OT-alalla näkyvyys on tehokkaan tietoturvan perusta

Kirjoittanut Phil Muncaster • 18 marraskuu 2025

IT on usein otsikoissa, varsinkin nyt, kun olemme siirtymässä uuteen tekoälyn hyödyntämään aikakauteen. Mutta juuri operatiivinen teknologia (OT) pyörittää edelleen suurta osaa maailmasta. Tuotantolaitoksista voimalaitoksiin, sairaaloista liikenneverkkoihin, tämä teknologia on tyypillisesti yhteydessä fyysiseen maailmaan ja ohjaa elintärkeitä teollisuusluokan koneita. On vain yksi ongelma: sitä ei koskaan suunniteltu selviytymään 21-luvun kyberuhkaympäristöstä.^st luvulla.

Tämän vuoksi uudet ohjeet Kansallisen kyberturvallisuuskeskuksen (NCSC) laatimat tiedot tulisi ottaa myönteisesti vastaan OT-operaattoreiden keskuudessa. Ne korostavat OT:n turvaamisen elintärkeää ensimmäistä askelta: näkyvyyttä. Ja ne ehdottavat ISO 27001 -standardia erinomaiseksi keinoksi saavuttaa se.

Miksi OT-tietoturva on tärkeää

Koska OT käyttää teollisuuden ohjausjärjestelmiä, ei tarvitse olla kovin mielikuvituksellinen ymmärtääkseen, mistä on kyse. Tällaisten järjestelmien kaappaaminen antaisi uhkatoimijoille mahdollisuuden häiritä kriittistä infrastruktuuria (CNI). Itse asiassa Kiinan valtion tukemia vihollisia löydettiin viime vuonna Yhdysvaltojen CNI-verkoista, joilla oli... asemoineet itsensä etukäteen aktivoida tuhoisia hyökkäyksiä sotilaallisen konfliktin sattuessa.

Sen lisäksi, että tällaiset hyökkäykset voivat aiheuttaa fyysisiä vahinkoja yksilöille ja kokonaisille yhteiskunnille, ne voivat aiheuttaa suuria taloudellisia ja mainehaittaa verkkojen toimittajille ja muille OT-operaattoreille. Vain muutama kuukausi sitten vakuutusyhtiö Marsh McLennan pyrki kvantifioimaan tämän riskin laajuutta käyttämällä omaa korvaustietokantaansa ja muita tiedustelutietoja. Se laski, että käyttöturvallisuusonnettomuuksiin liittyvä vuosittainen taloudellinen riski voi olla jopa 329.5 miljardia dollaria (250 miljoonaa puntaa).

Haasteena on, että OT-järjestelmät ovat usein huonosti suojattuja. Laitteet kestävät paljon pidempään kuin tyypilliset IT-laitteet, mikä tarkoittaa, että niiden on usein käytettävä vanhoja ohjelmistoja ja käyttöjärjestelmiä, joille ei ole enää saatavilla korjauksia. Jos tietoturvapäivityksiä on teoriassa saatavilla, käyttöaika asetetaan yleensä etusijalle tietoturvan sijaan. Ja nämä koneet toimivat usein kriittisissä ympäristöissä, joissa niiden poistaminen offline-tilasta testausta ja korjauspäivitysten asentamista varten on logistisesti haastavaa. Vanhentuneet ja turvattomat tietoliikenneprotokollat voivat myös aiheuttaa lisää tietoturvariskejä.

Mitä NCSC sanoo

NCSC:n lähestymistapa on järkevä: et voi suojata sitä, mitä et näe. Siksi se haluaa OT-operaattoreiden keskittyvän ensin luomaan "lopullisen kuvan" OT-arkkitehtuuristaan. Tämä menee paljon syvemmälle kuin pelkkä luettelo resursseista, mukaan lukien:

komponentit kuten laitteet, ohjaimet, ohjelmistot ja virtualisoidut järjestelmät, jotka kaikki luokitellaan kriittisyyden, altistumisen ja saatavuusvaatimusten mukaan
Liitettävyys: eli miten nämä resurssit ovat vuorovaikutuksessa OT-verkoston sisällä ja sen ulkopuolella
Laajempi järjestelmäarkkitehtuuri mukaan lukien vyöhykkeet, putket ja segmentointitoimenpiteet; joustavuutta koskevat määräykset; ja suunnitteluvalintojen perustelut
Toimitusketju ja kolmansien osapuolten pääsy: eli mitkä toimittajat, integraattorit ja palveluntarjoajat muodostavat yhteyden OT-ympäristöön ja miten yhteyksiä hallitaan ja suojataan
Liiketoiminnan ja vaikuttavuuden konteksti: Ymmärrys siitä, mitä tapahtuisi operatiivisesta, taloudellisesta ja turvallisuusnäkökulmasta, jos omaisuus/yhteys vikaantuisi tai vaarantuisi

Focus-patjan NCSC:n ohjeet, jonka ovat muokanneet myös virastot Yhdysvalloissa, Kanadassa, Uudessa-Seelannissa, Alankomaissa ja Saksassa, perustuu viiteen periaatteeseen. Se ohjaa OT-operaattoreita suunnittelemaan prosessit "lopullisen rekisterin" luomiseksi ja hallitsemiseksi, omaisuuden tunnistamiseksi ja luokitteluksi, yhteyksien tunnistamiseksi ja dokumentoimiseksi sekä kolmansien osapuolten riskien dokumentoimiseksi.

