Uutta |
12 syyskuuta 2023
Pysähtyneet terästehtaat, katkaistu tuotannon sähkönsaanti, uhkaukset ja kiristys. On lukuisia esimerkkejä siitä, kuinka teollisuus on altis kyberuhkille ja -hyökkäyksille.
SSG:n kyberturvallisuustyöryhmä on vastannut esille nousseeseen haasteeseen kyberturvallisuuden koulutukselle. SSG on yhteistyössä teollisuuden asiantuntijoista koostuvan työryhmän kanssa laatinut uuden SSG Cyber Security -koulutuksen tarkoituksenaan vastata teollisuuden ajankohtaiseen tarpeeseen.
Uuden koulutuksen tavoitteena on nostaa yleistä tietotasoa kyberuhkiin liittyen, erityisesti OT-ympäristöissä. Koulutus lisää tietoisuutta siitä, millaisia tuhoisia seurauksia kyberhyökkäyksellä voi olla. Sisältö perustuu työryhmän kehittämään standardiin ja opettaa, miten kyberturvallinen toiminta voi estää teollisuuslaitoksia joutumasta hyökkäysten kohteeksi.
"Kaikilla työryhmän jäsenyrityksillä on koulutuksia hallinnolliselle henkilöstölle ja tietojen käyttäjille. Nykyisin lähes jokaisessa yrityksessä on erilaisia ohjelmia kyberturvallisuuden tietoisuuden lisäämiseksi. Mutta prosessitekniikan asiantuntijoilla, eli tuotannon parissa työskentelevillä kollegoillamme, ei ole ollut räätälöityjä koulutuksia tähän tarpeesen. Siitä syntyi ajatus tehdä yhdessä standardoitu koulutus", sanoo työryhmän jäsen Patrick Andersson, Storan Enson tietoturvajohtaja.
Vanhentunut teknologia on aina riski. Teollisuuden tietotekniikkaympäristössä on suurempia riskejä verrattuna perinteiseen tietotekniikkaan, esimerkiksi hallinnollisiin järjestelmiin, koska suuret teolliset investoinnit ovat hyvin pitkäikäisiä. Teollisilla työpaikoilla on järjestelmiä, jotka ovat olleet käytössä hyvin pitkään, ja käytössä olevat laitteet ovat myös olleet käytössä vuosikausia. Monet ovat käyttäneet samoja järjestelmiä ja laitteita lähes koko työuransa ajan.
"Saattaa tulla mieleen, että 'mitä voisi tapahtua tuolle laitteelle, joka on ollut aina käytössä'. On olemassa paljon esimerkkejä teollisista järjestelmistä, jotka on kytketty verkkoon, koska se on kätevää. Mutta kyberrikollisuus tai kyberterrorismi voivat hyödyntää tätä haavoittuvuutta. Tähän liittyen näemme, että teollisuuden yleisesti ottaen tarvitsee saavuttaa muuta yhteiskuntaa parempi turvallisuus. Ei kaikilla aloilla, mutta erityisesti valmistavassa teollisuudessa. On olemassa useita erityisen riskialttiita sektoreita, finanssiala yhtenä esimerkkinä. Mutta heti sen jälkeen tulee valmistava teollisuus, ja teollisuudelle tyypilliset riskit liittyvätkin usein vanhentuneeseen teknologiaan, joka ei ole riittävän suojattu nykypäivän kyberuhkilta."
Uusi SSG Cyber Security -koulutus on voimassa vuoden, ja siihen on syynsä. Patrick Andersson väittää, että tietoisuus on kuin tuoretuote, ja kurssia on päivitettävä vuoden välein, jotta se pysyy ajan tasalla. Kahden tai kolmen vuoden kuluessa uhkakuvat ja prioriteetit muuttuvat. Vuosi on hyvä kompromissi, puoli vuotta on liian lyhyt aika ja kaksi vuotta liian pitkä aika pysyäkseen mukana alati muuttuvassa ympäristössä.
