Puheenaiheet
Alusten kyberturvallisuus

Datan väärinkäytön riski ja kyberrikollisuus kasvavat alusten digitalisaation ja verkottumisen myötä. Kaikkien, jotka arvioivat Maritime 4.0:n mahdollisuuksia, on huomioitava myös kyberturvallisuuden kasvaneet vaatimukset – ja mikä vielä tärkeämpää, löydettävä sopivat ratkaisut sen toteuttamiseen.

Aluksen monet älykkäät alijärjestelmät takaavat häiriöttömän toiminnan säiliöiden ja painolastiveden hallinnasta ohjauksen kontrollointiin sekä hälytys- ja valvontajärjestelmiin. Kaikki nämä alijärjestelmät toimivat teollisuusautomaatiotekniikan avulla.

Alusten kyberturvallisuus – näin WAGO auttaa:

  • Merenkulkualan verkottumisen yleistyessä myös arkaluonteisten tietojen vaihto lisääntyy.
  • Elektroniikka, kuten navigointi-, seuranta- ja törmäysvaroitusjärjestelmät, edellyttävät yhteyksiä aluksen ulkopuolelle ja muodostavat näin potentiaalisen kohteen kyberrikollisuudelle. Tasolähtöinen "IT Security by Design" -arkkitehtuuri on integroitu ohjaimiin alusta lähtien.
  • WAGO muodostaa VPN-yhdysväylät käyttämällä esimerkiksi OpenVPN- tai IPsec-protokollia suoraan WAGO PFC200 -ohjaimesta.

Painopisteenä tietoturva

Näiden alijärjestelmien verkottamisella saavutetaan monia hyötyjä – ne parantavat esimerkiksi alusten energiatehokkuutta. Myös arkaluonteisten tietojen vaihto lisääntyy aina, kun järjestelmiä verkotetaan. Eikä tässä vielä kaikki. Maalla käytettäviin sovelluksiin verrattuna aluksissa on enemmän elektroniikkaa, kuten navigointi-, seuranta- ja törmäysvaroitusjärjestelmiä. Ne parantavat aluksen turvallisuutta mutta aiheuttavat ylimääräisen riskin etenkin siksi, että aluksen verkottuessa myös ulkoisia liitäntöjä muodostuu entistä enemmän. Näissä liitännöissä käytetään yhä enemmän internet-pohjaisia verkkotekniikoita tai mobiilipalveluja. Nämä tiedonsiirtopolut puolestaan tarjoavat mahdollisuuden manipulointiin – erityisesti aluksen ja maatoimintojen välillä.

Toiminnallinen turvallisuus vaarassa?

Pääsy arkaluonteisiin tietoihin tai niiden lukeminen on suhteellisesti pienempi ongelma kuin seuraukset, joita aiheutuu hakkerien syöttäessä haittaohjelmia alusten tai porauslauttojen ohjausjärjestelmiin, muuttaessa koordinaatteja tai tunkeutuessa aluksen turvallisuusjärjestelmiin. Tällaiset teot paitsi vaarantavat kyberturvallisuuden myös heikentävät toiminnallista - ja viime kädessä miehistön turvallisuutta. Juuri tämän vuoksi kyberturvallisuutta koskevat suositukset ovat lisääntyneet digitalisaation ja verkottumisen yleistyessä. American Bureau of Shipping, Itämeren ja  kansainvälisen merenkulun neuvosto (BIMCO), Lloyd’s Register Group, UK Chamber of Shipping sekä Euroopan Unionin tietoturvavirasto ovat kaikki julkaisseet alusten kyberturvallisuutta koskevia ohjeita. Yleisesti ottaen ne määrittelevät prosessit, lähestymistavat tai tekniset toimet kyberturvallisuuden toteuttamiseen ja suurimmaksi osaksi nämä ovat yhdenmukaisia automaatiotekniikan ohjeistuksen kanssa.

