Maailman kyberturvallisuustilanne on muuttunut niin radikaalisti, ettei kyber- ja tietoturvan päivittäminen voi olla vain teollisuuslaitoksen IT-osaston harteilla. Prosessiturvallisuuden ja ICT-asiantuntijoiden on tärkeää tehdä yhteistyötä.

EU:n NIS2-direktiivi asettaa uusia vaatimuksia

EU:n NIS2-direktiivi asettaa monille teollisuudenaloille uusia tietoturva- ja kyberriskien hallintavaatimuksia. Samalla on käynyt selväksi, ettei kyberriskien ja prosessiturvallisuuden yhteensovittaminen ole yksinkertaista. Usein luotetaan liikaa siihen, että IT-osasto huolehtii kyber- ja tietoturvaan liittyvät asiat yksin ilman automaatiojärjestelmän asiantuntijan näkemystä.

Teollisuusprosessien kyberturvallisuus vaatii yhteistyötä

Todellisuudessa teollisuusprosessien kyberturvallisuus on aihe, jota yksikään IT-johtaja ei pysty hallitsemaan yksin. IT-osasto vastaa ennen kaikkea yhtiön hallinnollisten tietojärjestelmien tietoturvallisuudesta. Automaatiojärjestelmien kyberturvallisuus on osa prosessiturvallisuutta, ja sen riskejä ja vaikutuksia tulisi arvioida yhteistyössä eri asiantuntijoiden kanssa

Olemme ottaneet teollisuuden riskienhallinnassa tehtäväksemme saada tehtaan prosessi- ja automaatioasiantuntijat sekä IT-osaston väen juttelemaan keskenään. Lisäksi saman pöydän ääreen olisi saatava pääkonttorin edustaja, joka loppukädessä vastaa vaatimusten noudattamisesta. Yhdessä pystytään määrittelemään NIS2-vaatimukset ja tarvittava kyberturvallisuuden taso, jotta kriittisten toimintojen kyberturva on huomioitu.

Liika luottamus on kyberturvan vihollinen

Olemme tottuneet elämään maailmassa, jossa luotetaan siihen, että yhteistyökumppanit, työntekijät ja järjestelmät toimivat aina hyvässä uskossa ilman pahantahtoisuutta. Esimerkiksi järjestelmien suojauksia ei välttämättä pidetä prioriteettina, koska ajatellaan, että ”emme ole kiinnostava kohde” tai ”täällä kaikki ovat rehellisiä”.

Aina ei myöskään tarvitse ajatella pahinta. Teollisuusympäristössä ja automaatiojärjestelmissä toimii Trust but verify -ajattelu, mikä korostaa, että luottamus on ansaittava ja varmennettava jatkuvalla valvonnalla ja testauksella. Vaikka kyberhyökkäykset eivät aina vaaranna prosessiturvallisuutta suoraan, ne voivat johtaa prosessin alasajoon, mikä aiheuttaa merkittäviä kustannuksia.

Onkin tärkeää hahmottaa kokonaiset prosessit, joiden varassa teollisuuslaitos toimii, ja noudattaa systematiikkaa muutostenhallinnassa:

1. Rajoittaa sitä, kuka saa tehdä muutoksia.
2. Kirjata ja jäljittää muutokset.
3. Tarkastaa vaikutukset: miten prosessi toimii muutosten jälkeen.

Käytännössä tämä toteutuu esimerkiksi ohjauslogiikan uudelleenohjelmoinnin yhteydessä seuraavasti:

1. Muutoksia saa tehdä vain valtuutettu insinööri, jolla on tarvittava koulutus ja käyttöoikeudet (Luottamus).
2. Muutoksen jälkeen järjestelmä tallentaa kaikki päivitykset lokiin, ja toinen asiantuntija käy ne läpi varmistaakseen, että työ on suoritettu asianmukaisesti (Tarkistus).
3. Ennen tuotannon jatkamista uusi logiikka testataan simulaattorilla tai tuotannossa pienessä mittakaavassa, jotta voidaan varmistaa logiikan toimivuus ilman riskejä (Varmennus).

