Posted: 26 Aug. 2020 5 min. Lukuaika

Valmistava ja prosessiteollisuus digitalisoituvat

Miten hallita kyberturvallisuutta?

Teollisuuden kyberturvauhat ovat jatkossa entistä monialaisempia tuotantolaitosten automatisoituessa. Mitä syitä kyberuhkien taustalta löytyy ja miten salakavalasti kehittyviin kyberriskeihin kannattaa varautua?

Tuotantolaitosten digitalisoituminen mullistaa toimialaa – kyberuhat lisääntyvät

Digitalisaatio auttaa valmistavaa teollisuutta parantamaan merkittävästi prosessien tuotantotehokkuutta.  Samalla digitalisaatioon vahvasti nojautuva teollisuus lukeutuu tänä päivänä yhdeksi yleisimmin kyberhyökkäysyritysten kohteeksi joutuvista toimialoista. Positiivista kuitenkin on, että yleinen tietoisuus kyberturvallisuusuhkien monialaisuudesta toimialalla on viime vuosien aikana kasvanut – liialliseen turvallisuudentunteeseen ei silti kannata tuudittautua.

Deloitte ja Manufacturers Alliance for Productivity and Innovation (MAPI) toteuttivat yhteistyössä älykkäiden tehtaiden* (Smart Factories) toimialavaikutuksia kartoittavan tutkimuksen vuonna 2019. Tutkimukseen osallistui kaiken kaikkiaan yli 600 teollisuustoimialan johtotehtävissä toimivaa henkilöä.

Alan asiantuntijoista peräti 48 % kokee älykkäiden tehtaiden operatiiviseen toimintaan ja kyberturvallisuuteen liittyvät riskit merkittävimmiksi tulevaisuuden kehittämishankkeiden kannalta. Merkittävimmiksi kyberturvallisuusriskeiksi nousevat muun muassa aineettoman pääoman vuotaminen organisaation ulkopuolelle, ulkopuolisten asiaton pääsy tuotantolaitoksiin ja niissä käytettäviin järjestelmiin sekä vakavimmillaan koko tuotantoketjun toiminnan laajamittainen häiriintyminen. Toiminnan jatkuvuuden varmistaminen onkin suoraan suhteessa siihen, miten kattavasti koko tuotantoketjun läpi ulottuva kyberriskienhallinta on toteutettu.

Mitä syitä löytyy tuotantolaitosten kyberriskien taustalta?

Tuotantolaitosten prosessien parantamiseen ja niihin vaadittavien teknologiaratkaisujen hankintaan liittyvät päätökset tehdään monesti paikallisesti. Uuden teknologian liittäminen tuotantojärjestelmiin sekä tarvittavien turvakontrollien määritys vaatii tällöin erillistä integraatiota organisaation olemassa olevaan IT-infrastruktuuriin.

Tuotantoympäristöjen käyttöönottamat yksittäiset ratkaisut jäävät kuitenkin usein, syystä tai toisesta, organisaation IT- ja tukifunktioiden hallinnoinnin ulkopuolelle. Vain huolestuttavan pieni osa Deloitten ja MAPI:n tutkimukseen vastanneista yrityksistä raportoi ulottaneensa kyberturvauhkien havainnointi- ja estovalmiuksiaan perinteisen IT-ympäristön lisäksi myös operatiivisiin tuotantoympäristöihinsä.

Teollisuusyritysten kokonaisvaltaisen riskienhallinnan tulisi kyetä vastaamaan nykyisen uhkaympäristön lisäksi myös kehittyvän teknologian mukanaan tuomiin uhkaskenaarioihin. Jokainen uusi laite tai palvelu, joka kytketään osaksi laajempia teollisuusjärjestelmiä, on myös omiaan tuomaan mukanaan uusia potentiaalisia haavoittuvaisuuksia.  Tästä syystä uuden teknologian liittäminen monimutkaisiin tuotantojärjestelmiin tuleekin suorittaa hallitusti, yhteistyössä IT-organisaation kanssa.

