Ads 468x60px

tiistai 8. lokakuuta 2013

Automaation tietoturva -koulutus


Hyviä uutisia automaation tietoturvan parissa toimiville: KPMG ja Tampereen teknillisen yliopiston (TTY) Systeemitekniikan laitos ryhtyvät tarjoamaan yhteistyössä automaation tietoturvan koulutusta. 

Yhteistyön kautta voimme tarjota parhaat mahdolliset eväät organisaatiosi automaation tietoturvan kehittämiseen. Kouluttajien pitkä kokemus automaatiosta ja tietoturvasta varmistavat kurssin laadukkaan sisällön. Vuosien koulutuskokemus takaa parhaat mahdollisuudet oppimiseen ja asioiden omaksumiseen. Kurssille osallistuville on tarjolla Suomen oloissa ainutlaatuinen, korkeatasoinen koulutus, joka kestää kansainvälisenkin vertailun. 

Lisätietoa kurssista ja ilmoittautumisohjeet kurssin avoimille toteutuskerroille löydät kurssisivuiltamme (seuraava toteutuskerta löytyy kohdasta "Automaation tietoturva"). Kursseja järjestetään myös yrityskohtaisina, suljettuina toteutuksina. Koulutus voidaan pitää myös yrityksen omissa tiloissa. Kysymykset ja kyselyt yrityskohtaisista kursseista voi lähettää sähköpostilla (koulutukset@kpmg.fi). 

Kahden päivän käytännönläheisessä (”hands on”) kurssissa osallistujat pääsevät konkreettisesti harjoittelemaan teollisuusautomaatiojärjestelmää vastaan hyökkäämistä. Viimeaikoina kriittisen infrastruktuurin ja automaatiojärjestelmien tietoturvan puutteellisuus on herättänyt keskustelua aina valtamediaa myöten. Automaatioalan toimijoille ei tule uutisena, että tietoturva on alalla vielä monessa suhteessa lapsenkengissään. Vaikka asia ainakin ”periaatteessa tiedostetaan", on konkreettinen demonstraatio kuitenkin vaikuttavin tapa saada viesti perille. Juuri tällainen silmiä avaava vaikutus kurssilla on. Onneksi tässä on kyse koulutuskäyttöön tehtyä mallijärjestelmää vastaan hyökkäämisestä - toivottavasti emme joudu nyt emmekä tulevaisuudessa todistamaan konkreettisia demonstraatioita oikeiden järjestelmien haavoittuvuudesta. 
Kun pääsee käytännössä kokeilemaan miten kehittyneitä ja helposti saatavilla nykyiset murtautumistyökalut ovat, ja miten haavoittuvia järjestelmät usein ovat, tilanteen vakavuus hahmottuu uudella tavalla. Kautta aikain sotataktikot ovat toistelleet hyökkäyksen olevan paras puolustus. Kurssin ydinajatus ei ole kouluttaa automaatiojärjestelmiä vastaan hyökkäämiseen.  Kuitenkin eräs tärkeimpiä keinoja kehittää puolustajan ajattelutapaa on hypätä hetkeksi hyökkääjän saappaisiin. Kun miettii, miten itse parhaiten hyökkäisi järjestelmään, oppii samalla havaitsemaan olennaisimpia haavoittuvuuksia.

Kuten todettu, kriittisen infrastruktuurin ja teollisuusautomaation tietoturvan tärkeyteen on vihdoin havahduttu. Rehellisyyden nimissä tuntuu, että asiasta on toitotettu lähes kyllästymiseen asti (mikä ei silti riitä, jos tarvittaviin toimiin ei ryhdytä). Puuduttavan paljon on puhuttu myös automaatiojärjestelmien ja IT-järjestelmien eroavaisuuksista, ja hankaluuksista, joita erot aiheuttavat tietoturvalle. Automaation tietoturvasta vastaava saattaa miettiä, että selvä: tiedän että järjestelmän tietoturvassa on todennäköisesti vakavia puutteita, ja tiedän että korjauskeinoja ei voida suoraan kopioida IT-maailmasta. Helposti herää kysymys: mitä seuraavaksi pitäisi tehdä? 

