0509381p copy

Artikkelit ja kirjoitukset

5.10.2018 10.18

Toimitusketjujen kyberturvallisuus – yhtä turvallinen kuin heikoin lenkki

80 prosenttia kybermurroista voi olla peräisin toimitusketjusta. Kyberhyökkäysten vakavuus riippuu niiden kohteista. Suurin riski kohdistuu teollisuuden ja kriittisen infrastruktuurin laitoksiin. Iskuilla voi olla laajoja, negatiivisia vaikutuksia yhteiskuntaan. IEC:n työ auttaa suojautumaan kyberhyökkäyksiltä.

Toimitusketjujen haavoittuvuudet tekevät niistä houkuttelevia kohteita hyökkäyksille

Alkuperäinen artikkeli: Morand Fachot, e-tech Issue 4/2018

Käännös: Jukka Alve

Koska jopa 80 % kybermurroista voi olla peräisin toimitusketjusta, niiden suojaaminen on ehdottoman tärkeää kaikille organisaatioille. Suurin riski kohdistuu teollisuuden ja kriittisen infrastruktuurin laitoksiin. IEC on laatinut monia standardeja niitä varten. IEC työskentelee myös vaatimustenmukaisuuden arvioinnin ja maailmanlaajuisen sertifioinnin parissa vaatimustenmukaisuuden arviointilautakunnan (CAB, Conformity Assessment Board) perustamien työryhmien ja IECEE:n (IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components) sertifioinninhallintakomitean (CMC, Certification Management Committee) kautta. Kumpainenkin auttaa suojaamaan toimitusketjuja paremmin.

Airbus A320 liikuteltava työalusta
Airbus A320:n liikuteltavissa oleva työstöalusta (kuva: Airbus Group)

Kriittinen infrastruktuuri on kaikkein tärkein

Kyberhyökkäysten kokonaisvaikutus ja vakavuus riippuvat kohteista. Kyberhyökkäyksillä yrityksiin ja teollisuuteen voi olla katastrofaalisia vaikutuksia niiden kohteeksi joutuneissa yrityksissä ja toisinaan koko yhteiskunnassa. Ne voivat lopulta pakottaa joitakin yrityksiä tai teollisuudenaloja lopettamaan toimintansa. Kaikkein vakavimmat koko maata koskevat kyberuhat kohdistuvat kriittiseen infrastruktuuriin, johon kuuluu yhteiskunnan ja talouden toiminnan kannalta välttämättömiä laitoksia ja järjestelmiä. Niihin kuuluvat sektorit ovat olennaisesti samanlaisia monissa maissa. Niistä minkä tahansa vahingoittumisella voi olla laajoja ja vakavia häiriövaikutuksia koko yhteiskuntaan.

Toimitusketju on joustava, mutta paljon erilaisia asioita sisältävä käsite

Standardissa ISO/IEC 27036-1:2014, IT Security techniques — Information security for supplier relationships — Part 1: Overview and concepts esitetään kattava määritelmä tietotekniikan ja tietoliikennetekniikan toimitusketjulle. Se koostuu joukosta organisaatioita, joilla on toisiinsa liittyviä resursseja ja prosesseja, kunkin organisaation toimiessa joko ostajana tai toimittajana tai molempina muodostaen peräkkäisiä toimitussuhteita tilauksen, sopimuksen tai muun muodollisen hankintasopimuksen perusteella.

Toimitusketjun määritelmä teollisuuslaitosten ja muiden fyysisten laitosten, kuten sähköverkkojen, kuljetusjärjestelmien, älykkään valmistusteollisuuden yms. tapauksessa olisi vielä laajempi ja monimutkaisempi. Siihen kuuluisi tietotekniikan ja tietoliikennetekniikan lisäksi operatiivisen tekniikan toimitusketju, johon sisältyy henkilöstö (kehittäjät, toimittajat, myyjät, asentajat ja operatiivisen teknologian parissa työskentelevät työntekijät), prosessit ja tuotteet. Näitä ovat operatiivisen teknologian kannalta keskeiset komponentit ja järjestelmät, kuten teollisuusautomaatio- ja ohjausjärjestelmät sekä kasvavassa määrin esineiden internetin (IoT) rakenneosat. Kaikkien teollisuudenalojen digitalisointi tarkoittaa haavoittuvampia teollisuuden toimitusketjuja.

