Yritys vastaa tuotantoverkkojensa tietoturvasta itse
Tuotannolliset verkot ovat usein avoimia kolmansille osapuolille ja kytkettyjä pilveen. Vastuuta niiden turvallisuudesta ei voi ulkoistaa.
Reino Myllymäki
01.2.2024

Sales Director Jukka Springare ja Head of Cyber and OT Securitys Jan Staf Reformo Networks Oy:stä olivat Teknologia 23 -tapahtuman TIVIA Stagen kolmannen päivän eli torstain 9.11.2023 ensimmäiset puhujat. Koko päivän ohjelman järjestäjänä oli Tietoturva ry ja teemana yksinkertaisesti tietoturva. Esityksestä riippuen niitä seuraamassa oli 20–70 henkilöä.

Springaren mukaan tuotannollisista ympäristöistä löytyy toimistoverkkojen lisäksi muun muassa LVIS- ja taloautomaatioverkkoja, langallisia ja langattomia automaatioverkkoja sekä energiantuotantoon ja vaikkapa vedenpumppaukseen liittyviä verkkoja. Myös pilviratkaisuja käytetään näiden yhteydessä, joten pilvestä tulee kriittinen tuotantoympäristön osa. Vanhoista ympäristöistä löytyy myös sarjaliikennettä.

Springaren mukaan tuotannolliset verkot eivät enää ole suljettuja. Nykyään kolmannet osapuolet ovat yhteydessä näihin verkkoihin, jotka ovat usein myös pilviin kytkettyjä. Aika harva tuotannollinen verkko on nykyään täysin suljettu – poikkeuksen tekevät toki ydinvoimalaitokset ja Puolustusvoimat, esimerkiksi. Rikolliset haluavat päästä käsiksi siihen rahaan, jota tuotannollisissa verkoissa tehdään. Tietoturvapolitiikka ja erilaiset hallintaratkaisut ovat tuotannollisissa verkoissa tärkeitä muistaen, että tuotantoverkot ovat pitkäikäisiä, ovathan teolliset investoinnit tehty 30–50 vuoden tähtäimellä. Tällöin tietoturva- tai cyberinvestointi tehdään usein 5–10 vuoden tähtäimellä.

Staf puolestaan kertoi regulaation vaikutuksista tuotantoverkkoihin. Tulossa on NIS2 (direktiivi toimenpiteistä yhteisen korkeatasoisen kyberturvallisuuden varmistamiseksi koko unionissa), joka laajentaa jo käytössä olevan NIS:n uusille osa-alueille, kuten ruoan tuotantoon. NIS2:n myötä siirrytään toiveista ja tavoitteista myös sanktioihin. ”On tosi tärkeää, että ne, jotka ovat siinä piirissä regulaation kannalta, ryhtyvät oikeasti katsomaan, mitä pitäisi tehdä paremmin. Nopea ohjesääntö siihen, mitä pitäisi tehdä paremmin on se, että yritä nyt edes tehdä jotain!” Staf painotti. Tahtotila asioiden parantamiseksi täytyy löytyä organisaatiosta. NIS2 koskee listattujen toimialojen lisäksi myös listattujen toimialojen yritysten alihankkijoita.

Tuotannon henkilökunnan päätavoite on pitää tuotanto eli rahanteko käynnissä. Tuotantokatkoset syistä riippumatta ovat pahasta tuotannon jatkuvuudelle. Suunniteltuja tuotantokatkoja on yleensä vähän ja ne ajoitetaan tarkasti. Ennalta suunnittelemattomia katkoja – esimerkiksi verkkolaitteiden vikaantumisen tai kyberuhkien vuoksi – pyritään välttämään. Tuotannon henkilökunnalta puuttuu tietämystä siitä, millaisia laitteita tuotantoverkoissa oikeasti on. Laitteistolistoja IP-osoitteineen toki on, mutta data ei ole yleensä ajan tasalla. Myös kolmansien osapuolten toiminta tuotantoverkoissa tuottaa helposti ongelmia, kun verkkoon ilmestyy yhtäkkiä uusia laitteita, jotka saattavat häiritä toimintaa. Tuotannon henkilökunnalta puuttuu usein kokonaisnäkymä verkkoonsa. ”Organisaatio itse on vastuussa tietoturvastaan”, Staf totesi. Vastuuseen kuuluu myös alihankkijoiden tekemiset verkossa. Springare ja Staf korostivat, että tuotantoverkkojen tietoturvan parantaminen alkaa juuri kokonaisnäkyvyyden hankkimisella, minkä nykyteknologia mahdollistaa turvallisesti passiivisen skannauksen kautta. ”Tuotantoverkkoja pitää käsitellä silkkihansikkain”, Springare painotti.

Tietoturvahenkilökunnalla on samoja haasteita kuin tuotannollakin. Lisäksi heillä saattaa olla vaikkapa tuotantoverkkojen protokolliin liittyviä osaamisaukkoja. Mikä on normaalia liikennettä, mikä epänormaalia? Välttämättä haitallinen liikenne ei ulotu palomuurille saakka, jolloin kyberturvan näkökulmasta ei saada tarvittavaa kokonaiskuvaa. Jonkin laitevalmistajan ilmoitukset laitteistaan löytyvistä haavoittuvuuksista voivat johtaa laajaan manuaaliseen työhön tuotantoverkoissa, kun ei olla varmoja, onko yrityksellä laitevalmistajan laitteita vai ei. Tuotantoverkoista löytyy usein vanhempia versioita esimerkiksi käyttöjärjestelmien osalta kuin toimistoverkoista. Voi löytyä vaikkapa 20 vuotta sitten asennettuja palvelimia, joille ei koskaan ole tehty mitään. ”Tällaisia ympäristöjä on paljon ja niitä täytyy jollain mekanismilla pystyä suojaamaan”, Springare painotti. Lisäksi vaikeutena on se, että cyberturvallisuuden parantamisessa ei voida tehdä mitään, mikä vaarantaa tuotantoverkkoa”. Stafin mukaan tuotantoverkoissa on saavutettava sama tieto- ja kyberturvallisuuden taso kuin toimistoverkoissa, mikä on vaikeaa, koska usein jo kokonaiskuva verkosta puuttuu. Eli eri verkot ovat teknologisten kyvykkyyksien osalta eri kypsyysasteella.

Regulaatiomuutokset ovat liiketoiminnan johdon pöydällä. Niiden lisäksi johtoa huolettaa tieto- ja kyberturvainvestointien kannatavuus. Niillä kun ei suoraan voi tehdä rahaa, vaan kannattavuus syntyy usein tuotantokatkojen vähenemisen kautta. ”Meidän pitää kääntää dialogi semmoiseksi, että liiketoimintakin ymmärtää”, Springare totesi. Lisäksi tärkeää on saada kaikki tuotantoverkon turvallisuudesta vastuussa olevat yhteen, nostaa eri osapuolten haasteet pöydälle ja miettiä miten tieto- ja kyberturvalla saadaan säästöjä – ja sitä kautta liiketoiminnalle lisäarvoa – aikaiseksi.

Loppuyhteenvedossa Springare totesi, että ”kun me tehdään oikein tietoverkkoa ja kyberiä yhdessä OT:n, IT:n ja bisneksen kanssa, meillä on mahdollisuus oikeasti tuoda sinne organisaatioon lisäarvoa, parantaa – ei pelkästään tietoturvallisuutta, kyberturvaa, tietoverkkojen toimivuutta – vaan aidosti sitä liiketoiminnan kannattavuutta”.

Suositellut

Uusimmat