Blogisarjan ensimmäisessä osassa käsittelimme IT- ja OT-turvallisuuden peruseroja. Totesimme, että vaikka verkot konvergoituvat, ne vaativat eri pelikirjan muun muassa erilaisten prioriteettien vuoksi. Toisessa osassa pureudumme siihen kriittiseen rajapintaan, josta hyökkäykset teollisuusympäristöihin useimmiten alkavat.
Karu totuus on, että moderni hyökkääjä ei enää kiipeä tehdasalueen aidan yli, vaan hän kävelee sisään toimistoverkon sähköpostista.
Kun "ilmarako" katosi, IT:stä tuli merkittävä OT:n suojamuuri
Historiallisesti OT-verkot suojattiin fyysisellä eristämisellä eli "ilmaraolla" (air-gap). Digitalisaatio on kuitenkin kuronut raon umpeen. Tieto kulkee tuotannosta ERP-järjestelmiin ja etähallinta on arkipäivää. Työtä ei myöskään tehdä pelkästään toimistolta: Pääsy IT-järjestelmiin tarvitaan myös etätyöntekijöille, kentällä toimiville työntekijöille ja kumppaneille. Tämän takia IT-verkon ja päätelaiteiden haavoittuvuudet ovat suora uhka tuotannon jatkuvuudelle.
Norsk Hydro: Kun yksi sähköposti pysäytti globaalin tuotannon
Vuoden 2019 hyökkäys alumiinijätti Norsk Hydroon on oppikirjaesimerkki siitä, kuinka hauras IT- ja OT-maailmojen välinen raja voi olla. Kaikki alkoi yhdestä saastuneesta sähköpostista, jonka työntekijä avasi IT-verkossa.
Miksi vaikutukset ulottuivat toimistosta tehtaan lattialle?
Vaikka hyökkääjien käyttämä LockerGoga-kiristyshaittaohjelma ei ollut suunniteltu tuhoamaan teollisuuslogiikoita (PLC), se halvaannutti tuotannon kolmesta syystä, jotka ovat tyypillisiä nykyaikaiselle teollisuudelle:
Active Directoryn hyväksikäyttö: Hyökkääjät pääsivät käsiksi organisaation keskitettyyn identiteetinhallintaan (Active Directory). Tämän jälkeen he pystyivät levittämään haittaohjelman automaattisesti tuhansille koneille ympäri maailmaa. Myös niille laitteille, jotka ohjasivat ja valvoivat tuotantoa.
Sivuttaisliike (Lateral Movement): Verkon segmentointi oli puutteellista. Kun hyökkääjä sai jalansijan verkosta, hän pystyi liikkumaan vapaasti kohti palvelimia, jotka syöttivät reseptejä, työohjeita ja tietoja tuotantolinjoille.
Näkymättömät riippuvuudet: Moderni OT-ympäristö ei ole saari. Se tarvitsee IT-palveluita toimiakseen:
Toiminnanohjaus (ERP): Tehdas ei tiedä, mitä sen pitää valmistaa, jos tilaustiedot eivät kulje.
Laadunvalvonta: Jos mittaustuloksia ei voida tallentaa keskitettyyn tietokantaan, prosessi on pysäytettävä turvallisuussyistä.
Etäyhteydet: Huolto ja tuki nojaavat IT-infrastruktuuriin.
Lopputulos: Vaikka tehtaan sähkömoottorit ja pumput olivat kunnossa, ne olivat verrattavissa kehon lihaksiin, jotka eivät saa aivoilta käskyjä : Ilman IT-verkosta tulevaa ohjausdataa ja näkyvyyttä prosesseihin, Norsk Hydro joutui siirtämään osan tehtaistaan manuaaliseen ohjaukseen ja sulkemaan toisia kokonaan. Yhtiö arvioi hyökkäyksen kokonaiskustannuksiksi noin 800 miljoonaa Norjan kruunua (noin 70–80 miljoonaa euroa), jotka koostuivat pääosin menetetyistä tuottomarginaaleista ja tuotantovolyymeistä.
Strategia: Zero Trust ja Least Privilege
Jotta vältämme tuotannon vaarantavat tai pysäyttävät skenaariot, on otettava käyttöön kaksi keskeistä periaatetta, jotka palvelevat nimenomaan organisaation kokonaisturvallisuutta:
Least Privilege (Pienimmät oikeudet) - Tämä ei koske vain pääsyä OT-verkkoon, vaan koko IT-infrastruktuuria!
Käyttöoikeuksien minimointi: Myyntipäällikkö ei tarvitse pääsyä palvelinsaliin, eikä IT-ylläpitäjän tule käyttää pääkäyttäjäoikeuksia sähköpostin lukemiseen.
PAM (Privileged Access Management): Kriittiset oikeudet myönnetään vain tarvittaessa ja valvotusti. Jos hyökkääjä vaarantaa tavallisen käyttäjän tilin, matka tyssää siihen, ettei kyseisellä tunnuksella ole oikeuksia mihinkään kriittiseen.
Zero Trust (nollaluottamus) - Zero Trust tarkoittaa "Assume Breach" -ajattelua: oletamme, että hyökkääjä on jo sisällä verkossa.
Identiteetti on uusi suojamuuri: Emme luota laitteeseen vain siksi, että se on kytketty toimiston seinään tai se on VPN-yhteyden päässä. Jokainen yhteyspyyntö varmennetaan vahvalla tunnistautumisella (MFA).
Sisäinen mikrosegmentointi: IT-verkko ei saa olla yksi suuri "avokonttori". Se on jaettava pieniin huoneisiin niin, että jos yksi osa saastuu, hyökkäys ei leviä muihin. Aivan kuten palo-ovet estävät tulipalon leviämisen.
IT turvaaminen on vakuutus tuotannolle
Norsk Hydron tapaus osoitti, että IT-tiimi ei ole vain "tukitoiminto", vaan teollisen tuotannon jatkuvuuden takaaja. Kun sovellamme Zero Trustia ja Least Privilegeä IT-ympäristössä, teemme hyökkääjän elämästä niin vaikeaa, ettei hän koskaan edes pääse koputtamaan OT-verkon ovelle.
Blogisarjan seuraavassa ja viimeisessä osassa siirrymme yhteiseen pöytään: Kuinka IEC 62443 standardi toimii tulkkina ja välineenä, kun IT- ja OT-asiantuntijat alkavat rakentaa yhteistä turvallista tulevaisuutta?
Haluatko tehdä ratkaisevan vaikutuksen yhteiskuntaan alan huippuasiantuntijoiden kanssa?
Katso avoimet työpaikkamme tai verkostoidu kanssamme!
Ilari Savikko ja Jari Laurila
Ilari Savikko työskentelee Cyber Security Specialistina OT-kyberturvallisuuden parissa. Jari Laurila työskentelee Cyber Engineering Leadina tuote- ja IT-kyberturvallisuuden parissa.
