Ads 468x60px

torstai 21. maaliskuuta 2013

Kriittisen infrastruktuurin ytimessä: sähköverkot ja automaatiojärjestelmät – miten on tietoturvan laita?

Yhteiskunnan kriittisen infrastruktuurin haavoittuvuus on jo pitkään tiedostettu, ja sekä maailmalla että Suomessa asia on saanut runsaasti julkisuutta. Viime päivinä ja viikkoina asiaa on käsitelty poikkeuksellisen paljon. Tällainen keskustelu on hyödyllistä, koska se saattaa erilaiset uhkakuvat suuremman yleisön tietoon, ja uhkiin toivottavasti myös reagoidaan entistä ripeämmin. Perinteisesti kriittisen infrastruktuurin riskejä on käsitelty (fyysisen ja toiminnallisen) turvallisuuden näkökulmasta. Tietoturva on esimerkiksi automaatio- ja sähköalalla uudempi asia, ja valitettavasti monessa suhteessa lapsenkengissään verrattuna perinteiseen IT-maailmaan.
Yle esitti maanantaina 11.3.2013 MOT-ohjelmassa jakson ”Suomi polvilleen 15 minuutissa”. Jakso on vielä jonkin aikaa katsottavissa Yle Areenassa. Ohjelman mukaan muutama asiansa osaava henkilö voi lamaannuttaa sähköverkon 15 minuutissa. Oikein kohdistettu täsmäisku muutamiin avainkohteisiin riittää. Tällaisen iskun takana voisi olla esimerkiksi terroristiryhmä tai erikoisjoukkoja tai ohjusiskua käyttävä valtiollinen toimija. Kynnys konventionaalisten aseiden käyttämiseen on kuitenkin huomattavan korkea. Kenties suurempi uhkakuva on tietokoneiden avulla toteutettava kyberisku.
Taloussanomien haastattelussa emeritusprofessori Jukka Kemppinen arvioi, että kyberiskulla on mahdollista lamauttaa verkko alle sekunnissa. Sähköverkkojen hallinta perustuu tänä päivänä yhä enemmän tietotekniikkaan. Tämä tehostaa toimintaa, mutta luo myös uudenlaisia uhkakuvia - joista suuri osa on hyvin todellisia.
Keskustelu sähköverkon haavoittuvuudesta - sekä perinteisten uhkakuvien että kyberhyökkäysten suhteen - sai hädin tuskin hengähdystauon, kun Aalto-yliopisto julkaisi uutisen tutkimuksestaan (eilen 20.3.). Tutkimuksessa kartoitettiin Suomessa sijaitsevia verkkoon kytkettyjä automaatiojärjestelmiä, joita löytyi lähes kolme tuhatta. Raportin mukaan todellinen lukumäärä on vielä suurempi, sillä tutkimukseen käytetty Shodan-hakukone (www.shodanhq.com) ei todennäköisesti ole vielä kartoittanut kaikkia suomalaisia IP-osoitteita.
Raportti sai ansaitsemaansa julkisuutta, kun siitä uutisoivat tänään (21.3.) muun muassa Helsingin Sanomat, Taloussanomat ja IT-viikko.
Kuten raportissakin todetaan, varmasti osa Shodanin löytämistä laitteista on verkossa hyvästä syystä, ja asianmukaisesti suojattuna. Valitettava tosiasia kuitenkin on, että verkkoon on kytketty laitteita, joiden ei missään nimessä siellä pitäisi olla. Osa näistä sisältää tunnettuja haavoittuvuuksia, tai puutteita pääsynhallinnassa. Jotkut eivät edes vaadi minkäänlaista autentikoitumista. Ne ovat verkossa ns. ovet selällään, ilman minkäänlaista pääsynhallintaa. Näissä tapauksissa järjestelmien omistajat/hallinnoivat tahot eivät välttämättä edes tiedä laitteiden näkyvän Internetissä. Tällaiset tulokset tuntuvat täysin käsittämättömiltä, mutta ikävä kyllä tilanne on usein juuri näin huono.