Syyt etäyhteyksien käyttöön vaihtelevat suuresti eri varustamoiden ja OEM-toimijoiden välillä.

"IT by Design", ei "Defense in Depth"

Industry 4.0 ja Maritime 4.0 lisäävät tiedonsiirron määrää ja kasvattavat näin kyberhyökkäysten potentiaalia. Mikä vielä merkittävämpää, eristämiskonseptien rajat alkavat häämöttää. Tämä johtuu siitä, että verkottumisen tarjoamat mahdollisuudet paitsi lisäävät ulkopuolisen käytön tiheyttä myös mahdollistavat tunkeutumisen aiempaa syvemmälle aluksen automaatiojärjestelmiin. Tähän on täysin ilmeinen syy: etäratkaisut mahdollistavat varustamoille alusten etädiagnosoinnin ja siten laivaston optimoinnin ja lopulta tallennettujen tiedon myymisen eteenpäin. Lisäksi ne voivat vähentää työvoimakustannuksia, kun miehistöä tarvitaan vähemmän tai se voi olla vähemmän koulutettua ja se voi saada apua korjauksiin maissa olevilta insinööreiltä.

Miksi sallia ulkoinen pääsy tietoihin?

Varustamoiden ja satamaoperaattorien lisääntyvä verkottuminen parantaa logistiikkaa satamissa ja vähentää alusten polttoaineenkulutusta. Pelkästään ulkopuolelta pääsyn estäminen ei voi olla ratkaisu alusten tietoturvan korjaamiseen. Perusteellinen puolustautuminen, joka on ollut tähän asti tyypillinen lähestymistapa, ei kuitenkaan pian enää riitä, vaikka käyttöoikeuksia rajoitettaisi ja verkkoa sekä valvontajärjestelmiä segmentoitaisi aluksen automaation eri tasoilla.
Yhä useammin vaaditaan tietoturvakonsepteja, jotka toimivat aina, ajasta ja etäyhteyspisteestä riippumatta. Uutena vaatimuksena on "IT Security by Design", mikä tarkoittaa kyberturvallisuustoimintoja, jotka on integroitu alusta lähtien ohjaimien tasolähtöisen turvallisuusarkkitehtuurin konfiguraatioon.

Alusten järjestelmät käyttävät tyypillisesti big dataa ja ovat yhä verkottuneempia.

PLC:stä pilveen – tiedonsiirtopolun suojaus

Tarvittavat tekniset valmiudet ovat jo olemassa, ja niillä pystytään tilkitsemään tietoturva-aukot. Yksi luotettava tiedonsiirtotapa on esimerkiksi virtuaalisen yksityisverkon (VPN) muodostaminen OpenVPN:n avulla ja SSL/TLS-yhteyksien (Secure Sockets Layer, Transport Layer Security) käyttäminen. Nämä yhteydet mahdollistavat salatun tiedonsiirron myös langattomien tiedonsiirtojärjestelmien kautta. WAGO muodostaa VPN-yhdysväylät käyttämällä OpenVPN- tai IPsec-protokollia suoraan WAGO PFC200 -ohjaimesta. WAGOn ohjain tallentaa lisäksi kaikki merkitykselliset mittaus- ja ohjaustiedot, salaa ne suoraan ohjaimessa käyttäen SSL-salausta ja siirtää tiedot VPN:n kautta. Näin modeemien tai reitittimien ei tarvitse muodostaa ylimääräisiä VPN-tunneleita, ja mikä kenties vielä ratkaisevampaa, myös ohjaimen ja modeemin välinen yhteys on tällöin salattu saman tien.

Teksti: Norman Südekum, Eva Bannholzer | WAGO

Valokuva: WAGO

WAGO sovelluksissa

Maritime 4.0:aan liittyviä lisäaiheita

Miten merenkulku hyötyy digitalisaatiosta ja mitä haasteita se tuo mukanaan? Tutustu muihin kiinnostaviin aiheisiin Maritime 4.0:n alalta