Elintarvikealan kybervarautuminen heikentynyt

Taustalla on vaikeutunut tilanne: riskit ovat lisääntyneet nopeammin kuin kybervarautuminen on edennyt. Valopilkkuja on esimerkiksi johdon entistä parempi sitoutuminen.

Huoltovarmuuskeskuksen (HVK) tuore kriittisten toimialojen kyberkypsyyden selvitys osoittaa, että suomalaisten yritysten kyberkypsyyden taso on kehittynyt vuodesta 2022 vain vähän.

Elintarvikeala on tarkastelluista toimialoista kolmanneksi heikoimmin varautunut. Se saa arvosanan 2,71/5, kun tasoa 3 pidetään kohtuullisena varautumisena.  Elintarvikealan suoriutuminen on itse asiassa laskenut edellisestä selvityksestä, jolloin se oli tasolla 2,83/5.

Elintarvikealan haavoittuvuutta lisää se, että elintarvikealalle tärkeä logistiikka-ala on varautunut toimialoista heikoimmin. Parhaiten ovat varautuneet finanssi-, teleliikenne- ja ICT-alat. Selvityksen mukaan näillä aloilla on kehitetty kyberturvallisuutta jo pitkään liiketoimintalähtöisesti.

Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelman ohjelmajohtaja, johtava varautumisasiantuntija Juha Ilkka sanoo, että elintarvikealalla on myös hyviä kehityskulkuja kolmen vuoden takaiseen nähden.

– Hajonta organisaatioiden välillä on tasaantunut selvästi. Pitkän aikavälin kehittämissuunnitelmia on tehty enemmän, ja johto on nyt paremmin mukana kyberturvallisuustyössä.

Heikkona kohtana taas nousee esiin tilannekuvan muodostaminen ja sen viestiminen johdolle. Lokiympäristöstä tulevat tiedot ovat ehkä hajanaisia tai niiden hallinta ei ole kohdallaan. Tietoturvavalvomoita eli SOC-palveluita hyödynnetään, mutta niistä saatavia tietoja taas ei hyödynnetä kunnolla.

Korkeamman ja matalamman keskiarvon saavuttaneiden yritysten keskeinen ero on selvityksen mukaan johdon sitoutuneisuus kyberturvallisuuden kehitykseen. Tässä elintarvikeala ei ole yksin, vaan ongelma koskee kaikkia toimialoja.

Ympäristö muuttunut vaikeammaksi

Haasteena toimialasta riippumatta on, että toimintaympäristö on muuttunut vaikeammaksi. Uuden teknologian kuten tekoälyn ja pilvipalveluiden yleistynyt käyttö, verkostoituminen ja palveluiden ulkoistaminen ovat lisänneet riskejä. Kyberturvallisuustyöhön pitäisi siis satsata enemmän kuin aiemmin.

Kyberturvallisuuden uhkiin on varauduttava nyt myös lain mukaan. NIS2-direktiivi ja siihen liittyvä, huhtikuussa 2025 voimaan tullut kansallinen kyberturvallisuuslaki määrittävät varautumisen vähimmäistasoa.

Tässä HVK:n selvityksessä direktiivin vaikutuksiin ei päästy vielä pureutumaan, mutta vaikuttaa siltä, että joissain yrityksissä kybervarautuminen on jäänyt direktiivin vaatimusten täyttämisen tasolle. Suunnitelmia on tehty, mutta niiden käyttöönotto on kesken tai kokonaan edessäpäin.

Kilpajuoksussa kasvaneita riskejä vastaan ei siis ole pysytty vauhdissa.

Pienten yritysten resurssit kyberturvallisuustyöhön ovat luonnollisesti pieniä, mutta se ei selitä kaikkia puutteita. Tärkein tekijä on johdon sitoutuminen. Se vaikuttaa kyberturvallisuustyön jatkuvuuteen.

– Jatkuvuussuunnitelmat ovat puutteellisia monessa yrityksessä, Juha Ilkka sanoo.

Elintarvikealan erityispiirteitä

Selvityksen mukaan parhaat käytännöt rakentuvat vahvasti johdon tuen, strategisen ohjauksen ja pitkäjänteisen kehittämisen ympärille.

Elintarvikealan kypsimmissä organisaatioissa on jo pitkään toimittu kyberkypsyyden edistämiseksi ja panostettu riskilähtöisesti muun muassa verkkojen segmentointiin sekä IT- ja OT-ympäristöjen eriyttämiseen. OT-ympäristöt eli toiminnan fyysinen infrastruktuuri ovat perinteisesti olleet tuotantoyritysten heikoin kohta.

Parhaimmillaan päätöksentekoa ohjaa kattava käsitys kybertoimintaympäristön uhkatilanteesta ja riskitasoista. Kypsimmissä organisaatioissa tilannekuvaa tukevat SOC-palvelut, jotka kattavat IT-ympäristön lisäksi myös OT-puolen.

