Testattua tietoturvaa teollisiin järjestelmiin

Jos yleisesti ajatellaan teollisuuden laitteiden tietoturvaa, miltä tämän päivän uhat näyttävät?

Mikko: Internet ja IoT ovat muuttaneet tietoturvan tilanteen, ja esimerkiksi erilaisten väyläratkaisujen tietoturva on vakava haaste. Yleisesti esiintyy edelleen harhakuva, että teollisuuden järjestelmissä olevat laitteet toimisivat ainoastaan sisäverkossa, vailla yhteyksiä ulkomaailmaan. Se vain ei pidä paikkansa, koska laitteet liittyvät useimmiten isompiin kokonaisuuksiin ja niistä pitää saada informaatiota ulos. Monesti tässä ollaan liian sinisilmäisiä.

Miten näitä uhkia voi hallita?

Mikko: Olennaista on viedä tietoturva suunnittelijan pöydälle ja ottaa siten tietoturva mukaan suunnittelun alusta alkaen. Tämä on uuden yksikkömme kantava idea. Etteplan voi tarjota vastaavan myös palveluna, jos asiakas tekee itse tuotesuunnittelun. Silloin meiltä tulee tietoturvasuunnittelija asiakkaan tiloihin mukaan koko projektin elinkaaren ajaksi pitämään huolta, että tietoturva on huomioitu aukottomasti.

Elektroniikan ja ohjelmistojen suunnittelussa on käytössä termi Design for Testability (DFT), mutta kyberturvallista ohjelmistoa suunniteltaessa puhutaan termistä Secure by Design.

Miten Etteplan testaa tietoturvaa?

Mikko: Tietoturvatestaus koostuu sekä automatisoiduista että manuaalisista testeistä, jotka saavat lähtötietonsa esimerkiksi projektin alussa pidettävästä uhkamallinnus-workshopista. Siitä kertyy tuotteen backlogiin vihamielisiä käyttäjätarinoita.

Lähtökohtaisesti projektiemme testaussuunnitelmaan sisältyy aina tietoturvatestaus, mutta toisinaan asiakkaat kyseenalaistavat kustannuspaineessa sen tarpeellisuuden. Silloin asiasta tietenkin keskustellaan.

Mitä tarkoittaa vihamielinen käyttäjätarina?

Mikko: Tunnistamme projektin tekijöiden kanssa pahimmat uhat, joista tiimi luo niin sanottuja malicious user storyja, eli pahantahtoisia käyttäjätarinoita. Käytännössä tiimi pyrkii siis luomaan skenaarioita, joissa ajatellaan kuin mahdolliset hyökkääjät. Tätä voidaan verrata esimerkiksi negatiiviseen testaamiseen, jossa käyttäjä antaa syötteeseen vääränlaista tietoa ja tarkkailee sitä, miten järjestelmä toipuu.

Teemme näitä tarinoita vasten testaussuunnitelmia ja ryhdymme ratkaisemaan, miten hyökkäysten onnistuminen voitaisiin torjua. Näin uhat tulevat huomioitua softan koko elinkaaren ajan.

Olemme järjestäneet useille asiakkaille uhkamallinnuksen työpajoja, joissa olemme opettaneet, miten DevSecOps-ajattelu otetaan osaksi projektia koko sen elinkaaren ajaksi.

Mitä tarkoittaa testausautomaatio?

Mikko: Lyhyesti sanoen sitä, että testattavaa ohjelmistoa varten tehdään erillinen ohjelma, joka yhdistettynä jatkuvan integroinnin työkaluihin suorittaa testitapaukset ilman ihmistä.

Mitä etua on testauksen automatisoinnista?

Mikko: Testauksen automatisoinnista on useita hyötyjä, kunhan sitä käytetään oikein. Automatisointi takaa ensinnäkin täsmällisen jäljitettävyyden, sillä kaikista koneen tekemistä toiminnoista jää jälki. Toiseksi se takaa toistettavuuden, koska kone tekee asian aina samalla tavalla, kun taas ihmisen työssä on aina inhimillistä vaihtelua. Lisäksi se on tehokkaampaa, sillä testejä ja niiden osia voidaan käyttää uudelleen eri toiminnallisuuksien testaamisessa.

Testausautomaatiojärjestelmillä saadaan lisättyä ohjelmiston kypsyysasteen läpinäkyvyyttä. Testauksen metriikoita on helppo visualisoida. Koko ajan pystytään seuraamaan, paljonko testattavassa ohjelmistossa on vikoja, ja muuttuko jokin asia, kun ohjelmistoa päivitetään.

Testausautomaatiojärjestelmä on aina pitkän aikavälin panostus, sillä rahallista ja ajallista säästöä syntyy sitä enemmän mitä useampi versio ohjelmistosta testataan. Näin ollen myös itse testausautomaatiojärjestelmää pitää huoltaa ja kehittää. Kun ominaisuudet muuttuvat, täytyy pitää myös huolta, että testaus koskee edelleen oikeita asioita ja löytää mahdollisia vikoja.

