Teollisuuden pitää varautua myös vakaviin kyberturvallisuusuhkiin

Viime aikojen uhat ja hyökkäykset johtuvat muun muassa siitä, että kyberrikolliset ovat keksineet uusia tapoja ansaita laittomasti rahaa myös perinteisen teollisuuden kustannuksella. Rikolliset uhkaavat yrityksen tuotannon jatkuvuutta varsinkin kiristyshaittaohjelmilla (Ransomware). Ne salaavat tai tuhoavat lopullisesti saastuttamiensa tuotannon tietokoneiden tiedot, ellei hyökkääjälle makseta vaadittua kiristyssummaa määräajassa, usein Bitcoin-virtuaalivaluuttana.

Valitettavasti kyberturvallisuusuhkia on lukuisia erilaisia. Palvelunestohyökkäykset voivat aiheuttaa myös tuotantoverkkojen tai palvelinten ruuhkaantumisen, mikä estää järjestelmään pääsyn tai jopa itse tuotantotoiminnan. Uusia uhkia syntyy koko ajan lisää, joten muun muassa järjestelmätoimittajien tulee olla hyvin tilannetietoisia ja korjata löydetyt haavoittuvuudet mahdollisimman pian omista tuotteistaan.
Hyökkäyksiltä ja häiriöiltä suojautuminen edellyttää jatkuvaa kyberturvallisuustilanteen seurantaa ja ennakkovarautumista myös tuotannossa. Tuotantoyrityksen tulee itse jatkuvasti tunnistaa tuotantonsa jatkuvuuteen vaikuttavia uhkia ja järjestää tarvittava varautuminen mahdollisuuksiensa mukaan.

Oleellisimmat asiat elintarviketehtaissa

Suurin hyöty investoinneista kyberturvallisuuteen saadaan yleisesti, kun laitetaan peruskäytännöt kuntoon. Sama koskee myös elintarviketehtaita. Käytännössä tämä tarkoittaa huomion kiinnittämistä hyvin yksinkertaisiin asioihin kuten siihen, että kartoitetaan ja dokumentoidaan kaikki tuotannossa olevat järjestelmät ja niiden konfiguraatiot. On aina oltava tiedossa, mitkä tuotantoyksikön laitteet, järjestelmät, ohjelmistot ja versiot ovat asennettuna ja sallittuja, jotta hyökkääjän ohjelmat tai laitteet voidaan havaita edes teoriassa. Järjestelmätoimittajilta kannattaa vaatia ja tilata korjauksia tunnettuihin kyberturvallisuushaavoittuvuuksiin myös elinkaaren tuotantokäyttövaiheen aikana.

Toinen keino on laatia yksinkertaiset toimintaohjeet koko henkilöstölle ja alihankkijoille. Kyberturvallisuus syntyy jokaisen työntekijän riittävästä kyberturvatietoisuudesta ja huolellisesta toiminnasta. Jos yksikin tuotantoalueella fyysisesti tai etänä vaikuttava henkilö aiheuttaa huolimattomuuttaan tai tahallisesti esimerkiksi haittaohjelman levittäytymisen tuotantojärjestelmään tai sen tukijärjestelmään, on vaaratilanne ilmeinen. Häiriöiden tunnistamista ja niistä palautumista pitää harjoitella, sillä pelkästään paperilla oleva ohje ei toimi tositilanteessa.

Kolmas keino on vaatia, että uudet, toimitettavat tuotantolaitteet kestävät perushyökkäyksiä ja palautuvat häiriöiden jälkeen turvalliseen tilaan. Järjestelmätoimittajan tulee testata tai testauttaa järjestelmänsä kestokyky kyberturvallisuushyökkäyksiä vastaan ja toimittaa asiakkaalle testiraportti tai sertifikaatti. Järjestelmän sujuva palauttaminen varmuuskopioista kannattaa testauttaa esimerkiksi kerran vuodessa huoltokatkon yhteydessä.

Tuotantojärjestelmien todellista kyberturvallisuustilannetta pitää seurata sekä arvioida ja ottaa käyttöön turvallisia tuotannon häiriöiden tunnistusjärjestelmiä, jotka antavat hälytyksen, jos järjestelmä ei toimi aivan suunnitellulla tavalla. Yleensä on turvallisinta, jos kyberhäiriöiden tunnistaminen voidaan toteuttaa lisäämättä järjestelmään uusia ICT-komponentteja. Päivittämätön tietoturvajärjestelmä voi itsessäänkin lisätä uhkia.

