Teollisuudessa kyberturvallisuus ei tarkoita ensisijaisesti tietovuotoja tai lunnaita, vaan hallitsemattomia prosessipysäytyksiä, vaaratilanteita ja mahdollisia sopimussanktioita. Uudet Euroopan unionin NIS 2 kyberturvallisuusdirektiivin (Direktiivi (EU) 2022/2555) mukaiset vaatimukset kohdistuvat kokonaisvaltaiseen riskinhallintaan, kyberturvallisuuden vaikutuksiin ydinliiketoimintaan ja johtotason vastuuseen.
Kyberturvallisuus ymmärretään parhaiten toimintaympäristöjen tietojärjestelmissä ja tietosuoja-asetuksen (GDPR) kautta. Tehdashalliin siirtyessä asetelma kuitenkin muuttuu tuotantoverkkojen (OT) ja siellä olevien laitteiden kautta. Riskinä on, että IT ja OT siiloutuvat. Vasta kun IT, OT ja johto pelaavat samaan maaliin, kyberturva kestää myös todelliset kriisitilanteet.
– Kyberturvallisuuden riskinarvioinnissa on totuttu tarkastelemaan taloudellisia menetyksiä: mitä maksaa, jos tieto päätyy vääriin käsiin tai henkilötietoja vuotaa. Riskille annetaan hintalappu, ja sen perusteella päätetään, mikä riski on hyväksyttävissä ja tarvitaanko lisäsuojausta. Teollisuudessa logiikka on toinen. Rahallisten seurausten sijaan puhutaan ihmishengistä, ympäristökatastrofeista tai tuotannon häiriöistä. Kyse on erilaisesta uhasta, jota ei voi käsitellä perinteisen kyberriskin tapaan, painottaa Swecon kyber- ja prosessiturvallisuusasiantuntija Sanna-Maria Järvensivu.
Toiminnan jatkuvuus on kyberturvallisuuden yksi päätavoitteista, kuinka ja miten nopeasti saamme normaalin toiminnan käyntiin kyberhyökkäyksen jälkeen. Teollisen prosessin ylösajo voi kestää viikkoja ja hallitsematon alasajo voi aiheuttaa tuotantomenetyksiä, laiterikkoja tai jopa ympäristövahinkoja. Pahimmissa tapauksissa vaarassa ovat myös työntekijöiden turvallisuus ja koko toimitusketjun jatkuvuus.
Eri elinkaaren vaiheessa olevat järjestelmät ovat teollisuuden akilleenkantapää
Teollisuuden prosesseja ohjaavat järjestelmät ovat kriittisiä tuotannon jatkuvuudelle – ja samalla ne muodostavat houkuttelevan kohteen kyberhyökkäyksille, varsinkin vanhemmat järjestelmät.
IT-maailmassa järjestelmien elinikä mitataan usein muutamissa vuosissa, kun taas teollisuuden laitteet ja logiikat pyörivät parhaimmillaan vuosikymmeniä. Monien ohjausjärjestelmien luotettavuus on hyvä, mutta ne on otettu käyttöön ennen kuin kyberturvallisuus on noussut otsikoihin. Järjestelmät voivat olla osa kriittistä prosessia, ja koska päivitykset eivät tuo riittävää suojaa tai niitä ei voi päivittää, tulee miettiä korvaavia suojatoimia. Samaan aikaan etäyhteydet ja datan hyödyntäminen avaavat uusia ovia: toimittajat tarvitsevat pääsyn lokitietoihin ja kunnossapidon analytiikkaan. Usein yhteydet avataan ilman hallittua prosessia ja kokonaisvastuu jää epäselväksi. Tämä tekee riskienhallinnasta haastavan.
– Turva-automaatio on pitkään nähty varmana kerroksena, joka pysäyttää prosessin turvallisesti poikkeustilanteessa. Viime vuosien esimerkit ovat kuitenkin osoittaneet, että myös turva-automaatiojärjestelmät voidaan murtaa. Kun hyökkääjä pääsee sisään, tehdas voidaan pysäyttää ja seurauksena voi pahimmillaan olla räjähdys tai muu vakava vaaratilanne, Swecon tiimipäällikkö ja kyberturvallisuusarkkitehti Konsta Karttunen toteaa.
– Tärkeintä on tiedostaa, että haavoittuvuuksia on olemassa ja pohtia tarvitaanko lisäsuojauksia, uusia toimintatapoja vai jotain muuta, Karttunen jatkaa.
Hyvin toteutetussa omaisuuden hallinnassa arvioidaan mitä laitteita verkkoon on kytketty, missä kunnossa ne ovat ja millaista tietoa ne käsittelevät. Nämä ovat riskinhallinnan lähtökohtia, kun luodaan kuva yrityksen nykytilasta ja mitä toimenpiteitä, hallinnollisia tai teknisiä, tarvitaan, että ydinliiketoiminta voi jatkua keskeytyksittä.
