Monimutkaiset toimitusketjut lisäävät kyberriskejä  

Kesäkuussa 2021 maailman suurin lihantoimittaja, amerikkalainen JBS joutui kyberhyökkäyksen uhriksi.  

– Hyökkäys kohdistui yrityksen tuotantolaitoksiin ja keskeytti tuhansien ihmisten työn, If Vakuutuksen kybervakuutusasiantuntija Mikko Peltonen kertoo.  

Hyökkääjät vaativat lunnaita, muutoin hakkerit jatkaisivat tehtaiden häirintää ja tuhoaisivat JBS:n tiedostoja. Vaikka JBS yritti suojata tehtaitaan, yritys on sittemmin myöntänyt joutuneensa maksamaan lunnaita venäläisille kyberrikollisille 11 miljoonaa dollaria. Hyökkäys oli mittasuhteiltaan iso, sillä JBS toimittaa naudanlihapihvejä muun muassa McDonaldsille. Pidempi tuotantokatko olisi voinut vaikuttaa jopa kuluttajahintoihin.

Sujuva toimitusketju on välttämätön

Toimitusketjuja tarvitaan, kun yritys ei omissa toimitiloissaan valmista tuotteita alusta loppuun, vaan käyttää esimerkiksi tuottajia, alihankkijoita, palveluita ja järjestelmiä, jotka mahdollistavat materiaalien ja tiedon siirtoa, koneiden toimintaa tai vaikkapa valvontaa. 

– Toimitusketjujen sujuvuus elintarvikealalla on ehdottoman välttämätöntä, koska raaka-aineet pilaantuvat nopeasti ja jäljitettävyydestä säädetään tarkasti lailla. Siksi ketjun jokaisen osan pitää toimia suunnitellussa aikataulussa, olla eheä ja jäljitettävissä, Ifin kyberturvallisuusasiantuntija Ville Mäntylä kiteyttää.

Digitalisaatio on vyörynyt vauhdilla myös elintarviketeollisuuteen. Silti elintarviketeollisuudessa pätevät edelleen vanhat lainalaisuudet. Nopeus ja hygienia ovat ehdottoman tärkeitä. Pienikin vika laitteissa voi pilata koko tuote-erän.

– Käsityön määrä on vähentynyt huomattavasti, ja koneet hoitavat jo suuren osan työstä. Myös uudet laitehankinnat saattavat lisätä tuotantolaitoksen digitaalisuutta puhumattakaan siitä, että kaikki tieto on nykyään yleensä tallessa digitaalisessa muodossa, Mäntylä kertoo.  

Jokaisella toimitusketjun osalla ja siihen kuuluvalla järjestelmällä on pitkä ja monimutkainen historia, jossa on mukana usein monta toimijaa. Kumppaneilla on käytössään omia digitaalisia tietojärjestelmiä, mikä monimutkaistaa riskienhallintaa. Aina ei ole selvää, onko tietoturva kunnossa kaikissa tuotantoketjun vaiheissa ja miten asioita valvotaan. 

– Toimijoilla ei välttämättä ole selkeästi tiedossa, millaisia laitteita yrityksessä on käytössä tai missä elinkaaren vaiheessa ne ovat. Prosessien tai laitteiden luokittelussa saattaa olla puutteita. Oman haasteensa asettaa myös se, ettei yrityksellä ole aina ajantasaista tietoa siitä, mitkä toimitusketjun osat ovat kriittisiä ja mitkä eivät. Tällöin ei välttämättä ymmärretä ympäristön herkkyyttä tietoturvahyökkäyksille. Siksi niiden ennaltaehkäisy ja niihin varautuminen on vaikeaa, Mäntylä muistuttaa.

Kumppaneiden taustat pitää tarkistaa

Perehtyminen kyberturvallisuuteen on ehdottoman tärkeää, kun yrityksellä on vientiä Suomen rajojen ulkopuolelle joko elintarviketuottajana, tai sopimusvalmistaja on ulkomailta. Elintarvikeyrityksen jokaisen työtekijän ei tarvitse olla tietoturva-asiantuntija, mutta asiaan on syytä kiinnittää riittävää huomiota. 

Yhteistyökumppanien valinta on tärkeää. Kannattaa tarkistaa, kuinka luotettava tuleva kumppani on tietoturvan näkökulmasta ja miten tämä hoitaa tietoturva-asiat?

– Pitää olla tietoa oman tuotantoyksikön järjestelmistä ja käytössä olevista palveluista sekä vastaavat asiat yhteistyökumppanista. On vain ajan kysymys, kun jotain voi tapahtua, joten varautumissuunnitelma on aina oltava jokaiseen tuotantoketjun vaiheeseen. Varautumissuunnitelmaa ja välineitä hyvään riskienhallintaan tarvitaan myös kybervakuutukseen. Kumppanit pitää valita huolella, yhteistyötä tehdä tunnettujen toimijoiden kanssa ja varautumissuunnitelma laatia kriittisten kohtien pohjalta. Kyberhyökkäyksen kohteeksi voi joutua, vaikka riskejä hallitaan ja valvotaan tietoturvatestauksilla.

– Digitalisaatio tuo mukanaan paljon hyvää, mutta samalla myös edellytykset riskien lisääntymiselle. Niistä on syytä olla tietoinen ja pyrkiä riskien järjestelmälliseen käsittelyyn ja seurantaan. Samalla on muistettava varautumisen tärkeys, Mäntylä tähdentää.