Posted: 26 Oct. 2020 6 min. Lukuaika

Tuotannon jatkuvuus

– miten varautua lisääntyviin uhkiin?

Tuotannon jatkuvuuden varmistaminen on liiketoiminnalle elinehto – pienimmätkin tuotannon keskeytymiset tulevat erittäin kalliiksi. Ohjaus- ja automaatiojärjestelmien yhteydet ulkoisiin verkkoihin ovat arkkitehtuurissa ja teoriassa estettyjä, mutta käytännössä todellisia kyberuhkia. Tuotantoympäristöissä ongelmia aiheuttavat niin virukset, kyberrikolliset kuin inhimilliset virheet. Oman tuotantoympäristön kyberriskeihin varautuminen ei yksin riitä, vaan lisäksi tulee huomioida ulkoiset kriittiset arvoketjut ja riippuvuudet. 

 

Digitalisoitunut ja verkostoitunut toimintaympäristö lisää haavoittuvuutta

Vauhdilla digitalisoitunut teollisuusympäristö altistaa tuotantolaitokset aiempaa haavoittuvammiksi kyberhyökkäyksille. Tuotannossa järjestelmien elinkaari on huomattavasti pidempi kuin tavanomaisessa toimisto- tai IT-ympäristössä. Tämä tarkoittaa väistämättä sopeutumista vanhentuneisiin tehdasjärjestelmiin ja käytäntöihin. Tuotannon verkoissa eivät myöskään salaus tai verkon rajaukset ole yleensä samalla tavalla mahdollisia kuin IT-verkoissa.

Tuotantoympäristöjen digitalisaatio on kuitenkin vääjäämätöntä. Modernissa tuotantoympäristössä on yhä enemmän yhteyksiä sekä sisäisten verkkojen välillä että ulkoisiin kumppaneihin. Usein esimerkiksi ylläpitoa tai tuotannon osia ohjataan kumppanin toimesta tai koko laitos on etäohjauksessa. On huomattavasti todennäköisempää, että toimitusketjun toimintaa ja toimituskykyä uhkaa alihankkijaan kohdistuva kyberhyökkäys kuin tuotantolaitoksen tuhoutuminen maanjäristyksessä tai tulipalossa.
 

Lisääntyvä etäkäyttö avaa ovia kyberrikollisille

Laitosten etäkäyttö ja ylläpito ovat lisääntyneet merkittävästi viime vuosina. Tämä on aiheuttanut riskien kasautumista kybernäkökulmasta. Yhteyksien katkomisessa, välineiden monimutkaistumisessa ja käyttäjien ja päätelaitteiden koskemattomuuden suojauksessa on uudenlaisia haasteita. Maailmanlaajuisena jylläävä koronapandemia lisää riskejä entisestään. Rajoitukset supistavat tuotantolaitosten toimintaa ja rajoittavat tuotantoa valvovan henkilökunnan määrää. Haastava poikkeustilanne on hyvin otollista maaperää kyberrikollisille ja valppaus kyberriskeihin varautumisessa on tärkeämpää kuin koskaan.

Pandemian aiheuttama poikkeustila on samalla hyvä mahdollisuus kouluttaa käytön ja ylläpidon kybervalppautta, työn ollessa muutoksessa ja uusien välineiden lisääntyessä. Uusia etäkäytön välineitä lisätään entisestään ja näiden hankinnassa on syytä kiinnittää erityistä huomioita kyberturvallisuuteen. Useimmiten kyberuhka ei aiheudu VPN-putken salauksen murtamisesta, vaan inhimillisistä erheistä – esimerkiksi käyttö- tai kulkuoikeuksien myöntämiseen liittyvistä prosessivirheistä. 

Siinä missä asiaton henkilö on helppo tunnistaa työpaikalla, on kaapattu etäkäyttöyhteys hyvin vaikeaa havaita ennen kuin on liian myöhäistä. 

