Ads 468x60px

lauantai 31. tammikuuta 2015

KPMG ja McLaren ryhtyvät strategiseen yhteistyöhön




KPMG ja McLaren Technology Group ryhtyvät strategiseen yhteistyöhön, jonka tarkoituksena on soveltaa McLaren Applied Technologies (MAT) yksikön laskentakapasiteettia ja ennustusmalleja osana KPMG:n palveluita ja toimeksiantoja.

Yhtiöt kehittävät yhdessä tuotteita ja palveluita, joissa yhdistyy KPMG:n konsultoinnin ja auditoinnin eritysosaaminen ja liiketoiminnallinen näkemys sekä McLarenin tekninen osaaminen sekä yrityskulttuuri.

Yhteistyö tukee KPMG:n strategiaa ja halua investoida data-analytiikkaan ja tekniseen erityisosaamiseen. Yhteistyö näkyy myös KPMG:n logon muodossa McLarenin vuoden 2015 F1 autossa



maanantai 26. tammikuuta 2015

Vaikeaselkoinen tietosuojalainsäädäntö organisaatioiden päänvaivana Suomessa

KPMG julkisti tänään syksyllä 2014 toteutetun, Suomessa toimivien organisaatioiden tietosuojatoimintojen tilaan liittyvän kyselyn tulokset. Kyselyyn vastanneiden mukaan tämän hetken suurimmat ongelmakohdat ovat tietosuojan johtamisen puutteet, tietosuojaosaamisen riittämätön taso organisaatioissa sekä epäselvä ja puutteellinen lainsäädäntö. 

EU:n yleinen tietosuoja-asetus tulee lähitulevaisuudessa muuttamaan henkilötietojen käsittelyn sääntelyn perustaa ja tuo mukanaan uusia, nykyistä tiukempia vaatimuksia rekisterinpitäjille. Jatkossa henkilötietojen käsittelyn tulee olla suunnitelmallista, dokumentoitua ja perustua riskianalyysiin. Kyselyn tulokset antavat viitteitä siltä, että tietosuojan hallinnointi suomalaisissa organisaatioissa ei välttämättä ole vielä keskimäärin korkealla kypsyystasolla.

Selvityksen keskeisimmiksi havainnoiksi nousivat:  
  • Tietosuojan tärkeys tulevaisuudessa organisaation menestyksekkään toiminnan kannalta tunnustetaan yleisesti kyselyyn vastanneiden rekisterinpitäjien keskuudessa.
  • Tämän hetken suurimmiksi ongelmakohdiksi koetaan tietosuojan johtamisen puutteet, tietosuojaosaamisen taso organisaatioissa sekä epäselvä ja puutteellinen lainsäädäntö. Vastaajista 65 prosenttia nimesi puutteet osaamisessa merkittäviksi. Lainsäädännön vaikeaselkoisuuden ja tulkinnanvaraisuuden nimesi merkittäväksi uhaksi toiminnalle yli puolet (53 prosenttia) vastaajista.
  • Lähitulevaisuuden tärkeimmiksi kehityskohteiksi tietosuoja-asetuksen implementoinnissa nähtiin kokonaisvaltainen tietosuojan hallinnoinnin järjestäminen, erilaisten riskianalyysien suorittaminen sekä henkilöstön ja tietosuojavastaavan osaamisen varmistaminen.
Tästä pääset kyselyyn tuloksiin.

maanantai 12. tammikuuta 2015

Automaation tietoturvan vuosi 2014


Toivotamme blogin lukijoille hyvää ja tietoturvallista vuotta 2015! Ennen kuin vuosi ehtii tämän pidemmälle, lienee sopivaa käydä hieman läpi vuoden 2014 tapahtumia. Lähestyn asiaa nimenomaan automaation tietoturvan näkökulmasta. Suomenkielisen katsauksen tietoturvasta vuonna 2014 yleisemmin on julkaissut mm. Kyberturvallisuuskeskus

Stuxnet nosti vuonna 2010 automaation tietoturvan suuren yleisön tietoisuuteen. Vuonna 2013 asia oli Suomessa laajasti esillä esimerkiksi Aalto-yliopiston Shodan-tutkimuksen ansiosta. Mitä uutta ja merkittävää vuosi 2014 toi tulleessaan? Paljonkin. Kiinnostus automaatiojärjestelmiä kohtaan on selkeästi kasvanut, ja viime vuonna nähtiinkin kenties eniten (julkisuuteen tullutta) aktiviteettia hyökkäysten ja haittaohjelmien saralla sitten Stuxnetin. Alla on esitetty joitakin poimintoja:

  • Muutoksia riskikentässä:
    • Saksan tietoturvaviranomainen (BSI) raportoi fyysistä vahinkoa aiheuttaneesta kyberhyökkäyksestä terästehtaalla
    • F-Secure havaitsi uudentyyppisiä ominaisuuksia haittaohjelmassa, joiden perusteella se vaikuttaisi olevan kohdennettu automaatiojärjestelmiin - Case Havex 
    • ICS-CERT ja Kyberturvallisuuskeskus varoittivat laajamittaisesta, muun muassa energiasektoriin kohdistuvasta edistyksellisestä vakoilukampanjasta (Sandworm / Black Energy)  
    • Automaatiojärjestelmissä havaittiin merkittävä määrä haavoittuvuuksia, ja järjestelmiin vaikuttavat myös useat IT-maailmassa havaitut kriittiset haavoittuvuudet (esim. Heartbleed, Shellshock) 
  • Viranomaiset ja muut organisaatiot: uusia ohjeistuksia, viitekehyksiä, standardeja, jne:
    • NIST julkaisi Cyber Security Frameworkin
    • ISA pyrkii kehittämään automaation tietoturvan mitattavuutta (62443-1-3 System Security Conformance Metrics avattiin äänestykselle)
    • NIST julkaisi SP 800-82:n "Guide to Industrial Control Systems (ICS) Security" päivitetyn version kommentoitavaksi
    • US Dept. of Energy julkaisi päivityksen dokumenttiin "Cybersecurity Procurement Language for Energy Delivery Systems"  
    • DHS vuoti julkisuuteen epähuomiossa yli 800 sivua dokumentaatiota INL:n Aurora-testiin liittyen
    • Oikeastaan jo vuoden 2013 uutisia, mutta markkinoilla on nyt useampia automaation tietoturvan sertifikaatteja: ISA99/IEC 62443 Cybersecurity Fundamentals Specialist Certificate sekä Global Industrial Control System Professional (GICSP)
    • Ruotsin MSB (Swedish Civil Contingencies Agency) julkaisi ohjeistuksen "Guide to Increased Security in Industrial Information and Control Systems" 
  • Laite- ja ohjelmistotoimittajat:
    • Microsoftin tuki XP-käyttöjärjestelmälle päättyi
    • Siemens ja McAfee ilmoittivat yhteistyön syventämisestä ICS-tietoturvassa
    • General Electric osti WurldTechin
    • ISA osti automation.com:n
    • Lockheed Martin osti Industrial Defenderin

Lisätietoja

Saksan tietoturvaviranomainen (BSI) raportoi fyysistä vahinkoa aiheuttaneesta kyberhyökkäyksestä terästehtaalla

Joulun alla Saksan tietoturvaviranomainen (BSI, Bundesamt für Sicherheit in der Informationstechnik) kertoi raportissaan kyberhyökkäyksestä, joka johti fyysisiin vahinkoihin saksalaisessa terästehtaassa. Tapaus ylitti luonnollisesti uutiskynnyksen sekä maailmalla (2) (3) (4) että Suomessa, ja onkin monessa suhteessa merkittävä. Kyseessä on ensimmäinen kerta sitten Stuxnetin, kun kyberulottuvuuden toiminnalla on suoraan pystytty vaikuttamaan fyysiseen ympäristöön. Käsittääkseni kyseessä on ensimmäinen kerta, kun länsimainen viranomainen julkisesti tiedottaa tällaisesta.

Yksi hyvä kysymys, johon automaation tietoturvan parissa usein törmää, on: ”Jos järjestelmät ovat niin turvattomia kuin väitetään, miten on mahdollista, että mitään vakavampia onnettomuuksia ei ole tapahtunut?” Asiaa on käsitelty ansiokkaasti mm. Digital Bondin blogissa. Voimme vain toivoa, että tämä varoittava esimerkki jäisi ainoaksi laatuaan (valitettavasti en voi sanoa olevani kovin toiveikas tämän suhteen).

Raportti ei paljasta kovin laajalti yksityiskohtia tapahtuneesta. Hyökkäyksessä käytettiin kuitenkin ilmeisesti kohdennettua sähköpostikampanjaa, jonka avulla hyökkääjä sai pääsyn toimistoverkkoon. Sieltä hyökkääjä pystyi etenemään tuotantoverkon puolelle ja jollakin tavoin häiritsemään prosessia, aiheuttaen lopulta vakavaa vahinkoa itse tuotantolaitokselle. BSI:n mukaan hyökkääjät olivat edistyksellisiä ja osoittivat sekä IT- että automaatiojärjestelmien tuntemusta.


