GxP-valvontajärjestelmien kyberturvallisuuteen liittyviä kysymyksiä ja vastauksia

GxP-valvontajärjestelmien kyberturvallisuus
Life Science
Tervetuloa GxP-valvontajärjestelmän kyberturvallisuus ‑webinaarimme kysymys- ja vastausistuntoon. Tässä videossa GxP-säädösten asiantuntijamme Paul Daniel vastaa kysymyksiin, joihin emme ehtineet vastata webinaarin aikana. Jos et päässyt mukaan live-webinaariin, voit katsoa sen nyt. 
 
Jos sinulla on lisää kysyttävää, kirjoita kysymyksesi kommenttiosioon videon suomennoksen alapuolella.

[00:00:05] Hei, ja tervetuloa tähän Vaisalan videoblogiin. Tämänkertaisessa blogissamme vastaamme kysymyksiin, joita saimme hiljattaisen GxP-valvontajärjestelmän kyberturvallisuutta käsittelevän webinaarimme aikana.
 
Kysymyksiin on vastaamassa säännösasiantuntijamme Paul Daniel ([email protected]).
 
Ensimmäinen kysymys:
 
"Minun täytyy käyttää monia erilaisia järjestelmiä, joilla kullakin on eri salasana. Voinko hallinnoida GMP-tilojen salasanojani salasanojen hallintaohjelman avulla?"
Paul: Minä suorastaan rakastan salasanojen hallintaohjelmia ja käytän sellaista itsekin. Sellaisen avulla saan monimutkaiset, turvalliset salasanat kaikille verkkotileilleni, mutta minun tarvitsee muistaa vain yksi salasana – se, jolla pääsen hallintaohjelmaan. En ole kuitenkaan koskaan ajatellut tällaisen ohjelman käyttöä töissä, koska useimmat järjestelmämme käyttävät kertakirjautumista (single-sign-on, SSO) tai Active Directory ‑palvelua. Oletan, että jos työskentelet suuressa yhtiössä, teilläkin on käytössä kertakirjautuminen eikä sinun tarvitse muistaa suurta määrää salasanoja. Pienessä yrityksessä tällainen tilanne saattaa kuitenkin tulla eteen. En näe mitään periaatteellista ongelmaa salasanojen hallintaohjelman käytössä GMP-salasanoille, kunhan
 
  • salasanojen monimutkaisuusvaatimukset täyttyvät
  • et jaa salasanoja
  • et kirjoita salasanoja paperille.
Koska salasanat tallennetaan virtuaalisesti hallintaohjelmaan, joka on monimutkaisella salasanalla suojattu ympäristö, noudatat teknisesti GMP-vaatimusten henkeä. Tässä saattaa kuitenkin tulla logistisia ongelmia, sillä salasanojen hallintaohjelma täytyy asentaa työasemaasi. Tämä voi rikkoa yrityksesi käytäntöjä. On parasta ottaa asia puheeksi laatu- ja IT-ryhmien kanssa ja katsoa, mitä he sanovat.
 
Seuraava kysymys:
 
"Lisääntyykö hakkeroiduksi tulemisen riski pilvipohjaisessa valvontajärjestelmässä? Onko tietoturva pilvessä parempi vai huonompi?"
Paul: Tämä on laaja kysymys, koska käytössä on niin monentyyppisiä pilviä, että on vaikea tietää, mistä aloittaa. Yleisesti ottaen tietoturva pilvipalvelussa on parempi. Rajataanpa vastauksen laajuutta vähän ja puhutaan ohjelmistoista palveluna (SaaS), joissa sovellusta käytetään julkisessa pilvipalvelussa, kuten Microsoft Azuressa tai Amazon Web Servicesissä (AWS).
 
Riskisi pienenee, koska huomattava osa infrastruktuurista ja ohjelmoinnista tulee suoraan Amazonilta tai Microsoftilta. Niillä on enemmän resursseja, kokemusta ja osaamista kuin keskimääräisellä IT-osastolla, erityisesti tietoturvan suhteen.
 
Toisaalta riski pysyy samana, koska sinun täytyy edelleen varmistaa, että oma pilvityökalutoteutuksesi on turvallinen. Loppupelissä sinun täytyy noudattaa neljää tietoturvan peruskäytäntöä, joita käsittelimme webinaarissamme:
 
  • hyvien salasanakäytäntöjen noudattaminen
  • tietoturvaominaisuuksien vaatiminen toimittajilta käyttäjävaatimusasiakirjoissa
  • pätevien toimittajien valinta ja auditointi
  • varmuuskopioinnin, palautuksen ja hallinnan parhaiden käytäntöjen noudattaminen.
Kaiken kaikkiaan pilvipalvelut ovat todennäköisesti turvallinen valinta, mutta hyviä käytäntöjä täytyy silti noudattaa. Jos taas puhutaan infrastruktuuri palveluna ‑tyyppisestä pilvipalvelusta, olet itse vastuussa palvelinkäyttöönotostasi ja kaikista siihen liittyvistä näkökulmista. Tässä tilanteessa riski ei ole yhtä pieni kuin SaaS-palveluissa mutta kuitenkin todennäköisesti pienempi kuin perinteisessä paikallisessa järjestelmässä.
 
