aiskolut – OET-REBYK 6102–4102

6 1 0 2 – 4 1 0 2 a i s k o l u t – O E T - R E B Y K

e t s o o k n e t s o l u t n e t s i k l u J

a t t u u s i o t e it s u u s il l a v r u t r e b y k a a t n a r a p n o a n e e t ti o v a t n u s i a k l u J

. a s s e d u u k s e k n e d i o ji m i o t n e d u u s il l o e t n ä v ä t n y d ö y h a t o it a a m o t u a

n a a m a t t o p l e h e m m ir y p a ll u v a n e s i m ä ä s il n e d u u s i o t e i T

n e n i a ll ä T . n a a t n i m i o t n ö n n ä t y ä k a t s u t u a k l a j n e d u u s il l a v r u t r e b y

kehtiyse ikäynnisty tisestään ,vaansevaa it ihuolelilsta k

n ii m o , n ä ä t t n e k n e e s i e l y n e d u u s il l a v r u t r e b y k ä t s i m y t h e r e p

ä ä v ä t ti ir i t s e s il l o n n o u l ä k e s ä s s ä t n e k a s s o u t n ii t h o k a m l e g n o s i y ti r e

. a t s i m u t u o ti s n o d h o j

a j n ii t t e n n e j a a l 6 1 0 2 – 4 1 0 2 a n i s o u v a s s i e t k e j o r p - O E T - R E B Y K

a t t u a k n e d i o j , a j o t s o k r e v ö y t s i e t h y n ö n n ä t y ä k n ii t t e ti h e k

n ii m o a e k u t a t s it t e e r k n o k t a v a a s a j t a v i a s t e s k y ti r y s u u s il l o e t

t e s k y ti r y t e e n u t s il l a s O . a s n ii s i e k k n a h s y ti h e k n e d u u s il l a v r u t r e b y

klimaisiva tvahvasit ,ettäyhdessät ehtyt yöonsynnyttänyt a j ä t ö y t s i e t h y , a t s i m a a s o , ä i s k y y k k y v y k , a t t u u s i o t e it a a v a t ti v r a t

n o it a a m o t u a a ll u v a n e d i o j , a j u l e v l a p ä k e s a i s k u i m l a v

a s s o s i i s k e s il l o d h a m i l u t n e n i m ä t ti h e k n e d u u s il l a v r u t r e b y k

. a s s a v a a k a t ti m

N B S

I 978-951-38-8541-0(nid. ) N

B S

I 978-951-38-8540-3( URL :http://www.vt.tfij/ulkaisut ) 1

1 2 1 - 2 4 2 2 L - N S S I

1 1 2 1 - 2 4 2 2 N S S

I (Painettu ) X

2 2 1 - 2 4 2 2 N S S

I (Verkkojulkaisu ) :

N B S I:

N R U / fi . n r u / / : p t t

h 978-951-38-8540-3

YGOLONHCET TTV 892 6102–4102 aiskolut –OET-REBYK

VIS • N IO

• S

IECS

NCE•

TE CHNOLOG Y

RE SEA CR H H HLI IG TS GH

8 9 2

a i s k o l u t – O E T - R E B Y

K 0 1 4 – 2 0 1 6 2

e t s o o k n e t s o l u t n e t s i k l u J

.

l

a

t

e

n

e

n

o

h

A

i

s

a

P

T T

V T E C H N O L O G Y 2 9 8

a i s k o l u t – O E T - R E B Y

K 0 1 4 – 2 0 1 6 2

e t s o o k n e t s o l u t n e t s i k l u J

. l a t e n e n o h A i s a P

T T V

. a s s a d h o k - t e s k o ti i K t ä v y k ä n t a j a t ti o jr i k t u u M

N B S

I 978-951-38-8541-0(nid. ) N

B S

I 978-951-38-8540-3( URL :http://www.vt.tfij/ulkaisut ) T

T

V Technology298 L

- N S S

I 2242-1211 N

S S

I 2242-1211(Painettu ) N

S S

I 2242-122X(Verkkojulkaisu ) :

N B S I:

N R U / fi . n r u / / : p t t

h 978-951-38-8540-3 T

T V

© t h g ir y p o

C 2017

R E H S I L B U P – E R A V I G T U – A J I S I A K L U J

y O T T V s u k s e k s u m i k t u t n a i g o l o n k e T

) o o p s E , A 4 e it n a k ii n k e T ( 0 0 0 1 L P

T T V 4 4 0 2 0

1 0 0 7 2 2 7 0 2 0 i s k a f , 1 1 1 2 2 7 0 2 0 . h u P

b A T T V n e l a r t n e c s g n i n k s r o f a k s i g o l o n k e T

) o b s E , A 4 n e g ä v k i n k e T ( 0 0 0 1 B P

T T V 4 4 0 2 0 - I F

1 0 0 7 2 2 7 0 2 8 5 3 + x a f e l e t , 1 1 1 2 2 7 0 2 8 5 3 + n f T

d t L d n a l n i F f o e r t n e C h c r a e s e R l a c i n h c e T T T V

) o o p s E , A 4 e it n a k ii n k e T ( 0 0 0 1 x o B . O . P

d n a l n i F , T T V 4 4 0 2 0 - I F

1 0 0 7 2 2 7 0 2 8 5 3 + x a f , 1 1 1 2 2 7 0 2 8 5 3 + . l e T

Saatteeksi

Vuosia jatkunut hyvä yhteistyö elinkeinoelämän, hallinnon ja tutkimuksen kesken on tuonut lukuisia kyberturvallisuuden ratkaisumalleja konkreettisten ja liiketoiminta- lähtöisten tarpeiden ratkaisemiseksi. KYBER-TEO-hanke toteutettiin vuosien 2014–

2016 aikana. Toteutetuissa projekteissa on ollut mukana monia alan keskeisiä yri- tyksiä, Kyberturvallisuuskeskus, Huoltovarmuuskeskus ja VTT.

Käytännön kybertoimintaympäristöjä on kehitetty yhteistyössä huoltovarmuuskriit- tisten yritysten kanssa. Varsinkin kyberturvallisuustestaustoimintaan ja harjoitustoi- mintaan kehitettiin toimintamalleja, jotka koettiin käytännön harjoituksissa hyödylli- siksi. Samoin on saatu aikaiseksi yrityksiä hyödyttäviä tuloksia teollisuusautomaa- tion edellyttämän elinkaaritarkastelun huomioonottamiseksi. Myös monitorointi, eli tietoturvapoikkeamien havainnointikyvyn parantaminen, on ollut vahvasti mukana KYBER-TEO-projekteissa.

Tässä julkaisussa kuvatut ja alan toimijoiden kanssa kehitetyt, käytännössä koetel- lut toimintatavat ja ratkaisumallit hyödyttävät varsinaisia teollisia toimijoita, joiden menestys riippuu toimintavarmasta teollisuusautomaatiosta, mutta myös alan ohjel- misto- ja järjestelmätoimittajia sekä palveluntarjoajia. Yhteistyö on ollut tuloksellista, ja jatkokehittämiselle on luotu vahva perusta.

Huoltovarmuuskeskus Sauli Savisalo

Infrastruktuuriosaston johtaja Aleksanterinkatu 48 A 00100 Helsinki www.huoltovarmuus.fi