Vaikka sektorit ja toiminnot ovat erilaisia, haasteet ovat samanlaisia

Financial Times -lehden hiljattain Lontoossa järjestämässä konferenssissa Managing Cyber Risk in Critical Infrastructure, johon IEC:n e-tech-media osallistui, pidettiin paneelikeskustelu kriittisen toimitusketjun tietoturvallisuuden varmistamisesta. Panelisteihin kuuluivat tietoturvallisuusjohtajat (Chief Information Security Officer, CISO) ja tietohallintojohtajat (Chief Information Officer, CIO) ilmailu- ja energiasektoreilta. He kertoivat, miten hallitsevat toimitusketjujaan ja toimittajiaan. He kertoivat yksityiskohtia kohtaamistaan haasteista ja niiden ratkaisuista muistuttaen, että myös turvallisuus on heille merkittävä huolenaihe. Airbusin kyberturvallisuusarkkitehtuurin johtaja tohtori Kevin Jones kertoi, että Airbusilla on kolme päätoimialaa: kaupallisten lentokoneiden, helikopterien ja puolustuskaluston valmistus.

“Tästä syystä Airbusilla on hyvin laaja toimittajakunta, samalla kun se monen muun valmistajan tavoin on läpikäymässä valtavaa muutosohjelmaa”, hän sanoi.

Toimitusketjun turvaamiseksi Airbus otti käyttöön joukon toimenpiteitä, joihin kuuluvat turvallinen etäyhteys toimittajille ja tietyntasoinen pääsyoikeuksien erottelu, Airbusin ja toimittajien tuotantolaitosten täydellinen auditointi ja haavoittuvuuksien tunnistaminen. Toimittajien on katselmoitava prosessinsa sen varmistamiseksi, että ne täyttävät Airbusin vaatimukset.

Mitä ohjelmistokehityksen turvallisuuskriittisiin ympäristöihin tulee, Airbusilla on sisäisiä työryhmiä, joissa on ohjelmakoodin takaisinmallinnuksen ja luotettavuuden arvioinnin asiantuntijoita. ”Paljon rahaa, aikaa ja työtä investoidaan sen varmistamiseen, että kaiken meillä olevan koodituksen oikeellisuus on hyvin tarkistettu. Kuten millä tahansa suurella organisaatiolla, toimitusketjumme ovat hyvin monimutkaisia ja laajoja, ja niiden käsittelytavat rippuvat suuresti siitä, minkälaisia riskejä tietty toimitusketju muodostaa liiketoiminnallemme”, Jones sanoi.

Tietoturvallisuusjohtaja Peter Merker Skyguidesta, joka toimittaa lentosuunnistuspalveluita Sveitsille ja tietyille naapurimaiden lähialueille, kertoi, että koko lennonjohtosektori oli läpikäymässä valtavaa digitalisaation aikaansaamaa teknologiamuutosta. Tämä digitaalinen muutos tarkoittaa siirtymistä pois monoliittisestä, eliniältään 20-vuotiaasta laitteistokannasta tietotekniikkaympäristöstä tuleviin järjestelmiin ja valmisohjelmistojen käyttöön aina kun se on mahdollista kustannusten ja joustavuuden kannalta. Koko lentosuunnistuksen ohjausjärjestelmää hallinnoidaan keskitetysti, ja se on kasvavassa määrin integroitu yli koko mantereen Eurocontrolin alueella. Tämä tarkoittaa sitä, että tapahtumassa oleva digitaalinen muutos ja lennonjohtosektorin tapa käyttää toimittajia ovat samanlaisia kaikkialla.

“Skyguide ostaa ohjelmistoja suoraan, joten me tarkastelemme sopimusteknisiä näkökohtia lähdekoodin katselmuksissa. Se on uutta meille, koska ennen kehitimme koodin itse.” Skyguide omistaa SkySoftin, lennonjohtojärjestelmiin erikoistuneen ohjelmistokehitysyhtiön. ”Hallinnoimme sitä, mitä itse kehitämme yhdessä valmiina ostamiemme ohjelmien kanssa”, Merker sanoi.

Brittiläis-monikansallisen energia- ja palveluyrityksen Centrican tietoturvallisuusjohtaja Dexter Casey  kertoi, että Centricalla on kaksi päädivisioonaa. Näistä ensimmäisellä, energia-alan British Gasilla (kaasu ja sähkö), on hyvin suuria laitteistoja, kaasualustoja ja -asemia, ja siten samanlaisia kyberturvallisuushaasteita kuin muilla tilaisuuden esiintyjillä. Hän lisäsi, että Centrican IoT-yritys Connected Home, kohtaa myös samanlaisia ongelmia, kun mikropiirit ja piirisarjat tulevat yhdestä paikasta. On hyvin vaikeaa vaatia toimittajia muuttamaan konfiguraatiota tai tekemään komponenteista yksilöllisiä”, Casey sanoi. Hän lisäsi, että Centricalla on yli 30 000 toimittajaa, ja noin 15 henkilön työryhmä käy läpi sopimuksia ja suorittaa tietoturvallisuuden arviointeja. ”Centrican on keskitettävä ponnistelut niihin 100 – 200 toimittajaan, joilla on kriittinen vaikutus palveluiden toimittamiseen”, hän selitti.

