Teollisen Internetin ja IoT:n tietoturvaan liittyvät paljolti samat tietoturvaseikat kuin perinteiseen IoT:n. Kuitenkin tarkasteltaessa teollisen internetin sovellutuksia, tulee huomioida näiden laitteiden erityisluonne eli mihin teollisen internetin sovelluksia käytännössä käytettään ja mitkä ovat niihin kohdistuvat uhat, esimerkiksi teollisuusvakoilu. Tämä on kookonaan uusi näkökulma teollisiin verkkoihin koska perinteisesti teolliset verkot toimivat kokonaan erillään ulkoisista verkoista; niillä monesti ei ollut edes IP-osoitteita mikä teki niistä varsin immuuneja perinteisen verkon tietoturva-uhille ja haasteille.
Teollisessa verkossa suojattavat asiat
Teollisessa verkossa suojaus koskee pitkälti samaa kuin perinteisessä IoT:ssäkin, tavoitteena on sekä itse verkon että laitteiden suojaus. Tietoturvaa suunnitellessa on ensisijaisen tärkeää ymmärtää käytettyjen protokollien luonne sekä niiden tarjoamat mahdollisuudet ja haasteet tietoturvan kannalta.
Perinteisesti ongelmana on ollut dokumentaation puutteet, monet teknologioista ovat olleet tiukasti kytköksissä tiettyyn laitevalmistajaan; tämä tilanne on muuttumassa, esimerkiksi Modbus:iin löytyy nykyään useita sovelluksia ja kattava julkinen dokumentaatio.
Laitetasolla taas tietoturva on pitkälti laitevalmistajien harteilla, useimmiten kyseessä on kenttälaitteet kuten PLC:t, DCS:t ja HMI:t. Suurin osa näistä laitteista käyttää jotakin yleisistä protokollista kuten Modbus, Fieldbus, Profinet jne joten itse laitteiden tietoturva liittyy osin myös protokollan tietoturvaan ja sen sovellukseen.
Teollisen internetin tietoturvariskit
Teollisessa internetissä tärkeintä on laitteiden saatavuus, esimerkiksi Stuxnet tyyppisessä hyökkäyksessä kyettiin hyökkäämään yksittäisten laitteiden kimppuun ja estämään niiden käyttö. Teollisten sovellusten suuri haaste ovat kompromissit tietoturvassa; esimerkiksi Stuxnet hyökkäyksen mahdollistivat selkeät puutteet tietoturvassa ja tietoliikenteen monitoroinnissa.
Nykyaikaista teollista verkkoa rakennettaessa tietoturvan tulee olla keskeinen lähtökohta jo suunnittelun alusta asti sillä jo itse verkon rakenne saattaa osaltaan altistaa tietoturvariskeille, esimerkkejä verkkoratkaisuista löytyy sivulta Palomuurit osana automaation tietoturvaa.
Perinteinen ongelma on juuri edellämainitut puutteet suunnittelussa; mikäli tietoverkkoa ei alunalkaenkaan ole rakennettu huomioiden tietoturvaa kuten monissa vanhoissa verkoissa on, niiden linkittäminen turvallisesti moderniin verkkoon saattaa olla erittäinkin ongelmallista ja saattaa vaatia hyvinkin dramaattisia ratkaisuja kuten datapakettien seurannan jne. Toisaalta edellämainittu pakettien monitorointi taas edesauttaa saatavuutta koska sen avulla voidaan suodattaa vahinkoa aiheuttavaa liikennettäö ja reagoida ajoissa mahdolliseen tietoturva-uhkaan.
Viimeisimpänä haasteena tietoturvan kannalta ovat teollisen intenetin laitteiden usein erittäin pitkä elinkaari; nykyajan teollisen internetin sovelluksissa löytyy lähes järjestään tuki moderneille tietoturvaratkaisuille mutta em. vanhojen verkkojen laitteissa sellaiset perusasiat kuten käyttäjän autentikointi, auktorisointi, liikenteen loggaus ja mahdollisten muutosten hallinta voivat olla hyvinkin puutteellisia tai puuttua kokonaan. Tästä hyvänä esimerkkinä yleisesti käytetty Modbus ja Modbus/TCP jossa itse laitteille ei ole käytännössä lainkaan tietoturvaa tarjolla protokollatasolla. Tietoturvan kannalta onkin lähes katastrofaalista mikäli suunnitteluvaiheessa päädyttäisiin avaamaan Modbus portit suoraan julkiseen verkkoon; tästä seuraisi todella potentiaalinen tietoturvariski minkä realisoitumisesta on valitettavasti olemassa esimerkkejä.
Teollisen Internetin tietoturvaratkaisut