Lopullisen tietueesi suojaaminen

Ehkä mielenkiintoisinta on Periaate 2: OT-tietoturvallisuuden hallintaohjelman laatiminen. Tästä tulee olennaista lopullisen tietueen sisältämien tietojen arkaluonteisuuden vuoksi. Ohjelma voi sisältää suunnittelu- ja liiketoimintatietoja, identiteetti- ja valtuutustietoja, OT-järjestelmien reaaliaikaiseen hallintaan liittyviä operatiivisia tietoja sekä kyber- ja turvallisuusriskien arviointeja.

NCSC:n mukaan vastustajat voisivat käyttää tätä tiedustelutietoa hyökkäystensä "hienouteen" rakentamalla kontekstuaalisen kuvan järjestelmäarkkitehtuurista ja valitsemalla kohdistettavia ja hyödynnettäviä komponentteja. "Organisaatiollasi tulisi olla selkeästi dokumentoidut käytännöt ja menettelytavat siitä, miten kukin tietotyyppi tulisi suojata", se lisää ja kehottaa organisaatioita harkitsemaan klassista "CIA"-kolmikkoa. Tämä tarkoittaa sen varmistamista, että:

Arkaluontoisiin tietoihin pääsevät käsiksi vain ne järjestelmät ja käyttäjät, joilla on siihen oikeus (luottamuksellisuus)
Tiedot ovat täydellisiä, eheitä ja luotettavia, eikä niitä ole muokattu (eheys)
Organisaatiot suojaavat tietoja katkoksilta, viivästyksiltä ja palvelun heikkenemiseltä (saatavuus)

ISO 27001 -standardin etu

NCSC suosittelee, että käyttökoneiden käyttäjät "käyttävät standardeja, kuten ISO / IEC 27001 ...apua OT-tietoturvallisuuden hallintajärjestelmän käyttöönotossa.” Tämä on musiikkia ISMS.onlinen tietoturvajohtajan Sam Petersin korville, jonka mukaan se heijastaa kasvavaa yksimielisyyttä: ”jäsennellyn, riskiperusteisen tietoturvallisuuden hallintajärjestelmän periaatteet soveltuvat yhtä tehokkaasti OT:hen kuin IT:henkin.”

Peters kertoo ISMS.online-sivustolle, että työskenneltyään standardin kanssa useita vuosia hän tietää tarkalleen, kuinka tehokas se voi olla toimintaterapiaan liittyvien riskien hallinnassa.

”Tiedän omasta kokemuksesta, että ISO 27001 tarjoaa johdonmukaisen lähestymistavan resurssien näkyvyyteen, konfiguraationhallintaan ja muutostenhallintaan – kaikki nämä ovat kriittisiä monimutkaisissa, vanhoissa OT-ympäristöissä, joissa suunnittelemattomilla muutoksilla voi olla todellisia turvallisuusvaikutuksia”, hän lisää. ”Se myös vahvistaa varmuutta toimitusketjuissa virallistamalla, miten kolmannen osapuolen pääsyä, korjauksia ja ylläpitoa hallitaan.”

ISO 27001 auttaa myös teknisestä näkökulmasta organisaatioita kuromaan umpeen IT-OT-kuilun "jaetun terminologian, standardoitujen kontrollien ja näyttöön perustuvan riskienhallinnan" avulla, Peters sanoo.

”Se tukee ehdottomasti NCSC:n vaatimusta lopullisesta näkemyksestä OT-arkkitehtuurista, varmistaen, että tietoturvapäätökset perustuvat tarkkaan ja ajantasaiseen järjestelmätietoon oletusten sijaan”, hän päättelee.

”Selvennykseksi, kyse ei ole IT-kontrollien kerrostamisesta OT:lle. Kyse on toimivaksi todistetun hallintajärjestelmän soveltamisesta, joka ottaa huomioon teollisuusjärjestelmien ainutlaatuiset rajoitukset ja priorisoi saatavuuden, turvallisuuden ja vikasietoisuuden samalla kun ylläpidetään jäljitettävyyttä ja jatkuvaa parantamista. Juuri tätä tasapainoa OT on tarvinnut jo jonkin aikaa.”

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Lue lisää Phil Muncasterilta

tietoverkkoturvallisuus 20 tammikuu 2026

tekoälyn hallintokuilun kurominen umpeen ISO 42001 -blogin avulla

Tekoälyn hallintoaukon kurominen umpeen ISO 42001 -standardin avulla

Isossa-Britanniassa on tekoälyn hallintaongelma. Tämä ei ehkä olisi ollut ongelma muutama vuosi sitten, kun projektit olivat useimmissa organisaatioissa hajanaisia. Mutta tänään...

Phil Muncaster

tietoverkkoturvallisuus 6 tammikuu 2026

Viisi tietoturva- ja vaatimustenmukaisuustrendiä, joihin kannattaa kiinnittää huomiota vuonna 2026

Miltä tulevat 12 kuukautta näyttävät kyberturvallisuuden ja vaatimustenmukaisuuden ammattilaisille? Olemme perehtyneet uutisiin, omaksuneet alan ennusteita...

Phil Muncaster

tietoverkkoturvallisuus 11 joulukuu 2025

Onko agenttien tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

Onko agenttisen tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

ChatGPT:n lanseerauksesta on ehkä kolme vuotta, jolloin se käynnisti uuden teknologiavarustelukilpailun, mutta nyt kaikkien katseet ovat agenttisessa tekoälyssä. Kannustajien mukaan se...

Phil Muncaster