Teollisuuden järjestelmätoimittajaan kohdistunut tietomurto edellyttää myös sen asiakkailta ripeitä toimenpiteitä

Euroopassa viimeaikaisten kiristyshaittaohjelmatapauksiin johtaneiden tietomurtojen uhrien joukossa on ollut myös sellaisia suuryrityksiä, jotka toimivat kriittisen infrastruktuurin sekä teollisuuden tuotantoautomaatiojärjestelmien toimittajina. Näissä ympäristöissä on tavallista, että tuotantolaitoksen käyttöönoton jälkeen sama toimittaja jatkaa merkittävässä roolissa käytönaikaisen kunnossapitotoiminnan osalta. Silloin toimittajan vastuulla saattaa olla esimerkiksi tuotantolaitoksen ajantasaisen dokumentaation ylläpito sekä vikatilanteiden selvitys ja tuotantoprosessiin liittyvien konfiguraatiomuutosten toteuttaminen etähuoltoyhteyksien kautta.

Kyberturvallisuuskeskus kehottaa kaikkia teollisuusympäristöjen omistajia varautumaan myös siihen mahdollisuuteen, että sen oman tuotannon kannalta kriittiseen toimittajaan kohdistuu tietomurto tai -vuoto. Silloin on aina mahdollista, että organisaation oman ympäristön kannalta kriittistä suojattavaa tietoa kuten tarkkoja järjestelmäkuvauksia päätyy ulkopuolisten haltuun. Sanomattakin on selvää, että teollisuuslaitoksen toimittajan etähuoltoyhteyksiin pääsyn saanut tunkeutuja muodostaa merkittävän riskin myös itse laitokselle. 

Näissä tapauksissa organisaatiolla tulee olla valmius muodostaa nopeasti riittävä tilannekuva sekä estää tai rajoittaa etähuoltoyhteyksien käyttöä. Joissakin viimeaikaisissa tapauksissa tietomurron uhriksi joutuneet teollisuuden järjestelmätoimittajat eivät ole aina viestineet tarpeeksi avoimesti, jolloin niiden asiakkaat eivät ole pystyneet arvioimaan tapausta omalta kannaltaan. Sen tähden etukäteisvarautumisessa tulisikin noudattaa ajatusmallia, jossa organisaation itsensä kannalta pahin on tapahtunut. 

Organisaation tulisikin varmistaa jo etukäteen, että sillä on:

• tiedossa mitä kaikkea tuotantoympäristöjen suojattavaa tietoa sen palvelutuottajilla on hallussaan, sekä millaisen riskin tämän tiedon mahdollinen vuotaminen muodostaa organisaatiolle itselleen.
• tekniset valmiudet sekä ennalta määritellyt toimintamallit kyseiselle palvelutuottajalle avattujen etähuoltoyhteyksien estämiseksi. Tässä yhteydessä ei tule luottaa tietomurron uhriksi joutuneen toimittajan omaan ilmoitukseen näiden yhteyksien katkaisemisesta, vaan estää ne myös omin toimenpitein. 
• valmiudet estää (esim. käyttäjätunnukset lukitsemalla) kyseisen toimittajan henkilöiden pääsy kaikkiin organisaation omiin palveluihin, kuten yhteisiin työtiloihin tai dokumentinhallintajärjestelmiin.
• kyvykkyys valvoa ja havaita poikkeamia myös tuotantoympäristöihin suuntautuvien huoltoyhteyksien osalta.

Edellä olevat rajoittavat toimenpiteet tulisi purkaa vasta sitten, kun kyseiseltä järjestelmätoimittajalta on saatu uskottava selvitys siitä, että sen järjestelmiin päässeen ulkopuolisen tahon pääsy on estetty. Tässä vaiheessa myös kaikkien etäyhteyksin tunnistamiseen liittyvät salasanat ja avaimet tulee ehdottomasti vaihtaa. Hyvä tapa on myös pyytää toimittajalta kirjallisessa muodossa loppuraporttia tapauksesta niiltä osin kun tapaus koskee organisaatiota itseään. Mikäli tapauksen selvittely on tuonut asiakasyritykselle kustannuksia, on hyvä tarkastella asiaa myös kyseisen palveluntuottajan sopimukseen liittyvästä kaupallisesta näkökulmasta. Onko palvelutuottaja sopimuksen perusteella vastuussa näistä kustannuksista?