Kyberturvallisuuden huomiointi ostopalveluissa

Suuri osa tuotannon ylläpidosta katetaan ulkoisilla palveluilla, joten yrityksen pitää hallita myös palveluntarjoajien ja alihankkijoiden toiminnan kyberturvallisuutta. Käytännössä tämä onnistuu, kun tuotantoyritys on ensin itse määritellyt tuotannossaan aina sovellettavat kyberturvallisuuskonseptit, -vaatimukset ja -ohjeet. Tämän jälkeen näitä ohjeita sovelletaan valvotusti myös kaikkeen kumppaneilta tilattavaan toimintaan.

Kumppaneiden kanssa pidetään esimerkiksi säännöllisiä kyberturvallisuuskatselmointeja, joissa käydään läpi muun muassa kumppanin henkilö- ja yhteystietomuutokset, jakson tietoturvallisuusraportit, jakson tietoturvapoikkeamat ja muut merkittävät tapahtumat, tietoturvaan tehdyt muutokset ja parannukset, koulutustapahtumat, voimassa olevat sopimukset muutoksineen, tietoturvan kehittämisen suunnitelmat, havaitut muut ongelmat tai asiat sekä sovittujen toimenpiteiden seuranta.

Säännöllisten yhteisten kokousten avulla varmistetaan, että kyberturvallisuus otetaan todesta myös kumppaneiden jokapäiväisessä työssä ja kyberturvallisuutta seurataan ja kehitetään jatkuvasti koko verkostossa.

Hanke toi käytännön työvälineitä yrityksille

KYBER–TEO 2014‒2016 -hankekokonaisuus on parantanut teollisuuden kyberturvallisuustietoisuutta kehittämällä ja testaamalla uusia palveluja osallistuvissa teollisuus- palveluyrityksissä (~20 yritystä). Päätavoitteena oli kyberturvallisuuden ja jatkuvuuden varmistaminen sekä toimivien mallien kehittäminen muun suomalaisen teollisuuden hyödynnettäväksi.

Hankkeen työpaketit olivat kybersuojauksen käytännöt ja kartoitukset, kyberturvallisuuden jalkauttaminen kotimaiseen tuotantoon sekä tuotantoautomaatioverkon monitorointipalvelut.

Kyberturvallisuuden käytännöt ja kartoitukset koettiin työalueeksi, jossa lähes kaikilla teollisuusyrityksillä tulisi olla jatkuvaa nykytilanteen kartoittamista ja oman toiminnan kehittämistä. Kyberturvallisuuden jalkauttaminen kotimaiseen tuotantoon sisälsi pääosin teknisempien menettelyjen kehittämistä, kuten koventamisen ja kyberturvallisuustestauksen, joilla varmistettiin ja todennettiin kyberturvallisuusvaatimusten toteutumista tuotantojärjestelmissä. Lisäksi kehitettiin kyberturvallisuuden ”omin käsin” -harjoittelua ja siihen tarvittavia ympäristöjä. Tuotantoautomaatioverkon monitorointipalvelut -työpaketissa kehitettiin menetelmiä tuotannonohjausverkkojen kyberturvallisuuden tilannekuvaan ja täydennettiin samalla aktiivisten kyberturvallisuusratkaisujen puutteita.

Hankkeen jalkautus etenee käytännössä parhaiten jakamalla vastuut selkeästi eri toimijoille. Kuvassa 1 esitetään teollisuuden kanssa yhteistyössä kehitetty vastuumatriisi kyberturvallisuuden päävastuista automaation elinkaaren aikana. Se toimii lähtökohtana ja yleiskuvana päätehtävistä ja työnjaosta toimijoittain, ja sitä tulee soveltaa ja muokata tilaajan kuhunkin tilanteeseen soveltuvaksi.

Kyberturvallisuuden työnjakomallien tulee tukea jo olemassa olevia yhteistyömalleja ja toimintatapoja, sillä kyberturvallisuuden hallintaa ei kannata rakentaa yrityksissä erilliseksi järjestelmäkseen. Toisaalta erittäin vakavien kyberturvallisuushäiriöiden hallitsemiseksi tarvitaan yritysten välisen yhteistyön lisäksi koordinoitua kansainvälistä viranomaisyhteistyötä.

Pitkälle kehittynyt kyberrikollisuus tai laiton tiedustelutoiminta hyödyntävät nekin vahvasti omia kansainvälisiä verkostojaan. Näiden uhkien torjunnassa Suomellakin on vielä parantamisen varaa.

Pasi Ahonen
johtava tutkija
VTT
pasi.ahonen(at)vtt.fi

KYBER–TEO 2014‒2016 hankekokonaisuuden julkisten tulosten koosteraportti on saatavilla verkkojulkaisuna osoitteessa http://www.vtt.fi/inf/pdf/technology/2017/T298.pdf