Sisältö

Saatteeksi ... 3

Kuvat ... 7

Yhteenveto ... 9

Kiitokset ... 12

Johdanto aiheeseen ... 15

Mikä automaatiojärjestelmä? ... 15

Automaation kyberturvallisuuden haasteet ja tavoitteet ... 16

Referenssit ... 17

1. Kyberturvallisuus automaation elinkaaressa ... 18

1.1 KYBER-TEOn elinkaarimalli ... 20

1.1.1 Toimijat... 21

1.1.2 Kyberturvallisuuden päävastuumatriisi ... 22

1.1.3 Kyberturvallisuuden tehtäväkokonaisuuksia toimijoittain ... 23

1.2 Referenssit ... 25

2. Politiikat ja ohjeet ... 26

2.1 Politiikka ja maine ... 27

2.2 Lähtökohtia kyberturvallisuuspolitiikalle ... 27

2.2.1 Standardi IEC 62443 ... 27

2.2.2 SANS-tietoturvapolitiikat ... 30

2.3 Cybersecurity Guideline – Case ... 31

2.3.1 Työn tausta ... 31

2.3.2 Cybersecurity for ABB Drives ... 31

2.4 Referenssit ... 39

3. Uudet vaatimukset ... 40

3.1 Uusia uhkia ... 40

3.2 Standardien merkitys ... 41

3.3 NIS-direktiivin vaikutuksista standardeihin ... 42

3.3.1 Nousevia vaatimuksia ... 43

3.4 Turva-automaatiovaatimusten analyysi vuonna 2014 ... 44

3.5 Referenssit ... 46

4. Tuotanto-omaisuuden hallinta ... 47

4.1 Haavoittuvuuksien ja uhkien hallinta – Case ... 48

4.1.1 Haavoittuvuuksien ja uhkien tunnistamisen edellytykset ... 48

4.1.2 Teknisiä protokollia ... 49

4.1.3 Haavoittuvuuksien hallinnan tietokantoja ja työkaluja ... 52

4.1.4 Johtopäätökset ... 54

5. Arkkitehtuureista ... 56

5.1 Turvallisten arkkitehtuurien merkitys ... 56

5.2 Arkkitehtuurit liittyvät kaikkeen... 57

5.2.1 Automaatiohankinta jäädyttää arkkitehtuurivalintoja... 58

5.3 Etäyhteyskonseptien vaikutus arkkitehtuureihin ... 59

5.3.1 OPC UA -standardin hyödyt etäyhteyksissä ... 62

5.3.2 Kiinteistöjen valvontayhteyksien turvallinen toimintamalli – Schneider Electric Case ... 63

5.4 Referenssejä ... 63

6. Tietoisuuden kasvattaminen ... 65

6.1 Kyberturvallisuustietoisuuden kehittäminen yrityksessä ... 65

6.1.1 Yrityksen sisäinen kyberturvallisuusseminaari ... 66

6.1.2 Foorumeihin liittyminen ... 69

6.2 Yhteiset työpajat ... 69

6.2.1 Testaus-työpajat ... 70

6.2.2 Monitorointi-työpajat ... 71

6.2.3 Medianäkyvyys-työpajat ... 72

6.3 Yhteistyöportaalista ... 75

6.3.1 Portaalin tavoite ... 75

6.3.2 Portaalin rakenteesta ja luottamustasoista ... 76

6.3.3 A-luokan alue – kaikille avoin ... 79

6.4 Referenssit ... 80

7. Harjoittelu & koulutus ... 81

7.1 Harjoittelu ... 81

7.1.1 Harjoituksen suunnittelu ... 82

7.1.2 Esimerkki – Hyökkäys & Suojautuminen -työpaja ... 84

7.1.3 ABB Drivesille räätälöity kyberharjoitustyöpaja ... 90

7.1.4 Kyberharjoittelu-osuuden yhteenveto ... 93

7.2 Koulutus ... 94

8. Testaus – Ympäristöt, menetelmät, työkalut, automaatio ... 97

8.1.2 Testauksen haasteita ... 98

8.1.3 Testaajan luotettavuus ... 99

8.1.4 Lyhyesti soveltuvista testimenetelmistä ... 100

8.2 Tietoturvatestauksen kehittämisen prosessi ... 103

8.2.1 Testauksen eteneminen – tekninen koestus ... 104

8.2.2 Testiraportti ... 105

8.2.3 Lausunto testauksesta ... 105

8.3 Sertifiointi ... 107

8.3.1 IEC 62443 – Embedded Device Security Assurance (EDSA) .... 107

8.3.2 IEC 62443 – System Security Assurance (SSA) ... 107

8.4 Tuotteen kyberturvallisuustestaus – Netcontrol Case ... 108

8.4.1 Netcon GW502 ... 108

8.4.2 Opetukset ... 109

8.5 Varoituksen sana ... 110

8.6 Referenssejä ... 110

9. Automaatioverkon havainnointi ... 112

9.1 Nykytilanne on hälyttävä ... 112

9.2 Tuotantoyksikön verkkojen monitorointi ... 113

9.2.1 Seurannan tarkoitus ... 114

9.2.2 Monitorointipalvelun evaluointi – Case ... 116

9.3 Automaatioverkon havainnointi – Case ... 120

9.3.1 Monitoroinnin kehittäminen automaatioon ... 122

9.3.2 Yhteenveto ... 127

9.4 Referenssit ... 128

10. Poikkeaman sattuessa – Yhteistoimintamalli ... 129

10.1 Poikkeamahallinta... 130

10.2 Teollisuusautomaation häiriöiden yhteistoimintamalli... 133

10.2.1 Haittaohjelmaesimerkki ... 136

10.2.2 Johtopäätökset ... 139

10.3 Referenssit ... 139

Tulevaisuuden tarpeet ... 140

Huoltovarmuuskriittisten yritysten kyberturvallisuus ... 140

Tunnistettuja tarpeita ... 140

Johtopäätökset ja jatkotyö ... 142

Johtopäätökset ... 142

Jatkotyö ... 145 Tiivistelmä

Kuvat

KUVA1. AUTOMAATION ELINKAARI– KYBERTURVALLISUUDEN PÄÄVASTUUMATRIISI. ... 22

KUVA2. AUTOMAATION ELINKAARI– KYBERTURVALLISUUDEN VARMISTAMISEEN JA AVUSTAMISEEN LIITTYVIÄ TEHTÄVÄKOKONAISUUKSIA TOIMIJOITTAIN. ... 24

FIGURE/KUVA3. CYBERSECURITY ACTIVITIES IN EACH PHASE. ... 35

FIGURE/KUVA4. INDUSTRIAL AUTOMATION PLANT. DIFFERENT NETWORK POSSIBILITIES AND THEIR SECURE DEPLOYMENT[ABBDRIVES-CYBER]. ... 36

KUVA5. NOUSEVIA KYBERTURVALLISUUSVAATIMUKSIA. ... 44

KUVA6. TURVA-AUTOMAATION KYBERTURVAVAATIMUKSIA. ANALYYSIN KOHTEENA OLI[ISA- TR84]. ... 45

KUVA7. AUTOMAATION ETÄYHTEYKSIEN ARKKITEHTUURIKONSEPTI– ESIMERKKI. ... 60

KUVA8. ESIMERKKIKALVO– YLEISIMPIÄ TIETOTURVAN LOUKKAUKSIA. ... 68

KUVA9. ESIMERKKIKALVO– MUUTAMIA HUOMIOITASUOMEN NYKYTILANTEESTA. ... 68

KUVA10. PROJEKTISSA TUTKITTUOPC-UA-TESTITAPAUS. ... 71

KUVA11. TYÖPAJASSA ESITELTYVTT PRINTOCENT-LIIKENTEEN KAAPPAUS JA SEN TULKINTA (LHT). ... 72

KUVA12. KYBER-TEO-PROJEKTIN ULKOPUOLISEN MEDIANÄKYVYYDEN SUUNNITELMIA LOKAKUUSSA2016. ... 74

KUVA13. AUTOMAATION KYBERTURVALLISUUDEN YHTEISTYÖPORTAALIN RAKENNE JA LUOTTAMUSTASOT... 77

KUVA14. HAHMOTELMA PORTAALIN PÄÄSIVUSTA(LUONNOS, KYBER-TEO-PROJEKTI). ... 79

KUVA15. KYBERHARJOITUKSEN SUUNNITTELU ASIAKKAAN KANSSA JA KEHITTÄMISEN ETENEMINEN. PROJEKTIN KULUESSA KEHITETTYVTT:N KÄYTTÄMÄ MALLI. ... 83

KUVA16. ”HYÖKKÄYS& SUOJAUTUMINEN” -TYÖPAJAN PERUSKONSEPTI. ... 88

KUVA17. ESIMERKKI HILJAISEN VERKKOTIEDUSTELUN TYÖKALUSTA. ... 89

KUVA18. HILJAISEN VERKKOTIEDUSTELUTOIMINNAN SIJAINTI(KATKOVIIVOITUS) HARJOITUKSEN ARKKITEHTUURISSA. ... 89

KUVA19. PUOLUSTAUTUMINEN PALVELUNESTOHYÖKKÄYKSIÄ VASTAAN. ... 90

KUVA20. ABB DRIVES-HARJOITUKSEN VERKKOKOKOONPANO. ... 91

KUVA21. ABB DRIVES-KYBERHARJOITUSTYÖPAJA. VTT:NPASIKESKI-KORSUN VUORO ALUSTAA HARJOITUSTA. ... 92

KUVA22. KOULUTUSKOKONAISUUS.. ... 95

KUVA25. TEKNISEN KOESTUKSEN ETENEMINEN YKSINKERTAISTETTUNA...104

KUVA26. KYBERTURVALLISUUSTESTAUKSEN RAPORTOINTILOMAKE. ...105

KUVA27. LAUSUNTO AUTOMAATIOJÄRJESTELMÄN KYBERTURVALLISUUSTESTAUKSESTA...106

KUVA28. VTT-RAPORTTINETCONGW502 -TUOTTEEN TIETOTURVATESTISTÄ. ...109

KUVA29. PUOLUSTAUTUMINEN PALVELUNESTOHYÖKKÄYKSIÄ VASTAAN.. ...121

KUVA30. PERIAATEKAAVIO TIEDONJALOSTUKSEN TOTEUTUKSESTA TISLAUSKOLONNIPROSESSISSA.. ...124

KUVA31. TIETOTURVAMONITOROINNIN TOTEUTUS SITEN, ETTÄ EI VAARANNETA AUTOMAATIOJÄRJESTELMÄN LUOTETTAVUUTTA JA TURVALLISUUTTA. ...126

