Cyber Security Auditointi Automaatiolle

Useissa yrityksissä IT:n peruspalvelut (kuten työasemien käyttöjärjestelmät, sähköposti, toimisto- ja ryhmätyösovellukset) pohjautuvat standardiratkaisuihin ja pilvipalveluihin, joiden tietoturva on oikein rakennettuna varsin hyvä.

Siirryttäessä tuotantojärjestelmien puolelle tilanne ei tavallisesti ole näin hyvä. On ajateltu, että tuotantoverkko on suljettu ympäristö, joka on suojassa hyökkäyksiltä tai haittaohjelmilta. Tai luotettu, että tunnettujen automaatiotoimittajien järjestelmät ovat lähtökohtaisesti riittävästi suojattuja.

Valitettavasti tilanne on todellisuudessa hyvin erilainen, kuten esimerkiksi:

  • Tuotantoverkosta on lukuisia yhteyksiä esimerkiksi laitetoimittajille tai pilvipalveluihin
  • Toimistoverkon puoleta pääsee kiinni automaatiolaitteisiin tai osa automaatiolaitteista on sijoitettuna toimistoverkon puolelle ja toisin päin
  • Ei ole selkeää prosessia työasemien tietoturvapäivitysten asentamiselle
  • Varmuuskopioita ei ole saatavilla
  • Kaikkia verkossa olevia laitteita ei ole dokumentoituna, eikä niiden tietoturvan tasoa tiedetä

Tämän seurauksena olemme ottaneet tuotevalikoimaan syksyllä 2020 erityisesti valmistavan teollisuuden automaatioverkoille soveltuvan tietoturvan auditointiprosessin. Prosessi perustuu yli kymmenen tuotantolaitoksen tietoturvaprojektin läpivientiin ja on kehittynyt niistä saatujen kokemuksien perusteella.

Auditointi perustuu olemassa olevan dokumentaation katselmointiin, vastuullisten henkilöiden haastatteluihin ja automaatioverkon skannaukseen.

Auditointiprosessi

Aloituspalaveri

Aloituspalaverissa käydään läpi työssä tarvittavat henkilöt ja heidän vastuualueensa. Sovitaan yhteinen työskentelymalli auditoinnille, käydään läpi tarvittavat tiedot ja dokumentit, sekä varataan palaveriajat.

Automaatioverkon skannaus

Automaatioverkon skannauksessa verkolle tehdään tekninen ping-skannaus, jolla varmistutaan, että kaikki verkossa olevat laitteet ovat tiedossa ja dokumentoituina. On tärkeä, että verkosta ei löydy laitteita, joiden tietoturvasta ei ole huolehdittu. Verkon skannaus voidaan tehdä toimittajan toimesta paikan päällä tai vaihtoehtoisesti paikallisilla resursseilla toimittajan opastuksella.

Haastattelut

Haastattelut pohjautuvat noin 50 kohdan kysymyspatteriston läpikäymiseen ja niihin osallistuvat IT:n ja automaation edustaja(t) sekä mahdollisesti toimittajien edustajat. Kysymykset liittyvät verkon rakenteeseen, laitteiden nykyiseen suojaustasoon ja ylläpitoprosesseihin. Haastattelut voidaan suorittaa etänä.

Dokumentaation katselmointi

Dokumentaation katselmointi sisältää tyypillisesti

  • Verkon loogisen kuvan
  • Automaatiolaitteiden laitelistauksen
  • IT:n, automaation ja toimittajien välisen prosessikuvauksen
Raportointi ja toimenpidesuositukset

Loppupalaverissa käydään läpi auditoinnin tulokset ja toimenpidesuositukset.

Mitä auditointi tuottaa?

Auditointi tuottaa yrityksellenne:

  • Tiedon automaatiolaitteiden tietoturvan tasosta
  • Ehdotuksen tietoturvan parantamiseen liittyvistä jatkotoimenpiteistä
  • Päivitetyn laitelistauksen automaatioverkossa olevista laitteista
  • Analyysin automaatioverkon loogisesta rakenteesta ja tietoturvasta