Tapausta on avattu esim. Dragos Securityn blogissa, ("ICS Cyber-Attack on German Steelworks Facility and Lessons Learned", 17.12.2014). Poimintana hyvä pointti toiseen yleiseen kysymykseen: "miksi kukaan haluaisi hyökätä meitä vastaan?". "Whether or not defenders believe they are significant enough to be targeted is irrelevant – only the attacker gets to decide."

Blogiartikkelin kirjoittaja Robert M. Lee on ollut mukana kirjoittamassa myös oheista SANS:n raporttia aiheesta (pdf).

Huom! Saatavilla olevien käännösten perusteella BSI:n raportti ei sisällä tarkempia teknisiä yksityiskohtia hyökkäyksen kulusta tai kohteesta (ja oma saksankielen taitoni on vähäinen). Esitän alla muutamia vaihtoehtoisia skenaarioita, jotka voisivat tällaisessa tilanteessa olla mahdollisia. Tämä on kuitenkin puhdasta spekulointia. Toivon mukaan saamme jatkossa lisätietoa tapahtuneesta.

<speculation>

Kyseessä voi hyvin olla edistynyt toimija, joka pystyi toimistoverkkoon päästyään jatkamaan hyökkäystä kohti suojattua ja toimistoverkosta tehokkaasti eristettyä tuotantoverkkoa. Hyökkääjällä saattoi myös olla kattava ICS-järjestelmien tuntemus, jonka ansiosta he pystyivät halutulla tavalla häiritsemään prosessia ja saavuttivat lopulta haluamansa lopputuloksen. Motiivia voi vain arvailla. Ehkä jokin valtiollinen toimija halusi testata kykyjään? Tai ehkä kyseessä oli rikollis- tai haktivistiryhmä? Kenties pelottavinta on, jos muillakin kuin valtiollisilla tahoilla on jo merkittävää ymmärrystä automaatioympäristöistä ja kykyä vaikuttaa niihin haluamallaan tavalla.

On myös mahdollista, että hyökkääjä ei varsinaisesti tavoitellut ”valtavaa tuhoa” tuotantolaitokselle. Riippuen kohteen arkkitehtuurista, pääsy tuotantoverkkoon saattaa olla hyvinkin helppoa. Sinne (tarkoituksenmukaisesti tai jopa vahingossa) päästyään saattaa hyökkääjä tai haittaohjelma häiritä prosessia eri tavoin. Stuxnet-tyylinen hyökkäys, jossa prosessia voidaan hallita juuri halutulla tavalla edellyttää erittäin suurta asiantuntemusta. Toisaalta sattumanvaraisten häiriöiden aiheuttaminen voi tapahtua jopa vastoin hyökkääjän aikomuksia, tilanteesta riippuen hyvinkin helposti. Häiriöt voivat johtaa siihen, että näkyvyys prosessin tilaan ja/tai prosessin hallinta menetetään. Tällöin mahdollisesti operaattorin käynnistämä hätäpysäytys tai turva-automaatio pyrkii ajamaan prosessin turvalliseen (tai turvallisimpaan mahdolliseen) tilaan. Lopputulos on tyypillisesti ikävämpi kuin tuotannon hallittu alasajo normaalissa käytössä. Prosessista riippuen tämä tarkoittaa yleensä vähintään keskeneräisen tuotannon menetyksiä, jotka voivat olla merkittäviä. Terästehtaan tapauksessa prosessin luonteesta johtuen tämä voi hyvinkin tarkoittaa BSI:n raportissa mainittua ”valtavaa tuhoa” tuotantolaitokselle (yksinkertaistettu esimerkki: tonneittain sulaa rautaa/terästä ei enää hätäpysäytyksen jälkeen ole sulaa, eikä sen poistaminen ole välttämättä kovin helppoa…). 

Kuten on aiemminkin todettu, myös vähemmän asiantunteva hyökkääjä voi (jopa vahingossa) saada aikana merkittävää tuhoa automaatiojärjestelmässä. Raportissa kuitenkin todettiin hyökkääjän tunteneen sekä IT- että automaatiojärjestelmät, joten en enempää spekuloi asialla. Terästehtaan omistajan kannalta lopputulos on erittäin epämiellyttävä hyökkääjän asiantuntemuksen tasosta ja tarkoitusperistä riippumatta.