KUVA32. TIETOTURVAHÄIRIÖIDEN HALLINNAN VAIHEET, MUKAILTU LÄHTEESTÄ[ISO27035-1]. ...131

KUVA33. ESIMERKKI ORGANISAATIOIDEN RYHMITTELYSTÄ: SISÄISET PALVELUT, TUOTANTO JA ULKOISET OSAPUOLET SISÄLTÄVÄT ERILAISIA RYHMIÄ. ...134

KUVA34. KEHITTÄMÄMME YHTEISTOIMINTAMALLI AUTOMAATION KYBERHÄIRIÖIDEN HALLITSEMISEKSI TEOLLISUUSYRITYKSESSÄ. ...135

KUVA35. HAITTAOHJELMA-KÄYTTÖTAPAUS YHTEISTOIMINTAMALLISSA. ...137

KUVA36. KYBERTURVALLISUUDEN KEHITTÄMISEN YLEISTARPEITA. ...141

Yhteenveto

Kyberturvallisuusuhkiin varautumisen tarve lisääntyy, sillä elinkeinoelämän ja teol- lisuuden automaatiojärjestelmäriippuvuus kasvaa jatkuvasti. Integroitujen kokonais- järjestelmien, toimintojen ja yhteistyöverkostojen monimutkaistuessa korostuu yri- tysten kantapään kautta opittujen kyberkokemusten jakamisen tärkeys, jotta saa- daan kehitettyä koko yhteisön varautumista. Yhteistyön vaatima avoimuus ei kui- tenkaan saa vaarantaa tietoa jakavan organisaation omaa turvallisuutta edes väli- aikaisesti.

Hallitun avoimuuden odotetaan parantavan kokonaisvarautumista välttämättömän yhteisymmärryksen ja kumppanuuksien lisääntyessä. Tämä mahdollistaa varautu- mistoimenpiteiden paremman yhteensovittamisen. Uusia pilottihankkeita sekä eri- laisia kohdennettuja selvityksiä, tutkimuksia ja käytännön kokeita tulee tehdä jatku- vasti, jotta pysyttäisiin nopeasti kehittyvien ja muuttuvien kyberuhkien tasalla. Syvää yhteistyötä tarvittiin ja tarvitaan uusien kyberturvallisuutta parantavien toimenpitei- den jalkauttamisessa yritysten käytännön toimintaan.

Tässä julkaisussa kuvataan KYBER-TEO ”Kyberturvallisuuden kehittäminen ja jal- kauttaminen teollisuuteen” -hankekokonaisuuden julkisia tuloksia. Kyseessä oli kaikkiaan kolme vuotta kestänyt kansallinen hankekokonaisuus vuosina 2014–

2016. Päätilaaja oli Huoltovarmuuskeskus. Tarvittiin yhteisen hyvän tuottamista eli julkisia tuloksia ja niiden levittämistä, ja toisaalta osallistuneet yritykset tilasivat vuo- sittain luottamuksellista kehitystukea kyberturvallisuuden parantamiselle tai kyber- turvallisuuspalvelujensa kehittämiselle. Kyseessä ei ole käsikirja, joten emme käsit- tele kattavasti aivan kaikkia tietoturvan osa-alueita. Sen sijaan esittelemme sitä, mi- ten me käytännössä kehitimme kyberturvallisuutta suomalaisissa alan yrityksissä.

KYBER-TEO-kokonaisuuden päätavoite oli kehittää ja testata uusia palveluja osal- listuvissa teollisuus- ja palveluyrityksissä kyberturvallisuuden ja jatkuvuuden var- mistamiseksi ja muun suomalaisen teollisuuden hyödynnettäväksi.

Hankekokonaisuuden yritysosallistujissa tapahtui luonnollisesti vuosittaista vaihtelua, eikä aivan kaikkien osallistuneiden yritysten listaaminen ole oleellista

halunneet tulla julkisuuteen yrityksensä nimellä. Kunnioitimme myös näitä päätöksiä.

Hankkeen työpaketit (TP) olivat

· TP 1: Kybersuojauksen käytännöt ja kartoitukset

· TP 2: Kyberturvallisuuden jalkauttaminen kotimaiseen tuotantoon

· TP 3: Tuotantoautomaatioverkon monitorointipalvelut.

Kyberturvallisuuden käytännöt ja kartoitukset (TP1) koettiin työalueeksi, jossa lähes kaikilla teollisuusyrityksillä tulisi olla jatkuvaa nykytilanteen kartoittamista ja oman toiminnan kehittämistä. Kyberturvallisuuden jalkauttaminen kotimaiseen tuotantoon (TP2) sisälsi pääosin teknisempien menettelyjen kehittämistä, kuten koventamisen ja kyberturvallisuustestauksen, joilla varmistettiin ja todennettiin kyberturvallisuus- vaatimusten toteutumista tuotantojärjestelmissä. Kolmantena alueena oli tuotanto- automaatioverkon monitorointipalvelut (TP3), jonka yhteydessä kehitettiin menetel- miä tuotannonohjausverkkojen kyberturvallisuuden tilannekuvaan, samalla täyden- täen aktiivisten kyberturvallisuusratkaisujen puutteita ja osoittaen suuntaa vastatoi- menpiteille.

Tämän julkaisun tavoitteena on kyberturvallisuustietoisuuden parantaminen laajasti automaatiota hyödyntävän teollisuuden toimijoiden keskuudessa.

Tietoisuuden lisäämisen avulla pyrimme helpottamaan kyberturvallisuuden jalkautusta käytännön toimintaan. Tällainen kehitys ei käynnisty itsestään, vaan se vaatii huolellista perehtymistä kyberturvallisuuden yleiseen kenttään, omiin erityisongelmakohtiin tuossa kentässä sekä luonnollisesti riittävää joh- don sitoutumista. Projektissa laajennettiin ja kehitettiin käytännön yhteistyö- verkostoja, joiden kautta teollisuusyritykset saivat ja saavat konkreettista tu- kea omiin kyberturvallisuuden kehityshankkeisiinsa.

Osallistuneet yritykset ilmaisivat vahvasti, että yhdessä tehty työ on synnyttänyt tar- vittavaa tietoisuutta, kyvykkyyksiä, osaamista, yhteistyötä ja valmiuksia sekä palve- luja, joiden avulla automaation kyberturvallisuuden kehittäminen tuli mahdolliseksi isossa mittakaavassa.

Kehittäminen edellyttää lähes aina tietoisuuden perustasoa, jotta yrityksen päättäjät ja käytännön toimijat ymmärtävät riittävästi kyberuhkien todellisista vaikutuksista ja kohdistumisesta omaan toimintaansa. Vasta tämän jälkeen yritykseen voi syntyä tarvittava vastuiden määrittely ja resursointi mm. tuotantoon soveltuvien kybertur- vallisuusuhkien havaitsemiseen, torjuntaan ja ennakkovarautumiseen.

Teollisuusautomaation kyberturvallisuuden kehittäminen Suomessa vaatii kaikkien toimijoiden osallistamista. Tämä johtuu mm. siitä, että kyberturvallisuuden ratkaisee lopulta ”arvoketjun heikoin toimija” tai ”järjestelmän huomaamaton haavoittuvuus”.

Turvallisen toiminnan vastuuta ei voi ulkoistaa, sillä viime kädessä tuotanto-ope- raattori vastaa itse kaikkien tarvittavien turvamenettelyjen käyttöönotosta, käytön valvonnasta ja kehittämisestä.

KYBER-TEO-projekteissa vuosina 2014–2016 kehitettiin yritysten yhteistyötä ja edellytyksiä parantaa monia erilaisia automaation kyberturvallisuuteen vaikuttavia asioita:

· Alan edelläkävijäyrityksissä kehitettiin ja testattiin automaation kybertur- vallisuuden kehittämisen palveluja, parhaita käytäntöjä ja ratkaisuja.

· Määriteltiin kyberturvallisuuden työnjako ja tehtävät automaation elinkaa- ressa.

· Parannettiin ammattilaisten kyberturvallisuustietoisuutta julkisten tulosten esittelytilaisuuksissa kertomalla uhkista ja seurauksista sekä varautumi- seen kehitetyistä käytännöistä ja koetelluista ratkaisuista.

· Kehitettiin ja koestettiin automaation kyberturvatestauksen ympäristöjä.

· Kehitettiin ja koestettiin automaation kyberturvaharjoittelun ympäristöjä.

· Kehitettiin ja koestettiin automaatioverkkojen kyberturvamonitoroinnin konsepteja ja menetelmiä.

· Kehitettiin ja pilotoitiin automaation kyberturvallisuuden sähköistä yhteis- työfoorumia.

