Eristys on OT-verkon paras suojaus

Jos tehtaan tuotantoverkkoon murtaudutaan, voi edessä olla vaikka minkälaisia katastrofeja: tuotanto pysähtyy, tulee rahallisia tappioita, jopa työntekijöiden henki voi vaarantua. Paras tapa suojata OT-verkot onkin eristää ne, sanoi SensorFun asiakasrajapinnan asiantuntija Lauri Jämsä tänään Disobey-tapahtumaa edeltäneessä Prevent24:ssa.

Jämsän mukaan eristys on tärkeää teollisuuden OT-verkoissa, koska järjestelmät ovat herkkiä, niissä on usein jopa vuosikymmeniä vanhoja laitteita, eksoottisia protokollia, vikasietoisuusjärjestelmiä ja muita, joita ei voi aina edes päivittää.

- Päivitysten asennukset vaativat seisokin, joihin ei yleensä ole mahdollisuuksia. Se on kallista, aikaa on vähän, tulee inhimillisiä virheitä ja testaaminen jää puolitiehen. Yleensä OT-verkko on jo hyvin speksattu, mutta tarkistus jää usein tekemättä.

Vuonna 0217 Oulussa perustetun SensorFun ratkaisu ongelmiin on Beacon. ”Majakka” on sovellus, virtuaalinen laite tai ihan oikeaa rautaa. Se sijoitetaan eristettyyn verkkoon tutkimaan, vuotaako verkko jostakin. Ratkaisu tutkiii automaattisesti verkkoa, yrittää soittaa Home-palvelimele ja hälyttää tarvittaessa vuodoista.

Jämsän mukaan hälytysten perusteella vuodot on yleensä helppo tutkia. Iso osa manuaalisesti työstä muuttuu automaattiseksi. Beacon tutkii esimerkiksi kaikki TCP- ja UDP-portit niin IPv4- kuin IPv6-liikenteen osalta. Se lähettää kyselyjä useisiin laitteisiin kerralla. Tämä DNS-tunneloinnin broadcast-testaus tuli Beaconiin mukaan versiossa 4.1 ja osoittautui Jämsän mukaan nopeasti hyväksi tekniikaksi testata verkkoja.

- Yhdellä asiakkaalle Beacon oli ollut verkossa vuoden, mutta 4.1-päivityksen jälkeen löytyi DNS-vuoto DMZ-verkkoon (josta ei pitäisi olla pääsyä nettiin). Hyvillä työkaluilla voi löytää verkosta laitteita, joilla on sellaisia vapauksia, joita niillä ei pitäisi olla, Jämsä kiteyttää.

DNS-lähetys hyödyntää TCP/IP-pinon heikkouksia, jossa OSI-mallin eri kerrokset eivät juttele kuin ylös tai alas.

Jämsän mukaan OT-verkon eristys on yksi niiden niiden kybersuojauksen kulmakivistä. Aiemmin verkot olivat hyvin yksinkertaisia, käytännössä yhtä ja samaa verkkoa. Nykyään tehdään segmentoituneita verkkoja jo tietoturvasyistä: esimerkiksi yhden paperikoneen verkko eristetään muista.