Mikä on OT-verkko? Opas tuotantoverkkojen maailmaan!
OT verkko viittaa järjestelmiin, jotka ohjaavat ja valvovat tuotantoverkkojen toimintaa, kuten sähköyhtiöiden sähköntuotantoa ja jakelua. OT-verkko koostuu laitteista, ohjelmistoista ja verkosta, joka mahdollistaa kommunikoinnin eri laitteiden välillä. Tämä verkko on tärkeässä roolissa tuotantoprosessin seurannassa ja ohjauksessa, sekä auttaen varmistamaan mm. sähköverkon jatkuvan ja häiriöttömän toiminnan.
OT verkon toiminta
OT verkot ovat erityisesti suunniteltuja teollisuuden tarpeisiin, ja niillä hallitaan ja automatisoidaan fyysisiä prosesseja, kuten energian tuotantoa, tehtaiden toimintaa, vesihuoltoa, kuljetusjärjestelmiä ja muita kriittisiä infrastruktuureja. OT-verkon laitteet toimivat siis yleensä itsenäisesti ilman ihmiskäyttäjää.
OT verkot on suunniteltu korkeaan reaaliaikaiseen tiedonsiirtoon. Verkkoon liittyy yleensä järjestelmä, joka valvoo ja kerää tietoa, kuten SCADA (Supervisory Control and Data Acquisition) sekä verkossa olevat anturit, pumput ja katkaisijat, jotka tuottavat tietoa ja joita voi ohjata. Muita laitteita, jotka tuottavat tietoa OT verkkoon ovat esimerkiksi RTU:t (Remote Terminal Unit) sähköverkoissa, joita kutsutaan myös ala-asemiksi sekä PLC:t (Programmable Logic Controllers) eli ohjelmoitavat logiikat teollisuudessa.
Operational technology suomeksi – määritelmä
OT on lyhenne sanoista Operational Technology, ja se viittaa teollisuuden ja infrastruktuurin valvontaan ja ohjaukseen tarkoitettuun verkkojärjestelmään, johon itsenäisesti muutoksen tai tapahtuman havainnut laite lähettää tiedon. Yksi suuri ero verkkojen välillä on, että OT verkossa suurin osa laitteista toimii itsenäisesti ilman ihmiskontaktia, kun taas IT (Information Technology) verkossa suurinta osaa laitteita käyttävät päivittäin käyttäjät.
Internet technology IT
Lyhenne ”IT” tarkoittaa ”Information Technology” eli suomeksi tietotekniikkaa. Tietotekniikka kattaa laajan kirjon teknologioita ja prosesseja, jotka liittyvät tietojen tallentamiseen, käsittelyyn, siirtoon ja käyttöön tietokoneiden ja muiden digitaalisten laitteiden avulla. Se sisältää muun muassa tietokoneiden käytön, ohjelmistojen kehittämisen, tietokantahallinnan, verkkotekniikat ja paljon muuta.
”Internet technology” puolestaan viittaa niihin teknologioihin ja ratkaisuihin, jotka liittyvät internetiin ja sen käyttöön. Internet on maailmanlaajuinen tietoverkko, joka yhdistää miljardeja laitteita ja palveluita ympäri maailmaa. Internetin teknologiat kattavat esimerkiksi verkkosivustojen ja sovellusten kehittämisen, tietoliikenteen protokollat, verkkoturvallisuuden ja paljon muuta.
Miten IT ja OT eroavat toisistaan?
On tärkeää huomata, että OT ja IT eivät ole aivan sama asia, ja niiden turvallisuusvaatimukset ja haasteet voivat poiketa toisistaan. OT-verkot ovat erikoistuneita teollisuuden palvelualakohtaisia järjestelmiä, kun taas IT-verkot ovat yleisiä yritysverkkoja, jotka käsittelevät tietotekniikkaan liittyviä toimintoja.
OT verkossa pyritään myös erittäin korkeaan saatavuuteen (availability) verrratuna IT verkon keskitasoon. Tämä vaikuttaa myös käytettyihin palveluihin. OT verkoissa ei ole vielä yleisesti otettu käyttöön esimerkiksi IPS järjestelmiä (Intrusion Protection System) eli hyökkäyksenestojärjestelmiä. IPS järjestelmä saattaa erehtyä verkon tapahtumasta, tämä voi sitten aiheuttaa, jopa kriittisiä tuotannon keskeytyksiä.
