Sulautettujen järjestelmien tietoturva ottaa merkittävän askeleen eteenpäin. MITRE on julkaissut uuden kyberturvakehyksen nimeltä Embedded Systems Threat Matrix (ESTM).

ESTM on sulautetuille järjestelmille tehty uhkamalli. Se on ATT&CK-kehyksen vastine laitteille, firmwarelle ja rautaläheisille ympäristöille. Aiemmin embedded-järjestelmien uhkia on jouduttu mallintamaan IT- ja pilviympäristöihin tarkoitetuilla työkaluilla.

Uusi malli kuvaa järjestelmällisesti hyökkäystavat, jotka kohdistuvat esimerkiksi käynnistysketjuun, firmware-päivityksiin, debug-rajapintoihin, väyliin ja fyysiseen pääsyyn laitteeseen. Mukana ovat myös supply chain -uhat.

MITRE on kehittänyt ESTM:n yhteistyössä Yhdysvaltain ilmavoimien CROWS-ohjelman kanssa. Taustalla ovat puolustusjärjestelmät ja kriittinen infrastruktuuri, kuten energia, liikenne, terveydenhuolto ja teollisuusautomaatio.

Kyse ei ole kokeellisesta mallista. Nyt julkaistu versio on ESTM 3.0, eli kehys on jo kypsynyt käytännön käyttöön. Se toimii yhdessä MITREn EMB3D-uhkamallin kanssa ja tukee koko järjestelmän elinkaaren aikaista turvallisuussuunnittelua.

Käytännössä ESTM tarjoaa yhteisen kielen laitevalmistajille, tietoturva-asiantuntijoille ja viranomaisille. Sillä voidaan tehdä uhkamallinnusta, analysoida hyökkäyspolkuja ja määritellä turvallisuusvaatimuksia jo suunnitteluvaiheessa.

Euroopan unionin uuden NIS2-direktiivin velvoitteet tulivat Suomessa voimaan kuluvan vuoden keväänä. Jatkossa teollisuuden kriittisten alojen toimijoilta edellytetään entistä parempaa verkko- ja tietoturvan tasoa sekä tarkkoja raportointikäytäntöjä. Niihin päästään helpoiten esimerkiksi IEC-standardisoinnin avulla.

Kyberhyökkäykset ovat nykyään vakava uhka yrityksille ja organisaatioille toimialasta riippumatta. Euroopan unionin NIS2-direktiivin myötä muun muassa kemianteollisuus, elintarviketuotanto ja monet valmistavan teollisuuden toimijat siirtyivät tarkemman seurannan piiriin.

Schneider Electricin Umberto Cattaneo suosittelee teollisuusyrityksiä tukeutumaan valmiisiin standardeihin, joita noudattamalla on helppoa nostaa oma OT-kyberturvallisuus direktiivin vaatimalle tasolle.

Suomessa NIS2-direktiivi on jo otettu osaksi paikallista lainsäädäntöä, ja Traficom valvoo siihen liittyvää raportointia. NIS2 asettaa kyberturvallisuudelle uuden perusvaatimustason, joka vastaa paremmin moderneihin kyberuhkiin. Aiemman NIS-direktiivin piirissä olleilta toimijoilta esimerkiksi energia-alalla, liikenteessä ja vesihuollossa edellytetään entistä tarkempaa kyberturvan riskienhallintaa, suojautumista, raportointia ja dokumentointia.

Uusi direktiivi velvoittaa keskeisiksi ja tärkeiksi määriteltyjä toimijoita osoittamaan, että ne noudattavat NIS2-vaatimuksia. Perusta rakennetaan hyväksytyn ja dokumentoidun kyberturvallisuusstrategian ja riskienhallintaprosessin päälle. Toimijoilla tulee olla myös valmiit prosessit kyberhyökkäyksistä raportointiin sekä teknistä näyttöä ja dokumentointia siitä, että niiden toiminta on hyväksyttävällä tasolla.

Schneider Electricin Umberto Cattaneo kannustaa toimijoita hyödyntämään olemassa olevia standardeja, joiden avulla on helppoa todistaa kyberturvallisuuden olevan kunnossa. Teollisuuden alalla hyvä lähtökohta on IEC 62443 -standardisarja, jossa määritellään automaation ja ohjausjärjestelmien kyberturvallisuuden hallintamallit, tekniset kontrollit ja riskienhallinnan prosessit.

IEC 62443 -standardi koskee sekä informaatioteknologiaa (IT) että operatiivista teknologiaa (OT). Ennen OT-järjestelmien toiminta oli eriytettyä, mutta raja IT- ja OT-järjestelmien välillä on hämärtynyt huomattavasti viime vuosina. Siksi myös OT-ympäristöjen asianmukainen suojaaminen on entistä tärkeämpää teollisuudessa.

yes it is real https://www.cnet.com/health/sleep/owners-of-luxury-smart-beds-literally-lost-sleep-due-to-aws-outage/

How many hackers does it take to screw up an IoT controlled light bulb?
That’s everybody’s problem.