Energia-alan yritykset ovat yhä useammin kyberhyökkäysten kohteena. Siksi kyberuhkien torjumiseen myös investoidaan kuluvana vuonna kasvavassa määrin.
Kyberturvallisuuden merkitys on noussut alan toimijoiden keskuudessa nopeasti, arvioidaan DNV Cyberin tuoreessa Energy Cyber Priority 2025 -raportissa. Se perustuu 375 energia-alan ammattilaisen kyselyyn sekä alan johtajien ja asiantuntijoiden haastatteluihin.
65 prosenttia vastaajista arvioi kyberturvallisuuden olevan nykyriskeistä suurin, kun vuonna 2023 se nousi kärkiriskien joukkoon vain 36 prosentissa vastauksista.
Huolestuttavasti jopa 27 prosenttia vastaajista kertoi hyökkääjien päässeen sisään yritysten järjestelmiin vähintään kerran kuluneiden 12 kuukauden aikana.
Raportin mukaan viikoittaisten hyökkäysten määrä energiayhtiöihin on yli kaksinkertaistunut. Uhkatekijöiden määrän lisääntyminen sekä kehittyneiden uusien teknologioiden nousu vaikeuttavat energia-alan yritysten puolustautumista.
Erityistä huomiota tutkimuksessa kiinnitettiin perinteisen IT:n ohella uhkiin, jotka kohdistuvat alan operatiiviseen teknologiaan (OT), eli esimerkiksi energia-infrastruktuurin laitteistoon ja ohjelmistoihin. Näihin kohdistuvat hyökkäykset voivat aiheuttaa välittömiä seurauksia myös fyysiseen turvallisuuteen.
OT:n kyberturvallisuudesta on nykyään “selvästi parempi ymmärrys ja keskustelua johtokunnan tasolla”, arvioi tutkimukseen haastateltu Fortumin OT:n kyberturvallisuudesta vastaava johtaja Robert Valkama. Tähän ovat hänen mukaansa vaikuttaneet vahvasti muun muassa Ukrainan sota ja kriittiseen infrastruktuuriin tehdyt hybridihyökkäykset.
Viisi keskeistä haastetta
Kun kilpailukykyä haetaan uusista digitaalisista tekniikoista, myös uudet riskit tulee kyetä hallitsemaan. DNV Cyberin raportissa löydettiin viisi keskeistä haastetta, jotka vaikuttavat alan kyberturvallisuuden parantamiseen.
Nämä ovat 1) fyysisen infrastruktuurin suojaaminen, 2) toimitusketjun kyberturvallisuuden monimutkaisuuden hallinta, 3) työntekijöiden valppauden parantaminen, 4) uusien taitojen opettaminen työvoimalle sekä 5) tekoälyn hyödyntäminen.
Vastaajista yli puolet (57 %) arvioi, että perinteisten tietojärjestelmien kyberturva on heidän yrityksessään paremmalla tolalla kuin operatiivisen teknologian suojaus. Tarvittavaa tietotaitoa ei aina löydy yrityksen sisältä, toteaa Fortumin Valkama.
Yritysten on myös vaikea hallita koko toimitusketjua. Raportissa suositellaan laajempaa yhteistyötä ja läpinäkyvyyttä eri toimijoiden välillä. Samaten kyberammattilaiset on syytä ottaa mukaan osaksi projektien suunnittelua jo varhain.
Ihminen on perinteisesti tietoturvan heikoin lenkki. Operatiivisen teknologian turvaamisen kannalta koulutus on olennaisessa osassa. Tekoälyä tulee ymmärtää paremmin, jotta sitä hyödyntävät hyökkäykset saadaan torjuttua. Samaan aikaan tekoälyllä on kasvava rooli uhkien havainnoinnissa.

Kuva Matthew Henry on Unsplash