Moni puhujista mainitsi “juomapaikkahyökkäysten” aiheuttamat riskit. Niissä haittaohjelmia sijoitetaan tietyille toimittajien verkkosivuille, joilla kohteena olevat organisaatiot todennäköisesti vierailevat. Ohjelmistojen toimitusketjut ovat houkutteleva kohde hyökkääjille. Yhdysvaltojen kansallisen vastavakoilu- ja turvallisuuskeskuksen US National Counterintelligence and Security Center, NCSC, raportti vuoden 2018 heinäkuulta varoittaa, että ohjelmistojen toimitusketjuun soluttautuminen vaarantaa jo nyt kriittisen infrastruktuurin sektorin, ja se on uhkaamassa muitakin sektoreita.

Kaikki panelistit olivat samaa mieltä siitä, että heillä oli samankaltaisia haasteita infrastruktuurien ja prosessien perustuessa yhä enemmän tietotekniikkaan ja operatiiviseen tekniikkaan, mikä tekee toimitusketjujen hallinnasta monimutkaisempaa kuin ennen digitalisoinnin leviämistä, jolloin kyberuhkista ei ollut vaaraa.

Vaatimustenmukaisuuden arviointi- ja sertifiointityöllä on kasvava merkitys kyberturvallisuudelle

IEC:n hyvin laajamittainen työ kyberturvallisuuden alalla sisältää standardeja, teknisiä vaatimuksia ja spesifikaatioita sekä kasvavassa määrin vaatimustenmukaisuuden arviointia ja sertifiointia.

Tietoteknisten palveluiden hallintaa käsittelevä ISO/IEC 27000 -standardiperhe ja teollisuuden verkkojen ja teollisuusautomaatio- ja ohjausjärjestelmien horisontaalinen IEC 62443 -julkaisusarja ovat käyttökelpoisia monella toimialalla. Niiden lisäksi joukko IEC:n teknisiä komiteoita (TC) ja alakomiteoita (SC) on laatinut tietyille sektoreille juuri niille tarkoitettuja standardeja, teknisiä spesifikaatioita ja vaatimuksia.

IEC:n vaatimustenmukaisuuden arviointilautakunta, CAB, perusti työryhmän WG 17 Cyber security. WG 17:n tehtäviin kuuluu markkinoiden vaatimustenmukaisuuden arviointipalveluita koskevien tarpeiden ja niiden ajoituksen tutkiminen tuotteiden, palveluiden, henkilöstön ja integroitujen järjestelmien maailmanlaajuista sertifiointia varten kyberturvallisuuden alueella. Niiden ulkopuolelle jäävät kuitenkin teollisuusautomaatiosovellukset, jotka kuuluvat työryhmän IECEE CMC WG 31 Cyber security toimialueelle. CAB WG 17 tiedottaa myös muille teollisuuden sektoreille IECEE CMC WG 31:n valitsemasta lähestymistavasta kyberturvallisuuteen ja sen soveltamisesta kyseisiin muihin sektoreihin.

IECEE CMC WG 31:n pääasiallinen tehtävä on ”ainutlaatuisen lähestymistavan luominen IEC 62443 -sarjan vaatimustenmukaisuuden arviointiin”. Tämän vuoksi se laati kesäkuussa 2018 julkaistun operatiivisen ohjedokumentin OD-2061 kuvaamaan, miten vaatimustenmukaisuuden arviointia voidaan käsitellä ja soveltaa tiettyihin standardeihin IEC 62443 -sarjassa.

Lisäksi kyseinen operatiivinen ohjedokumentti selostaa, millä ehdoilla teollisuuden kyberturvallisuuden IECEE-vaatimustenmukaisuussertifikaatteja voidaan toimittaa. Ne ovat voimassa vain, jos hyväksytyn sertifiointielimen testauslaboratorio on ne allekirjoittanut ja lisännyt kansallisen sertifiointielimen (NCB) myöntämään sertifikaattiin. Sertifikaatit on määritelty tällä hetkellä seuraavia arviointeja varten: tuotteen kyvykkyys, prosessin kyvykkyys, tuotteen kyvykkyyden soveltaminen, prosessin kyvykkyyden soveltaminen ja ratkaisun kyvykkyyden soveltaminen, joista kukin koskee yhtä tai useampaa IEC 62443 -sarjan standardia.