Teknologian tutkimuskeskus VTT Oy Pasi Ahonen, johtava tutkija

KYBER-TEO 2014–2016 -projektipäällikkö Kaitoväylä 1

90571 OULU www.vtt.fi

Kiitokset

Suuret kiitokset kaikille tämän julkaisun tulosten ja sisällön tuottamiseen osallistu- neille henkilöille! Seuraavat yritykset ja asiantuntijat osallistuivat julkaisun tulosten yhteiseen tuottamiseen sekä antoivat luvan nimensä mainitsemiselle:

ABB Drives:

§ Pekka Alho

§ Pasi Koivumäki

§ Mika J. Kärnä

§ Juho Salminen

ABB Medium Voltage Products:

§ Jani Hirvo

§ Mikko Lähdesmäki

§ Mats Lövdahl

§ Janne Starck

Huoltovarmuuskeskus:

§ Tero Kauppinen (nyt eläkkeellä)

§ Kalle Luukkainen

§ Erkki Räsänen

§ Sauli Savisalo Insta DefSec:

§ Marko Hautakangas

§ Tero Leppänen

§ Tatu Männistö

§ Mikko Salonen NESTE:

§ Pasi Lehtinen Netcontrol:

§ Kim Malmberg

Nixu:

§ Pietari Sarjakivi

Nordic LAN&WAN Communication:

§ Juha Pasanen

§ Kari Salmela Prosys OPC:

§ Jouni Aro

§ Pyry Grönholm Orion:

§ Ulla Palmila Outotec:

§ Patrik Granholm Schneider Electric:

§ Kalle Aalto

§ Harri Hamberg

§ Mika Kiiveri

§ Arto Laurila

§ Tero Laaksonen

§ Veli-Matti Luukko

Tampereen teknillinen yliopisto:

§ Mikko Salmenperä

§ Jari Seppälä

Teollisuuden Voima:

§ Timo Kauraoja

§ Petri Leppimäki

§ Esko Rauta

§ Janne Rintamaa

Turun seudun puhdistamo:

§ Jyrki Haapasaari Valmet:

§ Tero Hakala

§ Markku Tyynelä

Viestintäviraston Kyberturvallisuuskeskus:

§ Erika Suortti-Myyry

§ Sami Orasaari

§ Mikko Viitaila VTT:

§ Pasi Ahonen

§ Kimmo Halunen

§ Jouni Hiltunen

§ Hannu Honka

§ Jukka Julku

§ Anni Karinsalo

§ Pasi Keski-Korsu

§ Sami Lehtonen

§ Sami Noponen

§ Pia Olli

§ Heimo Pentikäinen

§ Juha Pärssinen

§ Mirko Sailio

§ Tuomo Soivuori

§ Visa Vallivaara

§ Teemu Väisänen

Johdanto aiheeseen

Mikä automaatiojärjestelmä?

Teollisuusautomaatiojärjestelmiä ovat tehtaiden ja erilaisten tuotantolaitosten tuo- tannonohjausjärjestelmät. Näiden ylläpitämiseksi tarvitaan erilaisia kiinteistöteknii- kan sekä ympäristöolosuhteiden säätöjärjestelmiä, joten nekin lukeutuvat meitä kiinnostaviin automaatiojärjestelmiin.

Tarvitsemme myös peruskäsitteistön määrittelyn, jotta lukija ymmärtää esittä- mämme asiat mahdollisimman yksiselitteisesti. Käsitteistön pohjaksi valitsimme IEC-62443-standardin”Teollisuuden tietoliikenneverkot, verkkojen ja järjestelmien tietoturvallisuus”(ent. ISA-99), sillä sen sisältö on kehitetty erityisesti (automaatiota hyödyntävän) teollisuuden käyttöön. Ko. standardin perusteisiin johdattava osa 1-1

”Terminologia, käsitteet ja mallit” [IEC62443-1-1] sekä osat 2-1 ja 3-1 on jo kään- netty suomeksi. Lisäksi teollisuutemme on, ainakin osin, jo alkanut soveltaa ko.

standardisarjaa, mm. sen kattavuuden takia.

Tässä julkaisussa kyberturvallisuuden kehittäminen koskee esim. öljynjalos- tusta ja jakelua, vesihuoltoa, sekä sähköntuotantoa, -siirtoa ja -jakeluverk- koja. Tunnustettuja kehitystarpeita on myös sektoreilla, jotka eri tavoin hyö- dyntävät tuotannossaan automaatiota ja tiedonsiirtoverkkoja (mm. yleisesti prosessiteollisuus, kappaletavaravalmistus, liikenne, sekä terveydenhuolto), joten näiden alojen toimijat kuuluvat myös kohderyhmäämme.

Erityisen oleellisia kyberturvallisuuden kannalta ovat automaatiojärjestelmien yhtey- det ulkoiseen maailmaan. Tämä on varsin selkeästi todettavissa jo Suomen Auto- maatioseura Ry:n (SAS) julkaisusarjasta nro 35 [SAS1]. Eri järjestelmien välinen integraatio on tosin sittemmin jo kovasti lisääntynyt ja monimutkaistunut. Lisäksi kiinteistöautomaatio ja tuotantologistiikan automatisointi ovat vallanneet lisää alaa ja käytetty teknologiakin on osin konvergoitunut esim. Ethernet-liityntöjen laajentu- neen käytön myötä. Suomen Automaatioseuran erinomaisessa kyberturvallisuu- teen keskittyvässä verkkojulkaisussa "Teollisuusautomaation tietoturva" [SAS2] on

edelleen erinomaista taustatietoa esim. oman yrityksen kyberturvallisuuden kehittä- miselle.

Tämä julkaisu käsittelee tuotantoon liittyviä automaatiojärjestelmiä ja tehdasverk- koja sekä osin myös uudenlaista konseptia, jota kutsutaan nimellä teollinen internet.

Teollisessa internetissä on kyse fyysisistä laitteista, jotka pystyvät aistimaan ympä- ristöään ja viestimään tai toimimaan aistimansa perusteella älykkäästi.

Automaation kyberturvallisuuden haasteet ja tavoitteet

Tietotekniikka ja automaatio kehittyvät ja etenevät yhä laajemmin ja yhä syvemmälle yhteiskunnan kaikkiin toimintoihin. Monimutkaisuus lisääntyy ja myös kybertoimintaympäristöön liittyvät uhkatekijät monipuolistuvat. Samalla riippuvuusketjut pitenevät, niiden hallinta vaikeutuu, ja riskit kasvavat.

Riskejä voidaan hallita laajan ja monitasoisen tavoitteellisen yhteistyön avulla:

· turvallisista teollisista komponenteista ja järjestelmistä laajoihin moni- toimittajaympäristöihin

· turvallisuusajattelun jäsentämisestä eri organisaatiotasojen kesken, esim.

operatiivisesta tasosta strategiseen tasoon

· toiminnan kannalta kriittisimpien järjestelmien tunnistamisesta koko järjestelmäympäristön, omien ja kumppaneiden etäyhteyksien sekä pilvipalveluiden suojaamiseen, käyttötarkoituksensa kannalta sopivimmilla ratkaisuilla

· palveluiden ja toimitusketjujen hallinnasta investointipäätösten valmistelusta alkaen järjestelmien elinkaaren loppuun

· ottaen liiketoimintalähtöisesti ja toimialoittain huomioon kansainvälisen asiakaskentän vaatimukset, suositukset ja sääntely

· havainnointi- ja reagointikyvyn parantamisesta ennakointiin, yritysstrategian tukemiseen ja yritysriskien hallinnan kehittämiseen

· luottamuksellisen tiedonvaihdon kehittämisestä käytännön harjoittele- miseen

· koeteltujen ratkaisumallien kautta konkreettisiin hyötyihin mm. yhteisten kustannussäästöjen kautta.

Pyrkimyksenä on edistää sähköisen ja verkotetun yhteiskunnan turvallisuutta, jolloin kyberturvallisuuden suunnittelussa tulee yhdistyä tietoturvallisuuden, jatkuvuuden- hallinnan ja yhteiskunnan kriisivarautumisen ajattelutavat. Kyberturvallisuudessa varaudutaan siihen, miten sähköisten ja verkotettujen järjestelmien häiriöt vaikuttavat yhteiskunnan kriittisiin toimintoihin, sekä tunnistetaan ja ehkäistään näitä häiriöitä.

Tavoitteena on ollut, että huoltovarmuuden kannalta kriittisin elinkeinoelämä on suojattu vakavien ja laajojen kyberuhkatilanteiden varalta ja että yrityksillä on kyky

palautua kyberuhkatilanteista nopeasti palveluntarjoajiensa ja kumppaneidensa tuella. KYBER-TEO-hankekokonaisuus on tukenut näitä tavoitteita.