Kaiken lisäksi asia ei valitettavasti ole edes uunituore, vastaavia ongelmia on havaittu jo useamman vuoden ajan. Shodanin käyttöä ja löydöksiä esittelevät mm. muutamat DEF CON –hakkeritapahtuman videot (DEFCON 20 ja DEFCON 18). Shodan on tänään ollut huollon alla, mutta on sinänsä kenen tahansa käytettävissä. Mikäli hakukonetta haluaa kokeilla, on kuitenkin tärkeää muistaa sekä videoilla että Aallon raportissa korostettu seikka, ettei ole syytä edetä hakuja pidemmälle. KPMG:n näkemyksen mukaan myös haku kannattaa rajata vain niihin osoitteisiin, joihin haun tekijällä on oikeus hakuja tehdä. Järjestelmien syväluotaavammassa tutkimuksessa tai murtautumisen yrittämisessä siirrytään erittäin nopeasti rikollisen toiminnan puolelle. Eräs huolestuttava seikka on se, että Shodan sekä monet ammattitasoiset murto- ja hyökkäystyökalut ovat melko helppokäyttöisiä ja kenen tahansa saatavilla. Osaavat verkkorikolliset ovat oma ongelmansa, mutta myös asiaan vihkiytymätön voi saada aikaan pahaa jälkeä – usein vahingossa ja ymmärtämättä itse mitä on tehnyt.
Monien nyt verkossa näkyvien järjestelmien kehitys on aloitettu viime vuosituhannen puolella. Aikakaudella, jolloin esimerkiksi rakennusautomaation etäohjaus selaimen avulla oli uusi ja mahtava idea. No, idea sinänsä onkin nerokas. Valitettavasti tämä oli myös aikakautta, jolloin IT:n tietoturva oli vielä lapsenkengissään. Uusia asioita kehittävät insinöörit eivät yleensä ensimmäiseksi mieti, miten uutta tekniikkaa voidaan käyttää väärin. Tänä päivänä tietoturva-asiat ovat jatkuvasti tapetilla ja massiivisia tietomurtoja tapahtuu jos ei päivittäin, niin viikoittain. Tietoturvan huomiotta jättävät etäohjaustoteutukset voivat tuntua todella naiiveilta, tai absurdeilta ajatuksilta. Silti ne ovat - kuten tuore raportti osoittaa - huolestuttavan yleisiä.
Tridiumin Niagara Framework on laajasti käytetty tuote, joka mahdollistaa mm. rakennusautomaation etähallinnan. Esimerkiksi Washington Post uutisoi sen haavoittuvuuksista viime kesänä ja asia on herättänyt paljon huomiota Yhdysvalloissa. Seuraava tapaus ei liity Niagara Frameworkiin, mutta on esimerkki siitä, mihin rakennusautomaation puutteellinen tietoturva voi johtaa. KPMG:n asiantuntijat testasivat jo yli 5 vuotta sitten erään uuden KPMG:n rakennuksen automaatiojärjestelmien turvallisuuden ennen, kuin talo otettiin vastaan rakennuttajalta. Testaus päätyi rakennuksen täydelliseen hallintaan, joka kylläkin edellytti myös omien hallintasovellusten koodaamisen, jotta talotekniikan eri ohjauskomponenttien hallinta oli helppoa. Testauksessa myös havaittiin, että loisteputkivalaisimet eivät ole optimaalisia jättimäisen pistematriisinäytön rakentamisen kannalta. Niiden ohjaus on liian hidasta. Valoshow oli silti hieno. Talo otettiin käyttöön vasta korjaavien toimenpiteiden jälkeen.