Kumppaneiden riskit ovat usein vielä tunnistamaton ja kontrolloimaton uhka

Kolmansien osapuolien ylläpitämät tuotannon komponentit ja verkot ovat yleistyneet nopeasti. Ylläpidon ulkoistukset ovat yleisiä ja monilla suurillakin toimijoilla OT (Operational Technology) -verkot tai automaation keskeiset komponentit ovat huollon, ylläpidon ja hallinnan osalta enemmän tai vähemmän ulkoistettuja. Noin kolmessa neljästä voimalaitoksessa digitaalista ohjausjärjestelmää SCADAa (Supervisory Control And Data Aquisition) ylläpitää jokin ulkoinen osapuoli.

Tuotantolaitosten riskienhallinnalla on pitkät perinteet, esimerkiksi kriittisten fyysisten osien korvaamiseen ja korjaamiseen on yleensä hyvät rutiinit. Tuotannonjohto on taitava laskemaan, montako varaosaa kannattaa pitää varastossa ja miten laitosta ajetaan poikkeustiloissa. Kyberriski on uudenlainen, laajempi ja niukemmin varauduttu alue. Riippuvuudet niin talon sisällä kuin sen ulkopuolelle ovat heikommin dokumentoitu, jos ollenkaan. Kyberhyökkäyksen tapahtuessa tuotantolinjat voivat seisahtua tai koko tehdas saattaa mennä alas. Seurauksena voi olla suuria taloudellisia tappioita ja laitteisto-, materiaali- ympäristö- ja henkilövahinkoja.
 

Selkeät sopimukset ja vastuut ovat uhkien hallinnan edellytys

Tyypillisesti tuotantolaitosten keskeiset fyysiset riskit on dokumentoitu ja pääraaka-ainevirrat suojattu hyvin. Saman aikaisesti tuotannon järjestelmien riippuvuudet ovat laajentuneet huomattavasti. Usein järjestelmiin pääsee tai niitä ylläpitää useita eri alihankkijoita, eikä näiden kumppaneiden riippuvuuksia ole arvioitu lainkaan. Tänä päivänä on harvinaista, että edes kriittisten toimittajien kanssa olisi olemassa turvallisuussopimus, kattava palvelutasosopimus tai vaatimus kybervakuutuksesta. Tämän korjaaminen ei ole tekninen tietoturvaosaston asia, vaan ennen kaikkea sopimus- ja prosessiasia.

Sopimusten korjaaminen on usein hidasta sopimusjaksojen ja toimittajien vastustuksen takia. Samalla vaatimusten koordinointi on yrityksen omassa päässä epämääräistä; vastaako asiasta tietoturvapäällikkö, tietoturvajohtaja, talousjohtaja, operatiivinen johtaja vai kuka. Selvää on ainoastaan, että lopulta asiasta on vastuussa toimitusjohtaja ja hallitus. Asia on siis syytä hoitaa kuntoon.
 

Kybervakuutuksesta, -varoittimesta ja -harjoituksesta uusi normi

Tuotantoympäristöissä käytettävyys ja saatavuus ovat tärkeysjärjestyksessä hyvin korkealla. Samalla tulee muistaa, että niin kyber- kuin perinteisetkin uhat vaarantavat paitsi jatkuvuuden myös työturvallisuuden. Sata vuotta sitten henkilövahingot ja kuolemat olivat enemmän tai vähemmän tavanomaisia laitoksilla. Tänä päivänä ne ovat välittömästi valtakunnan uutisia. Vastaava kehitys tapahtuu kyberturvallisuuden osalta, nykyään vahingot kärsitään nahoissa eikä niistä paljoa kysellä enempää.

EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi), GDPR:n ja työsuojelun vaatimusten kehittyessä kyberturvallisuus muuttuu työturvallisuuden kaltaiseksi itsesäänselvyydeksi laitoksella – tietämättömyys tai varautumattomuus nähdään jatkossa raskaasti tuomittavina laiminlyönteinä. Kybervakuutuksista tulee teollisissakin ympäristöissä palovakuutusten kaltainen itsestäänselvyys. 

