Toimitusketjujen haavoittuvuudet tekevät niistä houkuttelevia kohteita hyökkäyksille
Alkuperäinen artikkeli: Morand Fachot, e-tech Issue 4/2018
Käännös: Jukka Alve
Koska jopa 80 % kybermurroista voi olla peräisin toimitusketjusta, niiden suojaaminen on ehdottoman tärkeää kaikille organisaatioille. Suurin riski kohdistuu teollisuuden ja kriittisen infrastruktuurin laitoksiin. IEC on laatinut monia standardeja niitä varten. IEC työskentelee myös vaatimustenmukaisuuden arvioinnin ja maailmanlaajuisen sertifioinnin parissa vaatimustenmukaisuuden arviointilautakunnan (CAB, Conformity Assessment Board) perustamien työryhmien ja IECEE:n (IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components) sertifioinninhallintakomitean (CMC, Certification Management Committee) kautta. Kumpainenkin auttaa suojaamaan toimitusketjuja paremmin.
Kriittinen infrastruktuuri on kaikkein tärkein
Kyberhyökkäysten kokonaisvaikutus ja vakavuus riippuvat kohteista. Kyberhyökkäyksillä yrityksiin ja teollisuuteen voi olla katastrofaalisia vaikutuksia niiden kohteeksi joutuneissa yrityksissä ja toisinaan koko yhteiskunnassa. Ne voivat lopulta pakottaa joitakin yrityksiä tai teollisuudenaloja lopettamaan toimintansa. Kaikkein vakavimmat koko maata koskevat kyberuhat kohdistuvat kriittiseen infrastruktuuriin, johon kuuluu yhteiskunnan ja talouden toiminnan kannalta välttämättömiä laitoksia ja järjestelmiä. Niihin kuuluvat sektorit ovat olennaisesti samanlaisia monissa maissa. Niistä minkä tahansa vahingoittumisella voi olla laajoja ja vakavia häiriövaikutuksia koko yhteiskuntaan.
Toimitusketju on joustava, mutta paljon erilaisia asioita sisältävä käsite
Standardissa ISO/IEC 27036-1:2014, IT Security techniques — Information security for supplier relationships — Part 1: Overview and concepts esitetään kattava määritelmä tietotekniikan ja tietoliikennetekniikan toimitusketjulle. Se koostuu joukosta organisaatioita, joilla on toisiinsa liittyviä resursseja ja prosesseja, kunkin organisaation toimiessa joko ostajana tai toimittajana tai molempina muodostaen peräkkäisiä toimitussuhteita tilauksen, sopimuksen tai muun muodollisen hankintasopimuksen perusteella.
Toimitusketjun määritelmä teollisuuslaitosten ja muiden fyysisten laitosten, kuten sähköverkkojen, kuljetusjärjestelmien, älykkään valmistusteollisuuden yms. tapauksessa olisi vielä laajempi ja monimutkaisempi. Siihen kuuluisi tietotekniikan ja tietoliikennetekniikan lisäksi operatiivisen tekniikan toimitusketju, johon sisältyy henkilöstö (kehittäjät, toimittajat, myyjät, asentajat ja operatiivisen teknologian parissa työskentelevät työntekijät), prosessit ja tuotteet. Näitä ovat operatiivisen teknologian kannalta keskeiset komponentit ja järjestelmät, kuten teollisuusautomaatio- ja ohjausjärjestelmät sekä kasvavassa määrin esineiden internetin (IoT) rakenneosat. Kaikkien teollisuudenalojen digitalisointi tarkoittaa haavoittuvampia teollisuuden toimitusketjuja.
Vaikka sektorit ja toiminnot ovat erilaisia, haasteet ovat samanlaisia
Financial Times -lehden hiljattain Lontoossa järjestämässä konferenssissa Managing Cyber Risk in Critical Infrastructure, johon IEC:n e-tech-media osallistui, pidettiin paneelikeskustelu kriittisen toimitusketjun tietoturvallisuuden varmistamisesta. Panelisteihin kuuluivat tietoturvallisuusjohtajat (Chief Information Security Officer, CISO) ja tietohallintojohtajat (Chief Information Officer, CIO) ilmailu- ja energiasektoreilta. He kertoivat, miten hallitsevat toimitusketjujaan ja toimittajiaan. He kertoivat yksityiskohtia kohtaamistaan haasteista ja niiden ratkaisuista muistuttaen, että myös turvallisuus on heille merkittävä huolenaihe. Airbusin kyberturvallisuusarkkitehtuurin johtaja tohtori Kevin Jones kertoi, että Airbusilla on kolme päätoimialaa: kaupallisten lentokoneiden, helikopterien ja puolustuskaluston valmistus.