</speculation>

ICS-CERT ja Kyberturvallisuuskeskus varoittivat laajamittaisesta, muun muassa energiasektoriin kohdistuvasta edistyneestä vakoilukampanjasta (Sandworm / Black Energy / Quedagh)

Syksyllä 2014 useat tahot (1) (2) (3) kertoivat edistyneestä, laajamittaisesta vakoilukampanjasta, joka oli jatkunut jo useita vuosia (ICS-CERT Alert "Ongoing Sophisticated Malware Campaign Compromising ICS"). Kohteina on energiasektorin lisäksi ollut mm. NATO, Yhdysvalloissa sijaitseva yliopisto, ranskalainen telekommunikaatioalan yritys sekä useat organisaatiot Puolassa ja Ukrainassa. Kohteiden valinta perustuu ilmeisesti poliittisiin motiiveihin: yhteistä kohteille on, että ne liittyvät jollakin tavalla Venäjään ja Venäjän tutkimukseen. iSIGHT Partners käyttää Sandworm Team -nimeä kampanjan taustalla olevasta ryhmästä, F-Secure puolestaan kutsuu heitä nimellä Quedagh.

Hyökkäyksessä on käytetty BlackEnergy -haittaohjelmaa/työkalua, josta on tehty ensimmäiset havainnot jo vuodeta 2007 (versio tunnetaan termillä BlackEnergy 1, tuoreimman version ollessa BlackEnergy 3). BlackEnergyä on käytetty laajalti erilaisten hyökkäysten toteuttamiseen useiden vuosien ajan, eri tahojen toimesta. Taustaa on avattu hyvin esimerkiksi F-Securen blogissa ja white paperissa.

Miksi tämä yleisesti käytetty ja hyvin tunnettu haittaohjelma sitten kiinnitti erityistä huomiota vuonna 2014? Syitä on useita:

  • F-Secure kiinnitti jo syyskuussa huomiota siihen, kuinka yleisesti käytettyä haittaohjelmaa/työkalua (BlackEnergy) on muokattu siten, että sitä on voitu käyttää APT:n peruskomponenttina, samalla vaikeuttaen sen erottamista "normaalista" haittaohjelma-aktiviteetista, ja helpottaen APT-hyökkääjän toiminnan kiistämistä
    • F-Securen blogista: "Whomever is behind Quedagh's campaign, they're using what is (or at least was) generally considered to be a 'commodity threat' to achieve 'advanced persistent threat' goals. This appears to be a trend."
  • Lokakuussa iSIGHT Partners kertoi, että osana kampanjaa on hyödynetty Windowsin nollapäivähaavoittuvuutta
    • Haavoittuvuus koskee XP:tä lukuunottamatta kaikkia Windowsin versioita, mutta hyökkäys vaatii käyttäjän toimenpiteitä onnistuakseen
  • Eri raporteissa todetaan, että kohteet on valittu ilmeisesti poliittisin motiivein ja liittyvät Venäjään
    • Hyökkääjän tavoitteena on ilmeisesti vakoilla ja kerätä tietoa kohteistaan
  • iSIGHT Partnersin raportin jälkeen Trend Micro havaitsi, että Sandworm-kampanjan kohteena ovat todennäköisesti (myös) automaatiojärjestelmät
Toistaiseksi haittaohjelman ei ole havaittu yrittävän aiheuttaa vahinkoa kohteina olleissa ICS-järjestelmissä, siinä mielessä se vastaa Havexia. Toisaalta kyseessä on kehittyneeksi kuvattu vakoilukampanja ja hyvin modulaarinen, automaatiojärjestelmiin kohdennettu, nollapäivähaavoittuvuutta hyväksikäyttävä haittaohjelma. Kuulostaako etäisesti tutulta, vuodelta 2010? Toisaalta, esim Cimplicityn tapauksessa on ilmeisesti onnistuttu hyökkäämään vain sellaisiin HMI-koneisiin, jotka ovat yhteydessä Internetiin. Siinä mielessä on taas kyse kertaluokkaa Stuxnetiä yksinkertaisemmasta operaatiosta. Jälleen, aika kenties näyttää mitä kaikkea Sandworm-kampanjaan todella liittyy, mutta joka tapauksessa asiaan on syytä suhtautua vakavasti.

Mielenkiintoinen havainto Trend Micron analyysissä on haittaohjelman tiedostojen sijainti: ne asennetaan Cimplicity-ohjelman hakemistopolkuun. En tiedä kuinka hyvin tiedostettu seikka on, että niissä automaatiojärjestelmissä, joissa on käytössä antivirusohjelmisto, on automaatiotoimittajan ohjelmistojen omia hakemistopolkuja usein jätetty virustarkastuksen ulkopuolelle. Tämä on usein pakollista suorituskykyvaatimusten vuoksi: tiuhaan muuttuvien hakemistojen tarkastaminen ei ole mahdollista vaaditun suorituskyvyn puitteissa. Tämä on todennäköisesti seikka, jota automaatioon kohdennettujen haittaohjelmien kirjoittajat tulevat jatkossa hyödyntämään. 