Referenssit

[IEC62443-1-1] IEC-62443-standardin ”Teollisuuden tietoliikenneverkot, verkkojen ja järjestelmien tietoturvallisuus” perusteisiin johdattava osa 1-1 ”Terminologia, kä- sitteet ja mallit”

[SAS1] Suomen Automaatioseura Ry, ”Automaatiosuunnittelun prosessimalli; Yh- teiset käsitteet verkottuneen suunnittelun perustana” (SAS julkaisusarja nro 35), Helsinki 2007. https://www.automaatioseura.fi/site/assets/files/1367/automaatio- suunnittelun_prosessimalli.pdf

[SAS2] Suomen Automaatioseura Ry, "Teollisuusautomaation tietoturva" (SAS jul- kaisusarja nro. 29) kirjan verkkopainos, 2010. https://www.viestintavirasto.fi/at- tachments/tietoturva/TeollisuusautomaationTietoturva.pdf

1. Kyberturvallisuus automaation elinkaaressa

Kyberturvallisuuden sisällyttäminen osaksi automaation elinkaaren hallintaa on vält- tämätöntä kyberturvallisuuden ja jatkuvuuden kehittämisessä ja ylläpitämisessä.

Suuri toimijoiden ja tehtävien määrä (elinkaaren aikana) aiheuttavat jatkuvia kyber- turvallisuusriskejä, joiden tunnistaminen ja hallitseminen vaativat paljon jatkuvaa työtä.

Oppi 1. Automaation pitkän elinkaaren hallinta vaatii paljon kyberturvallisuuspoh- dintaa.

Vaikeinta automaation kyberturvallisuudessa on pitkän elinkaaren hallinta, sillä…

…kyberuhkia tulee koko ajan lisää,

mutta ongelmat eivät vähene lisäämällä uusia teknologioita ja prosesseja van- hojen päälle, vaan

määrittelemällä jatkuvuuden varmistamisen konseptit, joissa kyberturvallisuus on aina mukana, sekä sopimalla ymmärrettävät pelisäännöt ja vastuut

omalle henkilöstölle ja kumppaneille.

Hyvien peruskäytäntöjen ja työkalujen soveltaminen ja yhteistyö ovat toimivia tapoja automaation turvallisuuden ja

jatkuvuuden varmistamisessa.

Eri standardit määrittelevät automaatiojärjestelmän elinkaaren eri tavoin. Suomen Automaatioseuran (SAS) julkaisussa [SAS1] on kuvattu automaatiojärjestelmän elinkaaren vaiheet, niiden väliset etapit sekä tärkeimmät tulokset. Siinä vaiheet ovat

· MÄÄRITTELY

· SUUNNITTELU

· TOTEUTUS

· ASENNUS

· TOIMITUKSEN TESTAUS

· KELPUUTUS

· TUOTANTO.

Tämä perinteinen malli oli askeleittain etenevä prosessi, jossa kunkin vaiheen työ pohjautui vahvasti edellisten vaiheiden tuloksiin. Malli kuvasi myös tarvittavat ja tuo- tettavat tiedot, tuen ja resurssit, mikä olisi ollut ihanteellista myös kyberturvallisuu- den kehittämisen kannalta. Perinteistä mallia sovellettaessa on varsinkin nykyään huomioitava riittävä iterointi ja takaisinkytkentä kyberuhkien jatkuvasti muuttuessa.

Miten esim. pitkäkestoisen ja laajan kehitysprojektin eri osapuolten uusien kontri- buutioiden saatavuus ja täten esim. riittävät vikakorjaukset saadaan toimitettua, mi- käli uusia kyberturvallisuusuhkia havaitaan? Tällaiset muutokset ja korjaavien lisä- toimien tarve kannattaa huomioida projekti- ja palvelusopimuksissa jo varhaisessa vaiheessa, jottei lopulliseen toimitukseen jää tunnettuja haavoittuvuuksia.

Isossa-Britanniassa (UK) panostetaan huomattavia summia kansalliseen kybertur- vallisuuteen, ja se onkin tuottanut hyviä tuloksia. Erityisesti kansallisen infrastruk- tuurin kyberturvaamiseen keskittyvä CPNI (The Centre for the Protection of National Infrastructure) antaa automaation elinkaaren kyberturvallisuutta kuvaavassa doku- mentissaan [CPNI1] selkeän mallin automaatiojärjestelmän (IACS) elinkaarelle.

Kullekin kyberturvallisuuden tehtävämäärittelylle osoitetaan tarkka paikka osana elinkaarta. Tätä menetelmää kannattaa hyödyntää Suomessakin.

Esimerkki. Ison-Britannian CPNI: Automaatiojärjestelmän elinkaarimalli [CPNI1].

Kirjoittajan käännös.

· Suunnitteluvaihe:

o Konseptointi o Alustava suunnittelu o Yksityiskohtainen suunnittelu

· Käyttöönottovaihe:

o Tehtaan hyväksymistestaus (Factory Acceptance Testing) o Asennus

o Asiakkaan hyväksymistestaus (Site Acceptance Testing)

· Käyttö:

o Käyttö ja ylläpito

o Muutostyöt ja jälkiasennukset

· Käytöstä poisto:

o Käytöstä poisto ja tuhoaminen

Erityisesti kyberturvallisuuden hyvää hallintotapaa esittelevä hyvä käytäntö “CPNI:

Security for Industrial Control Systems, Establish ongoing governance” [CPNI2]

kannattaa hyödyntää, sillä se opastaa keskeisten kyberturvallisuusalueen tehtävien

Suomessakin erityisesti eri toimijoiden välinen roolijako kaipaa selkeyttämistä. Jo tilausvaiheessa tulee varmistaa mm. kaikkien osapuolten riittävä kyberturvalli- suusosaaminen, vastuunjaon selkeys sekä ulkoistettavien palvelujen, päivitysten ja vikakorjausten saatavuus. Valitettavan usein myös oman henkilöstön osaamisen kehittäminen ja jakaminen osoittautuvat liian vähäisiksi (esim. palkataan ainoastaan yksi kyberturvallisuutta ymmärtävä toimihenkilö ja siirretään kaikki kyberturvaan liit- tyvät vastuut hänelle). Käytännössä toteutuneet kyberuhat kuitenkin osoittavat, että kyberturvallisuus täytyy huomioida automaation elinkaaren kaikissa vaiheissa: aina alkuvaiheen esitutkimuksesta ja määrittelystä hyvin palvelleen järjestelmän, laitteen ja ohjelmiston käytöstä poistoon saakka.

1.1 KYBER-TEOn elinkaarimalli

Kuvaamme seuraavaksi KYBER-TEO-projektissa tekemäämme työtä automaation elinkaaressa kyberturvallisuuden tehtävänmäärittelyn ja vastuunjaon osalta.

Toimivin ja täten kustannustehokkain kyberturvallisuuden hallinta saadaan aikaan kehittämällä ja koestamalla toimivat menetelmät kyberturvallisuuden sisällyttä- miseksi kaikkiin automaatiohankintoihin. Tällöin jo tuotantoon otetut automaatiojär- jestelmät ja niiden ylläpitotoimet eivät tuo yllättäviä kyberturvallisuusuhkia tuotan- nossa olevaan järjestelmään. Lisäksi toki edellytetään aktiivista omistajuutta ja mm.

jatkuvaa riskienhallintaa.

Huomioita 1. Kyberturvallisuuden kehittämisinvestointien suurin vaikuttavuus elin- kaaressa saadaan aikaan hankintavaiheessa.

Investoinneille saadaan suurin vaikuttavuus esittämällä toimittajille jo hankintavaiheessa tärkeimmät kyberturvallisuusvaatimukset ja valitse-

malla ainoastaan kyberturvallisia palveluja ja tuotteita.

Jo hankintavaiheessa kannattaa tehdä omia varautumissuunnitelmia ja raken- taa luotettava kumppanuusverkosto koko elinkaaren palvelujen takaamiseksi.

Kyberuhat muuttuvat nopeasti, joten myös tuotanto- ja ylläpitovaiheissa tulee tehdä jatkuvaa riskianalyysiä ja ylläpitää suunnitelmia riskien hallitsemiseksi.

Suomessakin olemme oppineet kantapään kautta, että kaikki toimijat on otettava mukaan automaation kyberturvallisuuden kehittämiseen! Esimerkiksi tuotantojär- jestelmän ylläpidossa toimiva alihankkijan työntekijä on välinpitämättömyyttään tuo- nut haittaohjelman sisältävän PC:n tuotantoalueelle ja täten aiheuttanut haittaohjel- man leviämisen asiakkaan tuotantoverkkoon. Joskus on ollut jopa mahdollista, että

vastaavalla tavalla edennyttä tiedusteluprosessia ei ole tunnistettu, koska ”tartun- taa” ei heti havaittu eikä sisäverkon laitonta tiedustelua näin ollen osattu edes epäillä.

