltomiehen kannettavan tietokoneen kautta. Sama Diebold on Amerikan suurin automaattisten äänestyskoneiden tekijä. - USA:n suurimman rautatieoperaattorin henkilö- ja rahtiliikenne seisahtuivat. New Yorkin ja sen ympäristön suuri sähkökatkos 14.8.2003 ei johtunut suoraan madosta, mutta madoilla oli välillinen vaikutus, koska sähköverkko oli valmiiksi hyvin kuormittunut ja operaattorit tekivät käyttövirheitä. Käyttövirheiden syynä oli madon aiheuttama tietoliikenteen hidastuminen tai estyminen siten, että operaattoreilla ei ollut oikeaa tietoa tilanteesta. Tilanteesta toipuminen viivästyi samasta syystä; käyttäjillä ei ollut oikeaa ja ajan tasalla olevaa tietoa verkon ja siinä olevien sähkön tuottajien tilasta. Mato on päässyt sisään myös sähköverkkoihin. Esimerkiksi Niagara Mohawk verkossa on saatu selvitettyä, että verkossa käytetään Northern Dynamic sensoreita. Niissä on käytössä DCOM protokolla, joka on Microsoftin implementaatio madolle reiän tarjonneesta RTCprotokollasta. Lisää tietoja osoitteesta North American Electric Reliability Council. Suunnilleen samoihin aikoihin oli myös muita suuria sähkökatkoksia: Helsinki sekä Etelä-Ruotsi ja Pohjois-Tanska 23.8.2003 Lontoo sekä Etelä-Sveitsi ja Pohjois-Italia 28.8.2003. Näillä katkoksilla ei kuitenkaan tiedetä olevan yhteyttä viruksiin tai matoihin. Lokakuussa 1999 yrityksen entinen työntekijä hyökkäsi SCADA hallintajärjestelmää käyttävään jäteveden jälleenkäsittelyjärjestelmään Queenslandissa Australiassa. Seurauksena oli jätevesien tulviminen golfkentille, hotellin nurmikolle ja muualle ympäristöön. Syyskuussa 2001 Houstonin sataman hallintajärjestelmään tehtiin laaja palvelunestohyökkäys, jonka seurauksena koko järjestelmä kaatui. SISÄVERKKOIHIN PÄÄSY Yrityksen tai laitoksen ja Internetin välillä oleva palomuuri suodattaa SQL- ja RTCliikenteen, jolloin mato tai virus ei pääse sisään. Palomuurissa on kuitenkin pakko olla reikiä ja automaattinen väsymättä uusia osoitteita etsivä mato ennen pitkää löytää jokaisen reiän, josta se voi päästä sisään. Toinen reitti madoille ja viruksille tulee kannettavien tietokoneiden mukana. Vaikka laitokselle tulevan huoltomiehen tietokone tarkistettaisiin, voi mato tulla
5 koneelle jo seuraavana iltana, kun huoltomies yhdistää vaikkapa hotellissa kannettavan tietokoneensa verkkoon sähköpostin lukemista varten. UHAT JA TULEVAISUUDEN NÄKYMÄT Kokemus on osoittanut, että Internet on helppo kaataa. Virustorjunnalla ja palomuureilla leviämistä voidaan kuitenkin melko hyvin estää. Kunnollinen tietoturva saadaan aikaan eristämällä laitteet julkisista verkoista. Windows on tulossa autoihin ja jopa lentokoneisiin. Esimerkiksi Boeing 777 ohjaamossa on jo Windows XP-pohjaisia järjestelmiä. Windows Automotive maalailee tulevaisuuden kuvia, joissa järjestelmä automaattisesti hakee esimerkiksi jarrujen toimintaan korjauspäivityksen ajon