Eräs olennainen keino tietoturvan kehittämiseksi on käyttäjien tietoisuuden ja osaamisen kehittäminen koulutuksen avulla. Automaatiojärjestelmien erityispiirteistä johtuen (... siinä se taas tuli!) tämä on alalla erityisen tärkeää. Järjestelmät ovat pidemmälle räätälöityjä kuin IT-järjestelmät tyypillisesti: käytännössä jokainen automaatiojärjestelmä on uniikki, omanlainen kokonaisuutensa. ”Vakioratkaisujen” hankkiminen - esimerkiksi eri tietoturvatuotteiden/ohjelmistojen muodossa - ei välttämättä ole optimaalinen tai edes mahdollinen valinta. Paras tieto järjestelmästä ja tuntemus sen toiminnasta on yleensä käyttäjillä. Järjestelmän toiminnasta huolehtivien avainhenkilöiden tietoisuuden ja osaamisen kasvattaminen on siis elintärkeässä roolissa. Ennen henkilöstön kouluttamista on toki ratkaistava eräs tietoturvan vakiohaasteista, eli johdon sitouttaminen tietoturvan kehittämiseen ja sitä kautta riittävän rahoituksen takaaminen. 

Kuinka sitten tulisi kouluttautua? Maailmalla on tarjolla useampia korkeatasoisia Industrial Control System (ICS) -aiheisia tietoturvakursseja. Tunnettuja ovat Yhdysvalloissa järjestettävät Idaho ja Sandia National Laboratories -kurssit. Näistä löytyvien testijärjestelmien kanssa on lievästi sanottuna haastavaa lähteä kilpailemaan: laboratoriot työllistävät tuhansia ihmisiä, kokonaisbudjetit liikkuvat sadoissa miljoonissa, ja testilaitteistoa on käytössä satojen neliökilometrien laajuisella alueella. Noh, toki näissä tutkitaan todella paljon muutakin kuin kyberturvallisuutta. Suomen näkökulmasta nämä ovat kuitenkin melko kaukaisia koulutuspaikkoja, ja kurssit on muutenkin tarkoitettu etupäässä Pohjois-Amerikan kriittisen infrastruktuurin parissa toimiville. Tunnetuista tietoturvakouluttajista mm. SANS tarjoaa ICS/SCADA -aiheisia tietoturvakursseja. Esimerkiksi tämän SANS-kurssin taustalla ovat Red Tiger Securityn kouluttajat, jotka tarjoavat vastaavia kursseja myös oman yrityksensä kautta. Lisäksi esimerkiksi SCADAhacker, ISA (International Society of Automation) sekä InfoSec Institute tarjoavat omia kurssejaan.

Kouluttajien taustojen sekä kurssien kuvausten perusteella kurssit ovat erittäin tasokkaita. Myös niille osallistuneiden kokemukset ovat olleet positiivisia. Kurssitarjonta laajenee jatkuvasti, mutta on silti vielä melko rajoitettua: edelleen erittäin harvat tahot pystyvät yhdistämään erinomaisen tietoturvaosaamisen ja syvällisen automaation erityispiirteiden ymmärryksen.  Jos ulkomaille matkustaminen järjestyy, on näille kursseille osallistumien mitä todennäköisimmin hintansa arvoista. Onneksi, kuten alussa jo mainostettiin, myös Suomessa on saatavilla laadukasta koulutusta automaation tietoturvasta.

Automaatiotekniikan tutkimuksen ja opetuksen keskittymiä edustaa Suomessa muun muassa Tampereen teknillinen yliopisto (TTY). Yhteistyö teollisuuden kanssa on läheistä, kuten tekniikan alan korkeakoulutuksessa yleensäkin. Muun muassa tietoverkkopohjainen automaatio on jo viime vuosituhannelta lähtien ollut automaatio- ja informaatioverkkojen tutkimusryhmän kohteena. Tutkimuksessa on pitkään painottunut myös tietoturvan merkitys luotettavalle automaatiolle. Vuosien saatossa tehdyn tutkimuksen ja teollisuusyhteistyön luoman osaamisen pohjalta Systeemitekniikan laitoksella on kehitetty käytännönläheinen automaation tietoturvan kurssi, joka vastaa teollisuusyritysten ja kriittisen infrastruktuurin parissa toimijoiden tarpeisiin.

Kouluttaminen on tuttua myös KPMG:lle: olemme Suomen johtava tietoturvakoulutuksia tarjoava yritys. Järjestämme mm. arvostettujen tietoturvasertifikaattien, kuten CISSP, CISM, ja teknisempi CPTE, suorittamiseen tähtääviä kursseja. Tekniseen tietoturvaan ja työkalujen käyttöön keskittyvän CPTE -kurssin kouluttajana KPMG on vuonna 2012 palkittu Authorized Training Center -palkinnolla, joita myönnetään vuosittain globaalisti vain viisi kappaletta. Sertifikaattien suorittamiseen valmistelevien kurssien lisäksi järjestämme myös yleisluontoisempia koulutuksia, kuten kurssi ”Tietoturvan koulutusohjelma”. Tuoreena lisänä kurssitarjonnassa on kyberturvallisuuden hyökkäys- ja puolustuskurssi (niin kutsuttu red team vs. blue team -harjoitus), josta kerrottiin blogissa jo aiemmin. Lisätietoja tarjoamistamme kursseista löydät tuttuun tapaan koulutussivuiltamme

