Toimialat kehittämään omaa kyberturvallisuuttaan

Elintarvikealan poolit eli alkutuotanto-, elintarviketeollisuus- sekä kauppa- ja jakelupooli kokoontuivat helmikuussa pohtimaan raportin antia omalla toimialallaan ja etsimään ratkaisuja sen kyberkypsyyden parantamiseksi. Kehityskohteista tuntuu vallitsevan laaja yksimielisyys: kyberturvallisuushäiriöiden vaikutusten minimointi, kyberturvallisuuteen liittyvän tiedon jakaminen sekä osaamisen kehittäminen.

Sen lisäksi, että vakavat häiriöt elintarviketuotannossa vaikuttaisivat haitallisesti yritysten toimintaan, ne voisivat näkyä myös kansalaisten kauppakassissa. Elintarviketuotannon arvoketju alkutuotannosta kauppaan ja jakeluun tukeutuu pitkälle vietyihin digitaalisiin rakenteisiin, joten kyberkypsyyden tarkastelu on kriittisen tärkeää.

Jyri Valmu

”Digitaalisuuteen on sidottu niin yksittäinen alkutuottaja tilallaan kuin maan suurimpiin kuuluva elintarviketeollisuusyritys, jonka koko tuotantojärjestelmä hallinnosta yksittäisiin laitoksiin on läpikotaisin digitalisoitu,” sanoo Elintarviketeollisuuspoolin valmiuspäällikkö Jyri Valmu.

Toimialojen kyberkypsyysvertailussa elintarvikeala sijoittui häntäpäähän. Alan sisällä hajonta on suurta: parhaat yritykset ovat tekemisessään kansainvälistä huippua, mutta niiden vastapainona ovat lukuisat pienet muutaman työntekijän yritykset, jotka eivät pysty panostamaan samalla lailla järjestelmiensä kyberturvallisuuteen. Alan pienimmät alkutuotannon yritykset puuttuivat selvityksestä.

Ideoista hankkeiksi

”Kyberistä on saatavissa valtavasti tietoa, muun muassa Kyberturvallisuuskeskuksen ja ISAC-tiedonvaihtoryhmien kautta. Mutta kuinka moni yritys osaa hyödyntää sieltä tulvivaa informaatiota? Sitä pitäisi jalostaa ja kanavoida helpommin ymmärrettäväksi ja hyödynnettäväksi”, Valmu pohtii.

Yhteistoimintaverkostojen tukeminen ja kehittäminen voisikin auttaa yrityksiä kehittämään kyberkypsyyttään. Yritysten käsitystä omasta reagointikyvystä voitaisiin testata esimerkiksi simuloitujen hyökkäysten avulla. Alkutuotantopooliin kuuluvien 50 000 maatilan kyberkypsyyden nykytilaa ja lähtötasoa voisi selvittää esimerkiksi neuvonnallisella kartoituksella.

”Uhkien ja riskien tunnistamista voisi tukea luomalla teknisiä ja osaamisen minimivalmiuksia kuvaava dokumentti, johon toimijat voisivat peilata omaa tilaansa. Siinäkin voisi hyödyntää ulkopuolisen toimijan valkokaulushyökkäyksiä asianomaisten järjestelmiin.”

Osaamisen kehittämisen osalta voitaisiin tuottaa esimerkiksi verkkokoulutusta ja testejä. Eri organisaatioilla on jo runsaasti valmiita pohjia hyödynnettäviksi. Kouluttajakoulutusta, oppimateriaaleja ja perusoppaitakin tarvittaisiin, myös liiketoimintajohdon opastukseen.

”Tässä hankkeessa on käynnistetty jotain merkittävää ja se etenee. Mielekkäitä lähestymistapoja on loputtomiin. Poolikohtaisista tarpeista keskustellaan seuraavassa tapaamisessa, toivottavasti jokin näistä ajatuksista saa ilmaa siipiensä alle niin, että sitä päästään viemään eteenpäin.”

Osaa ideoista on tarkoitus viedä eteenpäin poolien ja sektorin kautta, ja joitain esitetään kehityshankkeiksi Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmaan.

Laaja näkemys toimialojen tilanteesta

Elintarvikealan lisäksi Kyberturvallisuuden nykytila eri toimialoilla -raportissa tarkastellaan muidenkin huoltovarmuuden kannalta keskeisen toimialojen kyberkypsyyttä. Keväällä 2020 julkaistu kartoitus on toistaiseksi perusteellisin – mukaan saatiin jokaiselta Huoltovarmuusorganisaation 12 toimialalta vähintään kuusi eri kokoista yritystä. Yhteensä raporttia varten haastateltiin toistasataa yritystä. Perusteellisiin haastatteluihin osallistui yritysten liiketoimintajohtoa sekä IT- ja kyberturvallisuusasiantuntijoita.

Yritykset saivat selkeän yrityskohtaisen liikennevalo-raportin, jossa niiden kyberkypsyyksiä peilataan toimialakohtaisiin liiketoiminnan riskeihin ja kerrotaan mihin niiden kannattaa sen perusteella kiinnittää huomiota.

