Tärkeä opas teollisuuden IoT-tietoturvaan

-

Tietoturvahyökkäysten määrä teollisuusjärjestelmiä vastaan on kasvanut viime vuosina ja niillä alkaa olla jo vakavia vaikutuksia. Suomessa Viestintävirasto on tehnyt hyvää työtä selvittääkseen verkon avoimia IoT-laitteita. Nyt teollisuusinternetin yhteisö on päivittänyt oppaansa teollisuusinternetin (IIoT) tietoturvasta, jonka jokaisen alalla olevan kannattaa lukea.

Industrial Internet Consortium (IIC) -yhteisön uusin opas tarkentaa vuonna 2016 julkaistua IIC Industrial Internet Security Frameworkin (IISF) tietoturvamallimallidokumenttia IoT-päätelaitteiden osalta.

Laitteiden valmistajat, teollisuusyritykset ja integraattorit voivat käyttää Endpoint Security Best Practices -asiakirjaa ymmärtämään, miten vastatoimia tai valvontatoimenpiteitä voidaan soveltaa tietyn tietoturvatason saavuttamiseksi (perus, tehostettu tai kriittinen).

Kirjan on tarkoitus auttaa parantamaan teollisuusinternetin tietoturvaa auttamalla riskimallinnusta ja uhka-analyysia. Lisäksi Endpoint Security Best Practices tarjoaa erityisiä suosituksia eri tietoturvatasoille.

Viestintäviraston vuosittainen  ilmestyv ”Suojaamattomia automaatiolaitteita suomalaisissa verkoissa” – raportti on tulossa vielä ennen kesää.

”Kuvaamalla parhaita käytäntöjä teollisen turvallisuuden toteuttamiseksi, jotka ovat sopivia sovitulle turvallisuustasolle, voimme antaa teollisille ekosysteemille osallistujille mahdollisuuden määritellä ja pyytää tarvitsemaansa turvallisuutta”, sanoo Dean Weber, IIC: n valkoisen kirjan tekijä ja CTO, Mocana.

Vaikka valkoisessa kirjassa pyritään ensisijaisesti parantamaan uusien päätepisteiden turvallisuutta, käsitteitä voidaan käyttää vanhojen päätepisteiden kanssa käyttämällä yhdyskäytäviä, verkon turvallisuutta ja tietoturvan seurantaa.

Lyhyen ja ytimekkään 13-sivuinen dokumenti kokoaa keskeisiä tietoja päätepisteen laitteiden turvallisuudesta teollisuusohjauksesta ja vaatimustenmukaisuuskehyksistä, kuten IEC 62443, NIST SP 800-53 ja IIC IISF.

Viestintäviraston ja IIC:n tietoturvadokumentin lisäksi IoT-laitteiden suunnittelijoiden kannattaa tutustua brittihallituksen julkaisemaan Secure by Design tietosuojaselostuksen (Kuvassa oikealla).

Secure by Design -esityksessä pyydetään esineiden internet-laitevalmistajia poistamaan oletussalasanoja, lisäämään avoimuutta haavoittuvuuksien paljastamisessa ja tallettamaan käyttäjätunnukset turvallisesti.

Brittihallituksen mietinnössä kehotetaan siirtämään verkkoturvallisuusvastuu IoT-laitevalmistajille loppukäyttäjien sijaan ja suojelemaan kuluttajien yksityisyyden suojaa.

LISÄÄ: Endpoint Security Best Practices, IIC (linkki, PDF),   Industrial Internet of Things Volume G4: Security Framework, IIC (LINKKI, pdf), Secure by Design: Improving the cyber  security of consumer Internet of Things Report, UK (LINKKI, pdf) ja Viestintäviraston IoT-skannausraportti 2017 ja uutinen Uusiteknologia.fi:ssä  (LINKKI, pdf)

Kuvituskuva: Checkpoint