Voitko kertoa esimerkin, miten Etteplan on automatisoinut nimenomaan teollisuuden tietoturvan testausta?

Mikko: Olemme esimerkiksi kehittäneet oman tuotteen teollisuuden väyläratkaisujen tietoturvan testaamiseksi, eikä vastaavaa tuotetta ole entuudestaan ollut olemassa. Tämä on merkittävää, koska teollisuuden uusissakin järjestelmissä käytetään vanhoja väyliä, kuten CAN, Profibus ja RS232.

Siihen aikaan, kun ne on luotu, ei ole ollut mitään ajatustakaan, että niitä pitäisi jotenkin suojata. Väylissä on joukko tunnettuja haavoittuvuuksia, jotka testituotteemme sisältää, eli se tarkistaa, onko niitä mahdollista käyttää hyväksi myös testattavassa ratkaisussa.

Mitä havainnollisia esimerkkejä tuoreen yksikön hankkeista voit kertoa?

Mikko: Olemme esimerkiksi järjestäneet asiakkaille hackathon-tapahtuman, tehneet tietoturvasirujen evaluaatiota ja penetraatiotestausta.

Monille asiakkaille iso asia on oman IPR:n suojaaminen heidän sulautetun tuotteensa softassa. Heille teemme niin sanottua reverse engineeriä, eli yritämme kaivaa tuotteen lähdekoodia tai avata jotakin, minkä pitäisi olla lisenssin takana. Jos onnistumme, katsomme, miten koodia voi muuttaa tai saada ulos tai asentaa takaisin laitteeseen muutettuna. Selvityksemme perusteella ehdotamme muutoksia, jolloin IPR:ää ei enää voi kaivaa ulos. Lisäksi teemme esimerkiksi gap-analyysejä suhteessa tulevaan tietoturvan standardiin tai regulaatioon ja selvitämme, mitä vajeita on nykytilassa ja miten ne voidaan korjata.

Mitä heikkouksia yleisesti paljastuu?

Mikko: Usein sulautetuissa järjestelmissä asiakas luulee, että salasanasuojaus riittää. Jos arkkitehtuuri kuitenkin on tehty huonosti ja salasanasuojaus saadaan murrettua, hyökkääjälle on tämän jälkeen kaikki mahdollista. Murrettu laite voidaan valjastaa bottiverkkoon tai hyökkäysvektoriksi isompaan järjestelmään.

Arkkitehtuuriltaan hyvin suunnitellussa järjestelmässä salasanasuojaus on vain yksi osa monitasoista suojausta, jonka purkamiseen hyökkääjä joutuu käyttämään paljon aikaa ja vaivaa. Meillä on esimerkiksi järjestelmien koventamisen asiantuntemusta ja voimme opastaa, miten koventaminen tehdään.

Mitkä ovat tietoturvallisen suunnittelun keskeiset periaatteet?

Mikko: Hyvä periaate on klassinen CIA-kolmikko eli confidentiality, integrity ja availability. Järjestelmän täytyy säilyttää informaation luottamuksellisuus, eheys ja saatavuus. Tästä puhutaan paljon, ja se on teollisuudessakin noudatettu keep it simple -malli.

Saatavuus on tärkeä muistaa, koska järjestelmä on aina olemassa käyttäjiä varten. Jos käytöstä on tehty hankalaa ja tiedon saatavuus on huono, henkilö todennäköisesti oikoo prosesseissa, mikä tuhoaa koko ratkaisun turvallisuuden.

Millä tavalla yritykset ja ihmiset saisi havahtumaan, että teollisuuden ympäristöissä tietoturva on tärkeää?

Mikko: Perinteinen pelottelu ja peikkojen maalailu ei ole ainakaan järkevää. Pitää ymmärtää oikeat bisneskriittiset uhat ja alkaa taklaamaan niitä. Itse mietimme aina projektikohtaisesti, mitkä ovat kyseisen asiakkaan kannalta isoimmat uhkakuvat. Jos yrittää tehdä järjestelmät täysin iskunkestäviksi, se maksaa aika paljon.

Etteplan kokosi ohjelmistotestaajat ja tietoturvan asiantuntijat kolmeen osaamiskeskukseensa Tampereelle, Hyvinkäälle ja Espooseen. Tiimit palvelevat asiakkaita koko Suomessa. Henkilöstön määrällä mitattuna mukana on alussa noin 60 henkilöä. Uudenlaisessa palvelussa hyödynnetään Etteplanin pitkäaikaista kokemusta ja asiantuntemusta teollisuuden laitesuunnittelusta sekä sulautettujen ratkaisujen tietoturvasta ja testaamisesta.