...
Nykyaikaista teollista verkkoa rakennettaessa tietoturvan tulee olla keskeinen lähtökohta jo suunnittelun alusta asti sillä jo itse verkon rakenne saattaa osaltaan altistaa tietoturvariskeille. Esimerkkejä , esimerkkejä verkkoratkaisuista löytyy sivulta Palomuurit osana automaation tietoturvaa.
Perinteinen ongelma on juuri edellämainitut puutteet suunnittelussa; mikäli tietoverkkoa ei alunalkaenkaan ole rakennettu huomioiden tietoturvaa kuten monissa vanhoissa verkoissa on, niiden linkittäminen turvallisesti moderniin verkkoon saattaa olla erittäinkin ongelmallista ja saattaa vaatia hyvinkin dramaattisia ratkaisuja kuten datapakettien seurannan jne. Toisaalta edellämainittu pakettien monitorointi taas edesauttaa saatavuutta koska sen avulla voidaan suodattaa vahinkoa aiheuttavaa liikennettäö ja reagoida ajoissa mahdolliseen tietoturva-uhkaan.
Viimeisimpänä haasteena tietoturvan kannalta ovat teollisen intenetin laitteiden usein erittäin pitkä elinkaari; nykyajan teollisen internetin sovelluksissa löytyy lähes järjestään tuki moderneille tietoturvaratkaisuille mutta em. vanhojen verkkojen laitteissa sellaiset perusasiat kuten käyttäjän autentikointi, auktorisointi, liikenteen loggaus ja mahdollisten muutosten hallinta voivat olla hyvinkin puutteellisia tai puuttua kokonaan. Tästä hyvänä esimerkkinä yleisesti käytetty Modbus ja Modbus/TCP jossa itse laitteille ei ole käytännössä lainkaan tietoturvaa tarjolla protokollatasolla. Tietoturvan kannalta onkin lähes katastrofaalista mikäli suunnitteluvaiheessa päädyttäisiin avaamaan Modbus portit suoraan julkiseen verkkoon; tästä seuraisi todella potentiaalinen tietoturvariski minkä realisoitumisesta on valitettavasti olemassa esimerkkejä.
Teollisen Internetin tietoturvaratkaisut
Hyvänä pohjana teollisen internetin tietoturvaratkaisuihin ja niiden suunnitteluun käyvät seuraavat kaksi dokumenttia:
- Yhdysvaltain kauppaministeriön laatima dokumentti Guide to Industrial Control Systems (ICS) security
- ANSI/ISA-62443-3-3: Security for Industrial Automation and Control Systems
Dokumenteista ensimmäisessä kuvataan kattavasti eri perinteisen tietoverkon ratkaisujen sovelutuvuus ja soveltumattomuus teolliseen internetiin sekä mahdollisuudet muokata niitä teolliseen internetiin soveltuviksi. Toinen dokumenteista on edelleen osin keskeneräinen mutta kattaa suuren joukon eri tietoturvaan liittyviä seikkoja, dokumentissa mm. käsitellään verkon segmentoinnin merkitystä osana tietoturvaa sekä palomuurien merkitystä suojatun sisäverkon ja julkisen verkon erottelussa.
Tietoturvaa suunniteltaessa on kaksi perus lähestymistapaa; kokonaan uuden järjestelmän suunnittelu ja toisaalta tietoturvan sovittaminen olemassaolevaan järjestelmään. Uuden järjestelmän rakentaminen on luonnollisesti huomattavasti helpompaa kuin vanhan muokkaaminen mutta usein vanhan päivittäminen on ainoa kustannustehokas ratkaisu.
Keskeisenä ongelmana vanhan verkon päivittämisessä on varmistaa että data kulkee esteettä koska pienetkin viiveet voivat olla kohtalokkaita. Laitetasolla tällaisessa verkossa taas tulee tarkastella jokaista laitetta yksilönä miettien, miten tietoturvan soveltaminen siihen onnistuu.