Case Studies
Häiriötilanteisiin varautuminen OT-ympäristössä kriisiharjoittelun kautta – Deloitte ja Valmet tukemassa Westenergyn kyberturvallisuutta
Deloitte järjesti kriisiharjoituksen Westenergy Oy:lle yhdessä Valmetin kanssa. Harjoituksessa simuloitiin ransomware- eli kiristyshaittaohjelmahyökkäystä, joka on erityisesti teollisuustoimialan tuotantojärjestelmille (OT, Operational Technology) laajasti tunnistettu uhka. Harjoituksen pohjalta laadittiin raportti, joka sisälsi toimintasuositukset kyberturvallisuuden tehostamiseksi.
Simuloitu kriisiharjoitus parantaa valmiutta reagoida kyberhyökkäykseen
Organisaation kyberturvallisuuden varmistamiseksi on kriittistä, että kyberhyökkäyksiin valmistaudutaan systemaattisesti ja kriisitilanteisiin varaudutaan laatimalla palautumissuunnitelma etukäteen. Tehokas tapa varmistaa organisaation todellinen kyky toimia vakavassa häiriötilanteessa on järjestää kriisiharjoitus, jossa kyberhyökkääjän toimintaa simuloidaan mahdollisimman realistisesti.
Deloitte järjesti kriisiharjoituksen Westenergy Oy:lle alkuvuodesta 2024 yhdessä Valmetin kanssa. Westenergy on yritys, joka jalostaa jätettä sähköksi, kaukolämmöksi ja uusiomateriaaleiksi. Westenergyn jätteidenkäsittelylaitoksen tuotanto kattaa yli puolet Vaasan alueen kaukolämpötarpeesta. Laitoksen toiminnan jatkuvuus on kriittistä paitsi yrityksen liiketoiminnan, myös ympäristön kannalta. Mikäli Westenergyn laitoksen toiminta lamautuisi esimerkiksi kyberhyökkäyksen seurauksena, voisi se pahimmillaan vaarantaa paikallisen ympäristön tilan. Westenergyn laitoksella on käytössä Valmet DNA -automaatiojärjestelmä, jonka käyttöä tuetaan Valmetin omilla automaatio- ja kyberturvallisuuspalveluilla.
Kriisiharjoituksen fokuksessa kriisiviestintä, dokumentaation päivittäminen ja roolien kirkastaminen
Westenergylle järjestetyssä, Deloitten ja Valmetin yhteistyönä toteuttamassa kriisiharjoituksessa käytettiin Deloitten metodologiaa, jossa valittuja alueita arvioidaan tietyin kriteerein. Puolipäiväiseen harjoitukseen osallistuivat kriisitilanteen hoitamisen kannalta olennaiset henkilöt Westenergyltä ja Valmetilta, ja Deloitte ohjasi harjoitusta.
Kriisiharjoituksen skenaarioksi valittiin kiristyshaittaohjelma eli ransomware, joka on erityisesti teollisuustoimialan tuotantojärjestelmille tunnistettu suuri uhka. Kiristyshaittaohjelma voi aiheuttaa vahinkoa laitteistolle, vaarantaa työntekijöiden turvallisuuden tai johtaa merkittäviin tuotantokatkoksiin. Harjoituksessa simuloitiin Valmetin automaatiojärjestelmään kohdistunutta hyökkäystä.
Kriisiharjoitukset ovat loistava tapa kehittää organisaation varautumista kyberhyökkäyksiin ja tunnistaa organisaation heikkouksia, joiden ratkaiseminen voi parantaa merkittävästi tietoturvaa.
Harjoituksen kolmeksi päätavoitteeksi ja tarkastelun kohteeksi valittiin sisäinen ja ulkoinen viestintä, ohjeistuksien testaaminen ja mahdollisten puutteiden tunnistaminen sekä roolit ja vastuut kriisinhallinnassa. Simuloidun ransomware-hyökkäyksen kautta Westenergyn ja Valmetin välisessä toiminnassa havaittiin kyberturvallisuuden osalta kehityskohtia, jotka arvotettiin kriittisyyden osalta asteikolla korkea, keskitaso ja matala. Fyysisen turvallisuuden osalta Westenergy operoi jo valmiiksi erinomaisella tasolla. Kehityskohdiksi tunnistettiin muun muassa dokumentaatioihin liittyviä päivityksiä, päätöksentekotilanteisiin ja viranomaisviestintään liittyviä puutteita sekä kumppaniorganisaatioiden vastuiden ja roolien selkeyttäminen.
Deloitte laati harjoituksen löydöksistä dokumentaation, joka sisälsi toimintasuositukset parantamaan kyberturvallisuutta ja varautumaan paremmin mahdollisiin kyberuhkiin tulevaisuudessa.
”Westenergy on aina huolehtinut turvallisuudesta työpaikalla korkeiden normien mukaisesti. Erilaisia kriisiharjoituksia on järjestetty aikaisemminkin tarpeen mukaan, mutta tämä oli ensimmäinen kerta, kun päähuomio oli kyberturvallisuudessa, joka on lähivuosina noussut enenemissä määrin kriittiseksi kokonaisuudeksi. Mahdollisiin kyberhyökkäyksiin on varauduttava, vaikka kuinka hyvin olisi oma ympäristö suojattuna. Tämä Deloitten ja Valmetin kanssa yhteistyössä toteutettu harjoitus sujui erittäin mallikkaasti suunnitteluvaiheesta lähtien ja Westenergy sai arvokkaita toimintasuosituksia kehityskohteiden toteuttamiseksi lähitulevaisuuteen. Suuri kiitos järjestäville tahoille tästä”, kommentoi Westernergyn IT-johtaja Niklas Serén.
”Suosittelen organisaatioita alasta riippumatta säännöllisesti tarkastelemaan omaa tietoturvallisuuttaan. Kriisiharjoitukset ovat loistava tapa kehittää organisaation varautumista kyberhyökkäyksiin ja tunnistaa organisaation heikkouksia, joiden ratkaiseminen voi parantaa merkittävästi tietoturvaa”, kiteyttää Deloittelta projektissa mukana ollut tietoturva-asiantuntija Anu Laitila.
Shortly in English:
Enhancing cybersecurity in OT environment through crisis training
Westenergy’s Waste-to-Energy plant produces about 60% of the district heating needed in the Vaasa region in Finland. Westenergy wanted to identify potential vulnerabilities and improve their response plans and processes.
The Westenergy plant has Valmet DNA automation system, which is supported by Valmet’s automation services and cybersecurity services. Deloitte, together with Valmet, developed a customized cybersecurity crisis scenario which was used in realistic training exercises. Valmet has OEM knowledge of the automation system. The results were thoroughly analyzed and documented.
Results
- Increased resilience to cyberattacks
- Improved response plans
- Enhanced effectiveness during a potential incident
- Improved coordination between involved parties