Poikkileikkaava suojaus¶

Vaikka myös perinteisten IT-järjestelmien kyberturvallisuus ottaa huomioon fyysisen maailman, KFJ-järjestelmien fyysisyys tuottaa niiden kyberturvallisuudelle useita erityispiirteitä. Niitä muodostuu konkreettisesti esim. siitä, että KFJ:t usein koostuvat matalan tehon sulautetuista järjestelmistä, joista jotkin voivat olla hyvin vanhoja (ns. legacy- eli perinnejärjestelmiä) sekä siitä, että KFJ:den mitta- ja anturilaitteistot ovat alttiita analogisille hyökkäyksille. Vaikka hyökkäysten estäminen, havaitseminen sekä haittojen pienentäminen ovat kurssin perusasiaa perinteisten IT-järjestelmien osalta, KFJ:n tapauksessa niiden käsittely jätetään suurimmaksi osaksi kurssin ulkopuolelle. Jos aihe kiinnostaa, CyBOK-teksti tarjoaa lisätietoja (luku 21). Tässä käsitellään kuitenkin perinnejärjestelmien ongelmia. Perusteluksi riittänee se, että esimerkiksi pankkiautomaatti, jolta käyt nostamasta käteistä, saattaa pyöriä yli 20 vuotta vanhalla käyttöjärjestelmällä ja ohjelmistolla. Tällaisella ohjelmisto- ja laitteistosukupolvia ylittävällä iällä (josta termi legacy) on ilman muuta vaikutusta tietoturvaan.

Perinnejärjestelmien tietoturva: KFJ-laitteiden elinkaari voi olla kertaluokkaa pitempi kuin tavallisten palvelimien, työpöytätietokoneiden tai kannettavien laitteiden. Kuluttajat odottavat, että heidän autonsa kestävät pidempään kuin heidän kannettavat tietokoneensa, sairaalat odottavat lääketieteellisten laitteiden kestävän yli vuosikymmenen ja teollisuuden (kyberfyysiset) laitteet kestävät tyypillisesti vähintään 25 vuotta, eikä suurinta osaa näistä laitteista korvata ennen kuin ne ovat täysin vanhentuneita. Osa näistä laitteista suunniteltiin luotetuille ympäristöille, joita ei ole enää olemassa. Lisäksi, vaikka laitteet olisi suunniteltu sen ajan tietoturvallisuusmekanismeilla, uusia haavoittuvuuksia tulee esiin. Jos valmistaja ei enää tue laitteita, ei niitä myöskään päivitetä. Esimerkiksi OpenSSL:n Heartbleed-haavoittuvuuden löydyttyä suuret valmistajat levittivät päivityksiä. Suurinta osaa sulautetuista järjestelmistä, jotka valvovat tai hallitsevat fyysisiä prosesseja, ei kuitenkaan päivitetä. Joidenkin turvakriittisten järjestelmien päivittäminen saattaisi jopa rikkoa niiden turvallisuussertifikaatteja. Siispä vaikka valmistaja olisi alkujaan käyttänyt OpenSSL:ää turvaamaan viestintäkanavan KFJ:den välille, pitää sen ottaa huomioon myös laitteen tukeminen pitkällä aikavälillä.

Hyökkäysten estämiseksi täytyy siis yhtäältä (1) suunnitella järjestelmiä, joiden turvallisuutta voi jatkuvasti päivittää, ja toisaalta (2) asentaa perinnejärjestelmiin turvaratkaisuja jälkikäteen.

Joitakin laitteita ei voi päivittää uudenlaisilla mekanismeilla, ja siksi suosittu turvaamistapa on bump-in-the-wiren lisääminen. Bump-in-the-wire (“johdinlisuke”) on tyypillisesti verkkolaite, jota käytetään perinnelaitteiden välillä kulkevien verkkopakettien eheyden, autentikoinnin ja luottamuksellisuuden lisäämiseen. Perinnelaite lähettää salaamattomia ja autentikoimattomia paketteja tälle verkkolaitteelle, joka tunneloi ne turvallisesti turvattoman kanavan yli toiselle vastaavalle lisälaitteelle, joka poistaa suojaukset ja antaa alkuperäisen paketin kohdelaitteelle. Huomaa, että tekniikka tarjoaa suojaa vain verkon vaaroilta eikä auta, jos päätepiste on vaarantunut.

Langattomille laitteille, esimerkiksi lääketieteellisille implanteille, on esitetty vastaavaa. Koska jotkin niistä kommunikoivat suojaamattomien verkkojen yli, hyökkääjät voivat kuunnella niitä tai injektoida vihamielisiä paketteja. Tämän estämiseksi voidaan käyttää langatonta kilpeä (wireless shield) haavoittuvien laitteiden lähellä. Langaton kilpi häiritsee kaikkia viestintäyrityksiä, jotka tulevat ei-luotetuilta laitteilta. Kilpiä on esitetty käytettäväksi myös muille alueille, esimerkiksi suojaamaan kuluttajille suunnattujen matalaenergisten Bluetooth-laitteiden (eli BLE-laitteiden) yksityisyyttä. Langattomien kilpien häiritsevän luonteen takia on vielä avoinna, saadaanko ne käytännöllisiksi kuluttajalaitteissa.