Koulutuskokemuksen lisäksi KPMG:llä on kattavaa osaamista hyökkäys- ja murtotyökaluista. Tietoturva-ammattilaisten käyttämien työkalujen perusteet voi oppia vaikkapa kurssien kautta. Syvällinen osaaminen kuitenkin syntyy ja kehittyy vain jatkuvan harjoittelun avulla. Sen lisäksi, että tietoturva-ammattilaisemme toimivat eri kurssien kouluttajina, he myös käyttävät kursseilla opetettavia työkaluja päivittäisessä työssään. Automaation tietoturvan kokemusta KPMG:lle on kertynyt sekä Suomessa että maailmalla toteutettujen merkittävien ICS- ja SCADA-järjestelmien tietoturvatoimeksiantojen kautta. Esimerkiksi useat maailman suurimpiin yrityksiin lukeutuvat energia-alan toimijat, joiden toiminnalle massiiviset automaatiojärjestelmät ovat elintärkeitä, hyödyntävä automaation tietoturvapalveluitamme.

Mitä KPMG:n ja TTY:n yhteistyössä järjestämään kurssiin sitten sisältyy? Kurssin teoriaosuudessa käydään läpi verkottuneiden automaatiojärjestelmien yleispiirteitä, tietoturvan haasteita ja käytettyjä hyökkäystyökaluja. Teoriaosuus antaa hyvän kuvan siitä, millainen on nykyaikainen automaatiojärjestelmä, miksi sen tietoturva on haasteellista ja millaisia uhkakuvia siihen kohdistuu. Lisäksi nähdään, miten järjestelmää vastaan voidaan hyökätä. Sitä kautta opitaan myös kuinka hyökkäyksiltä voidaan suojautua. Kurssilaiset pääsevät käytännössä kokeilemaan työkaluja, joita tietoturva-ammattilaiset ja hyökkääjät käyttävät. Kohdejärjestelmänä on oikeaoppisesti segmentoitu automaatioverkko, joka on kuitenkin tarkoituksella tehty haavoittuvaiseksi (vastaavalla tavalla kuin todelliset automaatioverkot käytännössä usein ovat). Eri verkkosegmentit koostuvat niin Internetiin näkyvistä yrityksen web-palvelimista, toimistoverkon työasemista, kuin prosessiverkon automaatiolaitteista. Kurssi on kuitenkin riittävän yleisluontoinen, jotta sen suorittaminen ei vaadi esimerkiksi työkalujen tuntemusta etukäteen. Eräs tärkeimpiä tavoitteita on saada automaatio-, IT- ja tietoturva-ammattilaiset ymmärtämään toistensa kieltä. Edellä mainittujen asiantuntijoiden lisäksi on myös erittäin suositeltavaa, että budjetista päättävä taho pääsee osallistumaan kurssille!

Mikä tekee juuri tästä kurssista erityisen? Yhteistyön vahvuus: KPMG:n vahvuusalueita ovat vuosien ajalta kertynyt laaja kokemus tietoturvan kouluttamisesta, päivittäisen työn kautta kehittynyt syvällinen työkalujen tuntemus, sekä kokemus kansallisesti ja kansainvälisesti merkittävistä automaatioalan tietoturvaa koskevista toimeksiannoista. TTY:n Systeemitekniikan laitos edustaa tietoverkkopohjaisen automaation, automaation ohjelmistotekniikan ja automaation tietoturvan tutkimuksen ja opetuksen terävintä kärkeä Suomessa. Vahvuusalueidemme ja osaamisemme ansiosta pystymme yhdessä tarjoamaan erittäin korkeatasoisen kurssin kaikille toimijoille, joiden tehtäviin kuuluu automaatiojärjestelmien ja kriittisen infrastruktuurin tietoturvan kehittäminen.

Toivotamme kaikki kiinnostuneet lämpimästi tervetulleiksi kurssille kehittämään osaamistaan ja hankkimaan työvälineitä automaation tietoturvan kehittämiseen. Vielä kerran: lisätiedot kurssista, aikataulut ja ilmoittautumisohjeet löydät koulutussivuiltamme.

Oletko osallistunut kirjoituksessa mainituille maailmanlaajuisesti tarjolla oleville kursseille? Kerro ihmeessä kokemuksistasi! Heräsikö jotakin muuta kysyttävää, tai kenties palava halu jakaa kehitysideoita tähän kurssiin liittyen? Kommentoi alle, tai ota yhteyttä allekirjoittaneeseen (koulutukset@kpmg.fi). Nähdään kurssilla!

Risto Eerola

Ei kommentteja:

Lähetä kommentti