Myös kybervalmiudesta tulee tehtaan palolaitoksen ja sammutusjärjestelmien tapainen normaali osa toimintaa. Samoin kuin paloharjoituksia, kyberharjoituksia ja testejä tehdään säännöllisesti kaikilla laitoksilla.

Miten tunnistaa kyberuhat ja miten niihin voi varautua

Yhä salakavalampiin kyberuhkiin varautuminen vaatii käsityksen oman tuotantolaitoksen riskiprofiilista eli kuinka paljon kapasiteettia ja investointeja tarvitaan. Omien järjestelmien turvallisuuden lisäksi tulee olla ymmärrys palveluita tarjoavien yritysten tietoturvasta ja niiden varatoimenpiteistä, jos riski laukeaa.

Olemme koonneet vinkkejä asioista, jotka kannattaa huomioida kyberriskien näkökulmasta sekä omassa tuotantoympäristössä että kumppaneilta ostettujen palvelujen osalta.

Tuotantolaitoksissa ylläpidetyt omat järjestelmät:

1)      Kyberturvallisuuskulttuuri: Yritykset voivat kasvattaa henkilöstön kybertietoisuutta ja rakentaa kyberturvallisuuskulttuuria niin, että työntekijät eri puolilla organisaatiota osaavat toimia kyberturvallisesti. Yrityksen vastuulla on varmistaa käyttäjien koulutus ja tietoisuus kyberriskeistä. Lisää aiheesta Deloitten podcast-sarjan seitsemännessä jaksossa: Miten rakennetaan kyberturvallisuuskulttuuria?

2)      Kybervakuutukset ovat nopeasti teollisuudessa päätään nostava trendi. Kybervakuutus kattaa kyberhyökkäyksistä organisaatioille aiheutuneita kuluja ja auttaa organisaatiota toipumaan hyökkäyksestä. Kybervakuutus ei kuitenkaan yksin riitä, vaan tarvitaan kokonaisvaltaisempi kyberriskienhallintaohjelma.

3)      Verkkojen aktiivinen monitorointi: On tärkeää varmistaa niin IT- kuin OT-ympäristöjen monitorointi kuin käyttöoikeuksien ja päätelaitteiden seuranta ja hallinta. On mahdotonta täysin välttää viruksen uiminen omaan data centeriin, mutta on syytä olla valmiudet havaita se mahdollisimman aikaisin ja aloittaa hoitotoimenpiteet.

Ulkoisilta kumppaneilta ostetut palvelut:

1)      Tarkista palveluntarjoajan luotettavuus ja valitse toimittaja, joka noudattaa alan standardeja ja turvaa nykyisen toimintansa sekä satsaa varautumiseen uhilta myös tulevaisuudessa. Suojaustyön tulee olla jatkuvaa ja systemaattista. Selvitä, mitä ovat palveluntarjoajan kriittiset riippuvuudet.

2)      Tarkista onko palveluntarjoajalla ajantasaiset palvelutaso- ja turvallisuussopimukset, joihin ei ole lakisääteistä velvoitetta. Tylsä mutta tärkeä tehtävä on palveluntarjoajien säännöllinen arviointi.

3)      Velvoita selkeä palveluntarjoaja- ja ulkoistusstrategia. Valinta riskin ja ulkoistuksen tasosta tulee tehdä hallitusti. Riippuvuuksia on arvioitava systemaattisesti ja kriittiset riippuvuudet eivät saa paljastua yllätyksenä.

Ota yhteyttä meihin, keskustelemme mielellään lisää!
 