OT verkon laitteet
Perinteisessä IT verkossa laitteiden elinikä on yleensä 3-6 vuotta. OT verkon laitteet on suuniteltu yleensä kestämään aikaa. Osa laitevalmistajista suunnittelee laitteensa, niin että niiden laskennallinen kestoikä on kymmeniä vuosia. Näin ollen usein OT laitteet ovat käytössä jopa yli 20 vuotta.
OT verkon laitteistot ovat usein myös hankalia päivittää tai niihin ei julkaista tavanomaisen syklin mukaisia päivityksiä. Osa valmistajista julkaisee kerran tai kaksi kertaa vuodessa järjestelmäpäivityksiä laitteistoihin, yleensä korjaamaan tietoturvahaavoittuvuuksia. Näin ollen laitteissa saattaa usein olla monia kriittisiä päivityksiä tekemättä, vaikka kyseessä olisi asiakkaan tuotantoympäristö.
OT verkon protokollat
OT verkon laitteet ovat tukeneet aiemmin ja osaksi vielä nykypäivänä ns. suljettuja protokollia. Nämä protokollat ovat tiettyjen yrityksien käyttämiä protokollia, joihin ei ole saatavavilla kuvausta miten ne toimivat. Näin ollen järjestelmien välinen integraatio voi muodostua ongelmaksi.
Nykyään Suomessa ovat yleistyneet IEC-protokollaperheen toteutukset sähköverkkojen hallinnassa ja valvonnassa. Näistä käytetään nykyään IEC 60870-5-101 sarjaliikenneprotokollaa ja IEC 60870-5-104 TCP/IP pohjaista tiedonsiirtoprotokollaa. Nämä protokollat ovat helpottaneet järjestelmien välistä integraatiota sekä tuoneet uusia toimijoita asiakkaiden hyväksi. Teollisuuspuolen protokollissa ovat edelleen käytössä muun muassa OPC, Modbus sekä Profibus.
Ota yhteyttä, niin laitetaan tuotantoverkon asiat kuntoon
Teollisuusjärjestelmien kyberturvallisuus on osa teollisen internetin tietoturvaa
OT tietoturva
OT tietoturva on äärimmäisen tärkeää, koska nämä verkot hallitsevat ja valvovat teollisuusprosesseja sekä kriittistä infrastruktuuria. OT tietoturvaan liittyvät haasteet ovat erilaisia verrattuna yrityksen perinteisiin tietotekniikan (IT) verkkoihin, koska OT verkot käyttävät usein erikoistuneita järjestelmiä, vanhempia laitteistoja ja yrityskohtaisia erikoisprotokollia.
Hyvin suojattu OT-verkko takaa tuotannon luotettavuuden ja estää haitallisten tekijöiden pääsyn järjestelmään läpi. OT-verkko ja sen tietoturva ovat välttämättömiä yhtiöiden toiminnan kannalta. Ne tukevat prosessien hallintaa ja lisäävät asiakkaiden ja sidosryhmien luottamusta.
Verkon eristäminen ja segmentointi
OT-verkon eristäminen IT-verkoista ja muista ulkopuolista verkoista auttaa rajoittamaan hyökkäysten leviämistä ja samalla tavalla pienentää riskiä, etteivät OT-järjestelmiin kohdistuvat hyökkäykset vaikuta koko organisaatioon tai edes koko OT-verkkoon.
Segmentoinnilla eli verkon jakamisella pienempiin osiin voidaan eriyttää eri laitetyypit ja palvelut omiin OT-verkkoihinsa tai rajoittaa riskejä eri yhteyksien välillä. Esimerkiksi asiakas halusi eriyttää verkot, koska verkkoihin liittyi ulkopuolinen yhtiö. Verkon segmentoinnilla saatiin ulkopuoliselle yhtiölle oma verkko olemassa olevaan kytkinverkkoon. Tällä nostettiin asiakkaan tietoturvallisuutta korkeammalle tasolle.
Siirrettävän tiedon salaus ja muuttumattomuus
Järjestelmän ulkopuolisten yhteyksien tietoturvanturvaaminen voidaan tehdä VPN-etäyhteyksillä, jotka takaavat tiedon muuttumattomuuden ja estävät salakuuntelun. VPN-yhteydet luovat tietoturvallisen yhteyden OT-verkon protokollille, joissa ei yleensä ole sisäänrakennettua tietoturvaa.
VPN-yhteyksiä on käytetty esimerkiksi ala-aseman ja SCADA järjestelmän välisiin yhteyksiin. Nykypäivänä käytetään myös langattomia yhteyksiä, joissa VPN-yhteyksien käyttö on erittäin suositeltavaa. Osa prosessiverkoissa käytetyistä laitteista tukevat suoraan SSL-pohjaista VPN-yhteyttä. Näin verkon tietoturvaa voidaan nostaa ilman uusia laitteita.