aikana. Windows on yleisyytensä vuoksi ollut houkuttelevin kohde väärinkäytöksille. Linuxiin tehtyjä viruksia on vasta muutama kymmentä. Johtopäätöksiä: Toistaiseksi ei ole raportoitu teollisuusautomaation aiheuttamia onnettomuuksia virusten johdosta. Järjestelmät ovat olleet hyvin suljettuja, mutta tilanne on muuttumassa kun järjestelmiä integroidaan muihin verkkoihin ja samalla syntyy aukkoja, joista virukset pääsevät tunkeutumaan järjestelmiin. Verkkoja on helppo kaataa, mutta vaikutukset jäävät kuitenkin rajallisiksi. Kriittiset verkot on eristettävä avoimista verkoista ja virustorjunta on saatava ajantasalle. Sellutehtaan automaatiopäällikkö Heikki Kangas StoraEnso Oy Imatran tehtaat TIETOTURVA PROSESSIAUTOMAATIOSSA Sellotehdas on suuri järjestelmä: vuorokaudessa prosessin läpi menee noin 150 rekkaautollista puuta. Prosessiautomaatiossa korkea käytettävyys on tuotannon ehdoton edellytys. Käytössä on useita tietojärjestelmiä, mm.: - tuotantoprosessin automaatiojärjestelmä - laatusäätöjärjestelmä - logiikat - vianilmaisu - paalien hallintajärjestelmä - trukkiliityntä - varastojärjestelmä. Automaatio on toimittajalähtöistä ja vaatii korkeaa ammattitaitoa. Ongelmana ovat olevat pienet toimittajat. Joskus ylläpito- tai muihin kysymyksiin ei saada vastauksia kun yritys on lopettanut toimintansa. Käytettävä teknologia on epäyhtenäistä ja siihen liittyy runsaasti tiedonsiirtoa. Tietoturvan kannalta on paljon ongelmia. Luoksepäästävyys:
6 Tehdasympäristö on fyysisesti avoin ja siellä on paljon luvallisia kulkijoita. Kun monia toimintoja on ulkoistettu, ei kaikkia kulkijoita enää tunneta kuten aikaisemmin. Järjestelmätoimittajien kannettavat tietokoneet pyritään tarkastamaan ennen niiden verkkoon kytkemistä. Tämä ei vielä toimi kovin hyvin, esimerkiksi jo kerran tarkastettu kone saatetaan kytkeä kännykän kautta nettiin sähköpostin lukemiseksi. Langattomat verkot ovat oma erityisongelmansa. Tahallinen tai tahaton vahingoittaminen: Käyttäjiä on paljon ja heillä on paljon yhteisiä käyttäjätunnuksia ja salasanoja. Toiminnan hallitseminen on hankalaa. Ulkoiset yhteydet lisääntyvät koko ajan, jolloin hakkeri tai krakkeri saattavat päästä yrityksen johonkin järjestelmään. Pääsyä järjestelmään on-line seurantaa varten haluavat: - järjestelmätoimittajat - prosessien tai prosessilaitteiden toimittajat - kunnossapitoyritykset - tutkimusorganisaatiot - raaka-ainetoimittajat - viranomaiset. Ulkopuolisissa yhteyksissä pyritään käyttämään VPN (Virtual Private Network) yhteyksiä, jolloin muusta ympäristöstä eristetty tiedonsiirtoputki avataan suoraan ulkopuolisen käyttäjän ja sisäverkon välille. Runsas laite- ja toimittajakanta hankaloittaa toimintaa. Tietoturvajärjestelyistä on huolehdittava järjestelmäkohtaisesti. Päivityksissä on otettava huomioon käytettävyyden vaatimukset. Jos päivitys edellyttää järjestelmän sulkemista ja