Seuraava kysymys:
 
"Teollinen esineiden Internet (IIoT) saa ihmiset hermostuneeksi, koska se saa järjestelmät hyppäämään useiden Purdue-mallin tasojen yli eli tasolta 2 suoraan Internetiin. Mitä sellaista voisit kertoa, mikä rauhoittaisi mieltäni IIoT:n suhteen?"
Paul: Jos kuulit nyt Purdue-malleista ensimmäisen kerran, niin kuin minä, ihmettelet ehkä, mistä on kyse. Purdue-malli (Purdue Enterprise Reference Architecture, PERA) on periaatteessa tapa jäsentää teollisuuden ohjausjärjestelmä erottelemalla sen osat tasoiksi. Esimerkiksi tuotantolinjan ohjaimet ja anturit ovat kakkostasolla. Internet taas on paljon korkeammalla, tasolla viisi. Tässä kysymyksessä siis periaatteessa kysytään: "Jos käytän IIoT:tä, avaanko portin Internetin ja tuotantolinjan välille?"
 
Täytyy sanoa, että minustakin tämä kuulostaa riskialttiilta. Webinaarissamme oli kyse monimutkaisen palvelinpohjaisen järjestelmän suojaamisesta kyberhyökkäyksiltä. Meillä on ohjelmistossamme – eli viewLinc-olosuhdevalvontajärjestelmässä – paljon resursseja, joilla voimme helposti korjata mahdolliset virheet.
 
IIoT:ssä on kuitenkin mukana paljon kolmannen osapuolen laitteita, joilla ei ole tällaisia resursseja tietoturvan hallintaan tai päivitettävyyteen. Minustakin altistamme tällaiset laitteet mahdollisille Internetin kautta tapahtuville hyökkäyksille. En usko, että osaan sanoa mitään, mikä rauhoittaisi mieltäsi IIoT:n suhteen, koska en itsekään ole täysin levollisin mielin. Niin kauan kuin IoT-laitteiden tietoturvakäytäntöjä ei ole standardoitu, mielestäni riski on yksinkertaisesti liian suuri. Pidän verkottuneiden laitteiden ajatuksesta, ja yksityisessä verkossa toteutettavat yhteydet ovat hyvä tapa tehostaa tuottavuutta. Ajatus Internetin suuntaan avoimista kriittisistä teollisuuslaitteista on kuitenkin pelottava.
 
Epäilemättä näemme edistysaskelia tällä rintamalla lähivuosina. Internet-tietoturvaltakin kesti yli 30 vuotta päästä nykyiselle tasolle. IIoT-tietoturva tarvitsee vain vähän aikaa saadakseen sen kiinni.
 
Viimeinen kysymys:
 
"Maksaako Vaisala tietoturvayrityksille viewLincin haavoittuvuuksien auditoinnista tai tarjoaako yhtiö palkkioita löydetyistä ohjelmistovirheistä?
Paul: Ei. Vaisalalla ei ole minkäänlaista järjestelyä, jossa se maksaisi järjestelmästämme löydetyistä virheistä. Kyllä, käytämme ulkoisia tietoturvakonsultteja, jotka auditoivat järjestelmiämme ja auttavat meitä tunnistamaan heikkoudet ja parantamaan ohjelmistoamme. Viimeisimmät tietoturvapäivityksemme liittyivät neljään ongelmaan, jotka löytyivät tietoturvakonsulttiyrityksen avulla. En yleensä kuvailisi tätä haavoittuvuuksien etsimiseksi vaan ohjelmistomme parantamiseksi. Olisi väärin sanoa, että palkkasimme heidät etsimään haavoittuvuuksia.

Yhteenveto: Kiitos teille kaikille, jotka osallistuitte live-webinaariimme! Jos katsot webinaaritallennetta ja sinulla on kysymyksiä, lähetä sähköpostia Paulille tai jätä kommenttisi alla oleviin kenttiin.
Voit lukea lisää viewLinc 5.1:n tietoturvapäivityksistä täältä.
 
 

Avaruuden olosuhteet kestävää mittausteknologiaa

Miten GxP-mittaus- ja ‑valvontaprosessisi voivat hyötyä Vaisalan avaruudenkestävästä teknologiasta? Lue lisää siitä, miten Vaisalan ratkaisuja käytetään NASAn Mars-tutkimusohjelmassa.

Katso nyt

 

Kirjoita kommentti