Teollisuuden tietoturvariskejä kasvattavat pitkään käytössä olleet järjestelmät, toimintojen ulkoistaminen sekä järjestelmien uudenlainen yhdistyminen toisiinsa. PwC Suomen kyberturvallisuuden ja tietosuojan asiantuntija Mika Johansson näkee, että uhkien minimoimisessa tärkeää on kokonaiskuvan ymmärtäminen.
Perusteollisuuden kyberturvatilanteeseen vaikuttavat erityisesti vanhat järjestelmät, joista puuttuu sisäänrakennettu tietoturva, sekä toimintojen lisääntynyt ulkoistaminen. Riskejä lisää myös aiemmin erillään toimineiden tehdasjärjestelmien ja IT-järjestelmien yhdistyminen moderneissa tehdasympäristöissä.
"Tehtaiden tiloissa on yhä enemmän kävijöitä, järjestelmiä käytetään myös etänä ja niiden omistajuus on moninaisempaa. Tämä luo tietoturvaan aukkoja", Johansson kuvailee.
Yritysten on erittäin haastavaa varmistaa etänä töitä tekevän kolmannen osapuolen tietoturvatasoa. Tällöin riskinä on paitsi se, että yrityksen verkkoon pääsee jotain haitallista, myös että yrityksen omistamaa dataa katoaa tai varastetaan.
TIEDON AVULLA PARHAASEEN LOPPUTULOKSEEN
Johanssonin mukaan tärkeintä tilanteen ratkaisemisessa on tietoisuuden kasvattaminen ja kokonaisuuden hyvä hallinta.
"Perinteisesti valmistavassa teollisuudessa järjestelmien hallinta jakaantuu tietoturvapäällikön ja tuotantopäällikön välille. Jatkossa parempaan tulokseen päästään, jos omistajuus on yhdellä henkilöllä, joka vastaa esimerkiksi kaikista ostoista ja ylläpidosta."
Seuraavat tärkeät konkreettiset askeleet kohti parempaa tietoturvaa ovat tämänhetkisten laitteiden ja järjestelmien kartoittaminen sekä suunnitelmallisuus jatkon suhteen.
TULEVAISUUDEN HAASTEET VAIHTELEVAT ALA- JA YRITYSKOHTAISESTI
Erikokoiset yritykset painivat erilaisten tietoturvahaasteiden kanssa. Suurilla yrityksillä tietoisuuden taso saattaa olla korkealla, mutta tehtävää työtä paljon omiin resursseihin nähden. Pienemmissä yrityksissä tietoisuuden kasvattaminenkin voi vaatia panostuksia ja lisäksi esimerkiksi tietoturva-ammattilaisten rekrytoiminen on vaikeampaa.
"PwC:llä autamme tietoisuuden lisäämisessä tekemällä yrityksille uhka- ja riskianalyysejä, joissa määritellään haasteet ja niiden ratkaisemisen hinta. Tämä antaa mahdollisuuden harkita, onko riskien pienentäminen kannattava investointi."
Tulevaisuuteen katsoessa Johansson uskoo, että teollisuustoimijoiden tulee ensisijaisesti taklata jo mainittu IT:n ja tuotannon järjestelmien saattaminen saman sateenvarjon alle. Lisäksi hän näkee, että monessa yrityksessä tullaan lähivuosina siirtymään Security Operations Center -malliin, eli keskitettyyn tietoturvavalvontaan. Myös ostotoiminta kehittynee vastaamaan paremmin tietoturvavaatimuksiin.
Kriittisille aloille merkittäviä tietoturvaan liittyviä muutoksia tulee ohjaamaan EU:n NIS2-direktiivi, joka asettaa uusia pakollisia vaatimuksia esimerkiksi infrastruktuurin, sähköntuotannon, kemiantuotteiden ja lääkkeiden valmistuksen aloille.
Johansson haluaa muistuttaa, että vaikka tietoturvakeskustelussa korostuu tällä hetkellä vahvasti ransomware-hyökkäyksiä vastaan suojautuminen, on tulevaisuuden turvan kannalta tärkeintä pitää mielessä kokonaiskuva.
"Omistajuuden, hallinnan ja ostotoiminnan selkeys pienentävät paitsi ransomware-riskiä, myös muita riskejä. Tietoturvan suhteen on hyvä aloittaa ylätasolta", hän kiteyttää.