27/06/2025

Reading time: 4min

KK

Konsta Karttunen

ICT-suunnittelulla suojataan tehtaita kyberuhkilta

Kyberturvallisuus ICT-suunnittelu

Kyberturvallisuus koskettaa lähes kaikkia teollisuuslaitoksia, koska prosessit vaativat ohjaus- ja turva-automaatiojärjestelmien luotettavaa toimintaa. ICT-suunnittelua tarvitaankin teollisuudessa yhä enemmän.

Valtiolliset toimijat ja kyberhyökkäykset

Teollisuuslaitosten OT-järjestelmien ajatellaan olevan IT-järjestelmiä paremmassa turvassa mahdollisilta uhilta, kuten IT puolen haittaohjelmilta tai esimerkiksi rikollisilta toimijoilta. Osittain tämä onkin totta: tarvittavaa osaamista teollisuuden älykkäiden ohjausjärjestelmien (ICS, Intelligent Control Systems) häirintään ei ole monella. Useimmissa tapauksissa haitallinen toimija ei osaa hahmottaa järjestelmää, johon on saanut pääsyn.

Riskit ovat kuitenkin kasvaneet. Vaikka moni järjestelmään murtautuja joutuu OT-ympäristössä ymmälleen, häirinnän takana voi olla valtiollinen toimija, jolle kustannukset tai osaaminen eivät ole ongelma. Lisäksi pelkällä ”paikkojen rikkomisella” voi olla teolliselle toiminnalle vakavat seuraukset. Myös vahinkoja voi sattua, väärien parametrien syöttämisellä järjestelmään voi olla yhtä kohtalokkaat seuraukset. Toimintaympäristö on aivan toinen kuin viisi vuotta sitten.

Muutoksen taustalla on pitkälti Venäjän hyökkäys Ukrainaan, mutta myös teknologia kehittyy. OT-järjestelmissä käytetään yhä enemmän samoja komponentteja kuin toimistokoneiden IT-järjestelmissä. Lisäksi harvan prosessin ohjaus onnistuu ilman tuotannosta saatavaa dataa: teollisuusautomaatio ja ICT-järjestelmät nivoutuvat yhä tiukemmin yhteen.

Kyberturvallisuudesta on tullut asia, joka pitäisi ottaa huomioon prosessien riskienarvioinneissa.

IT- ja OT-järjestelmien kyberturvallisuudessa on eroja

IT- ja OT-järjestelmiä uhkaavien kyberriskien käsittely on erilaista. Karrikoiden voi sanoa, että siinä missä IT-osasto voi napata viruksen sisältävän läppärin kainaloonsa ja ”puhdistaa” sen, OT-järjestelmien siivous ei ole yhtä suoraviivaista. Teollisuuden ICT-järjestelmät ovat sidoksissa tehtaan toimintaan. Jos prosessi ei pyöri, tuotanto pysähtyy tai tuote tulee ulos vääränlaisena.

Erilaiset tilanteet aiheuttavat teollisille prosesseille erilaisia riskejä. Monen OT-ongelman käsittelyn voi suhteellisen turvallisin mielin siirtää vuoden päässä häämöttävään huoltokatkoon, jos poikkeamien hallinnan prosessit ovat kunnossa. ICT- ja kyberuhkat on pystyttävä käsittelemään niiden vakavuuden mukaan. Se ei onnistu, jos riskejä ei tunneta.

Riskien kokoluokka kasvaa, jos kyberuhka koskettaa tehtaan turva-automaatiota. Silloin tarvitaan IT-osaston ja laitoksen prosessiturvallisuuden vuorovaikutusta, ja me konsultitkin yhdistämme toiminnallisen ja kyberturvallisuuden osaamista.

NIS2-direktiivi korostaa turvallisuustilanteen muutosta

Turvallisuusympäristön muuttuminen näkyy lainsäädännössä. Sota Euroopassa on saanut valtiot kiinnittämään huomiota kriittisen infran suojaamiseen. Myös NIS2-direktiivi vaatii teollisuutta suojaamaan toimintaansa kyberuhkilta, ja kyberturvallisuusriskien arviointeja vaaditaan osana kemikaaliluvitusta ja kattilalaitosten vaaranarviointeja.

Teollisuudessa tarvitaankin yhä enemmän ICT-suunnittelua ja tietoturvariskien hallintaa. Seurauksista pahimpia eivät ole ylimääräiset kustannukset tai prosessien hidastuminen. Luvaton toiminta OT-ympäristössä voi aiheuttaa räjähdysvaaran ja uhata ihmishenkiä.

Riskit voivat heijastua myös teollisuuslaitoksen liiketoimintaan ja asiakkuuksiin. Esimerkiksi Naton kaltaisen toimijan yhteistyökumppaneilta odotetaan, että kyberturvallisuusriskit on tunnistettu ja arvioitu.

Kyberuhkia voi pienentää ilman kalliita laite- tai järjestelmähankintoja

Kyberuhkia voi pienentää ilman mittavia laite- tai järjestelmäinvestointeja. Alkuun riittää, ettei ole se kaikkein helpoin kohde. Kyberturvallisuutta voi lähteä perkaamaan hallinnolliselta tasolta. Kun riskit on kartoitettu, hallintatoimet on helpompi kohdistaa. Kyberturvaa voi kasvattaa vähitellen.

  1. Selvitä oman teollisuudenalasi viranomaisten kyberturvallisuusvaatimukset. Esimerkiksi NIS2-direktiivi vaatii lainsäädännön piiriin kuuluvilta toimijoilta rekisteröitymistä.
  2. Selvitä nykytilanne esimerkiksi gap-analyysillä. Se auttaa tunnistamaan, minkälaista osaamista ja toimenpiteitä tarvitaan.
  3. Panosta vuoropuheluun. Tehokas suojautuminen vaatii IT- ja OT-järjestelmien yhteensovittamista sekä koko toimintaympäristön ymmärtämistä.

Sweco ei ole geneerinen IT-talo, vaan yhdistämme kyberturvallisuusosaamisen vankkaan teollisuuden prosessisuunnitteluosaamiseen.

Seuraa blogejamme syksyn aikana, niin pääset kiinni kyberturvallisuuden eri näkökulmiin! Tulossa on asiaa esimerkiksi toiminnallisesta turvallisuudesta, fyysisestä turvallisuudesta ja fyysisen tietoliikenneverkon suunnittelusta.

Konsta Karttunen, kyberturvallisuusarkkitehti, konsta.karttunen@sweco.fi

Tutustu aikaisempiin blogeihimme!

Teknisen turvallisuuden ja kyberturvallisuuden riskejä on aika arvioida yhdessä

Kyberturvallisuuden vaatimukset tiukentuvat – Tiedätkö, mitkä kyberriskit ovat teollisuuslaitoksesi kannalta tärkeimpiä?

Prosessiturvallisuuden kyberriskien hallinta – IT ja automaatio samassa veneessä

Ole meihin yhteydessä!

  • Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.