...
Viimeisimpänä haasteena tietoturvan kannalta ovat teollisen intenetin laitteiden usein erittäin pitkä elinkaari; nykyajan teollisen internetin sovelluksissa löytyy lähes järjestään tuki moderneille tietoturvaratkaisuille mutta em. vanhojen verkkojen laitteissa sellaiset perusasiat kuten käyttäjän autentikointi, auktorisointi, liikenteen loggaus ja mahdollisten muutosten hallinta voivat olla hyvinkin puutteellisia tai puuttua kokonaan. Tästä hyvänä esimerkkinä yleisesti käytetty Modbus ja Modbus/TCP jossa itse laitteille ei ole käytännössä lainkaan tietoturvaa tarjolla protokollatasolla. Tietoturvan kannalta onkin lähes katastrofaalista mikäli suunnitteluvaiheessa päädyttäisiin avaamaan Modbus portit suoraan julkiseen verkkoon; tästä seuraisi todella potentiaalinen tietoturvariski minkä realisoitumisesta on valitettavasti olemassa esimerkkejä.
Teollisen Internetin tietoturvaratkaisut
Hyvänä pohjana teollisen internetin tietoturvaratkaisuihin ja niiden suunnitteluun käyvät seuraavat kaksi dokumenttia:
- Yhdysvaltain kauppaministeriön laatima dokumentti Guide to Industrial Control Systems (ICS) security
- ANSI/ISA-62443-3-3: Security for Industrial Automation and Control Systems
Dokumenteista ensimmäisessä kuvataan kattavasti eri perinteisen tietoverkon ratkaisujen sovelutuvuus ja soveltumattomuus teolliseen internetiin sekä mahdollisuudet muokata niitä teolliseen internetiin soveltuviksi. Toinen dokumenteista on edelleen osin keskeneräinen mutta kattaa suuren joukon eri tietoturvaan liittyviä seikkoja, dokumentissa mm. käsitellään verkon segmentoinnin merkitystä osana tietoturvaa sekä palomuurien merkitystä suojatun sisäverkon ja julkisen verkon erottelussa.
Tietoturvaa suunniteltaessa on kaksi perus lähestymistapaa; kokonaan uuden järjestelmän suunnittelu ja toisaalta tietoturvan sovittaminen olemassaolevaan järjestelmään. Uuden järjestelmän rakentaminen on luonnollisesti huomattavasti helpompaa kuin vanhan muokkaaminen mutta usein vanhan päivittäminen on ainoa kustannustehokas ratkaisu.
Keskeisenä ongelmana vanhan verkon päivittämisessä on varmistaa että data kulkee esteettä koska pienetkin viiveet voivat olla kohtalokkaita. Laitetasolla tällaisessa verkossa taas tulee tarkastella jokaista laitetta yksilönä miettien, miten tietoturvan soveltaminen siihen onnistuu.