“Tästä syystä Airbusilla on hyvin laaja toimittajakunta, samalla kun se monen muun valmistajan tavoin on läpikäymässä valtavaa muutosohjelmaa”, hän sanoi.
Toimitusketjun turvaamiseksi Airbus otti käyttöön joukon toimenpiteitä, joihin kuuluvat turvallinen etäyhteys toimittajille ja tietyntasoinen pääsyoikeuksien erottelu, Airbusin ja toimittajien tuotantolaitosten täydellinen auditointi ja haavoittuvuuksien tunnistaminen. Toimittajien on katselmoitava prosessinsa sen varmistamiseksi, että ne täyttävät Airbusin vaatimukset.
Mitä ohjelmistokehityksen turvallisuuskriittisiin ympäristöihin tulee, Airbusilla on sisäisiä työryhmiä, joissa on ohjelmakoodin takaisinmallinnuksen ja luotettavuuden arvioinnin asiantuntijoita. ”Paljon rahaa, aikaa ja työtä investoidaan sen varmistamiseen, että kaiken meillä olevan koodituksen oikeellisuus on hyvin tarkistettu. Kuten millä tahansa suurella organisaatiolla, toimitusketjumme ovat hyvin monimutkaisia ja laajoja, ja niiden käsittelytavat rippuvat suuresti siitä, minkälaisia riskejä tietty toimitusketju muodostaa liiketoiminnallemme”, Jones sanoi.
Tietoturvallisuusjohtaja Peter Merker Skyguidesta, joka toimittaa lentosuunnistuspalveluita Sveitsille ja tietyille naapurimaiden lähialueille, kertoi, että koko lennonjohtosektori oli läpikäymässä valtavaa digitalisaation aikaansaamaa teknologiamuutosta. Tämä digitaalinen muutos tarkoittaa siirtymistä pois monoliittisestä, eliniältään 20-vuotiaasta laitteistokannasta tietotekniikkaympäristöstä tuleviin järjestelmiin ja valmisohjelmistojen käyttöön aina kun se on mahdollista kustannusten ja joustavuuden kannalta. Koko lentosuunnistuksen ohjausjärjestelmää hallinnoidaan keskitetysti, ja se on kasvavassa määrin integroitu yli koko mantereen Eurocontrolin alueella. Tämä tarkoittaa sitä, että tapahtumassa oleva digitaalinen muutos ja lennonjohtosektorin tapa käyttää toimittajia ovat samanlaisia kaikkialla.
“Skyguide ostaa ohjelmistoja suoraan, joten me tarkastelemme sopimusteknisiä näkökohtia lähdekoodin katselmuksissa. Se on uutta meille, koska ennen kehitimme koodin itse.” Skyguide omistaa SkySoftin, lennonjohtojärjestelmiin erikoistuneen ohjelmistokehitysyhtiön. ”Hallinnoimme sitä, mitä itse kehitämme yhdessä valmiina ostamiemme ohjelmien kanssa”, Merker sanoi.
Brittiläis-monikansallisen energia- ja palveluyrityksen Centrican tietoturvallisuusjohtaja Dexter Casey kertoi, että Centricalla on kaksi päädivisioonaa. Näistä ensimmäisellä, energia-alan British Gasilla (kaasu ja sähkö), on hyvin suuria laitteistoja, kaasualustoja ja -asemia, ja siten samanlaisia kyberturvallisuushaasteita kuin muilla tilaisuuden esiintyjillä. Hän lisäsi, että Centrican IoT-yritys Connected Home, kohtaa myös samanlaisia ongelmia, kun mikropiirit ja piirisarjat tulevat yhdestä paikasta. On hyvin vaikeaa vaatia toimittajia muuttamaan konfiguraatiota tai tekemään komponenteista yksilöllisiä”, Casey sanoi. Hän lisäsi, että Centricalla on yli 30 000 toimittajaa, ja noin 15 henkilön työryhmä käy läpi sopimuksia ja suorittaa tietoturvallisuuden arviointeja. ”Centrican on keskitettävä ponnistelut niihin 100 – 200 toimittajaan, joilla on kriittinen vaikutus palveluiden toimittamiseen”, hän selitti.