Päivittäminen ja haavoittuvuuksien hallinta
Kaikki OT-verkon laitteet ja järjestelmät tulisi pitää ajan tasalla päivitysten ja turvallisuuspäivitysten suhteen. Vanhojen, ei-tuettujen laitteiden käyttö voi lisätä tietoturvariskejä. Havoittuvuuksien ja turvallisuus luokan arviointi on kriittistä tuotantoverkkojen haltijoille.
Haavoittuvuuksien seuranta voidaan toteuttaa helposti Traficom palvelun avulla. Tällöin pävittäinen kooste kertoo eri valmistajien haavoittuvuuden ja hyväksikäyttöuhkat. Tämän lisäksi laitteet ja ohjelmistot on syytä päivittää. Yleensä kiirellisyys määrittyy sillä, kuinka kriittisestä uhasta on kyse. Osa havoittuvuuksista julkaistaan hyväksikäyttömenetelmän kanssa, joilloin päivityksillä on korkeampi kiireellisyysluokka.
Käyttäjien tunnistaminen ja pääsynhallinta
OT-verkon käyttäjille tulisi olla selkeät tunnistautumismenettelyt ja käyttöoikeuksien hallinta. Vain tarpeellisilla käyttäjillä tulisi olla mahdollista pääsy arkaluontoisiin järjestelmiin ja toimintoihin.
OT-verkkojen käyttäjillä tulisi olla henkilökohtaiset tunnukset. Henkilökohtaiset tunnukset mahdollistavat tarkan seurannan yrityksen muutoksista sekä auditoinnin jälkikäteen. Laitteiden ja palveluiden pääkäyttäjätunnnuset tai yleiskäytössä olevat tunnukset olisi hyvä ottaa pois käytöstä. Tunnusten hallinnoinnnissa on huomioitava että tunnukset vanhenevat automaation avulla. Näin salasanan vaihtamisprosessi tulee rutiiniksi käyttäjille. Toinen hyvä puoli on käyttämättömien tunnuksien lukkiutuminen, joka nostaa tietoturvaa.
OT-verkon tietoturvaa voidaan edelleen kehittää kaksi vaiheisella tunnistuksella. Kriittisten järjestelmien korkeatasoinen tietoturva saavutetaan esimerkiksi syöttömällä käyttätunnus ja salasana sekä erillisestä ohjelmasta tai laitteesta tuleva tunnus.
Fyysinen turvallisuus
OT-laitteiden ja järjestelmien fyysinen turvallisuus on tärkeää, jotta estetään luvattomat pääsyt laitteisiin ja järjestelmiin. Laitteiden ja tilojen turvallisuus prosessin reunoilla on usein tärkeintä.
Fyysinen turvallisuus ei rajoitu ainoastaan huoneiden ja rakennusten turvallisuuteen vaan, myös palvelinten ja kenttälaitteiden fyysiseen tietoturvaan on panostettava. Tällä voidaan tarkoittaa esimerkiksi USB porttien poistamista käytöstä. Uuden laitteen käyttöönoton yhteydessä on syytä ottaa nämä seikat huomioon.
Turvallisuuskoulutus
OT-verkon käyttäjille tulisi järjestää säännöllistä tietoturvakoulutusta, jotta he kaikki ovat tietoisia mahdollisista uhkista ja osaavat toimia oikein poikkeustilanteissa. Käyttäjille tulisi erityisesti painottaa tuotantoverkkojen kriittisyyttä ja mahdollisia uhkia koulutuksen aikana.
Yleisesti haittaohjelmat voivat levitä esimerkiksi sähköpostin välityksellä. Käyttäjä saattaa epähuomiossa klikata viralliseselta näyttävää esimerkiksi kuljetusyhtiön sähköpostin linkkiä. Tämä saattaa johtaa sähköpostiohjelman kautta koko laitteen saastumiseen. Yhden laitteen saastuminen ei välttämättä ole ongelma, mutta jos haittaohjelma pääsee leviämään, voi tämä aiheuttaa koko tuotannon lamaantumisen.
Haittaohjelmien torjunta
OT-verkon laitteisiin ja järjestelmiin tulisi asentaa aina asianmukaiset haittaohjelmien torjuntaratkaisut, kuten virustorjuntaohjelmistoja työasemiin. Muita keinoja rajoittaa haittaohjelmia ovat esimerkiksi verkkojen segmentointi sekä hyökkäyksentunnistusjärjestelmät eli IDS järjestelmät. Palvelu voi siten kattaa ainoastaan tunnistamisen tai voi sisältää myös reagointia.