Kyberhygienia on uusi ”turvakypärä”

Kyberhygieniakäytännöt ovat perustason tietoturvakäytäntöjä. Nämä toimintatavat voivat tuntua aluksi turhanpäiväisiltä, mutta kyse on ennen kaikkea muutokseen tottumisesta. Esimerkiksi työturvallisuuden kannalta vain 10 vuotta sitten tuntui turhauttavalta laittaa turvakypärä ja suojaliivi päälle aina tehtaaseen saavuttaessa. Nyt sitä ei kyseenalaista enää kukaan.

Olemme päässeet usealla turvallisuuden osa-alueella isoja askelia eteenpäin, ja nyt kyberturvallisuus aloittaa samalla polulla. Aluksi voi tuntua työläältä vaatia huoltopäällikköä käyttämään erillistä käyttäjätunnusta ylläpitotehtäviin tai odottaa tutun palveluntarjoajan noutavan kulkuluvan aina tehtaalle saapuessaan. Saattaa myös mietityttää, kehtaako poikkeamista raportoida, kun poikkeaman tekee esihenkilöasemassa oleva?

Nämä asiat ovat kuitenkin välttämättömiä muutoksia, jotta tuotantoprosessien tietoturva olisi kattava. Myös riskienhallintaan tarvitaan uusi näkökulma. Kyberuhkat tulee lisätä perinteiseen prosessiriskienarviointiin, ja ne tarvitsevat hieman erilaisen tarkastelun ja kontrollit.

IT-osaston tekemässä NIS2-vaatimustenmukaisuudessa piilee se vaara, että käymme läpi vain hallinnolliset tietojärjestelmät ja niihin kohdistuvat tieto- ja kyberturvavaatimukset. Mitä jos emme peilaa vaatimuksia riittävästi automaatiojärjestelmään ja prosessiturvallisuuteen? Kiristyshaittaohjelma, joka aiheuttaa toimiston puolella joidenkin tiedostojen menettämisen, voi tuotantoprosessissa merkitä tuotannon menetystä, turvallisen toiminnan vaarantumista ja pahimmassa tapauksessa henkilövahinkoa.

Turva-automaatio ei suojaa prosesseja kyberuhkilta

Maailman kyberturvallisuustilanne on muuttunut niin radikaalisti, ettei mikään prosessi ole täysin aukoton. Turva-automaatiojärjestelmä ei pysty pelastamaan tilannetta, jos sitä ei ole suunniteltu kyberhyökkäysten ja -vikatilanteiden varalle. Mikä varmistaa turvallisen toiminnan, jos kaikkia riskejä, myös kyberriskejä, ei ole huomioitu?

Kriittisiä järjestelmien suojauksia on arvioitava uusilla tavoilla, ja kyberturvallisuuden vaikutuksia prosessiturvallisuuteen pitää uskaltaa tarkastella riittävän kattavasti. Kyberriskien tunnistamisen lisäksi on tärkeää määritellä, mikä on yrityksen todellinen riskinsieto- ja palautumiskyky. Sama asia voi olla yhdelle hyväksyttävä riski ja toiselle katastrofi.

Riskienhallinnan kautta löydetään sopivat kontrollit ja varautumiskeinot ei toivotuille tapahtumille. Oikea suojautumisen taso löytyy eri alojen asiantuntijoiden ja johdon kanssa yhdessä.

Autamme tuomaan kyberturvan osaksi prosessiturvallisuutta niin, että suojautuminen on oikealla tasolla kaikissa toiminnoissa.

Sanna-Maria Järvensivu, Security and Safety Specialist, sanna-maria.jarvensivu@sweco.fi

Cris Puchner, Head of Security, cris.puchner@sweco.fi