uudelleen käynnistämistä ( buuttausta ), ei päivitystä todennäköisesti tehdä ennen kuin seuraavassa seisokissa. Yleisenä johtopäätöksenä voisi esittää yhtälön: Helppokäyttöisyys x Tietoturva = Vakio Seppo Pyyskänen Duocon Oy AUTOMAATION TIETOTURVAN PERUSTEISTA Automaatio on nykyisin hajautettua ja siihen liittyy paljon tiedonsiirtoa. Järjestelmissä on erillisiä saaria, joiden on oltava yhteydessä toisiinsa. Samaan aikaan on estettävä luvaton rantautuminen. Sisäiset saarien väliset sanomat on koodattava., jotta estetään ulkopuolisia kaappaamasta tai muuttamasta sanomia. Automaatio on ihmisten tekemä ja käyttämä, jolloin inhimillinen toiminta vaikuttaa suoritukseen: ihmisten tekemiin käyttövirheisiin on varauduttava. Lisäksi on otettava
7 huomioon, että virheetöntä ohjelmaa ei ole. Järjestelmän on oltava tunnoton tiedonsiirron virheille ja häiriöille. Näkökohtia: - Sovelluksen pitäisi olla immuuni ulkopuolelta tuleville uhkille. Normaalista poikkeavat viestit pitäisi suodattaa pois. - Tietoliikenteen sarjamuotoisen tietoliikenteen ja varsinaisen automaation suunnittelu olisi erotettava toisistaan. - Implisiittisissä sanomarakenteissa sekä lähettäjä että vastaanottajat tietävät nimen ja kontekstin ja vain arvo välitetään. Tällaista sanomarakennetta on vaikea ulkopuolelta häiritä. - Tyypillisesti yhden kanavan periaate ei ole riittävän luotettava turvallisuuteen liittyvään tiedonsiirtoon. Tiedoksi: standardin IEC 61508 uuden version valmistelu on menossa. Uusittu standardi on tarkoitus saada voimaan vuonna 2006. Uudessa versiossa SIL (Safety Integrity Level) tasojen rinnalle on tulossa TSIL tasot (Threat SIL), joilla tietoturvavaatimukset luokitellaan ohjattavan kohteen riskitason mukaisesti. Markku Henttu, Metso Automation Oy METSO DNA SECURITY Metso Automaatiolla on oma tietoturvapolitiikka ja ohjeita tietoturvakysymyksiin eri tilanteissa. Tietoturva varmistetaan vain osaksi teknologialla. Ihminen on erittäin tärkeä osa tietoturvaa, joten koulutus, tiedottaminen ja toimintatavat ovat erittäin tärkeässä roolissa. Ohjeissa on määritelty mm. toimintatavat siitä, miten verkkoon mennään (eli vain puhtaaksi todetulla tietokoneella). Metso tarjoaa asiakkalle metsodna järjestelmiin auditointeja, parantavia toimenpiteitä, koulutusta sekä tarjoaa jatkuvaa palvelua viruskuvausten ja patchien asennuksiin. Aikaisemmin prosessien ohjauksessa käytetyt Damatic-järjestelmät eivät tuoneet tietoturvaongelmia, koska niihin ei mahtunut mitään ylimääräisiä tietoja. Nykyiset NT ja Windows 2000 järjestelmät ovat paljon ongelmallisempia. Ongelmia lisää halu päästä seuraamaan tuotantoa ja automaatiojärjestelmien tietoja halutaan toimistoverkkoihinkin. Tietoturvan toimenpiteinä käytetään: - koulutusta - turvallista verkkorakennetta - Windowsin ja muiden ohjelmistojen lujittamista ( hardenointia ) - on-line virusskannausta ja päivitystä.