IDS-järjestelmää voidaan hyödyntää tunnistamaan esimerkiksi haitallisten ohjelmien leviämistä verkossa. Toisaalta siinä vaiheessa, jos IDS-havaitsee haittaohjelman leviämisen verkossa, voi olla jo liian myöhäistä pelastaa verkon laitteet. Haittaohjelmat saattavat levitä muutamissa sekunneissa tai minuuteissa koko verkkoon.
Seuranta ja lokitus
OT-verkon laitteiden ja järjestelmien tulisi tallentaa kattavasti tietoa eli lokeja muistiin. Tämä avustaa jälkeenpäin tehtävää tutkimusta ja vianselvitystä. Lokien säilytys voidaan toteuttaa paikalisesti, mutta nykyaikainen tapa on viedä nämä verkon yli tähän tarkoitettuun järjestelmään.
Varautuminen ja palautuminen
OT-verkkoon tulisi luoda suunnitelma mahdollisia häiriöitä ja hyökkäyksiä varten sekä varmistaa, että tietojen palauttaminen ja järjestelmien elvyttäminen on mahdollisimman nopeaa. Erityisen tärkeänä pidetään, että eri tilanteita harjoitellaan, eikä ainoastaan kirjata teoreettisesti.
Yhteenvetona OT-verkon tietoturva vaatii erityisiä toimenpiteitä ja huomioita, jotta varmistetaan kriittisten prosessien suojelu ja vältetään potentiaaliset riskit. Organisaatioiden on oltava hyvin tietoisia näistä erityisvaatimuksista ja investoitava riittävästi resursseja OT-verkon tietoturvan parantamiseen ja ylläpitoon.
OT tuotantoverkko
OT Tuotantoverkko (engl. production network) on termi, joka viittaa yrityksen tai organisaation tuotantoprosessin kokonaisuuteen, jossa eri toimijat ja resurssit ovat yhteydessä toisiinsa. Tämä verkosto voi käsittää useita tuotantolaitoksia, toimittajia, alihankkijoita ja jakeluverkostoja, jotka toimivat yhdessä valmistustuotteen tai palvelun tuottamiseksi ja toimittamiseksi loppukäyttäjille tai asiakkaille.
Tuotantoverkot voivat vaihdella suuresti eri teollisuudenaloilla ja yrityksissä riippuen tuotantoprosessin monimutkaisuudesta, tuotantomääristä, markkinoiden vaatimuksista ja logistisista tekijöistä. Esimerkiksi suuressa kansainvälisessä yrityksessä tuotantoverkko voi olla laaja, kattaen useita tehtaita eri maissa ja monia toimittajia eri puolilla maailmaa. Pienemmissä yrityksissä tuotantoverkko voi olla paikallisempi ja sen verkot yksinkertaisempi ratkaisu. Osassa tuotantolaitoksia koneiden ikä on sellainen, ettei dataa välttämättä saada vietyä, analysoiviin järjestelmiin.
Kyberturvallisuus tuotantoverkoissa ja järjestelmissä
Kyberturvallisuus tuotantoverkoissa on erittäin tärkeä aihe, sillä teollisuuden digitalisoituminen ja verkon käytön yleistyminen ovat tuoneet mukanaan myös uusia uhkia ja haasteita. Tuotantoverkkojen kriittiset toiminnot ja järjestelmät ovat alttiita erilaisille tietoturvahyökkäyksille, ja mahdolliset häiriöt tai hyökkäykset voivat aiheuttaa vakavia seurauksia, kuten tuotannon seisokkeja, laadun heikkenemistä tai jopa vaaratilanteita.
Katso video Darktrace OT tietoturvasta
Verkkojen yhteenliittyminen sekä toimittajien etäyhteydet ovat kasvaneet nopeasti. Tämä tuo uusia uhkia, koska toimistoverkon kautta voi levitä uhkia myös tuotantoverkon puolelle. Tuotantoverkkojen dataa viedään lisäksi enemmän toimistoverkon puolelle tukemaan liiketoimintaa. Dataa tarvitaan prosessien kehittämiseen, seurantaan ja ERP-järjestelmien avuksi sekä nostamaan liiketoiminnan reaaliaikaista seurantaa. Tällaiset yhteydet tuovat täysin uusia uhkia tuotantoverkkojen ylläpitoon.