Organisaatioiden IT:n ja tuotantoympäristöjen teknologian välinen yhteensopimattomuus on usein juurisyynä ongelmiin.

Miten alati kehittyviin kyberturvauhkiin tulisi varautua?

Kyberturvakyvykkyyksien kehittäminen tulee nähdä jatkuvana prosessina, jota tukemaan on tärkeää suunnitella koko tuotantoketjun kattava kyberturvallisuuden hallintamalli. Proaktiivinen varautuminen edellyttää myös, että kyberturvallisuuden eri osa-alueiden nykytilaa arvioidaan säännöllisin väliajoin.

Kartoittamalla kyberturvallisuuden osa-alueiden nykytilaa, muodostetaan kattava kokonaiskuva organisaation senhetkisestä kybervarautumisen tasosta ja sen mahdollisista puutteista. Arvioimalla samalla organisaatiokohtaisten riskien realisoitumisen kokonaisvaikutuksia todennäköisyyksineen, voidaan tunnistaa ja priorisoida tarpeenmukaiset kehitystoimet riskien ennaltaehkäisemiseksi.

Kyberturvallisuus rakennetaan aina teknologian, prosessien sekä näitä työssään käyttävien ihmisten välisellä yhteistyöllä. Monikerroksisen turvallisuusympäristön rakentaminen vaatiikin teknisten turvakontrollien hallinnoinnin lisäksi myös työntekijöiden säännönmukaista ohjeistamista ja kouluttamista.

Mikäli lukemasi herätti ajatuksia tai kysymyksiä, ota yhteyttä niin kerromme mielellämme lisää.

Kyberuhkiin varautuminen on jatkuva prosessi.

Älykkäillä tehtailla tarkoitetaan esineiden Internetiä (Internet of Things), automaatiota ja kehittynyttä sensoriteknologiaa hyödyntäviä tuotantolaitoksia, jotka kykenevät autonomisen tuotantoprosessin läpiviennin lisäksi optimoimaan toimintaansa tuotantoketjun vaihtelevien tarpeiden mukaisiksi.

2019 Deloitte and MAPI Smart Factory Study

Ota yhteyttä

Kristian Herland

Kristian Herland

Kyberturvallisuuskonsultti

Kristian Herland toimii kyberturvallisuuskonsulttina Deloitte Finlandin riskienhallintapalveluissa. Kristianilla on laaja kokemus kyberturvallisuuskonsultoinnista aina turvallisuuden hallinnasta ja johtamisesta teknisten ratkaisujen yksityiskohtiin ja penetraatiotestaukseen. Kristianin eritysosaamista ovat muun muassa simuloidut kyberhyökkäykset yrityksiin (red teaming) sekä teollisuusympäristöjen turvallisuus. Briefly in English: Kristian Herland is a cyber security consultant in Deloitte Finland’s risk advisory. Kristian has a wide range of experience in cyber security consulting all the way from security management and governance to technical details and penetration testing. Kristian’s specialties include simulated adversarial attacks on companies (red teaming) and the security of industrial environments.  

Antti Herrala

Antti Herrala

Partner

Antti Herrala toimii Deloitte Suomen riskienhallinnan partnerina ja johtaa kyberturvallisuuspalveluja yhdessä Karthi Pillayn kanssa. Hänellä on lähes parinkymmenen vuoden kokemus konsultoinnista ja asiantuntijapalveluiden liiketoiminnasta. Hänen erityisosaamistaan on kyberturvallisuusstrategioiden kehittäminen, tietoturvallisuuden ja liiketoiminnan jatkuvuuden hallinta sekä projektien riskienhallinta. Antilla on laaja kokemus eri toimialoilta sekä kotimaisissa että ulkomaalaisissa yrityksissä. Brief in English: Antti is a Partner in the Deloitte Risk Advisory Services. He is leading Deloitte Finland's Cyber Security practice together with Karthi Pillay. Antti has nearly 20 years of experience in consulting and professional services business. He holds strong experience within Cyber Strategy development, Information Security Management, Business Continuity Management as well as Project Risk Management.