Matalimman kypsyystason organisaatioissa kyberturvallisuustyö on usein reaktiivista. Johdon sitoutuminen työhön on vaihtelevaa, ja kyberturvallisuus nähdään teknisenä tukitoimintona strategisen kokonaisuuden sijaan.

Osassa organisaatioista on kehitettävää vielä peruselementeissäkin. Roolipohjaiset pääsyoikeusmallit sekä keskitetyt identiteetin- ja pääsynhallinnan ratkaisut puuttuvat, ja pääsyoikeuksien hallinta on manuaalista ja henkilöriippuvaista.

Monivaiheista tunnistautumista ei käytetä kattavasti, ja erityisesti OT-ympäristöjen suojauskäytännöt ovat puutteellisia.

Toimitusketjuista nousee riskejä

Toimialasta riippumatta toimitusketjuihin liittyvät riskit ovat kansallisesti erittäin huolestuttavia, vaikka NIS2-direktiivi velvoittaa yrityksiä huolehtimaan myös siitä, että kumppaniyritysten tietoturva on riittävä.

HVK:n selvityksen mukaan toimitusketjujen riskienhallinta on elintarvikealalla rakenteellisesti heikkoa. Kumppaneiden tietoturvavaatimuksia ei ole systemaattisesti määritelty tai sisällytetty sopimuksiin.

Heikomman kypsyystason organisaatioilta puuttuu näkyvyys alihankintaketjuihin eikä teknisiä riippuvuuksia ymmärretä laajasti yleisluontoisiksi, eikä niiden toteutumista valvota aktiivisesti.

Kun sekä elintarvike- että logistiikka-ala ovat suhteellisen heikosti varautuneita, tilanne on riskialtis koko elintarvikehuollon kannalta.

Harjoittelun merkitys riskeihin varautumisessa on suuri. Huoltovarmuuskeskuksen järjestämiä TIETO-kyberturvallisuusharjoituksia järjestetään kahden vuoden välein, ja keväällä alkava TIETO 26 -johtamisharjoitus keskittyy elintarvikeketjujen turvaamiseen.

TIETO-harjoituksissa simuloidaan aitoja kriisitilanteita ja tiedonvaihtoa ja tilannekuvan luomista niissä. Mukana on yritysten lisäksi useita eri viranomaisia ja organisaatioita. TIETO24-harjoitukseen oli nimettynä 850 henkilöä yli 170 organisaatiosta.

TIETO26-harjoituksen organisoinnista vastaa Huoltovarmuusorganisaation Digipooli yhteistyössä Huoltovarmuuskeskuksen, Traficomin Kyberturvallisuuskeskuksen, Poliisin ja Puolustusvoimien kanssa.

ETL mukana varautumistyössä

Elintarviketeollisuusliitto tukee varautumistyötä muun muassa poolien kautta tapahtuvan huoltovarmuustoiminnan kautta. Tämä sisältää myös kyberturvallisuuden harjoittelun.

Valmiuspäällikkö Eero Alaluusua on hämmästynyt selvityksen tuloksista, joissa näkyy, miten pieni vaikutus on toistaiseksi ollut paljon huomioita saaneella ja voimavaroja vaatineella kyberturvallisuuslailla ja NIS2-direktiivillä.

– Sen vaatimuksiin on varauduttu jo pari-kolme vuotta. Siitä huolimatta merkittävää muutosta ei näy koko tutkimuksen tuloksissa, saati alkutuotanto ja elintarviketeollisuus -ryhmässä. Tältä osin regulaation tiukentumisella ei ole ollut toivottua vaikutusta. Ehkä muutokset näkyvät pidemmällä viiveellä.

ETL on järjestänyt kyberturvallisuuteen liittyviä tilaisuuksia esimerkiksi NIS2-velvoitteisiin liittyen. Digitalisaation ja datan Johtava asiantuntija Riikka Korolainen kertoo, että ETL järjestää neljä kertaa vuodessa EU:n kestävyys- ja datasääntelyn ajankohtaiskatsauksia, joissa NIS2 on ollut keskeisenä teemana.

– ETL:n vaikuttamistyössä keskeisenä tavoitteena on keventää yritysten hallinnollista taakkaa sujuvoittamalla kyberturvallisuussääntelyä, erityisesti yhdenmukaistamalla raportointivelvoitteita ja edistämällä “raportoi vain kerran” -periaatteen toteutumista, jossa yksi ilmoitus riittää kaikille viranomaisille (mm. NIS2, CER, GDPR, CRA).

Elinkeinoelämän keskusliitto järjestää EK TIKA -webinaareja (Elinkeinoelämän tilannekatsaus ja ennakointi), joiden tarkoituksena on tuoda jäsenistölle ajankohtaisia turvallisuuteen ja varautumiseen liittyviä teemoja kokeneiden ja osaavien puhujien kautta kerran kuussa.

– ETL:n roolina on omalta osaltaan lisätä tietoisuutta EK TIKA -webinaareista ja varmistaa, että elintarvikealan yritykset saavat ajankohtaista tietoa, Korolainen sanoo.