Artikkeli

Valmistava ja prosessiteollisuus digitalisoituvat – miten hallita kyberturvallisuutta? 

Blogi: Kristian Herland & Antti Herrala

Teollisuuden kyberturvauhat ovat jatkossa entistä monialaisempia tuotantolaitosten automatisoituessa. Mitä syitä kyberuhkien taustalta löytyy ja miten salakavalasti kehittyviin kyberriskeihin kannattaa varautua?

26.8.2020

Tuotantolaitosten digitalisoituminen mullistaa toimialaa – kyberuhat lisääntyvät

Digitalisaatio auttaa valmistavaa teollisuutta parantamaan merkittävästi prosessien tuotantotehokkuutta.  Samalla digitalisaatioon vahvasti nojautuva teollisuus lukeutuu tänä päivänä yhdeksi yleisimmin kyberhyökkäysyritysten kohteeksi joutuvista toimialoista. Positiivista kuitenkin on, että yleinen tietoisuus kyberturvallisuusuhkien monialaisuudesta toimialalla on viime vuosien aikana kasvanut – liialliseen turvallisuudentunteeseen ei silti kannata tuudittautua.

Deloitte ja Manufacturers Alliance for Productivity and Innovation (MAPI) toteuttivat yhteistyössä älykkäiden tehtaiden* (Smart Factories) toimialavaikutuksia kartoittavan tutkimuksen vuonna 2019. Tutkimukseen osallistui kaiken kaikkiaan yli 600 teollisuustoimialan johtotehtävissä toimivaa henkilöä.

Alan asiantuntijoista peräti 48 % kokee älykkäiden tehtaiden operatiiviseen toimintaan ja kyberturvallisuuteen liittyvät riskit merkittävimmiksi tulevaisuuden kehittämishankkeiden kannalta. Merkittävimmiksi kyberturvallisuusriskeiksi nousevat muun muassa aineettoman pääoman vuotaminen organisaation ulkopuolelle, ulkopuolisten asiaton pääsy tuotantolaitoksiin ja niissä käytettäviin järjestelmiin sekä vakavimmillaan koko tuotantoketjun toiminnan laajamittainen häiriintyminen. Toiminnan jatkuvuuden varmistaminen onkin suoraan suhteessa siihen, miten kattavasti koko tuotantoketjun läpi ulottuva kyberriskienhallinta on toteutettu.
 

Mitä syitä löytyy tuotantolaitosten kyberriskien taustalta?

Organisaatioiden IT:n ja tuotantoympäristöjen teknologian välinen yhteensopimattomuus on usein juurisyynä ongelmiin.

Tuotantolaitosten prosessien parantamiseen ja niihin vaadittavien teknologiaratkaisujen hankintaan liittyvät päätökset tehdään monesti paikallisesti. Uuden teknologian liittäminen tuotantojärjestelmiin sekä tarvittavien turvakontrollien määritys vaatii tällöin erillistä integraatiota organisaation olemassa olevaan IT-infrastruktuuriin.

Tuotantoympäristöjen käyttöönottamat yksittäiset ratkaisut jäävät kuitenkin usein, syystä tai toisesta, organisaation IT- ja tukifunktioiden hallinnoinnin ulkopuolelle. Vain huolestuttavan pieni osa Deloitten ja MAPI:n tutkimukseen vastanneista yrityksistä raportoi ulottaneensa kyberturvauhkien havainnointi- ja estovalmiuksiaan perinteisen IT-ympäristön lisäksi myös operatiivisiin tuotantoympäristöihinsä.

Teollisuusyritysten kokonaisvaltaisen riskienhallinnan tulisi kyetä vastaamaan nykyisen uhkaympäristön lisäksi myös kehittyvän teknologian mukanaan tuomiin uhkaskenaarioihin. Jokainen uusi laite tai palvelu, joka kytketään osaksi laajempia teollisuusjärjestelmiä, on myös omiaan tuomaan mukanaan uusia potentiaalisia haavoittuvaisuuksia.  Tästä syystä uuden teknologian liittäminen monimutkaisiin tuotantojärjestelmiin tuleekin suorittaa hallitusti, yhteistyössä IT-organisaation kanssa.
 

Miten alati kehittyviin kyberturvauhkiin tulisi varautua?

Kyberuhkiin varautuminen on jatkuva prosessi.

Kyberturvakyvykkyyksien kehittäminen tulee nähdä jatkuvana prosessina, jota tukemaan on tärkeää suunnitella koko tuotantoketjun kattava kyberturvallisuuden hallintamalli. Proaktiivinen varautuminen edellyttää myös, että kyberturvallisuuden eri osa-alueiden nykytilaa arvioidaan säännöllisin väliajoin.

Kartoittamalla kyberturvallisuuden osa-alueiden nykytilaa, muodostetaan kattava kokonaiskuva organisaation senhetkisestä kybervarautumisen tasosta ja sen mahdollisista puutteista. Arvioimalla samalla organisaatiokohtaisten riskien realisoitumisen kokonaisvaikutuksia todennäköisyyksineen, voidaan tunnistaa ja priorisoida tarpeenmukaiset kehitystoimet riskien ennaltaehkäisemiseksi.

Kyberturvallisuus rakennetaan aina teknologian, prosessien sekä näitä työssään käyttävien ihmisten välisellä yhteistyöllä. Monikerroksisen turvallisuusympäristön rakentaminen vaatiikin teknisten turvakontrollien hallinnoinnin lisäksi myös työntekijöiden säännönmukaista ohjeistamista ja kouluttamista.

Mikäli lukemasi herätti ajatuksia tai kysymyksiä, ota yhteyttä niin kerromme mielellämme lisää.

 

* Älykkäillä tehtailla tarkoitetaan esineiden Internetiä (Internet of Things), automaatiota ja kehittynyttä sensoriteknologiaa hyödyntäviä tuotantolaitoksia, jotka kykenevät autonomisen tuotantoprosessin läpiviennin lisäksi optimoimaan toimintaansa tuotantoketjun vaihtelevien tarpeiden mukaisiksi.

Oliko tieto hyödyllistä?