Digital Bond: "The biggest story of the week … we may have the 3rd example of malware targeting ICS. Kyle Wilhoit and Jim Gogolinski of Trend Micro write about Sandworm attacking GE Cimplicity HMI. Interesting pull quote, 'As further proof of the malware targeting CIMPILICITY, it drops files into the CIMPLICITY installation directory using the %CIMPATH% environment variable on the victim machines.' These directories are likely excluded in anti-virus deployments."

Haittaohjelmistojen piilottamista automaatiojärjestelmissä on laajemmin käsitelty aiemmassa Digital Bondin kirjoituksessa.

Kyberturvallisuuskeskuksen Tietoturva nyt! -artikkelin perusteella vaikuttaa, että Suomi ja suomalaiset toimijat eivät ole olleet kampanjan kohteinta, mutta lisäksi mainitaan, että kuva kampanjasta on toistaiseksi epätäydellinen.

Selkeä yleisesitys Sandworm-kampanjasta (pdf). Esityksestä poimittu yhteenveto Stuxnetista, Havexista ja BlackEnergystä:

F-Secure ja muut toimijat kertoivat uudentyyppisistä ominaisuuksista haittaohjelmassa, joka vaikuttaisi olevan kohdennettu automaatiojärjestelmiin - Case Havex (a.k.a. Dragonfly, Energetic Bear, Crouching Yeti, …)

Kesällä 2014 F-Secure havaitsi Havex-haittaohjelmasta ominaisuuksia ja levitystapoja, joiden perusteella sen epäilleen olevan kohdennettu nimenomaan automaatiojärjestelmiin (lue aiempi analyysi täältä). Kyseessä on mielenkiintoinen ja varoittava ennakkotapaus, vastaavia ominaisuuksia ei ole aiemmin havaittu (pois lukien Stuxnet, joka oli kuitenkin kohdennettu yhteen tarkkaan valittuun toimijaan, ei laajemmin kokonaisiin toimialoihin). Havex ei ole monimutkaisuudessaan Stuxnetia vastaava, vaan lähempänä perinteisiä haittaohjelmia. Se voi kuitenkin parhaimmillaan olla erittäin tehokas tapa kerätä tietoa tulevista hyökkäyksen kohteista. Toistaiseksi Havexin tiedetäänkin vain keränneen tietoa, ei aiheuttaneen varsinaista vahinkoa. Alun perin kohteeksi veikatun energiasektorin lisäksi on esitetty myös arvioita, että kohteena oli lääketeollisuus ja tavoitteena tiedon varastaminen, ei tuotannon häiritseminen. 

Kesän jälkeen Havexista on havaittu myös 64-bittinen versio, tämä tosin ei välttämättä liity Havexin kohdistamiseen automaatiojärjestelmiin, joissa on laajalti käytössä vanhempia koneita tyypillisesti 32-bittisillä käyttöjärjestelmillä. Analyysissaan Trend Micro kertoo myös havainneensa Havexin yrittäneen esittää olevansa luotetun tahon (IBM) digitaalisesti allekirjoittama - vaikka selvästi se ei sitä ole. Lopuksi he varoittavat, että Havex on tähän mennessä läpikäynyt useita muutoksia, eikä mikään estä sen käyttöä yhä uudestaan erilaisina variantteina. Kyberturvallisuuskeskuksen tiedote kampanjasta heinäkuulta.

Edelleenkään ei varmasti tiedetä, kuka on hyökkäyksen takana, mikä on heidän motiivinsa, kohteensa ja tavoitteensa, tai saivatko he aikaiseksi haluamansa vaikutuksen.

Automaatiojärjestelmissä havaitut haavoittuvuudet

ICS-CERT:n Advisories -osiossa on myös vuodelta 2014 useampi sivullinen havaittuja haavoittuvuuksia. Pelkään pahoin, että haavoittuvuuksien suhteen olemme nähneet vasta jäävuoren huipun, koska tietoturvayhteisö on vasta viime vuosina toden teolla kohdistanut huomionsa automaatioon. Haavoittuvuuksiakin suurempi ongelma on ”insecure by design” suunnittelufilosofia: monissa protokollissa, ohjelmistoissa, laitteissa, jne. ei ole alun perin ollut tarvetta huomioida tietoturvaa millään tavoin. Kymmenien vuosien mittaisen elinkaaren vuoksi nämä ratkaisut ovat yhä laajassa käytössä - ja uhkakuvat ovat radikaalisti muuttuneet tietoturvan osalta.

