Yhteistyöllä hyviä tuloksia kyberpuolustuksessa

    Toimintaympäristö 2.1.2017

    Huoltovarmuuskeskus, VTT ja yritykset ovat kehittäneet yhteistyössä automaatioalan puolustusta kyberhyökkäyksiä vastaan. Riskit kasvavat kuitenkin nopeasti etäpalveluiden myötä, joten yhteistyötä tarvitaan paljon lisää.

    kaksi robottia

    Automaatioalan kyberosaamista kehittänyt KYBER-TEO-hanke on vahvistanut käsitystä, että kybertaistelussa tarvitaan paljon yhteistyötä osaamisen kehittämisessä. Yksikään yritys ei pysty omin voimin kehittämään riittävän monipuolista osaamista.

    ”Rikollisetkin harrastavat yhteistyötä, joten uhrienkin täytyy tehdä”, tiivistää Nesteen liiketoimintaprosessien kehityspäällikkö Pasi Lehtinen.

    Yhteistyö on tärkeää myös silloin, kun epäilyt kyberhyökkäyksestä heräävät. Mitä nopeammin tieto hyökkäyksestä leviää, sitä valmiimpia muut ovat. Näin yhteisön jäsenet suojaavat avoimella kommunikoinnilla toinen toisiaan.

    Huoltovarmuuskeskuksen rahoittamassa hankkeessa teollisuus kehitti suojautumiskeinoja VTT:n johdolla.
    ”Me olemme olleet tässä hankkeessa kokoava voima, joka on myös tukenut yrityksiä räätälöityjen ratkaisujen kehittämisessä”, sanoo KYBER-TEOn vetäjä VTT:n johtava tutkija Pasi Ahonen.

    Tätä KYBER-TEO synnytti:

    • Kyberturvallisuuden kehityspalveluita ja ratkaisuja
    • Turvallisuuden työnjakoa ja tehtäviä
    • Testausympäristöjä
    • Harjoitteluympäristöjä
    • Kyberturvamonitoroinnin menetelmiä
    • Sähköisen yhteistyöfoorumin pilotin
    • Kyberturvallisuustietoisuutta

     

    Hankkeen aikana syntyi muun muassa kyberturvallisuuden kehityspalveluita, testausympäristöjä ja kybermonitoroinnin menetelmiä.
    Konkreettisena esimerkkinä voidaan mainita muun muassa Nesteen öljyjalostamolla käyttöön otettu tietoturvamonitorointi.
    ”Palvelumme valvoo tuotantolaitoksen sisäisen verkon liikennettä löytääkseen asiankuulumatonta toimintaa”, sanoo palvelun tuottavan tietoturvayhtiö Nixun teollisen internetin tietoturvapalveluista vastaava Kalle Luukkainen.

    Tärkeitä askeleita automaation hankintavaiheessa

    Nesteen ensimmäinen kehitysprojekti KYBER-TEOssa oli automaation hankintaosaamisen kehittäminen.
    ”Turvallisuuden pohjan luo se, että osataan hankintavaiheessa esittää oikeita vaatimuksia”, sanoo Nesteen Pasi Lehtinen.

    Neste on lisännyt myös voimiaan kyberuhkien torjuntaan. Puolipäiväinen tietoturvatiimi on kasvanut kolmeksi kokopäivätoimiseksi.

    Automaation hankintavaiheessa on tärkeää sopia tarkasti myös vastuukysymyksistä. Vastuu riskeistä saattaa hämärtyä pirstoutuvissa ketjuissa, joissa jokainen voi ajatella jonkun muun kantavan vastuun. Ellei vastuusta sovita, ei sitä myöskään kukaan kanna.
    ”Vastuuasioista sopiminen on ehdottomasti yksi tärkeimmistä asioista automaatioratkaisujen hankkimisessa”, sanoo Nixun Kalle Luukkainen.
    Vastuusta sopiminen edellyttää, että myös automaation käyttäjillä on ymmärrystä kasvavista riskeistä.

    Tärkeitä askeleita suojautumisessa:

    • Henkilöstön tietoisuuden kasvaminen ja koulutus
    • Selkeä oma ohjeistus ja politiikat
    • Kyberturvallisuuden lisääminen automaatiojärjestelmien hankintavaiheessa
    • Automaatioverkon tilanteen seuranta
    • Turvallisten etäyhteyksien konseptien määrittely ja toteutus
    • Turvallisen verkkoarkkitehtuurin määrittely ja toteutus
    • Automaatiojärjestelmien kyberturvallisuustestaus

     

    Yhteistyötä tarvitaan lisää

    Automaatiota koskevat kyberriskit kasvavat nopeasti, kun laitteet verkottuvat ja kyberrikollisuus ammattimaistuu.

    ”Automaatio leviää yhteiskunnassamme kiihtyvällä vauhdilla. Jos automaation kyberturvallisuus laiminlyödään, voi syntyä todella vakavia seurauksia”, sanoo Huoltovarmuuskeskuksen infrastruktuuriosaston johtaja Sauli Savisalo viitaten muun muassa veden- ja sähkönjakeluun.

    Etähallittava automaatio leviää muun muassa lämmitysjärjestelmissä ja muussa talotekniikassa aina taloyhtiöihin ja koteihin asti. Siksi myös hankintoja tekevien, järjestelmiä käyttävien sekä niitä ylläpitävien kyberosaamista pitää kasvattaa.
    ”Esimerkiksi taloyhtiöissä tätä osaamista on vain äärimmäisissä poikkeustapauksissa. Osaamista tarvitaankin myös yksittäisiltä kansalaisilta verkkoliittymien ja automaation levitessä koteihin”, sanoo Sauli Savisalo.

    Kolmivuotisen KYBER-TEO-hankkeen tuloksia esiteltiin joulukuun puolivälissä yli sadalle alan ammattilaiselle Espoossa.

    Huoltovarmuuskeskus tulee investoimaan vuoteen 2020 mennessä 20 miljoonaa koko kyberturvallisuusalan kehittämiseen.
    ”Yhteiskunnan tasolla tarvittaisiin pari nollaa lisää. Toivomme investointimme vivuttavan runsaasti muutakin pääomaa liikkeelle”, sanoo Savisalo.

     

     

     

     

    Kirjoittaja: Risto Pennanen, Kuva: Päivi Kallioinen