Kyberturvallisuuden vaatimukset tiukentuvat – Tiedätkö, mitkä kyberriskit ovat teollisuuslaitoksesi kannalta tärkeimpiä?

Kyberturvallisuus ei koske vain teollisuuslaitoksen tietoturvaa, vaan kaikkea toiminnan jatkuvuuden varmistamista. Myös uusi NIS2-direktiivi vaatii pistämään riskienhallinnassa isompaa vaihdetta silmään.

Yhteiskuntaan kohdistuvat uhkakuvat ja haasteet ovat muuttuneet viimeisen kymmenen vuoden aikana. Tämän takia toimijoita velvoittaa kriittisillä toimialoilla pian EU:n uusi kyberturvallisuuden NIS2-direktiivi. Se muuttaa monien asiakkaidemme, kuten elintarviketeollisuuden ja energiasektorin, riskienhallinnan vaatimuksia. Teollisuustoimijoiden on aika pistää riskienhallintaprosessit ajan tasalle.

Riskiarviointi koostuu neljästä vaiheesta:

1. Tunnistetaan arvokkain tieto-omaisuus ja sen käsittelytavat.
2. Arvioidaan erilaisten uhkien seurauksia sekä seurausten todennäköisyyttä ja vakavuutta.
3. Todetaan toiminnan kannalta kriittisimmät riskit ja suunnitellaan toimenpiteet.
4. Seurataan riskejä maailman muuttuessa.

Riskiarviointi onkin paikallaan kaikissa muutostilanteissa, oli kyseessä sitten uuden laitoksen suunnittelu, olemassa olevan laitoksen päivitys tai yksittäinen automaatiojärjestelmän tai muun kriittisen järjestelmän päivitys.

Mitkä ovat pahimpia kyberuhkia juuri nyt?

Teollisuuslaitosten kyberturvallisuuden kannalta suurimpia riskejä ovat tällä hetkellä tietomurrot (sisältäen vakoilun) ja kiristyshaittaohjelmat. Kyseessä on maailmanlaajuisesti valtava bisnes, jonka arvo vastaa vuosittain maailman kolmanneksi suurinta taloutta, heti Yhdysvaltojen ja Kiinan jälkeen.

Kiristyshaittaohjelmilla voidaan tähdätä liiketoiminnan häiritsemiseen, teollisuuslaitoksen pysäyttämiseen tai jopa yhteiskuntajärjestyksen horjuttamiseen. Häirintäkampanjahan voi kohdistua esimerkiksi koko energiasektoriin tai vesilaitoksiin. Haitat ovat yritystasollakin merkittäviä. Koneita ei saada käyntiin, ennen kuin lunnaat on maksettu tai koneiden hallinta ja tiedot palautettu muilla keinoilla.

Myös arkisempia kyberturvallisuusriskejä riittää, ja niitä ovat esimerkiksi etäkäyttöön kohdistuvat uhat. Jos järjestelmä tarjoaa käyttäjälleen väärää tietoa, prosessia ohjataan väärin ja turva-automaatio voi pakottaa tehtaan alasajon. Ongelmia voi aiheuttaa myös tukevien järjestelmien, kuten kylmä- ja pakkastilojen lämpötilanhallinnan, etäohjaus ilman riittävää tietoturvaa.

Laitossuunnittelija on paras kyberturvallisuuskonsultti

Kyberturvallisuus ei tarkoita vain tietoturvaa ja tiedon suojaamista, vaan myös teollisuuslaitoksen fyysisten laitteiden, teknisten järjestelmien ja tuotantoprosessien turvaamista – eli toiminnan jatkuvuuden varmistamista. Siksi kyberturvallisuuden vaatimukset pitäisi huomioida jo laitossuunnittelun yhteydessä.

Laitoksen suunnittelija onkin usein hyvä kyberturvallisuuskonsultti.  Kun Sweco vastaa sekä laitoksen prosessien että turvallisuuden suunnittelusta, riskiarviointi tehdään kattavammilla lähtötiedoilla. Hallitsemme siis riskejä yhdessä prosessisuunnittelijoiden kanssa. Riskiarviointeja myös tarkennetaan suunnittelun edetessä, kuten laitetoimittajia valittaessa.

Kyberturvallisuus kattaakin parhaimmillaan fyysiset ohjauslaitteet, verkkokomponentit, tärkeät tiedot ja IPR-oikeudet sekä tuotannolliset ja hallinnolliset prosessit. Laaja-alainen yhteistyö yhdistää riskiarvioissa kyberturvallisuuden laitoksen toiminnalliseen ja prosessiturvallisuuteen.  Monimuotoisella osaamisella takaamme kokonaisvaltaiset riskiarviot laitoksen elinkaaren kaikissa vaiheissa.

Riskienhallinnassa tärkeintä on tietää

Kyberriskien hallinnassa ei ole olemassa sellaista vaihtoehtoa, että voisi vain pistää päänsä pensaaseen ja leikkiä onnellisen tietämätöntä. Maailmantilanne vaatii, että olemassa olevat kyberuhkat tunnistetaan ja niiltä suojaudutaan sopivilla toimenpiteillä. Jäännösriskitkin saadaan hallintaan oikeanlaisella jatkuvuussuunnittelulla.

Ennen kuin pääsemme sinne asti, on selvitettävä laitoksen kyberturvallisuuden nykytilanne eli mitä kaikkea halutaan suojata ja millä keinoilla se onnistuu. Sen jälkeen kyberturvallisuuden kehittämiselle pystytään asettamaan realistiset tavoitteet oman riskinottokyvyn ja -halun mukaan.

Laaja-alainen kokemus teollisuushankkeista auttaa meitä ymmärtämään, millaisia uhkia erityyppisiin laitoksiin kohdistuu ja kuinka niihin vastataan. Emme ehdotakaan turvallisuusteknologian hankintaa kaikille samalla sapluunalla, vaan autamme riskienhallintaa hyödyntämällä käyttämään rajalliset resurssit sellaiseen teknologiaan ja prosesseihin, joista on konkreettisesti eniten hyötyä.

Kirjoittaja Cris Puchner toimii Swecolla kyberturvallisuuden ja riskienhallinnan asiantuntijana. Ole yhteydessä cris.puchner@sweco.fi