Yhdessä IEC:n kyberturvallisuuteen liittyvien standardien kanssa vaatimustenmukaisuuden arviointijärjestelmien pitäisi varmistaa, että teollisuuden tietoliikenneverkkoihin ja teollisuusautomaatio- ja ohjausjärjestelmiin perustuvat järjestelmät, mukaan lukien toimitusketjut, ovat paremmin suojattuja kyberuhkia vastaan.

Kuvakokoelma

Financial_Times_konferenssi
Financial Timesin tilaisuus Managing Cyber Risk in Critical Infrastructure (kuva: Financial Times)

Lennonsuunnistuspalvelut digitalisoituvat
Lentosuunnistuspalvelut ovat läpikäymässä digitalisoinnin aikaansaamaa muutosta (kuva: ATC SkyGuide)



Palaa otsikoihin



Tämä sivusto käyttää evästeitä sivuston käyttöä koskevien tietojen keräämiseksi. Kun käytät tätä sivustoa, hyväksyt evästeiden käytön.
Sulje

Evästekäytännöt

Tätä sivustoa käyttämällä hyväksyt, että voimme asettaa evästeitä tietokoneellesi tai mobiililaitteeseesi.

1. Mitä evästeet ovat?

Evästeet ovat pieniä datatiedostoja, jotka siirtyvät tietokoneellesi, kun otat yhteyden johonkin verkkosivustoon. Evästeet tallentuvat selaimen käyttämien tiedostojen yhteyteen.

Lisätietoa evästeistä saat sivulta www.aboutcookies.org.

2. Miksi evästeitä käytetään?

Evästeet tunnistavat tietokoneesi, kun tulet sivustolle uudelleen. Ne muistavat myös sivustolla aikaisemmin tekemäsi valinnat ja parantavat siten sivuston käyttökokemusta. Evästeiden avulla pystyy esimerkiksi tunnistamaan käyttäjän laitteet sekä mukauttamaan mahdollisia mainoksia sivuilla sekä mahdollisissa muissa palveluissa.

3. Mitä evästeitä käytetään?

Jotkin evästeet ovat sivustomme teknisen toiminnan ja käytön vuoksi välttämättömiä. Nämä evästeet eivät kerää käyttäjästä tietoa, jota voitaisiin hyödyntää markkinoinnissa tai muistamaan käyttäjän valitsemia sivustoja.

Suorituskykyä mittaavat evästeemme keräävät tietoa siitä, miten käyttäjät käyttävät verkkosivujamme (esim. eniten käytetyt sivut, mahdolliset virheviestit). Nämä evästeet eivät kerää käyttäjistä tunnistettavia tietoja, vaan ne ovat anonyymejä ja niitä käytetään ainoastaan parantamaan nettisivujen toimivuutta.

Sivuilla olevat kolmansien osapuolten liitännäispalvelut (esim. mainokset, YouTube-videot, Google-tilastointi tai Facebook-liitännäiset) saattavat tallentaa käyttäjän tunnistamiseen käytettävää tietoa, mihin emme valitettavasti voi vaikuttaa. Jos haluat estää niitä seuraamasta liikkumistasi verkossa, voit kytkeä ns. kolmannen osapuolen evästeet pois käytöstä selaimesi asetuksista. Ohjeet löydät selaimesi ohjesivuilta.

Sivuillamme saattaa olla myös painikkeita, jotka helpottavat sisällön jakamista eri verkkoviestintäympäristöihin ja sosiaaliseen mediaan. Jos käytät näitä painikkeita, valitsemaltasi palvelulta voidaan asettaa eväste päätelaitteellesi. Nämä evästeet eivät ole hallinnassamme. Lisätietoja kolmannen osapuolen evästeiden käytöstä saat kyseisen osapuolen verkkosivulta.

4. Evästeiden hallinta ja estäminen

Jos et halua vastaanottaa evästeitä, voit muuttaa Internet-selaimesi asetuksia niin, että saat ilmoituksen aina kun evästeitä ollaan lähettämässä tietokoneellesi. Vaihtoehtoisesti voit estää evästeiden käytön kokonaan. Evästeiden käyttöä voi rajoittaa tai sen voi estää Internet-selaimen kautta (katso tarkemmat tiedot selaimen ohjeista).

Jos estät evästeiden tallennuksen tai poistat ne käytöstä, jotkin verkkosivujemme toiminnoista eivät välttämättä toimi oikein.

Sulje