Patrickin mukaan yritykset, jotka altistuvat uhkille ja hyökkäyksille, voivat kärsiä suoraa taloudellista vahinkoa tuotannon ja toimitusten keskeytyessä. Joissain tapauksissa voi olla kyse sakkojen määräämisestä, jos yritys ei ole riittävällä tavalla turvannut toimintaansa. Maineen kannalta voi myös olla tuhoisaa, jos tilanne ei ole hallinnassa, mikä puolestaan voi vahingoittaa myyntiä. Hän mainitsee myös, että on paljon esimerkkejä seurauksista, kuten pysähtyneet terästehtaat ja teollisuuden sähkönsaannin katkeaminen. Yleinen riski on laitteiden liittäminen internetiin suojaamattomalla turvalla.
"Hyvin yleinen puute on, että suurilta toimittajilta tulevat järjestelmät ovat asennettuina juuri niin kuin ne tulivat, vakiokäyttäjätunnuksilla. On kyllä tapahtunut muutoksia, siitä olen tietoinen, mutta jos katsomme historiaa, monet eri toimittajien teollisuusjärjestelmät käyttävät edelleen vakiosalasanoja ja vakiohallintakäyttäjätunnuksia, ja niitä ei koskaan ole vaihdettu. Ensimmäinen asia, jonka uhkaaja tekee päästyään tällaiseen järjestelmään, on kokeilla vakio-käyttäjätunnuksia. Ja sitten he ovatkin jo sisällä…", Patrick muistuttaa.
Tilastot osoittavat talousrikosten lisääntyneen merkittävästi. Petoksia on aina tehty, mutta nimenomaan kyberrikoksiin liittyvät talousrikokset ovat kasvaneet huomattavasti. Patrick Andersson korostaa, että kyberturvallisuutta ei voi kuvata yksittäisenä tekona tai asiana. Kyberturvallisuus ei ole yksittäinen tuote, palvelu tai ratkaisu. Sen sijaan se on seurausta useista eri tuotteista, palveluista ja prosesseista, joilla on erilaisia vaikutuksia. On myös tärkeää olla näkemättä kyberturvallisuutta yksittäisen henkilön tuloksena. Se on monien eri yksilöiden tulosta, jotka kaikki ymmärtävät tietoisuuden merkityksen.
"On tärkeää löytää innostuneita ihmisiä eri osa-alueilta yrityksessä, jotka vaikuttavat myönteisesti kyberturvallisuuteen. Ja on myös varmistettava, että nämä innostuneet henkilöt saavat huolensa ja ehdotuksensa kuulluiksi. Näin he voivat vaikuttaa omilla alueillaan turvallisempien ratkaisujen edistämiseksi ja varmistaa, että ne myös otetaan käyttöön. Näin myös kehitetään kykyä havaita ja välttää riskejä aikaisempaa paremmin."
Inhimilliset tekijät ovat itsessään oma riskinsä. Voi esimerkiksi olla tapahtuma, jossa henkilö vahingossa avaa tuotantoverkon ulkoiseen, suojaamattomaan verkkoon, sammuttaa palomuurin tai tekee muita virheellisiä määrityksiä. On erityisen tärkeää, että henkilöstö on tietoinen mahdollisista riskeistä voidakseen välttää tapahtuman. Riskit voivat myös liittyä ulkopuolisiin resursseihin, kuten urakoitsijoihin.
"Riskit voivat liittyä myös ulkopuoliseen työvoimaan, joko fyysisesti paikan päällä tai digitaalisesti. Se voi olla palvelun aikana tapahtuva määritysmuutos, joka luo sellaisen haavoittuvuuden mitä kyberrikolliset voivat hyödyntää. Tai se voi olla tilanne, johon liittyy ulkopuolinen IT-komponentti – ehkä käytetään palveluläppäriä päivityksen tekemiseen, joka puolestaan on saastunut tai siinä on aktiivinen kyberturvallisuusuhka. Kun se liitetään teollisessa ympäristössä verkkoon, uhka siirtyy sinne", kertoo Patrick.
Patrick haluaa korostaa, että kyberturvallisuuden parantamisessa kyse on jatkuvasta tason nostamisesta. Joko pysyäkseen mukana ja ollakseen tietoinen olemassa olevista uhista, tai parhaimmassa tapauksessa ollakseen askeleen edellä. Motivaatio ja aktiivisuus tällä alalla ovat tärkeintä. Kaikki, mikä vaikuttaa myönteisesti yrityksen kyberturvallisuuteen, on tärkeää.