”Yritykset kokivat prosessin hyödylliseksi, ja ovat kiitelleet saamaansa raporttia. Haastatteluista laadittiin myös toimialakohtaiset raportit, jotka tarjosivat osallistuneille mahdollisuuden verrata itseään saman toimialan muihin yrityksiin – toki niin, että yksittäisiä yrityksiä ei ollut mahdollista tunnistaa. Pyrimme näin kohdistamaan yritysten huomion tärkeisiin aiheisiin kahdelta suunnalta”, Digipoolin sihteeri Antti Nyqvist kertoo.

Havainnoista teoiksi

Toimialakohtaiset raportit on nyt käyty toimialoittain läpi erillisissä työpajoissa. Esimerkiksi elokuussa järjestetyssä Digipooliin kuuluvien ICT- ja telecom-alojen yhteisessä työpajassa käytiin läpi raportin havainnot ja toimenpide-ehdotukset, ja valikoitiin, priorisoitiin ja ideoitiin kehityskohteita, joihin kannattaisi puuttua.

”Prosessiin osallistuneiden yritysten toivotaan kehittävän omatoimisesti niiden kohdalla havaittuja puutteita. Työpajoissa haetaan sen sijaan koko toimialaa koskevia kehityskohteita, joihin voidaan tarttua yhdessä”, Nyqvist selventää tavoitteita.

Antti Nyqvist

”Kartoituksen perusteella on esimerkiksi vesihuollossa jo tuotettu materiaaleja ja ohjeistuksia, joita nyt pyritään viemään käytäntöön yrityksissä. Muillakin aloilla kehittämistoimet pyritään suuntaamaan laajemmalle joukolle kuin pelkästään poolitoimintaan osallistuville yrityksille.”

Laajemmalle yritysjoukolle näitä hankkeita vievät eteenpäin poolien ohella teollisuusliitot sekä mukana olevat yritykset omien yhteistyökumppaniensa ja alihankkijoidensa suuntaan. Nyqvist muistuttaa, että pieniin yrityksiin kohdistuvalla tiedonvaihdolla on merkittävä vaikutus toimialan yleiseen osaamisen tasoon.

”Hanke pyrkii kehittämään toimialojen kyberturvallisuutta bottom up -lähestymistavalla niin, että ala itse miettii, mikä sille olisi tärkeää ja hyödyllistä. Poolit miettivät jatkossa, mitkä työpajoissa esiin nousseista kehittämiskohteista jäävät niiden edistettäväksi ja mitä voisi ehdottaa projektiksi HVK:n Digitaalinen turvallisuus 2030 -hankeohjelmaan.”

Avauskuvassa Inexin pitkälle automatisoitu logistiikkakeskus Sipoossa. Kuva Tuukka Mielonen/S-ryhmä. Puimurikuva JPA, henkilökuvat HVK ja Traficom

Kukaan ei ole turvassa huijareilta

Suomalaisuudella tai toimialalla ei ole mitään merkitystä kyberturvallisuuden kannalta. Kyberuhkat kohdistuvat jokaiseen yritykseen.

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tilannekuvayksikön päällikkö Miikka Salonen muistuttaa, että kyberrikollisuus on globaalia, automatisoitua ja täysin opportunistista toimintaa. Huijausten ja tietomurtojen tekijöitä ei kiinnosta, mikä on se organisaatio, johon heidän toimintansa kohdistuu.

Huijausviestit lähtevät satoihin tuhansiin sattumanvaraisiin nettiosoitteisiin ja automaattiset skannausohjelmistot etsivät netistä lukitsemattomia ovia, kuten palvelimia, joiden ohjelmistoja ei ole päivitetty ajan tasalle.

Miikka Salonen

”Jos ovi on jäänyt auki, joku löytää sen varmasti.”

Pandemia ei ole juurikaan vaikuttanut Suomessa kyberrikollisuuteen. Se on kuitenkin tarjonnut huijausviestien tekijöille uuden uskottavan teeman, jonka avulla viestin vastaanottajia voi houkutella huijaussivuille antamaan käyttäjätunnuksiaan.

Viimeisten reilun kahden vuoden aikana ovat erityisesti lisääntyneet Office 365 -ympäristöön liittyvät huijaukset. Niissä käyttäjältä kalastellaan ensin huijausviestin avulla käyttäjätunnus ja salasana, joilla rikolliset sitten tunkeutuvat järjestelmään ja etsivät sieltä erityisesti maksuliikennettä koskevia sähköposteja. Niiden avulla he rakentavat uskottavan näköisiä tekaistuja laskuja, jotka he lähettävät huijatun työntekijän työnantajalle.

Usein uskottavalta vaikuttava lasku myös maksetaan.

”Laskutushuijaukset ovat valtava ongelma. Niillä on aiheutettu uhriksi joutuneille yrityksille jopa satojen tuhansien eurojen tappioita ja siten ihan konkreettisia keskeytys- ja lopettamisriskejä. Samoin kiristyshaittaohjelmat, joilla rikolliset lukitsevat käyttäjän elintärkeät tiedostot ja vaativat sitten niiden avaamisesta kalliit lunnaat, ovat globaalisti kymmenien miljardien eurojen arvoista liiketoimintaa.”