Lauri Haapamäki
Cyber and Strategic Risk
lauri.haapamaki@deloitte.fi
+358 (0)400 254 059  

Mika Järvensivu
Partner, Energy, Resources and Industrials
mika.jarvensivu@deloitte.fi
+358 (0)40 7725 889                                

Antti Herrala
Partner, Cyber Security
antti.herrala@deloitte.fi
+358 (0)40 768 8397                                    

 

Ota yhteyttä

Lauri Haapamäki

Lauri Haapamäki

Cyber Risk

Lauri Haapamäki työskentelee Deloitten riskienhallinnan palveluissa Suomessa. Lauri on kokenut liiketoiminnan johtaja ja riskienhallinnan asiantuntija, joka on työskennellyt laajasti kyberriskien, arkkitehtuurin ja strategian parissa. Hänellä on yli 10 vuoden kokemus alalta työskennellen ympäri maailmaa vaativien liiketoiminnan ja kyberhaasteiden parissa. Laurilla on syvä asiantuntemus kyberriskien liiketoimintavaikutuksista ja niiden hallinnasta. Hän on työskennellyt laajasti muun muassa energia-, prosessi-, vakuutus- ja kriittisen turvallisuuden alueilla. Briefly in English: Lauri is a part of Deloitte Risk Advisory team in Finland. Lauri is an experienced business leader and risk management expert, who has worked extensively with cyber risk management, architecture and strategy. He has over 10 years of experience in the field working widely across the globe with complex cyber and business challenges. He has deep knowhow of business impacts of cyber risk and mitigating them through various technological and monitoring services. Lauri has experience in energy, process, insurance and critical security areas.

Mika Järvensivu

Mika Järvensivu

Energy, Resources and Industrials

Mika Järvensivu toimii Deloittella valmistavan- ja prosessiteollisuuden toimialasta vastaavana partnerina. Lisäksi Mika toimii prosessiteollisuuden toimialavetäjänä Pohjoismaissa. Mikalla on yli kahdenkymmenenviiden vuoden vahva osaaminen teollisen liiketoiminnan alalta sekä näkemys tulevaisuuden liiketoiminnan trendeistä. Deloittella Mika keskittyy auttamaan teollisuusasiakkaita kehittämään kilpailukykyään ja vastaamaan digitalisaation aiheuttamaan murrokseen mm. tekoäly-, IIoT- ja automaatioratkaisuja hyödyntäen. Mika on myös väitellyt tohtoriksi keinoälyn hyödyntämisestä teollisuusprosessien optimoinnissa. Briefly in English: Mika Järvensivu is Partner in Deloitte’s Energy, Resources and Industrials Sector, and Nordic Process Industry Sector Lead. Mika is a Doctor in Science, Process Automation and Intelligent Systems and he has over 25 years of experience in manufacturing, energy and process industries in both consulting and within industry. At Deloitte, Mika is focusing on helping industrial customers to develop their competitive advantage and to respond to digitalization by using artificial intelligence, IoT and automation solutions.

Antti Herrala

Antti Herrala

Partner

Antti Herrala toimii Deloitte Suomen riskienhallinnan partnerina ja johtaa kyberturvallisuuspalveluja yhdessä Karthi Pillayn kanssa. Hänellä on lähes parinkymmenen vuoden kokemus konsultoinnista ja asiantuntijapalveluiden liiketoiminnasta. Hänen erityisosaamistaan on kyberturvallisuusstrategioiden kehittäminen, tietoturvallisuuden ja liiketoiminnan jatkuvuuden hallinta sekä projektien riskienhallinta. Antilla on laaja kokemus eri toimialoilta sekä kotimaisissa että ulkomaalaisissa yrityksissä. Brief in English: Antti is a Partner in the Deloitte Risk Advisory Services. He is leading Deloitte Finland's Cyber Security practice together with Karthi Pillay. Antti has nearly 20 years of experience in consulting and professional services business. He holds strong experience within Cyber Strategy development, Information Security Management, Business Continuity Management as well as Project Risk Management.