Jokaisen toimijan täytyy tuntea turvalliset menettelytavat omissa työtehtävissään ja myös toimia ohjeiden osoittamalla tavalla. Jotta tähän tilanteeseen päästäisiin, on välttämätöntä määritellä tuotannon kyberturvallisuuden päätehtävät toimijoittain au- tomaation koko elinkaaressa. Vähitellen kaikkien toimijoiden aina tuotantoinsinöö- ristä siivoojaan täytyy ymmärtää laiminlyöntien vakavat seuraukset tuotannolle.

Kaikki osapuolet täytyy saada noudattamaan kyberturvallisuusohjeita ja turvallisia käytäntöjä ja täten turvallisuutta ylläpitävään piiriin. Yksikin toimija voi huolimatto- muuttaan tuhota kaiken turvallisuuden eteen tehdyn työn.

1.1.1 Toimijat

Aluksi listaamme tärkeimmät automaation kyberturvallisuuden varmistamiseen vai- kuttavat toimijat. Päivitämme tässä listan, jonka esittelimme jo vuoden 2014 yhteen vetäneessä tulosjulkaisussamme, ks. [KYBER-TEO2014].

TILAAJA: Automaatiota hyödyntävä teollisuuden tuotantoyritys tai kriittisen infra- struktuurin palveluja ylläpitävä yritys. Vastaa oman tuotantonsa ja toimintansa ope- roinnista, kyberturvallisuudesta ja jatkuvuudesta (Esim. Fortum, Neste, Orion, Teol- lisuuden Voima, Turun seudun puhdistamo, Valio, Wärtsilä). Tänä päivänä tilaajat käyttävät paljon alihankkijoita ja ulkoistavat monia toimintojaan.

PÄÄPROJEKTITOIMITTAJA: Vastaa tilaajan laajan hankkeen toteutuksesta, jossa esim. rakennetaan, laajennetaan tai päivitetään tilaajan automatisoituja tuotantolin- joja tai yksiköitä. Pääprojektitoimittaja (esim. Neste Jacobs, Outotec) määritellään usein vastaamaan myös hankkeen muiden järjestelmätoimittajien ja alihankkijoiden projektityöstä.

INTEGRAATTORIT: Integraattorit asentavat ja yhdistävät toimitukseen kuuluvat järjestelmät kuten koneet, laitteet, sovellukset ja automaatiojärjestelmät toimivaksi kokonaisuudeksi. Yleensä integraattori myös testaa kokonaisjärjestelmän toimivuu- den. (Esim. Outotec, Insta.)

AUTOMAATIOJÄRJESTELMÄTOIMITTAJAT: Suunnittelevat, kehittävät ja toimit- tavat tilaajan hankintaan liittyvät automaatiojärjestelmät. Ylläpitävät järjestelmiään ja palvelevat tilaajaa esimerkiksi takuuaikana tai huoltosopimuksella myös toimituk- sen jälkeen (esim. ABB, Honeywell, Siemens, Schneider Electric, Valmet). Jotkut toimittajat tarjoavat tänä päivänä myös toimittamiensa järjestelmien tai tuotantoyk- siköiden operointipalvelua.

(esim. ABB, Beckhoff, Microsoft, Netcontrol, Prosys OPC). Sovelluskehittäjät tyypil- lisesti kehittävät ja muokkaavat automaatiossa hyödynnettäviä ohjelmistoja.

KYBERTURVALLISUUSEXPERTIT: Kyberturvallisuusalan asiantuntijat tukevat omalla erityisosaamisellaan automaatiojärjestelmien kyberturvallisuuden eri osa-alueita (esim. Cysec, F-Secure, Insta DefSec, Nixu, Nordic LAN&WAN Communication, Vies- tintäviraston Kyberturvallisuuskeskus, Sectra, Tampereen teknillinen yliopisto, VTT).

1.1.2 Kyberturvallisuuden päävastuumatriisi

Seuraavassa kuvassa esitetään teollisuuden kanssa yhteistyössä kehittämämme yleinen vastuumatriisi kyberturvallisuuden päävastuista automaation elinkaaressa.

Se toimii lähtökohtana ja yleiskuvana päätehtävistä ja työnjaosta toimijoittain ja sitä tulee soveltaa ja muokata tilaajan kuhunkin tilanteeseen soveltuvaksi.

Kyberturvallisuuden työnjakomallien tulee tukea jo olemassa olevia yhteistyömal- leja ja toimintatapoja, sillä kyberturvallisuuden hallintaa ei kannata rakentaa yrityk- sissä omaksi erilliseksi järjestelmäkseen. Kokemus osoittaa, että liian monet rinnak- kaiset mallit ja ohjeet johtavat lopulta ohjeiden noudattamatta jättämiseen, sillä ne voivat muodostua tehokkaan työnteon kannalta ristiriitaisiksi.

Kuva 1. Automaation elinkaari – Kyberturvallisuuden päävastuumatriisi.

1.1.3 Kyberturvallisuuden tehtäväkokonaisuuksia toimijoittain

Päävastuumatriisi saattaa muistuttaa yksisuuntaista vesiputousmallia, mutta se ei ole sitä. Tilaajan asema koko tuotantoketjun valvonnan järjestäjänä ja oman tuotan- non kyberturvallisuuden kehittämisen suunnannäyttäjänä on erittäin vastuullinen.

Tilaajan velvollisuuksiin kuuluu mm. järjestää mm. tuotannon ja ylläpidon aikainen järjestelmien valvonta häiriöiden ja väärinkäytösten varalta. Valvonnan tuloksena kertynyt tietämys haavoittuvuuksista ja uusista uhkista viedään takaisinkytkentänä luotettuun kumppanuusverkostoon ja toimittajien ”tuotekehitykseen”. Tilaajan on pi- dettävä huolta siitä, että riittävä kybertapahtumien valvonta ja häiriöhallintaan tarvit- tava yhteistyö suunnitellaan ja toteutus myös testataan käytännön harjoituksin. Häi- riöharjoituksissa syntyy tietämystä ongelmakohdista, jotka kanavoituvat suoraan asianomaisille osapuolille. Luotettu toimitus- ja tuotantoverkosto oppii näin jatku- vasti yhdessä uusia konkreettisia varautumiskeinoja.

Kyberturvallisuusasiantuntijat tukevat tilaajaa ja muita osapuolia heikoissa kohdissa tarvittavan kyberosaamisen kehittämiseksi ja esim. tarvittavien seurantapalvelujen toteuttamiseksi. Tänä päivänä kyberturvallisuuden tekninen seuranta edellyttää lä- hes aina erittäin vahvaa kyberuhkaosaamista sekä kehittyneiden seurantajärjestel- mien jatkuvaa käyttöä. Tätä ei tilaaja yleensä pysty omin voimin toteuttamaan. Teh- täväkokonaisuudet esitetään kuvassa 2.

Elinkaaren vaihe / Toimija

TUOTE-

KEHITYS HANKINTA TESTAUS &

KÄYTTÖÖN-

OTTO TUOTANTO

& YLLÄPITO KÄYTÖS- TÄPOISTO

TILAAJA

Tilaajan ky- berturvalli- suuden ja jat- kuvuuden vaatimusten ja ohjeiden laadinta ja viestintä.

Määrittelee: yh- teiset käytän- nöt, politiikat, suojavyöhyk- keet.

Määrittelee:

vaatimukset, suojaustasot, etäyhteysmallit.

Määrittelee: toi- mitussisältö ja -raja.

Valvoo: koko elinkaari & so- pimukset.

Jakaa vastuut.

Edistää tietoisuutta.

Vastaanoton valvonta ja kat- selmointi.

Validointikatsel- mointi.

Kelpuutuskat- selmointi.

Jatkuvuussuun- nitelmien laa- dinta.

Harjoitussuun- nitelmien laa- dinta.

Omaisuuden hallinta (työ- luvat) ja jat- kuvuus elin- kaaressa.

Muutospro- sessien mää- rittely ja val- vonta. Koulu- tusjärjestelyt.

Varautumi- nen: kapasi- teetti, riskit, katselmoin- nit, harjoituk- set. Tilanne- seurannan &

häiriöhallin- nan jär- jestelyt.

Myöntää poistolu- vat. Menettely- tapojen ja uusiokäy- tön määrittely

& valvonta.

Elinkaaren vaihe / Toimija

TUOTE-

KEHITYS HANKINTA TESTAUS &

KÄYTTÖÖN-

OTTO TUOTANTO

& YLLÄPITO KÄYTÖS- TÄPOISTO

PÄÄ-PROJEK- TITOIMIT- TAJA

Projektin tur- vallisuusvaa- timusten laa- dinta ja nou- dattamisen valvonta.

Toimituksen si- sällön määrit- tely.

Projektin kyber- turvallisuus- suunnitelman laadinta.

Ohjelmisto- ja palvelu- lisenssien hallinta.

Koordinointi ja valvonta, mm.:

-Projektikäytän- nöt. -Tietoliikenne- ratkaisut.

-Rajapinnat.

-Yhdyskäytävät.

-Osoitteet.

(Doku- mentaation säilytys ja ylläpito.)

