Digitalisaatio edellyttää kyberkypsyyttä
Kyberuhkiin kannattaa varautua etukäteen ja laatia yritykselle toimintasuunnitelma mahdollisen hyökkäyksen varalta. Myös kumppaneiden tietoturva tulee ottaa huomioon.
Huoltovarmuuskeskuksen (HVK) digipoolin vuonna 2022 tekemän kyberkypsyysselvityksen mukaan elintarvikealan kyberturvallisuus on tasolla 2,83/5, eli hieman alle hyvän keskitason. HVK arvioi, että alan nykytilanne vaatii kehittämistä uhka- ja riskitilanteeseen vastaamiseksi.
Ohjelmajohtaja Juha Ilkka HVK:n Digitaalinen turvallisuus 2030 -ohjelmasta sanoo, että kun toiminnot digitalisoituvat, se luo verkosta tuleville uhkille enemmän kohteita. Yhä useampia laitteita kytketään verkkoon keräämään dataa ja optimoimaan toimintaa. Perinteisen toimiston it-ympäristön ohella myös tuotantolaitteet saattavat olla kiinni julkisessa internetissä, mikä lisää yrityksen toiminnan jatkuvuudelle riskejä.
– Tuotannossa voi olla useita erilaisia järjestelmiä, joiden yhteensopivuus on huono, tai järjestelmissä on vanhoja protokollia, joiden päivittäminen on vaikeaa. Tuotantolaitteiden verkon ei pitäisi olla kiinni internetissä, Ilkka painottaa.
Kyberhyökkäysten taustalla on usein raha. Hyökkäykset ovat esimerkiksi kiristyshaittaohjelmia, jotka etsivät järjestelmästä heikkoa kohtaa. Jos ne pääsevät sisään järjestelmään, ne kirjoittavat tiedot piiloon ja lupaavat lunnaita vastaan purkaa salauksen.
Tällaisen hyökkäyksen kohteeksi joutui taannoin Yhdysvaltain suurin lihatalo JBS. Ruotsissa kauppaketju Coopin kassajärjestelmä jumittui kiristyshaittaohjelman vuoksi, ja kaupat joutuivat pitämään ovensa kiinni.
– Hyökkääjä etsii heikkoja kohtia ja helppoa rahaa. Jos sisäänpääsy järjestelmään on vaikeaa, hyökkääjä luovuttaa ja etsii helpomman kohteen, Ilkka sanoo.
Myös yrityksen kumppaneiden tietoturvan tulee olla kunnossa. Coopin hyökkäys pääsi läpi alihankkijan järjestelmän kautta.
Hyökkäyksen torjuntaa voi harjoitella
Jyväskylän ammattikorkeakoulun (Jamk) kyberharjoitusympäristössä toteutettiin maaliskuussa ensimmäinen teknistoiminnallinen kyberharjoitus elintarvikealan yrityksille. Osallistujina oli alkutuotannon, elintarviketeollisuuden sekä kaupan ja jakelun toimijoita.
Projektipäällikkö Elina Suni Jamkin Elintarvikeketjun kyberturvallisuus -hankkeesta kertoo, että kyberharjoitusympäristöön on mallinnettu alalle tyypillisiä toimintaympäristöjä ja tietojärjestelmiä, joihin kohdistetaan hyökkäyksiä. Harjoitukseen voi osallistua sekä it-tiimin henkilöitä että johtajia ja viestintähenkilöitä.
Tavoitteena on testata, miten yrityksessä reagoidaan hyökkäykseen organisaation omien prosessien ja toimintaohjeiden mukaan, miten esimerkiksi vahingot rajataan mahdollisimman pieniksi ja miten kriisiviestintä toimii.
EAKR-rahoitteisessa hankkeessa oppilaitoksen kyberharjoitusympäristöä, jota on aiemmin hyödynnetty muiden alojen kansallisissa kyberharjoituksissa, laajennettiin elintarviketuotannon ja -jakelun alalle. Apuna olivat hankkeeseen osallistuneet yritykset, jotka kertoivat oman digiympäristönsä ominaisuuksista.
Käsikirjat ketjun eri osille
Jamkin toisen, maa- ja metsätalousministeriön rahoittaman elintarvikealan kyberturvallisuusprojektin lopputuloksena syntyi kolme kyberturvallisuuden käsikirjaa: alkutuotannolle, elintarviketeollisuudelle ja kaupalle ja jakelulle kullekin omansa. Käsikirjat on kirjoitettu kohderyhmälle helposti ymmärrettäviksi.
Jokaisella alalla on omat kyberturvallisuushaasteensa. Alkutuotannon digitalisaatio on ehkä tapahtunut vaiheittain, eikä tuottajalla välttämättä ole kokonaiskuvaa kokonaisarkkitehtuurista. Tilat ovat usein pieniä, ja resurssien puutteessa it-asiat saattavat jäädä vähälle huomiolle.
Teollisuudessa tyypilliset haasteet liittyvät vanhoihin laitteisiin ja ohjelmistoihin. Kaupan alan erityisyys on sen häiriöherkkyys: jos kassa tai maksuliikenne ei toimi, toiminta pysähtyy.
Juha Ilkka muistuttaa, että Traficomin kyberturvallisuuskeskuksesta saa apua, jos yritys joutuu kyberhyökkäyksen kohteeksi. Sinne ilmoittaminen on tärkeää myös tiedonkulun kannalta: kun tiedetään, millaisia uhkia on liikkeellä, joku toinen voi välttyä niiltä.
Kyberturvallisuuden käsikirjat löytyvät osoitteesta https://jyvsectec.fi/elintarvikeketju/
Kyberturvan perusaskeleet
- Rajaa järjestelmien käyttöoikeudet, etenkin pääkäyttäjäoikeudet, mahdollisimman suppeiksi.
- Käytä monimutkaisempaa salalausetta salasanan sijaan.
- Kouluta henkilöstöä tietoturva-asioissa.
- Tee toimintasuunnitelma hyökkäyksen varalta. Se helpottaa päätöksentekoa kriisitilanteessa ja auttaa työntekijöitä toimimaan oikein.