Onko teollisuuden tieto turvassa?

Tuotantolaitoksien turvallisuudella on pitkät perinteet ja turvallisuutta käsitellään yleensä laaja-alaisesti. Tyypillisesti turvattuina kohteina ovat, elinkeinoelämän keskusliiton yritysturvallisuuden mukaisesti:

• henkilöstön terveys ja hyvinvointi
• laitteistojen toimivuus
• ympäristö ja toimitilat
• maine
• tuotannon häiriöttömyys

Henkilöstön osaamista näillä osa-alueilla ylläpidetään kouluttamalla, jotta vaadittavat pätevyydet pysyvät voimassa. Toiminnan jatkuvuuden kannalta tästä yhtälöstä kuitenkin puuttuu se merkittävä osatekijä eli tietoturvallisuus.

Varoittavimpana esimerkkinä tuotantolaitoksiin kohdistuvista tietomurroista toimii Saksalaisen terästehtaan masuunin ylikuormittaminen ja lukitseminen. Sitä seurasi masuunin sulaminen ja tehtaan toiminnan lakkautuminen. Hyökkäyksen tehneet hakkerit olivat kiertäneet olemassaolevat turvallisuusjärjestelyt yksinkertaisesti kyselemällä tarvittavat tiedot verkkoon kirjautumiselle tehtaan omalta henkilöstöltä.

Automaatio- ja tuotannonohjausjärjestelmät muodostavat tietoturvallisuusriskin ollessaan kytkettyinä verkkoon, pahimmillaan vanhentuneen käyttöjärjestelmän koneeseen, jolloin ne ovat keskeinen riskitekijä toiminnan jatkuvuudelle. Vanha tietokone, joka on toiminut moitteettomasti vuosia, unohtuu helposti organisaatiolta. Se on kuitenkin todennäköisin kohde tietomurtoa suunnittelevalle taholle, kun yrityksen verkkoon halutaan murtautua.

Internettiin kytkettyjen, etäohjattavien tai tietoa lähettävien ja keräävien laitteiden määrän kasvaessa, myös yleinen kiinnostus erinäisiä verkossa olevia, vuosikausia piilossa olleita ohjaus- ja automaatiojärjestelmiä kohtaan, on kasvanut. Niiden löytyminen on myös helpottunut. SHODANin tapaisten hakukoneiden avulla voidaan kerätä listoja vaikka Espoossa olevista, verkkoon kytketyistä turvakameroista tai tuulivoimaloista, yhtä helposti kuin googlettamalla ravintoloita. Aalto-yliopiston vuonna 2013 aloittama tutkimus skannasi vuoden aikana noin viidenneksen Suomen tietoverkosta SHODANin tapaan, ja ehti tuona aikana löytää lähes 3000 avointa automaatiolaitteistoa. Annettuina esimerkkeinä löydöissä oli muun muassa tehtaiden valmistuslinjastoja, voimalaitoksia, vedenkäsittelylaitoksia sekä sairaaloiden ja vankiloiden LVI –ohjausjärjestelmiä, kaikki avoimina kenen tahansa käytettäväksi.

Laitteistojen tietoturvallisuus nojaa oletukseen, että ne eivät ole internetissä näkyvillä. Tästä johtuen niiden salasana on mahdollisesti jäänyt asettamatta tai niiden päivittäminen on lopetettu, kun järjestelmän on havaittu toimivan pidemmän aikaa. Laitteistojen määrän kasvusta johtuen teollisuuslaitteistoa vastaan tapahtuvien hyökkäysten määrä on lähtenyt nopeaan kasvuun. Vuosikausia piilossa olleet ohjaus- ja automaatiojärjestelmät ovat verkkorikollisille mielenkiintoisia kohteita varsinkin niiden löydettävyyden helpottumisen myötä.

Suoraa ja katastrofaalista vahinkoa aiheuttavia hyökkäyksiä on toistaiseksi vielä vähäinen määrä, mutta pienempiä vahingontekoja, toiminnan keskeytymistä tai tietojen vuotamista tapahtuu jo Suomessakin päivittäin, puhumattakaan kymmenistä tuhansista yrityksistä. Tietoturvallisuutta ei yleensä nähdä kriittisenä osana toimintaa, vaikka jokaiselta yritykseltä löytyy merkittävää ja salassa pidettävää tietoa. Hyvästä tietoturvahallinnosta, saati tehokkaasta laitteistosta ja päivityksistä huolimatta, vaara voi silti olla olemassa, jos henkilöstöä ei ole koulutettu tunnistamaan tietoturvallisuuteen liittyviä vaaroja. 

Leo Hämäläinen, tietoturvallisuuskouluttaja
Alertum Oy