8 Projekteissa viruksettomuus varmistetaan ja lujittaminen tehdään heti alussa. Lisäksi sitä tehdään projektin aikana ja valmiissa järjestelmässä ylläpidossa. Puolustukselliset toimenpiteet ( Proactive actions ): - Skannaus - Palomuurit asennetaan myös kannettaviin tietokoneisiin. Palomuuri on ohjelmallinen ja siksi se ei ole kovin luotettava: käyttäjä voi muuttaa asetuksia. Kaikissa kannettavissa tietokoneissa on omat palomuurit. Palomuuri ei riitä kaikkiin uhkiin, koska antivirusohjelmia ei ehditä aina päivittää riittävän nopeasti. Keskustelussa esitettiin ajatus, että tehtaan verkkoon liityttäessä palomuurille tehdään aina ensin automaattinen päivitys ja vasta sitten pääsee verkkoon sisään. Toisen ongelman muodostavat tilapäiset käyttäjät tai muut tarpeet tehdä muuriin aukkoja, jotka helposti jäävät pysyviksi. Perussuojaus ( basic protection ): - Hyvä menetelmä on lujittaminen ( hardenointi ), jolloin ohjelmistosta poistetaan mahdollisimman paljon tarpeettomia toimintoja, joita sovelluksessa ei tarvita. Useimmat virukset tarvitsevat tilaa levitäkseen ja tällöin ei viruksille jää riittävästi elintilaa eikä viruksen tarttumisen ja leviämiselle ohjelman osaa mahdollisesti edes löydy. Tämä on osa kokonaisuutta palomuurien ja anti-virus ohjelmistojen lisäksi. - Viimeisimmät turvallisuuspäivitykset: virustorjuntaohjelmistoja käytetään aktiiviseen skannauksen mm. suunnittelussa ja tiedon keruussa. Välittömästi reaaliaikaisessa ohjauksessa virusten skannaus yleensä ei käy, koska se voi hidastaa tai muuten häiritä ohjausta. Siten antivirus ohjelmia ei usein voida liittää suoraan kriittiseen prosessin ohjaukseen, vaan niitä ennen oleviin mm. valvomo-, suunnittelu- ja tiedonkeruutietokoneisiin. Microsoftilta tulevat ilmoitukset ja päivitykset testataan ensin ennen kuin asiakkaita opastetaan päivitysten tekemiseen. Viruskuvaukset saadaan Symantecilta. Viruskuvauksen lisääminen käy yleensä helposti verkon kautta. Ohjelmistoihin tehtävät paikkaukset ( patch ) on kuitenkin tehtävä paikan päällä fyysisesti ja se on hankalaa ja vie aikaa. Auditointia ja seurantaa tehdään, jos asiakas sellaisia tilaa. Yhteydet asiakkaisiin toimivat Internetin kautta virtuaalisen yksityisverkon ( VPN ) välitykselle. Joka asiakkaalle menee vain yksi VPN-putki. Pasi Parkkinen Mipro Oy SULJETUN VERKON KÄYTETTÄVYYS JA TIETOTURVARISKIT
9 Tietoturva monimutkaistaa järjestelmiä, jolloin kustannukset nousevat ja eivätkä ne ole kertaluonteisia. Primääritoimintojen on oltava helposti käytettäviä, mutta tietoturva lisää epäkäytettävyyttä. Usein on tehtävä kompromissi hyväksyttävän tietoturvan ja käytettävyyden välillä. Yrityksissä tarvitaan tietoturvapolitiikkaa, jota on noudatettava. Tietoturvan dokumentointi auttaa paljastamaan heikkouksia, tarvitaan suunnitelma tietoturvan toteutuksesta, valvonnasta, kehittämisestä ja suunnitelma siitä, miten toimitaan jos jokin pettää. Tietoturvan uhkien tarkastelussa selvitetään, onko valvontaa (sisäiset, ulkoiset) ja mikä on pahin mahdollinen seuraus. Jatkuva valvonta on tarpeen, jotta voidaan reagoida sanomaliikenteen määrän muutoksiin, vaikkakin hieman myöhässä. Tietoturvaan liittyy monia erilaisia näkökohtia: - Käytettävyys - primääritoimintojen on oltava käytettävissä. - tietoturva aiheuttaa epäkäytettävyyttä (tulee uusia vikapaikkoja). - tietoturva monimutkaistaa järjestelmiä, jolloin kustannukset nousevat ja ne eivät ole kertaluonteisia. Tietoturvaa on tarkasteltava järjestelmän koko elinkaaren mittaisena prosessina. - Tietoturvan uhkat - onko valvontaa? - loppukäyttäjällä ei välttämättä ole tietoturvaan liittyvää osaamista. - sisäiset uhat (käyttäjät, ohjaus, kunnossapito, järjestelmätoimittajat). - ulkoiset uhkat. Uhkien arvioinnissa