Projektin päättämi- sen me- nettelyta- pojen määrittely

& valvonta.

INTEG- RAAT- TORI

Integroinnin turvallisuus- vaatimusten määrittely ja noudattami- nen.

Vastaa integ- roinnin arkkiteh- tuurista ja tur- vallisuudesta.

Asennus ja konfigurointi.

Rajapintojen in- tegrointi.

Kovennuksen testaus ja raportointi.

(Doku- mentaation säilytys ja ylläpito.)

Noudattaa hävitys- menette- lyjä.

AUTO- MAATIO- JÄRJES- TELMÄ- TOIMIT- TAJA

Turvallisten T&K-proses- sien ja alusto- jen määrit- tely, testaus, katselmointi.

Kyberturvalli- suustekniikan toteutus ja käyttöönotto järjestel- mään.

Järjestelmän haavoittu- vuuksien seu- ranta ja vika- korjaukset.

Verkkoarkkiteh- tuurin ja järjes- telmäkuvauk- sen laadinta.

Järjestelmäoh- jeiden ja pro- sessien määrit- telyt: mm.:

-Pääsynval- vonta.

-Identiteetinhal- linta.

Toimitusproses- sin turvallisuu- den määrittely ja vastuu.

Toimituksen pa- ketointi, asen- nus, esiasetuk- set, päivitykset.

Kyberturvalli- suustestaus ja kovennus.

Käyttäjätilien siirto.

Varmennus ja palautus.

Turvalliset etäyhteydet.

Järjestelmä- koulutus.

Kenttäasen- nusten yllä- pito ja doku- mentointi.

Huoltosopi- muksen toi- met, korjauk- set, riskiana- lyysit, rapor- tointi.

Muutosten testaus.

Kovennuk- sen ylläpito.

Lokien seu- ranta, häi- riötutkinta, palautus.

Määrittelee

&noudattaa poiston menettely- tapoja.

Uusio- käyttö.

LAITE-, SOVEL- LUS-, JA OHJEL- MISTO- TOIMIT- TAJA

Alustojen ky- berturvalli- suuden arvi- ointi.

Kyberturvalli- suuden toteu- tus, testaus ja ylläpito (ml.

vikakorjauk- set).

Tuotekuvaus- ten, ohjeiden ja prosessien laa- dinta.

Toimitusproses- sin turvallisuu- den määrittely ja vastuu.

Alusta, laite-, sovellus- ja aju- rituki.

Testaus, pake- tointi, päivitys- ten jako.

Kovennuksen tuki.

Koulutus, käyttäjätili- ohjeistus.

Tuotetuki.

Huoltosopi- muksen toi- met, korjaus- ten toimitus.

Muutosten testaus.

Vara- laitteiden toi- mitus.

Määrittelee

&noudattaa menettely- tapoja.

Uusio- käyttö.

Kuva 2. Automaation elinkaari – Kyberturvallisuuden varmistamiseen ja avustamiseen liittyviä tehtäväkokonaisuuksia toimijoittain.

1.2 Referenssit

[CPNI1] CPNI, “SECURITY FOR INDUSTRIAL CONTROL SYSTEMS, MANAGE INDUSTRIAL CONTROL SYSTEMS LIFECYCLE, A GOOD PRACTICE GUIDE”, Version Final v1.0. https://www.ncsc.gov.uk/content/files/protected_files/guid- ance_files/SICS%20-%20Manage%20ICS%20Lifecycle%20Final%20v1.0.pdf [CPNI2] CPNI, “SECURITY FOR INDUSTRIAL CONTROL SYSTEMS, ESTABLISH ONGOING GOVERNANCE, A GOOD PRACTICE GUIDE”, Version Final v1.0.

https://www.ncsc.gov.uk/content/files/protected_files/guidance_files/SICS%20-

%20Establish%20Ongoing%20Governance%20Final%20v1.0.pdf

[KYBER-TEO-2014] Kyberturvallisuuden kehittäminen ja jalkauttaminen teollisuu- teen vuonna 2014. KYBER-TEO 2014 Tuloksia,

https://www.huoltovarmuuskeskus.fi/julkaisut/

[SAS1] Suomen Automaatioseura Ry, ”Automaatiosuunnittelun prosessimalli; Yh- teiset käsitteet verkottuneen suunnittelun perustana” (SAS julkaisusarja nro 35), Helsinki 2007. https://www.automaatioseura.fi/site/assets/files/1367/automaati- osuunnittelun_prosessimalli.pdf

2. Politiikat ja ohjeet

Miksi kyberturvallisuuspolitiikka on usein huonosti tunnettu ja ymmärretty käsite te- ollisuustuotannossa? Tuotannon kyberturvallisuuspolitiikka saattaa pahimmillaan olla liian teknokraattisesti kirjoitettu ja vaikeasti hahmotettava, usein IT-terminolo- giaa viljelevä dokumentti, jonka yhtymäkohdat käytännön tuotantotason työhön ovat epäselvät.

Selkeä kyberturvallisuuspolitiikka ja yksinkertaiset ohjeet ovat perusta kyberturval- lisuuden kehittämisessä ja ylläpitämisessä. Tämä koskee erityisesti teollisuusauto- maation kyberturvallisuutta, jossa joudutaan usein toimimaan monitoimittajaympä- ristössä yhteistyössä useiden eritasoisten toimijoiden kanssa. Tällöin toiminnan ko- konaisturvallisuuden varmistamista ja ohjeiden noudattamisen valvontaa joudutaan kehittämään erityisen huolellisesti.

Oppi 2. Selkeällä kyberturvallisuuspolitiikalla ja toimivilla ohjeilla pääsee pitkälle.

Kyberturvallisuutta ei voi kopioida toisilta.

Tuotantoyrityksen uhkiin ja toimintatapaan soveltuvat ohjeet kannattaa räätälöidä kullekin henkilöstöryhmälle erikseen ja panostaa

tiedottamiseen ja toimeenpanoon.

Hyvä kyberturvallisuuspolitiikka

· ottaa huomioon yrityksen liiketoimintamallin ja riskianalyysien tulokset

· yhdistää kyberturvallisuuden osaksi muuta turvallisuutta ja jatkuvuutta

· on helposti ymmärrettävä, looginen ja hyvin tiedotettu

· toimii perustana tarkempien kyberturvallisuusohjeiden laadinnalle

2.1 Politiikka ja maine

Laaja-alaisemmin tarkasteltuna yrityksen maineen ylläpitoon liittyy monenlaisia po- litiikkaan, toimintakulttuuriin, kansainvälisiin toimintatapoihin, lakeihin ja sääntöihin liittyviä tekijöitä, ei pelkästään kyberturvallisuuspolitiikat.

UUSIA MAINEUHKIA: Automaatiojärjestelmätoimittajan tai automaatiota hyödyntä- vän yrityksen yleistä mainetta ja liiketoimintaa saatetaan omaehtoisesti tai vahin- gossa vahingoittaa:

· TOIMITTAJAT: myymällä kehittyneitä kyberturvallisuuden seuranta- ja testaustuotteita tai palveluja epädemokraattisiin maihin, joissa tuotteita voidaan käyttää ihmisoikeuksien loukkauksiin

· HYÖDYNTÄJÄT: ostamalla ja käyttämällä omassa liiketoiminnassa auto- maatio- tai kyberturvallisuustuotteita, jotka ovat peräisin maista, joissa yri- tyksiä velvoitetaan asentamaan ja piilottamaan esim. etähaltuunoton mah- dollistavia takaportteja ulkomaille toimitettaviin tuotteisiin

2.2 Lähtökohtia kyberturvallisuuspolitiikalle

Seuraavaksi luodaan lyhyt katsaus kyberturvallisuuspolitiikkojen parhaisiin lähtei- siin kahdelta eri suunnalta. Ensin esitellään lyhyesti automaatiospesifistä standar- dia IEC 62443 ja sitten SANS-instituutin (https://www.sans.org/) kehittämiä kyber- turvallisuuspolitiikan malleja. IEC-standardi ja politiikan SANS-mallipohjat täydentä- vät toisiaan ja kumpaankin kannattaa tutustua, sillä yhdessä nämä antavat arvok- kaan näkemyksen, kun yrityksen tuotannon kyberturvallisuuspolitiikkoja luodaan tai päivitetään.

Uusien teknologioiden osalta kannattaa analysoida tarvitsevatko ne oman kybertur- vallisuuspolitiikan. IoT (Internet of Things) on eräs tämän hetken kuuma aihe. Onko olemassa riski, että IoT-laitteita asennetaan vaivihkaa sisäverkkoon ja vasta jälki- käteen huomataan mukana tulleet kyberuhat? IEC 62443-standardista ja SANS:n mallipohjista puuttuvat myös oman laitteen käyttäminen työtehtäviin (BYOD, Bring Your Own Device). BYOD-aihe on hyvin laaja alkaen satunnaisesta sähköpostien luvusta omalla laitteella jatkuen oman tabletin päivittäiseen käyttämiseen työtehtä- vissä.