Video valoshowsta:
video

Tänä päivänä automaatiojärjestelmät ovat yhä harvemmin ns. ”air gapin” eli totaalisen eristyksen suomassa suojassa. Silti suora yhteys Internetiin ei monissa tapauksissa ole perusteltua, puhumattakaan puutteellisesti suojatusta yhteydestä! Oikeaoppisista suojauksista ja verkon segmentoinneista (ulko-, sisä- ja prosessiverkkoihin) huolimatta taitava hyökkääjä saattaa päästä Internetistä aina prosessiverkkoon tai muihin suojattaviin kohteisiin saakka. 
Järjestelmien tietoturvassa voidaan oppia paljon IT-maailman kokemuksista ja alan parhaista käytännöistä. Silti kaikkia tuttuja suojauskeinoja ei voida käyttää automaatioympäristössä. Näiden järjestelmien, ja sitä myötä koko yhteiskunnan kriittisten toimintojen, suojaaminen vaatii uudentyyppistä osaamista. Perinteinen IT-maailman lähestymistapa tietoturvaan ei yksin riitä, se on kyettävä yhdistämään syvälliseen automaatiojärjestelmien erityispiirteiden ymmärrykseen.
On hienoa, että tietoisuus näistä asioista kasvaa koko ajan. Tietysti voidaan sanoa, että asioista kertominen julkisesti voi lisätä hyökkäysyrityksiä. Kuitenkaan ”security through obscurity” ei ole vuosikausiin ollut vakuuttava perusta tietoturvan rakentamiselle. Kriittisen infrastruktuurin, automaatiojärjestelmien ja sähköverkkojen tietoturva-aspektit ovat tärkeitä ja kiinnostavia, ja niitä tullaan varmasti käsittelemään jatkossakin tässä blogissa. Stay tuned!

Edit: lisätty video.

2 kommenttia:

mikk0j kirjoitti...

Ongelma onkin se (joka oli Iranissakin), että jossain vaiheessa verkot yhdistyvät - joko sitten käyttöinsinöörien läppärissä, etähallinnan kautta tahi 3:n osapuolen tarjoamassa lobbyverkossa.

Lähtökohtaisesti teollisuus- ja rakennusautomaatioverkot on rakennettu aivan erilaisista lähtökohdista. Tällöin tulisi miettiä onko yleensä mielekästä yrittää lähestyä ongelmaa "ICT näkökulmasta"; ylhäältä alas.

Politiikat jotka usein mielletään tietoturvallisuuden tärkeimmiksi ohjausvälineiksi, ovat kuitenkin vain tahtotilan ilmauksia ja hyvin konkreettisesti näiden tuen puutteen huomaa automaatiojärjestelmissä.

Kirjoittelin aiheesta viime vuoden puolella pari riviä: https://mikk0j.wordpress.com/2012/11/09/why-traditional-approaches-for-securing-industrial-control-systems-ics-fail-infosec-island/

Risto Eerola kirjoitti...

Kiitos kommentista ja palautteesta.

Olen pitkälti samaa mieltä. Nimenomaan tuo automaatiojärjestelmiä pitkään koskenut (lähes) täydellinen eristys muista verkoista ei enää ole todellisuutta. Kuten totesit, keinolla tai toisella verkot yhdistyvät – siihen johtavat esimerkiksi lisääntynyt vertikaalinen integraatio, etähallinta, langattomien tekniikoiden yleistyminen, ja monet muut seikat. Niin tai näin, eristyneisyyden varaan ei voida tietoturvaa enää perustaa. Ja jos verkot ovat oikeasti erillään niin sitten tieto siirtyy esim. USB-tikulla ;)

Jäin miettimään, tarkoititko että teollisuus- ja rakennusautomaatioverkot on rakennettu eri lähtökohdista kuin toimistoverkot, vai että teollisuus ja rakennusautomaatioverkot ovat toisiinsa verrattuna eri lähtökohdista rakennettu? No, molemmissa tapauksissa olen kyllä samaa mieltä. Ja nimenomaan tuon kulloisenkin toimintaympäristön ymmärtäminen on olennaisen tärkeää, ennen kuin voidaan soveltuvilta osin hyödyntää IT-puolen tietoturvakokemuksia (tätä ajoin takaa sillä, että IT:n turvallisuudesta voidaan oppia paljon, mutta kaikkea ei voida käyttää, ja osa voi olla itse asiassa suorastaan haitallista). Pelkkään perinteisten IT-järjestelmien tietoturvallisuusosaamiseen perustuva politiikka ei ole suoraan sopiva eikä myöskään riittävä lähtökohta automaatiojärjestelmien turvaamiselle.

Lähetä kommentti