on hyvä ajatella mikä voisi olla pahin seuraus. Mitä vikapaikkoja voi olla mitä eri vioista voisi pahimmillaan seurata. Usein tehdään kompromissi hyväksyttävän tietoturvan ja käytettävyyden välillä. Jotta kompromissi ja toiminta tehtäisiin oikein, on yrityksissä oltava tietoturvapolitiikka, jota myös noudatetaan. Riskien tunnistamiseen liittyviä tekijöitä: - Paikallinen käyttö - Etäkäyttö - varsinaiset käyttäjät - kunnossapito - järjestelmätoimittaja - koneen puhtaus ja luotettavuus. Miprolla tämä on hoidettu siten, että verkko on internetistä täysin erillään ja kone on fyysisesti eri tilassa, jonne kulkeminen kirjautuu muistiin. - käyttäjän tunnistaminen
10 Tietoliikenne: - toimittajan vastuu - fyysinen pääsy laitetiloihin - pääsyn ja käytön valvonta - VPN-yhteys on tavallinen tiedon salauksessa. Uusimmat päivitykset ovat saatavissa internetistä. Suljetussa verkossa tämä on ongelma. Ohjelmistot ja virustorjunta: - junat eivät saisi pahemmin pysähdellä tietoturvapäivitysten tai tietoturvaongelmien vuoksi. Yksi ongelma on tarve netin välttämiseen: sieltä päivitykset saisi nopeasti, mutta nettiyhteyksissä on aina vaara saada mato tai virus Käyttöönotossa tehdyt asetukset: - käyttöönotossa on yleensä kiire, jolloin hidastavat esteet poistetaan ja tarkistukset ohitetaan. Vaarana on, että tarkistuksia ei tehdä eikä varmistuksia palauteta myöhemminkään Tietoturvan dokumentointi: - oltava jatkuvaa - auttaa paljastamaan heikkouksia Suunnitelma tietoturvan toteutuksesta: - käyttäjien koulutus Suunnitelma tietoturvan valvonnasta: - lokitiedot - verkon valvonta Suunnitelma tietoturvan kehittämisestä: - käytettävyys - tietoturvafunktioiden lisääminen (voi olla ongelmallinen jälkikäteen) Suunnitelma tietoturvan pettämisen varalta Tietoturvan auditointi - suunnitelmallisuus - säännöllisyys - ohjelmallisuus - katselmukset - raportointi - puuteisiin reagointi - jatkuva valvonta.
11 Valvonnassa voidaan esimerkiksi reagoida sanomaliikenteen määrän muutoksiin, mutta tosin hieman myöhässä. Rautatieliikenne Suomessa: Ongelmia - Ratahallintokeskuksen ja VR:n eri roolit - useita toimittajia - usean sukupolven tekniikkaa - uusien järjestelmien elinkaarta ei tiedetä; releillä se on voinut olla 50 vuotta Mipro Oy:n järjestelmillä ohjataan vuonna 2006 yli 2000 ratakilometriä (asetinlaitteet ja kauko-ohjaus). Mitä voisi tapahtua? Eri vaihtoehtoja tarkasteltaessa on todettu, että palvelun esto on mahdollista. Silloin käyttöliittymät pimenevät, mutta suoranainen junaonnettomuus on epätodennäköinen. Todennäköisin on inhimillisen virheen aiheuttama onnettomuus. Reijo Savola VTT Elektroniikka, Oulu TIETOTURVAN MITTAAMINEN Informaatiotekniikka on yleistymässä automaatiossa. Etäkäyttö, etäkunnossapito ja muu etätoiminta halutaan yhä useammin uudeksi mahdollisuudeksi omaan järjestelmään. Langattomat yhteydet, tiedon määrän kasvu, automaation kasvu ja COTS-tuotteet vaikuttavat osaltaan tietoturvakysymyksiin. Myös internetin käyttö on yleistymässä. VPN-yhteys on yleistymässä. Järjestelmän tietoturvan taso vastaa sen heikointa lenkkiä. Teollisuusyrityksen tietoturvaprosessia määriteltäessä ja ylläpidettäessä täytyy tuntea järjestelmän kaikki toimijat (yhteistyökumppanit), sopia tietoturvan tasosta ja asettaa pelisäännöt kaikella tietoturvaan vaikuttavalle toiminnalle. Tietoturvan tason mittaaminen liittyy rakenteisiin (arkkitehtuuriin). Kehitys on selvästi menossa laajoihin järjestelmiin, joilla on yhteyksiä ulkomaailmaan: - kenttäväylät - langaton lähiverkko (WLAN, Wireless Local Area Network) - etäkäyttö Internetin kautta tai muuten - Open Architecture. Virtuaalinen yksityisverkko ( VPN ) ei sinänsä takaa tietoturvaa, mutta sen käyttö hankaloittaa ulkopuolisten tunkeutumista.