Vuonna 2014 näimme myös IT:n tietoturvan puolella monia erittäin vakavia haavoittuvuuksia (Heartbleed, Shellshock, POODLE, jne.). Monilla näistä on vaikutusta myös automaatiojärjestelmiin (1) (2) (3) (4) (5).

Jälleen kerran, valitettavasti tuttu ohjeistus "päivitä käyttöjärjestelmä, ohjelmistot, ja virustunnisteet" ei tyypillisesti ole kovin toteuttamiskelpoinen automaatioympäristössä (olettaen, että haavoittuvuuden korjaava päivitys on ylipäätään saatavilla). Toivottavasti myös päivitysprosessin ja haavoittuvuuksien korjaamisen suhteen nähdään jatkossa parannuksia.

Viranomaiset ja muut organisaatiot: uusia ohjeistuksia, viitekehyksiä, standardeja, jne:

Yhdysvaltain National Institute of Standards and Technologies (NIST) julkaisi Cyber Security Frameworkin helmikuussa 2014. Framework ei välttämättä itsessään tarjoa hirveästi uutta, mutta mainittakoon positiivisena seikkana, että koska se on suora vastine erittäin korkealta taholta (presidentti Obama) esitettyyn vaatimukseen, on se omiaan nostamaan tätä tärkeää aihetta yritysjohdon pöydälle.

ISA pyrkii kehittämään automaation tietoturvan mitattavuutta (62443-1-3 System Security Conformance Metrics avattiin äänestykselle). Tietoturvan mittaaminen on tunnetusti melkoisen haastavaa, aika näyttää miten tämä osio IEC:n 62443:sta kehittyy.

NIST julkaisi Special Publication 800-82:n "Guide to Industrial Control Systems (ICS) Security" päivitetyn version kommentoitavaksi. Ensimmäinen versio on vuodelta 2006. 

Yhdysvaltain Dept. of Energy julkaisi päivitetyn version dokumentista "Cybersecurity Procurement Language for Energy Delivery Systems". 

DHS vuoti julkisuuteen  (2epähuomiossa yli 800 sivua dokumentaatiota INL:n Aurora-testiin liittyen. 

Tämä on oikeastaan jo vuoden 2013 uutisia, mutta markkinoilla on nyt tarjolla useampi vaihtoehto sertifioida omaa automaation tietoturvan osaamistaan: ISA99/IEC 62443 Cybersecurity Fundamentals Specialist Certificate sekä Global Industrial Control System Professional (GICSP). Kuten IT:n tietoturvan sertifioinneista, näidenkin hyödyllisyydestä voidaan olla montaa mieltä. Paljonko tällaisen hankkiminen lopulta kertoo henkilön osaamisesta? Itse ainakin näen tämän positiivisena ensiaskeleena, vaikka onkin aina tärkeää tiedostaa sertifioinnin rajoitteet. Hyviä pointteja aiheesta ja aiheen vierestä ThreatPostin artikkelissa. Näiden lisäksi markkinoilla on tarjolla erittäin hyvä valikoima automaation tietoturvan koulutuksia ja kursseja. Lisäksi aihealueen ympärillä järjestetään vuosittain useita tasokkaita konferensseja ja muita tapahtumia.

Ruotsin MSB (Swedish Civil Contingencies Agency) julkaisi ohjeistuksen "Guide to Increased Security in Industrial Information and Control Systems". En ole vielä ehtinyt tähän perehtyä, arvioita otetaan mielellään vastaan kommenteissa!

Mielenkiintoisia muutoksia laite- ja ohjelmistovalmistajien osalta

Microsoftin tuki Windows XP:lle päättyi keväällä 2014, mikä herätti paljon keskustelua perinteisen IT:n tietoturvan kannalta (Tietoturva nyt! -artikkeli aiheesta). Asia koskettaa myös automaatiota, mutta tämä ei ole uusi ongelma ympäristöissä, joissa on edelleen käytössä Windows NT 4.0:aa ja vanhempiakin käyttöjärjestelmiä. Lisäksi päivitystuen päättymisellä on vähän merkitystä, jos päivityksiä ei ylipäätään asenneta tai asennetaan hyvin harvoin. Riskistä ja mahdollisista ratkaisuista tulee keskustella, mutta automaatiossa ”päivittäminen valmistajan tuen parissa olevaan käyttöjärjestelmään” ei valitettavasti ole itsestään selvä patenttiratkaisu kaikkeen. Ehkä sen tulisi olla helpommin toteutettavissa?