Moni puhujista mainitsi “juomapaikkahyökkäysten” aiheuttamat riskit. Niissä haittaohjelmia sijoitetaan tietyille toimittajien verkkosivuille, joilla kohteena olevat organisaatiot todennäköisesti vierailevat. Ohjelmistojen toimitusketjut ovat houkutteleva kohde hyökkääjille. Yhdysvaltojen kansallisen vastavakoilu- ja turvallisuuskeskuksen US National Counterintelligence and Security Center, NCSC, raportti vuoden 2018 heinäkuulta varoittaa, että ohjelmistojen toimitusketjuun soluttautuminen vaarantaa jo nyt kriittisen infrastruktuurin sektorin, ja se on uhkaamassa muitakin sektoreita.
Kaikki panelistit olivat samaa mieltä siitä, että heillä oli samankaltaisia haasteita infrastruktuurien ja prosessien perustuessa yhä enemmän tietotekniikkaan ja operatiiviseen tekniikkaan, mikä tekee toimitusketjujen hallinnasta monimutkaisempaa kuin ennen digitalisoinnin leviämistä, jolloin kyberuhkista ei ollut vaaraa.
Vaatimustenmukaisuuden arviointi- ja sertifiointityöllä on kasvava merkitys kyberturvallisuudelle
IEC:n hyvin laajamittainen työ kyberturvallisuuden alalla sisältää standardeja, teknisiä vaatimuksia ja spesifikaatioita sekä kasvavassa määrin vaatimustenmukaisuuden arviointia ja sertifiointia.
Tietoteknisten palveluiden hallintaa käsittelevä ISO/IEC 27000 -standardiperhe ja teollisuuden verkkojen ja teollisuusautomaatio- ja ohjausjärjestelmien horisontaalinen IEC 62443 -julkaisusarja ovat käyttökelpoisia monella toimialalla. Niiden lisäksi joukko IEC:n teknisiä komiteoita (TC) ja alakomiteoita (SC) on laatinut tietyille sektoreille juuri niille tarkoitettuja standardeja, teknisiä spesifikaatioita ja vaatimuksia.
IEC:n vaatimustenmukaisuuden arviointilautakunta, CAB, perusti työryhmän WG 17 Cyber security. WG 17:n tehtäviin kuuluu markkinoiden vaatimustenmukaisuuden arviointipalveluita koskevien tarpeiden ja niiden ajoituksen tutkiminen tuotteiden, palveluiden, henkilöstön ja integroitujen järjestelmien maailmanlaajuista sertifiointia varten kyberturvallisuuden alueella. Niiden ulkopuolelle jäävät kuitenkin teollisuusautomaatiosovellukset, jotka kuuluvat työryhmän IECEE CMC WG 31 Cyber security toimialueelle. CAB WG 17 tiedottaa myös muille teollisuuden sektoreille IECEE CMC WG 31:n valitsemasta lähestymistavasta kyberturvallisuuteen ja sen soveltamisesta kyseisiin muihin sektoreihin.
IECEE CMC WG 31:n pääasiallinen tehtävä on ”ainutlaatuisen lähestymistavan luominen IEC 62443 -sarjan vaatimustenmukaisuuden arviointiin”. Tämän vuoksi se laati kesäkuussa 2018 julkaistun operatiivisen ohjedokumentin OD-2061 kuvaamaan, miten vaatimustenmukaisuuden arviointia voidaan käsitellä ja soveltaa tiettyihin standardeihin IEC 62443 -sarjassa.
Lisäksi kyseinen operatiivinen ohjedokumentti selostaa, millä ehdoilla teollisuuden kyberturvallisuuden IECEE-vaatimustenmukaisuussertifikaatteja voidaan toimittaa. Ne ovat voimassa vain, jos hyväksytyn sertifiointielimen testauslaboratorio on ne allekirjoittanut ja lisännyt kansallisen sertifiointielimen (NCB) myöntämään sertifikaattiin. Sertifikaatit on määritelty tällä hetkellä seuraavia arviointeja varten: tuotteen kyvykkyys, prosessin kyvykkyys, tuotteen kyvykkyyden soveltaminen, prosessin kyvykkyyden soveltaminen ja ratkaisun kyvykkyyden soveltaminen, joista kukin koskee yhtä tai useampaa IEC 62443 -sarjan standardia.
Yhdessä IEC:n kyberturvallisuuteen liittyvien standardien kanssa vaatimustenmukaisuuden arviointijärjestelmien pitäisi varmistaa, että teollisuuden tietoliikenneverkkoihin ja teollisuusautomaatio- ja ohjausjärjestelmiin perustuvat järjestelmät, mukaan lukien toimitusketjut, ovat paremmin suojattuja kyberuhkia vastaan.
Kuvakokoelma
