Esimerkki: Miten kyberhyökkäys voisi edetä IT:stä tuotannon verkkoon?

Paljon puhutaan OT:n ja IT:n konvergenssista. Tuotantoverkot eivät ole enää IT:stä erillisiä, mikä tulee huomioida myös tietoturvanäkökulmasta. Miten kyberhyökkäys voisi käytännössä edetä IT:stä OT:hen hyödyntäen toimitusketjusta löytyneitä heikkouksia?

Tässä blogissa esitellään kuvitteellinen, mutta täysin mahdollinen esimerkki havainnollistaen vaihe vaiheelta kyberhyökkäyksen kulkua verkossa ja eri organisaatioissa.

1. Kaikki alkaa siitä, kun musta hyökkääjä saa kalastelukampanjan kautta varastettua vihreältä organisaatiolta identiteettejä ja tietokoneiden hallinnan. Hyökkääjä huomaa tutkiessaan identiteettien sähköposteja ja koneiden tiedostoja, että vihreä organisaatio tekee alihankintana oranssille organisaatiolle tuotannon ohjausjärjestelmiin liittyvää ylläpitotyötä.
2. Musta hyökkääjä suunnittelee kalasteluhyökkäyksen oranssiin organisaatioon hyödyntäen vihreältä organisaatiolta saamiaan tietoja. Hyökkääjä onnistuu saamaan oranssin organisaation identiteettejä haltuun.
3. Musta hyökkääjä käyttää oranssilta organisaatiolta varastettuja identiteettejä hyväkseen ja lähettää viestin vihreän organisaation yhteyshenkilölle, jonka tietokone on hyökkääjän hallussa. Viestissä pyydetään tekemään säätöä oranssin organisaation tuotantoprosessiin.
4. Vihreän organisaation automaatioinsinööri ottaa etäyhteyden uskottavan huijausviestin perusteella oranssin organisaation scada-järjestelmiä ohjaavaan tietokoneeseen DMZ-verkossa ja tekee pyydettävät säädöt. Insinööri ei huomaa, että musta hyökkääjä käyttää tätä etäyhteyttä hyväksi ja asentaa ja käynnistää oman ohjelman oranssin organisaation scada-järjestelmän hallintatietokoneeseen.
5. Musta hyökkääjä saa oranssin organisaation scada-järjestelmään syötettyä omaa koodiaan, joka johtaa hyökkääjän suunnitteleman hyökkäyksen aktivoitumiseen. Hyökkäys voi olla vakoilu, sabotaasi tai ransomware-tyyppinen ja tavoitella lunnasvaatimuksen kautta rahallista hyötyä.

Ovatko tehdyt tietoturvainvestoinnit tarkoituksenmukaisia?

Esimerkissä oranssi organisaatio on voinut panostaa IT:ssä päätelaitesuojaukseen ja identiteettien suojaukseen. Tällöin on esimerkiksi saatettu havaita vaihe kolme ja saada pysäytettyä se. Musta hyökkääjä on kuitenkin edelleen kiinni vihreässä organisaatiossa ja ehkä jollakin identiteetillä oranssissa ja odottaa uutta tilaisuutta. NIS2-kyberturvallisuusdirektiivin myötä oranssi organisaatio on lisännyt AI-pohjaista havainnointia OT:n verkoissa ja vaiheen 5 aiheuttamat poikkeamat havaitaan osittain. Havaintoketjussa on kuitenkin tyhjä aukko DMZ-verkon kohdalla. DMZ-verkko on tehty IT:n toimesta 15 vuotta sitten palomuurilla ja salli/estä-säännöillä, joita IT on lisännyt ja muokannut tuotannon pyynnöistä lukuisia kertoja vuosien varrella.

DMZ on perinteinen reitti IT:stä OT-verkkoon ja siellä oleviin koneisiin ja järjestelmiin.

Vihreä organisaatio käyttää DMZ-verkkoa eikä palomuurin lokeissa näy kuin sallitun etäyhteyden liikennettä.

Hyökkäys pääsee aktivoitumaan, vaikka AI huomasi poikkeaman, sillä se ajoittuu valitettavasti juhlapyhään. Lisäksi kiire ja lomista johtuva resurssivaje aiheuttaa huolimattomuutta. Vieläpä hiukan hämmentävä viesti vihreältä organisaation automaatioinsinööriltä selittää poikkeaman ja hälytys kuitataan vääräksi hälytykseksi.

Olivatko tietoturvaan tehdyt satsaukset oikeita? OT:hen hankittu AI-järjestelmä maksoi varmasti jotain ja toki sillä saatiin näkyvyyttä ja hyökkäyksenkin se havaitsi osittain, mutta analyysi petti. Hyötyä hankinnasta on kuitenkin DFIR-tutkinnassa (Digital Forensics & Incident Response), koska analyytikot pääsevät AI:n poikkeamahälytyksen ja sen ajankohtaan liittyvän palomuurin lokin perusteella jäljille tapahtumasta. DFIR-työ pitää ulottaa myös Vihreään organisaatioon.

Oranssin organisaation satsaus IT:n tietoturvan identiteetteihin ja päätelaitteisiin on varmasti estänyt lukuisia pelkästään IT:hen kohdistuneita hyökkäyksiä. Mutta nyt hyökkääjä käytti hyväksi heikkouksia toimitusketjussa (supply chain attack). Oranssi organisaatio olisi todennäköisesti kohtuullisella lisäsatsauksella voinut kyberturvan suojauksessa ja valvonnassa huomioida OT:n toiminnan erityispiirteet ja tehdä seuraavat asiat:

• Viedä suojaus ja havainnointi OT-verkon eri kerroksiin
• Suojata DMZ-verkon laitteet ja näin mahdollistaa myös niiden tapahtuma- ja lokitiedon keräämiseen hyödyllisiä havaintosääntöjä
• Yhdistää IT:n tietoturvan valvonnan myös OT:hen ja kartoittaa kaikki assetit, jotka ovat ketjussa mukana
• Tehostaa havainnointia IT:n ja OT:n välisillä integroinneilla

Kokonaisuus on syytä pitää mielessä

Esimerkissä oli otettu käyttöön erilliset järjestelmät suojaukseen ja valvontaan eikä ollut mietitty, miten ne yhdistetään yhdeksi tietoturvakokonaisuudeksi. Tämä on tietoturvakokonaisuuden kannalta aivan keskeinen asia.

Vihreän organisaation panostukset tietoturvaan ovat voineet olla myös mahdollisesti säästösyistä tauolla tai ei olla vain ymmärretty vaaraa. Jos asiakkaatkaan eivät ole vaatineet mitään erityistä, tietoturvan kehitysprojektia on siirretty tulevaisuuteen.

Oranssille organisaatiolle syntyy hyökkäyksestä suoraan rahallista ja mainehaittaa tuotannon keskeytymisen takia ja viranomaisten mahdollisista sakoista. Vihreä organisaatio ei ehkä ole suoraan korvallisuusvelvollinen, mutta todennäköisesti voi menettää asiakkaita mainehaitan takia. Varmasti se joutuu vähintään tarjoamaan ilmaista työtä asiakkaansa oranssin organisaation tuotannon palauttamiseksi. Lisäksi vihreän organisaation pitää myös puhdistaa oma IT-/kyberympäristö hyökkääjästä sekä tutkia onko muille asiakkaille hyökätty heidän kauttaan. Tämä kestää helposti useita viikkoja sekä maksaa valtavasti rahaa.