Muut listalle päätyneet uutiset liittyvät pitkälti yritysostoihin. Positiivisena kehityksenä voidaan pitää sitä, että automaatioalan suuryritykset osoittavat myös näiden yritysostojen kautta merkittävää mielenkiintoa ja panostusta tietoturvaan. Siemens ja McAfee ilmoittivat syventävänsä vuonna 2011 alkanutta yhteistyötään teollisuuden tietoturvan kehittämiseksi. General Electric täydensi ICS-tietoturvan portfoliotaan ostamalla WurldTechinLockheed Martin puolestaan ilmoitti keväällä ostavansa Industrial Defenderin. Syksyllä ISA (The International Society of Automation) osti automation.com -verkkosivuston

Mitä vuosi 2015 tuo tullessaan?

Erittäin ympäripyöreä ennusteeni vuodelle 2015 on, että tulemme näkemään yhä laajempaa kiinnostusta automaatiojärjestelmiä ja niiden tietoturvaa kohtaan sekä hyökkääjien että median osalta. Toivottavasti mielenkiinto on vielä suurempaa järjestelmien omistajien ja operaattorien, sekä viranomaisten ja tietoturva-asiantuntijoiden osalta, ja ”puolustajat” vievät pidemmän korren. Optimistiset ja pessimistiset ennusteet automaation tietoturvan kehitykselle vuonna 2015 on listannut myös Digital Bond. Moneen näistä on helppo yhtyä. Posititiivisena seikkana on mainittu, että isot konsulttiyritykset ovat myös kehittämässä ICS-tietoturvatiimejä (toki kommentoijat ovat tästä montaa mieltä, ja voin myös osin yhtyä kommentteihin - näitä palveluita ostaessa tulee olla erityisen tarkkana tiimin ammattitaidon suhteen).  

Kuten tunnettua, ennustaminen - erityisesti tulevaisuuden ennustaminen - on vaikeaa, joten en esitä tämän tarkempia spekulaatioita, aika näyttää mitä vuosi 2015 tuo tullessaan. Mikäli kaipaat lisätietoa tai apua aiheeseen liittyen, ota meihin yhteyttä (risto.eerola@kpmg.fi). Ehdotan, että tehdään vuodesta 2015 automaation tietoturvan kehityksen tähänastinen huippuvuosi!

Vuonna 2014 tapahtui varmasti paljon muutakin mielenkiintoista automaation tietoturvassa. Mitä listalta puuttuu? Kommentoi alle!

tiistai 9. joulukuuta 2014

POODLE-haavoittuvuus myös joissakin TLS-toteutuksissa.

Kirjoitin aikaisemmin SSL-protokollan POODLE-haavoittuvuudesta, joka mahdollisti tietyissä tapauksissa salauksen purkamisen melko edistyneellä hyökkäyksellä. Nyt tietoturvatutkija Adam Langley on julkaissut blogissaan, että myös jotkut TLS-toteutukset ovat haavoittuvia. Käytännössä kyseessä on virheestä TLS:n toteutuksessa - jotkut TLS-kirjastot hyväksyvät vääriä padding-arvoja, vaikka TLS-protokolla määrittelee, mikä arvon pitäisi olla. Tämä johtaa samaan havoittuvuuteen, joka oli SSL 3.0:ssa.

Haavoittuvia tuotteita ovat ainakin F5:n ja A10:n kuormantasaajat. Myös Citrixin tuotteissa on hieman standardista poikkeava toteutus, mutta se ei johda haavoittuvuuteen. F5 on jo julkaissut päivitykset ja A10:n oli niitä myös jo eilen julkaisemassa. Varmaa tietoa A10:n päivityksistä en löytänyt.

SSLLabs on myös lisännyt testin POODLEsta myös TLS-toteutuksille. Mikäli haavoittuvuus löytyy, tulee arvosanaksi F. Samassa päivityksessä on myös muuttunut arvosanat, mikäli palvelin tukee RC4-salaimia. Eilen testatessani erästä asiakkaan palvelua, sain vielä tulokseksi A-, mutta tänään arvosana oli vaihtunut B:hen.

Edit: ViVi on julkaissut haavoittuvuustiedotteen: https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuis-2014-130.html.