2.2.1 Standardi IEC 62443

Standardi IEC/TS 62443-1-1 (IEC/TS 62443-1-1:fi, 2013, SFS) [IEC62443-1-1] on yksi tärkeimmistä automaatioalan standardeista, joka korostaa kyberturvallisuuspo- litiikkojen muodostavan säännöt sille, miten organisaatio suojaa herkkiä ja kriittisiä järjestelmäresursseja. Politiikat ovat dokumentteja, joita vasten voidaan mitata

Tämä standardi jakaa politiikat kolmeen pääosioon: SÄÄNNÖT, joita täydentävät MENETTELYT, ja näiden lisäksi on mahdollista laatia OHJEITA. Ohjeet kertovat yleensä asian toteuttamisen yhdellä tavalla, joka on suotava muttei pakollinen tapa.

Ohjeet voivat olla moniselitteisiä, joten sen takia ohjeita vastaan ei yleensä audi- toida.

IEC-standardi kohdentaa huomiota politiikkojen koordinointiin, koska organisaation eri osastot ovat erilaisia ja sen takia politiikat saattavat hajaantua liikaa ilman koor- dinointia. Koordinointi automaation ja yritystason IT:n kanssa on erityisen tärkeää.

Elinkaariajattelua tuodaan myös esille, eli järjestelmän elinkaaren eri vaiheissa po- litiikoilla on erilaiset profiilit. Kunkin politiikan tulee sisältää lyhyt mutta tarkka kap- pale ko. politiikan tarkoituksesta ja soveltamisalasta. Politiikkadokumenttien kielen tulee olla yksiselitteistä, jotta erottuu selkeästi, että mikä on vaatimus ja mikä valin- nainen ohje.

2.2.1.1 Yritystaso, säännöt

Yritystason politiikka määrittää organisaation yleiset kyberturvallisuustavoitteet, esi- merkiksi toimistoverkossa luottamuksellisuus voi olla ykköstavoite, kun taas auto- maatioverkossa toiminnan jatkuvuus on luonnollinen ykköstavoite. Vastuut ja vel- vollisuudet tulevat myös esille yritystason politiikassa. Selkeä tiedottaminen kaikille työntekijöille on tärkeää.

2.2.1.2 Menettelyt

Kyberturvallisuusmenettelyillä toteutetaan yritystason politiikoissa määritellyt tavoit- teet ja vaatimukset. Menettelyjen toteutus perustuu prosesseihin, joissa käsitellään kaikki politiikkojen näkökohdat. Menettelyihin kuuluvat seuraavat pääosiot:

a) järjestelmäsuunnittelu b) hankinta

c) asennus

d) prosessin toiminta e) järjestelmän ylläpito f) henkilöstö

g) auditointi h) koulutus.

Huomautus: Menettelylistasta puuttuu elinkaaren loppuvaihe, mm. datan ja laittei- den käytöstä poistaminen (esim. datan siivoaminen, datan tuhoaminen, laitteiden kierrätys ja laitteiden poisto).

Menettelyprosesseissa määritellään toimenpiteiden sekä vastuut ja velvollisuudet että toimenpiteiden ajankohdat.

IEC-standardi painottaa lisäksi politiikkojen ja menettelyjen tehokkuuden mittaa- mista, jotta voidaan tarkistaa, tuottavatko ne sitä, mitä tavoitellaan. Tehokkuutta pi- täisi mitata myös kustannusten näkökulmasta, esimerkiksi onko riskin pienentä- miseksi tehty investointi vastannut saavutettua tulosta.

Huomautus: IEC-standardin kattamista aiheista puuttuu mm. kyberturvallisuusta- pahtumien käsittely; mitä tehdään, kun jotain poikkeuksellista on havaittu (esim. vä- littömät toimet, raportointi, tutkinta, palautus normaalitilanteeseen, oppiminen jne.).

2.2.2 SANS-tietoturvapolitiikat

SANS-instituutti on laatinut sarjan tietoturvapolitiikkojen mallipohjia, jotka on päivi- tetty vuonna 2014 [SANS-2014]. SANS-instituutti määrittää eroavaisuudet POLITII- KAN, STANDARDIN ja OHJEISTUKSEN välillä niin, että politiikka on dokumentti tiettyjä vaatimuksia ja sääntöjä varten, joita täytyy noudattaa. Standardi taas sisäl- tää järjestelmä- tai menettelytapakohtaiset vaatimukset, joita täytyy noudattaa. Esi- merkkinä vaatimukset tietyn käyttöjärjestelmän sisältävän työaseman koventami- sesta DMZ-alueeseen sijoittamiseksi. Standardissa voidaan myös määrittää tekno- logiavalintoja. Ohjeistus käsitetään kokoelmana parhaita käytäntöjä. Ohjeistus ei si- sällä pakollisia vaatimuksia, vaan vahvoja suosituksia.

SANS-mallipohjat sisältävät yhteensä 27 politiikkaa, standardia tai ohjeistusta.

Näitä voi käyttää tarkistuslistana, että kaikki oleelliset asiat on käsitelty. Vahva suo- situs on, että kannattaa lukea kaikki SANS-politiikat. Mikäli jokin politiikka jätetään määrittelemättä, sen tarpeettomuus tulisi dokumentoida ja olla tietoinen valinta pe- rustuen riskiarviointiin. Yksittäinen edellä mainittu politiikka voi sinällään olla yrityk- selle tarpeeton.

SANS-instituutti jakaa tietoturvapolitiikat neljään ryhmään;yleinen tietoturva,verk- kojen tietoturva,palvelinten tietoturva jasovellusten tietoturva. Nämä mallipohjat voivat päivittyä, eli lukijan kannattaa tarkistaa uusimmat versiot SANS:n verkkosi- vuilta.

2.2.2.1 Yleinen tietoturva

Yleinen tietoturva sisältää seuraavat mallipolitiikat: hyväksyttävä salaus, hyväksyt- tävä käyttö, puhdas työpöytä (Clean Desk), digitaalisten allekirjoitusten hyväksymi- nen, katastrofista toipumisen suunnittelu, sähköposti, loppukäyttäjän salausavai- men suojaus, tietoturvaetiikka, pandemiaan reagoinnin suunnittelu, salasanan laa- timisen ohjeistus, salasanan suojaus, ja tietoturvavasteen suunnittelupolitiikka.

2.2.2.2 Verkkojen tietoturva

Verkkojen tietoturva sisältää seuraavat mallipolitiikat: hankinnan arviointi, Bluetoot- hin lähtökohta (baseline), vaatimuspolitiikka, etäkäyttö, etäkäytön työkalut, reititin- ten ja kytkinten tietoturva, langaton kommunikaatio ja langaton kommunikaatiostan- dardi.

2.2.2.3 Palvelinten tietoturva

Seuraavat mallipohjat kuuluvat palvelinten tietoturvaan: tietokannan käyttötietojen (credentials) ohjelmointi, tietojen lokistandardi, laboratoriotietoturva, palvelinten tie- toturva, ohjelmistoasennukset, teknisten laitteistojen hävittäminen ja työaseman tie- toturvapolitiikka.

2.2.2.4 Sovellusten tietoturva

Sovellusten tietoturva sisältää vain yhden politiikan eli web-sovellusten tietoturvan.

2.3 Cybersecurity Guideline – Case

2.3.1 Työn tausta

Laadimme KYBER-TEO-projektissa tuoteperhekohtaisen kyberturvallisuusohjeen yhdessä ABB Drivesin kanssa. Tämä edustaa parhaimmillaan yhteistyötä, jossa ke- hitettiin automaatiojärjestelmien suunnitteluun ja toteutukseen liittyvien tuotteiden käyttöönoton ja käytön kyberturvallisuuspolitiikkoja ja ohjeita. Samalla tuotettiin au- tomaatiota hyödyntäville tuotantoyrityksille konkreettisia käyttötapausesimerkkejä, jotka nekin asetettiin julkisesti saataville.

ABB:n kansainvälisestä liiketoiminnasta johtuen seuraavaksi lyhyesti esitelty tekni- nen ohje (guideline) on kirjoitettu englanninkielisenä.

2.3.2 Cybersecurity for ABB Drives

As a best practice, we present here some selected portions from the Cybersecurity guideline developed for ABB Drives [ABBDRIVES-CYBER].

2.3.2.1 Generic risk reduction methods and cybersecurity policies

There is no single solution to managing the cybersecurity risk in an industrial control system, nor is there a completely secure system. Hence, like many other instances, ABB recommends “defense in depth,” which means the coordinated use of multiple security countermeasures and addressing people, technology, and operations in several layers.

In the defense-in-depth architecture, the control system LAN (local area network) is clearly separated from other corporate networks with firewalls, and there are sepa- rate demilitarized zone (DMZ) areas for each function, such as for historian, security and authentication.