Teknisen turvallisuuden ja kyberturvallisuuden riskejä on aika arvioida yhdessä
Ennen teollisuuslaitoksen IT-järjestelmät ja prosessit voitiin pitää riskitarkasteluissa erillään. Enää se ei toimi. Verkottuneessa maailmassa kyberuhkat vaikuttavat tekniseen turvallisuuteen ja toisin päin.
Turvauhkien näkökulmasta maailma on muuttunut. Jo lähes kaikki teolliset prosessit ovat yhteydessä digitaaliseen ympäristöön, kuten erilaisiin automaatio- ja turvajärjestelmiin. Jos esimerkiksi turvatoiminnon on tarkoitus estää kemikaalivuodot, mitä jos joku pääsee peukaloimaan toimintoa ohjaavaa järjestelmää etäyhteydellä?
Ennen se ei olisi ollut mahdollista; tämän päivän maailmassa se mitä todennäköisimmin on, jos suojaukset eivät ole kunnossa. Lukitut ovet ja kulkuluvat eivät enää riitä, kun joku voi saada ”yhdellä napin painalluksella” varmana pidetyn turvatoiminnon pois päältä. Kyberuhkien riskikartoituksella haavoittuvuus olisi voitu huomata ajoissa ja estää.
Kyberturvallisuus ja tekninen turvallisuus ovatkin jo niin tiiviisti yhteydessä toisiinsa, että kyberturvaosaamisen puutteesta on tullut prosessiturvallisuuden riski. Tämä on yksi syy sille, miksi mekin päätimme kirjoittaa tämän blogin yhdessä. Vain teknistä ja kyberturvaosaamista yhdistämällä pystymme varautumaan tämän päivän verkottuneisiin turvauhkiin.
Mikä tahansa teollisuuslaitos on ”kiinnostava kohde”
Globaalit turvauhkat koskevat lähes kaikkea liiketoimintaa, eikä yksikään teollisuuslaitos ole poikkeus. Mikä tahansa laitos voi olla ”kiinnostava kohde”, kun joku aktivisti, tietovaras tai terroristinen ääriliike haluaa tehdä toiminnalle haittaa tai vain saada näkyvyyttä. Ja joskus sattuu vahinkojakin. Väärään kohteeseen osuneen kyberhyökkäyksen seurauksena on menetetty jopa ihmishenkiä.
Yksi monenlaista teollista toimintaa yhdistävä tekijä on kemikaaliturvallisuus. Kyse voi olla vain yhdestä oheistoiminnoissa tarvittavasta nestekaasupullosta tai koko prosessia syöttävästä massiivisesta säiliöstä. Ilkivalta tai turvatoimintojen estyminen voi aiheuttaa esimerkiksi tulipalon, joka leviää laajalle ja johtaa vaikkapa varastoidun kaasupullon räjähdykseen.
Siksi on tärkeää tietää, mitkä ovat oman toiminnan uhkatekijöitä, mitkä todellisia uhkia ja mitkä riskejä, joilla on myös seurauksia.
Miten verkottuneen maailman turvauhkiin voi varautua?
Tukesin opas. Mikäli varastoit kemikaaleja, sinun kannattaa tutustua Tukesin oppaaseen ”Turvauhkiin varautuminen vaarallisten kemikaalien käsittelyssä ja varastoinnissa”. Se antaa tietoa kemikaalilainsäädännöstä ja erilaisista kybervaikuttamisen keinoista. Opas sisältää myös kevyet tarkastuslistat, joilla pääsee alkuun oman toiminnan turvauhkien arvioinnissa.
Riskiarvioinnit. Teollisen toiminnan turvallisuusuhkien arviointiin tarvitaan usein asiantuntija-apua. Voimme toteuttaa kattavan riskiarvioinnin, jossa lähdetään liikkeelle uhkien tunnistamisesta. Jokainen teollisuuslaitoshan on erilainen. Prosessiturvallisuuden HAZOP-tarkasteluun voidaan yhdistää myös kyberuhkien arviointi (SHAZOP).
Riskikatselmoinnit. Kun riskit on tunnistettu, riittää säännöllinen riskikatselmointi. Laitoksen kriittisyydestä riippuen katselmointi voi olla kerran kvartaalissa tai vuodessa sekä aina merkittävien muutosten ja poikkeamien yhteydessä. Säännöllisen tekemisen etuna on, että sykli on kerta kerralta kevyempi. Toiminnan laajuudesta riippuen katselmointi on tuntien tai muutaman päivän työ. Hyötyihin nähden panostus on siis pieni.
Turvallisuus on prosessi. Toimintaympäristö muuttuu koko ajan, joten varautumiskeinot pysyvät oikein mitoitettuina vain, kun tiedetään, miten ajankohtaisia ja todennäköisiä eri uhkat ovat. Esimerkiksi toimialaan kohdistuneet kyberiskut tai rikollisten käyttämien uusien tekniikoiden, kuten kryptohaittaohjelmien, yleistyminen teollisuuslaitoksissa voi vaatia varautumaan uudella tavalla.
Turvallisuusarvioinnit. Moni viranomainen vaatii todentamaan, että turvallisuutta seurataan ja kehitetään asianmukaisella tavalla. Arviointi onnistuu esimerkiksi Swecon kehittämällä Safety Indexillä, johon on helppo yhdistää erilaisia mittaristoja, kuten Traficomin Kybermittari.
Järjestämme riskiarviointeihin liittyen myös työpajoja, yhteisharjoituksia ja koulutuksia, joissa on paikalla riittävän laaja porukka asiantuntijoita meiltä ja teiltä. Lopputuloshan on parempi, kun teemme yhteistyötä. Vaikka IT-osaston tietoturva-asiantuntijat ja prosessiturvallisuuden ammattilaiset eivät yleensä ”puhu samaa kieltä”, me voimme toimia tulkkina.
Olemme opetelleet puhumaan toinen toisillemme yli osastorajojen, joten pystymme tuomaan myös laitoksesi vastuuhenkilöt saman pöydän ääreen keskustelemaan verkottuneen maailman uusista turvauhkista.
Niko Pikkarainen, Swecon teknisen turvallisuuden ryhmäpäällikkö, niko.pikkarainen@sweco.fi
Cris Puchner, Swecon Head of Security, Teollisuuden ICT-suunnittelun ryhmäpäällikkö, cris.puchner@sweco.fi