Yhteistyöllä vältetään teollisen prosessin ja tietoturvan katvealueet
Teollisuuden kyberturvallisuus rakentuu vain silloin, kun luotettava ja turvallinen prosessi, tietoturvan vaatimukset ja johdon vastuut yhdistyvät yhdeksi kokonaisuudeksi. Jos IT ja OT toimivat siiloissa, todelliset riskit jäävät tunnistamatta. Vain avoin vuoropuhelu takaa sen, että kaikki näkökulmat – tekninen suojaus, prosessien jatkuvuus ja liiketoimintavastuu – otetaan huomioon.
Tilannetta vaikeuttaa osaajapula. Kyberturvallisuuden asiantuntijoista on jo nyt huutava pula, ja erityisesti teollisuuden OT-ympäristöön erikoistuneita osaajia on vähän. Tämä tekee yhteistyöstä entistä tärkeämpää: riskienhallinta on yhteistyötä kyberturva-asiantuntijan sekä IT-osaston ja automaation kanssa. Lisäksi johdon tuella on merkittävä rooli.
– Paras tilanne syntyy, kun joku uskaltaa sanoa: en ymmärrä. Se avaa keskustelun, jossa IT, OT ja johto voivat yhdessä rakentaa oikeanlaisen kyberturvamallin – sellaisen, joka toimii myös poikkeustilanteessa, Järvensivu muistuttaa.
Riskienhallinnan lisäksi yrityksen tulee kyetä havaitsemaan tietojärjestelmien tilaa. Poikkeavuuksien tunnistaminen voi olla hallinnollista, kuten säännöllisiä tarkastuksia ja prosessien auditointia, tai teknistä, kuten valvontajärjestelmiä, raja-arvojen seurantaa ja automaattisia hälytyksiä. Ilman selkeää havaitsemiskykyä uhka voi jäädä näkymättömiin pitkäksi aikaa, jolloin sen vaikutukset moninkertaistuvat riskin realisoituessa. Lisäksi NIS 2:n myötä lainsäädäntö vaatii poikkeamien raportointia.
Poikkeaman jälkeinen toipuminen ja toiminnan palauttaminen on tuotannon, IT:n ja hallinnon yhteistyötä. Tarvitaan suunnitelma, miten prosessin ylösajo tehdään turvallisesti, mitä tietoja tarvitsee palauttaa, onko kriittistä tietoa menetetty, kuka vastaa mistäkin toiminnosta, ja niin edelleen. Toipumiskyky ratkaisee, kestääkö seisokki tunteja, päiviä vai viikkoja – ja samalla sen, kuinka suuriksi taloudelliset ja turvallisuusriskit kasvavat. Näitä toimenpiteitä tulisi myös harjoitella kuten tulipalotilannettakin.
NIS 2-direktiivi pakottaa viemään kyberturvan paperilta käytäntöön
Uusi kyberturvallisuuslaki ja NIS 2-direktiivi tuovat teollisuusyrityksille uusia velvoitteita. Vastuu ei ole tietohallinnolla tai tehdaspäälliköllä, vaan viime kädessä toimitusjohtajalla. Se tuo kyberturvan samalle viivalle muiden strategisten riskien kanssa.
– Suurin osa NIS 2-vaatimuksista on hallinnollisia perusasioita – riskienhallintaa, toipumissuunnitelmia ja toimitusketjun arviointia, joiden soisi olevan jokaisella yrityksellä jo hallussa. Direktiivin tarkoitus ei ole tavoitella kuuta taivaalta, vaan nostaa peruskyberturvallisuuden tasoa. Usein jo pelkkien perusasioiden hoitaminen riittää sulkemaan pois suuren osan uhista, Karttunen toteaa.
Todellinen kyberturva syntyy toimintatavoista:
– Vuoropuhelu ratkaisee. Yhdistämällä IT:n ja OT:n osaaminen tunnistetaan todelliset riskit ja ratkaisut voidaan sovittaa prosessin tarpeisiin.
– Johto vie asiat käytäntöön. Varmistamalla, että politiikka jalkautuu arkeen, johto muuttaa suunnitelmat koko organisaation turvaksi.
– Riskinarviointi on kaiken perusta. Tekemällä systemaattisen riskien arvioinnin investoinnit kohdistuvat oikeisiin kohtiin ja myös kriittisimmät uhat tulevat hallituiksi.
Swecon vahvuus on teollisuus- ja kyber-turvaosaamisen yhdistäminen, mikä tukee asiakkaita NIS2-vaatimusten täyttämisessä.
Lue lisää kyberturvan vahvistamisesta
Tai ota yhteyttä