-AnttiA

torstai 27. marraskuuta 2014

Hacking through complexity - Kriittinen infrastruktuuri

KPMG:n tietoturvatiimillä on uusi uutiskirje. Tässä näyte viimeisimmästä uutiskirjeestä. Uutiskirjeen tilaajaksi pääsee ilmoittamalla siitä Risto Eerolalle.


Hacking through complexity - Kriittinen infrastruktuuri







Hyvä vastaanottaja


Tämä uutiskirje on KPMG:n tietoturvallisuuteen ja digitaalisiin palveluihin liittyvä uutiskirje, joka on kohdennettu erityisesti kriittisen infrastruktuurin toimijoille. Uutiskirjeen avulla tiedotamme teitä tulevista koulutuksista, tuoreista tutkimuksista ja muista ajankohtaisista aiheista. Lähestymme teitä tällä uutiskirjeellä 2-3 kertaa vuodessa.

Otamme mielellämme vastaan palautetta tämän uutiskirjeen kehittämiseksi. Palautteen voi lähettää asiantuntijoillemme.
S-posti: etunimi.sukunimi@kpmg.fi

Antoisia lukuhetkiä!

Ystävällisin terveisin,
Mika Laaksonen
Partner

 Kriittisen infrastruktuurin riskikenttä muuttuu


Yhteiskunnan kriittisen infrastruktuurin ja automaatiojärjestelmien tietoturva on ollut runsaasti uutisissa. Aalto-yliopiston Shodan-raportti kertoi Suomesta löytyvistä Internetiin kytketyistä automaatiojärjestelmistä. Riippumatta siitä, ovatko järjestelmät Internetissä vai ei, automaatiojärjestelmät ovat monessa suhteessa haavoittuvampia kuin IT-järjestelmät.

Aiemmin riskinä on voinut olla IT-järjestelmiin tarkoitetun haittaohjelman tai hyökkääjän päätyminen automaatioympäristöön. Aivan lähiaikoina on nähty myös yhä enemmän automaatiojärjestelmiin kohdennettuja hyökkäyksiä ja haittaohjelmia - hyökkääjät ovat viimein havainneet nämäkin kohteet mielenkiintoisiksi.

Loppukesästä Kyberturvallisuuskeskus suositteli suhtautumaan vakavasti kohdennettujen hyökkäysten uhkaan. Viime kuussa uutisoitiin Sandworm-vakoilukampanjan kohdistuneen Puolan ja Ukrainan hallinnon lisäksi energiasektoriin. Kesällä puheenaiheena oli automaatiojärjestelmiin kohdistettu Havex / Energetic Bear / DragonFly -kampanja
Lue lisää blogistamme  

Kriittisen infrastruktuurin suojaamisessa on varauduttava myös kyberuhkiin.

Alla lisätietoja kuinka KPMG voi auttaa.

Automaation tietoturvan koulutus - Ilmoittaudu nyt!


KPMG järjestää automaation tietoturvan kurssin yhteistyössä Tampereen teknillisen yliopiston kanssa. Kurssin seuraava toteutus on 15.-16.12.2014
Lisätietoja ja ilmoittautuminen 

Kurssi on loistava tapa perehdyttää sekä IT- että automaatioalan asiantuntijat automaatioympäristöjen tietoturvan erityishaasteisiin.

Huomioi myös kyberturvallisuuden hyökkäys- ja puolustuskurssimme ja
Lue lisää tästä

KPMG:n automaation tietoturva -palvelut


Onko organisaatiossasi huolehdittu automaation tietoturvasta? Vallitsevan tilanteen selvittäminen on ensimmäinen askel kehitystyössä. KPMG:n asiantuntijoilla on kattava kokemus automaation tietoturvan testaamisesta ja nykytilakartoituksista. Autamme mielellämme selvittämään, millainen organisaationne automaation tietoturvan tila on, ja priorisoimaan kehitystoimet. Tarvittaessa autamme myös kehitystoimien läpiviennissä ja tietoturvan jalkauttamisessa.

Voit ladata automaation tietoturva -esitteemme täältä.
Katso lisätietoa KPMG:n kyberturvallisuuspalveluista ja Teollisen Internetin turvaamisesta myös YouTube-kanavallamme.

Ota yhteyttä asiantuntijoihimme ja kerromme mielellämme lisää!





Tietoturvablogi: Hacking Through Complexity








Tutustu blogiin!










Mika Laaksonen, Partner









Petteri Leiviskä, Tietoturvatiimin asiakasvastaava









Risto Eerola, Automaation tietoturva-asiantuntija








Facebook
LinkedIn
Blogi
Youtube
Twitter



© 2014 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.