12 Langattomuus tuo uusia ongelmia, sitä kautta tunkeutuminen tai muu häirintä (tai tietojen kerääminen) on mahdollista. Haasteita - nopeat muutokset tuotannossa - internet - langattomat verkot - hallittavan tiedon määrän kasvu - suurempi automaatioaste - kaupalliset ohjelmistot ja järjestelmät COTS (= Commercial Off The Shelf ), jotka eivät yleensä ole suunniteltu toimimaan yhdessä jonkun toisen COTSin kanssa. - vihamieliset tunkeutumiset. Eri tekniikoita käytettäessä ongelmat kertautuvat - langattomuus - verkot - kriittiset prosessit tai tietokannat. Turvallisuus on prosessi eikä pysyvä tila. Turvallisuutta ei voi lisätä järjestelmään tai tuotteeseen jälkeen päin ( add on ), vaan sen on oltava mukana suunnittelussa ja toteutuksessa alusta lähtien: - tuotanto - tiedonsiirto - kunnossapito (ylläpito) - liiketoiminta. Tavoitteet - tunnista - analysoi - määrittele - suunnittele. Otettava huomioon - ihmiset - fyysinen ympäristö - virtuaalinen ympäristö. Toimintaa ei voida hallita hyvin, jos sitä ei voida mitata. On päätettävä mitä tietoturvaan liittyviä asioita pitää mitata ja kuinka usein. Tietoturvaprosessissa mittaamismahdollisuuksia ja näkökulmia on monia: auditointiin perustuvat menetelmät, verkon valvontamittaukset, kryptografisten algoritmien tietoturvatason arviointi sekä ohjelmistoarkkitehtuureihin perustuvat menetelmät. - mittausta kenelle - tekniselle henkilöstölle
13 - kauppamiehille - tietohallinnolle - millaista mittausta - muuttujia prosesseista tietoturvaa varten - mittaustuloksia informaatiotekniikan ratkaisujen testauksista. Muutostilanteet: mikä voi muuttua - prosessimuutos - tuotteen muutos - uudet ihmiset - uusi fyysinen ympäristö - IT-verkon komponenttien muutokset. Tietoturvan tason pitäminen - määrittele - mittaa (monitorointi) - suunnittele - kouluta - seuraa ja valvo. Mittaaminen - auditointi (GQM) - riskianalyysi - kryptografiset algoritmit (näennäisesti satunnaisia) - rakenne (arkkitehtuuri). Jari Seppälä Tampereen teknillinen yliopisto AUTOMAATION TIETOTURVAHAASTEET MONIMEDIAYMPÄRISTÖSSÄ Tietoturvaan tehtyjä investointeja on usein vaikea perustella, koska niistä ei tule suoraa tuottoa ja niillä voidaan ainoastaan estää menetyksiä. Tietoturvallinen automaatio on mahdollista jo tänään. Tietoturvan oikea taso pitää osata valita. Yritykset eivät ole tietoturvan osaamisessa ja toteutuksessa samalla tasolla. Esimerkiksi USA:ssa tuli vastaan tapaus, jossa laitokselle sai viedä jatkuvatoimisen modeemin, mutta ei kiinteää ADSL-yhteyttä. Yrityskaupat tuovat uusia haasteita. Miten säilyttää turvallinen yhteys asiakkaisiin ja tuotantokoneiden mittaustietoihin? Monimediaympäristöstä on sekä langallista että langatonta tiedonsiirtoa. Verkkoihin pääsyn hallinta on vaikeaa. Toimintojen ulkoistus aiheuttaa omat ongelmansa. Ulkoistettuna voi olla tietoverkon ylläpito, kehitystyö, projektit tms. Miten tilannetta (ihmiset, ohjelmistot, laitteet) hallinnoidaan? Miten kolmen A:n (AAA) toteutus hallinnoidaan:
14 - Authentication - todentaminen - Authorisation - pääsyn valvonta - Accounting - jäljitettävyys. Uudet mahdollisuudet etäältä toimimiseen tuovat mukanaan uusia tarpeita. Esimerkiksi tehtaalla oleva huoltomies haluaa päästä oman yrityksensä verkkoon tehtaan verkon kautta jonkin diagnostiikkatoiminnon tms. toteuttamiseksi tai sama (tai eri) huoltomies voi haluta tutustua omalla toimistollaan prosessin ja sen komponenttien tilaan omalla toimistollaan ennen tehtaalle lähtöä, jotta oikeat mittalaitteet, ohjelmistot ja varaosat osaisi ottaa valmiiksi mukaan. Pääsyn valvonta monimediaympäristössä, joissa yhdistetään perinteisiä lankaverkkoja, langattomiin paikallisverkkoihin ja operaattoreiden valvomiin pidemmän kantaman langattomiin verkoihin on uusi ja erittäin haasteellinen ongelmakenttä. Esimerkiksi GPRSroamingissa paikallinen operaattori luottaa ulkomailla olevaan operaattoriin. Lait ja lakeja valvovat elimet ovat kuitenkin erilaisia eri maissa. Miten tulee yritykselle kallisarvoisen tuotanto- ja konfiguraatiotiedon suojaaminen toteuttaa siten, että kaikki luvaton käyttö on estettävissä ja jäljitettävissä? Todentaminen ja pääsyn valvonta on vaikeaa erityisesti automaatiotekniikan laitteilla, joilla ei ole käyttäjäliittymää ja joiden resurssit eivät riitä muun muassa suojattujen VPN-yhteyksien käyttöön Esimerkki elävästä elämästä: Naapuritalon mikron tuulettimen nopeuden säädin pimensi poliisiradion tukiaseman. JATKOTOIMENPITEET Martti Välisuo (Fortum Nuclear) esitti tietoturvakirjan sisällysluetteloluonnoksen. Seuraavassa sisällysluettelon pääotsikot: 1. Johdanto 2. Uuden tekniikan tuomat mahdollisuudet automaatiossa 3. Automaatiojärjestelmien tietoturvariskit 4. Tietoturvan vaatimukset eräissä sovelluskohteissa 5. Tietoturvan menetelmät ja tekniikat 6. Tietoturva automaatiojärjestelmän suunnittelussa ja toteutuksessa 7. Tietoturva automaatiojärjestelmän käytössä ja ylläpidossa 8. Kirjallisuutta 9. Sanasto ja lyhenteet 10. Liitteet Risto Ajo kertoi tietoturvakirjan nykyvaiheesta. Suomen Automaatioseura voi toimia kustantajana. Kirjan kirjoittamista suunnitellaan edelleen. Tällä hetkellä etsitään kirjaan kirjoittajia. Todettiin, että kirjan voitaisiin kirjoitta myös osina. Joka tapauksessa ensin on selvitettävä, löytyykö asiasta kiinnostuneita yrityksiä ja kirjoittajia.
15