Teknologiatorstai Q&A: Paranna OT-ympäristön turvallisuutta

Sähköasemalla on tyypillisesti muutama kohta, missä valvonta kannattaa keskitetysti tehdä. Olennaista on, että myös IT-puolelta/konesalista sähköasemalle tulevaa liikennettä valvotaan sähköaseman sisäisen liikenteen lisäksi. Tässä kannattaa miettiä valvonnan ulottamista myös päätelaitteille/palvelimille (EDR). 

Jos halutaan ainoastaan valvoa verkkoa, voidaan peilata sähköaseman verkkoliikenne palomuurille, mikä osaa tunnistaa ja analysoida sähköaseman liikenteen (esim. IEC 61850 protokollat). Seuraavassa vaiheessa, kun liikenne tunnetaan paremmin, voidaan sitä rajoittaa tarkemmin ja sallia vain se mikä on välttämätöntä aseman toiminnalle.

Layer 2:n pitäisi olla järjestelmän sisäisen kommunikaation segmentti, jolloin liikenteen ei tarvitse mennä tietototurvalaitteen, kuten palomuurin, läpi. Voidaan ajatella, että Ethernet-verkossa tämä on subnet-taso, missä liikennöinti tapahtuu MAC-osoitteilla, eikä reititystä IP-tasolla tehdä. Tämä tarkoittaa, ettei kaikilla laitteilla tarvitse tai pidä olla gateway-määritystä tehtynä. Layer 3 -tasoa pitäisi ajatella zero trust -pohjalta, missä liikenne reititetään IP-tasolla tietoturvalaitteen, kuten palomuurin, kautta.

Rautavaaran hyökkäyksestä ei ole julkaistu selvitystä, mutta vaikuttaisi siltä, että kyseessä oli ransomware-hyökkäys, joka saatiin rajattua yhteen hallintoverkon palvelimeen. Tämä palvelin saadaan rakennettua varmuuskopioista uudelleen, eikä isoja katkoksia palveluissa päässyt syntymään.

Hyökkääjän näkökulmasta olemme kaikki potentiaalisia kohteita. Mahdollisen hyökkäyksen vaikutusta voidaan vähentää, kun osaavilla ihmisillä on käytössään soveltuvaa teknologiaa ja järkevät toimintaprosessit. Nykytilan kartoitus on ensimmäinen askel, jotta tiedetään, mikä on organisaation tietoturvan taso tällä hetkellä ja missä halutaan tulevaisuudessa olla.