Turvallisuus ei ole pelkästään osa laatua

Suojelupoliisin ja Traficomin mukaan Venäjä on kohdistanut aiempaa enemmän kyberhyökkäyksiä Suomeen. Wärtsilä, Uponor sekä Suomen tietotoimisto ovat kertoneet joutuvansa kyberhyökkäysten kohteiksi lähes päivittäin. Toinen merkittävä asia on, että Venäjä on siirtänyt tiedustelutoimintaansa enemmän kyberpuolelle.

Kyberturvallisuuden puolestapuhujana olen usein ottanut asiakkaiden kanssa esille tarpeen panostaa turvallisuuteen painottaen turvallisuuden olevan olennainen osa laatua. Nyt olen kuitenkin muuttanut ”ääntäni”. Turvallisuus ei ole niinkään osa tuotteen laatua vaan ennemminkin oma osansa tuotetta.

Ukrainan sota on osoittanut kriittisen infrastruktuurin suojelemisen olevan avainasemassa yhteiskunnan selviämiseen kriisitilanteissa. Teollisuuteen kohdistuvien uusien turvallisuusuhkien ilmaantuminen luo huomattavan riskin kaikkien teollisuusalojen yritysten turvallisuuteen ja tuottavuuteen. Viime vuosina on nähty kasvavassa määrin teollisuusprosessien hallinta- ja valvontajärjestelmäverkkoihin kohdistuneita hyökkäyksiä. Tämä on nostanut esiin huolen kriittisen infrastruktuurin kuten sähköverkkojen, vedenpuhdistamojen sekä liikenne- ja rataverkkojen turvallisuudesta. Olemme nähneet kuinka kaikkiin näihin on yritetty Ukrainassa vaikuttaa.

Mitkä sitten ovat pahimmat uhat teollisuudelle? Tässä on muutamia tärkeimpiä:

• Kiristykseen tarkoitetut ohjelmat. Yksi tärkeimmistä nousevista uhista teollisuudelle on kiristyshyökkäykset. Niissä haittaohjelma lukitsee tiedostoja ja vaatii maksua niiden avaukseen tarvittavasta ohjelmasta. Teollisuudelle tämä voi tarkoittaa tärkeiden toimintojen sulkemista kunnes lunnaat maksetaan. Hyökkääjät voivat myös uhata julkaisevansa arkaluontoisia tietoja tai häiritä kriittisiä toimintoja mikäli heidän vaatimuksiinsa ei suostuta.
• Esineiden internetin väärinkäyttö. Toinen nouseva uhka on esineiden internetin (IoT, Internet of Things) käyttäminen hyökkäysvektorina. IoT:tä hyödyntävät laitteet ovat tulleet suosituiksi teollisuusympäristöissä, sillä IoT mahdollistaa esimerkiksi laitteiston käytön ja seuraamisen etänä. Monet näistä laitteista on kuitenkin helppo hakkeroida niiden kevyen suojauksen takia. Hyökkääjät voivat täten käyttää hyväksi näitä heikkouksia päästäkseen käsiksi arkaluontoisiin järjestelmiin ja tietoihin.
• Sisäiset uhat. Lopuksi on riski sisäisestä turvavuodosta. Yrityksen omat työntekijät, alihankkijoina käytetyt ulkoiset palveluyritykset sekä muut tietoihin käsiksi pääsevät tahot voivat joko tahallisesti tai tietämättään vaarantaa teollisuuden käyttämiä järjestelmiä. Tämä sisältää kaikki eri mahdollisuudet haittaohjelmien lataamisesta epähuomiossa arkaluontoisten asioiden tahalliseen varastamiseen. SUPOn ja Traficomin laatima raportti alleviivaa tämän uhan tärkeyttä.

Kaiken kaikkiaan Ukrainan sota on osoittanut meidän tarvitsevan kestävämpiä turvallisuuskeinoja sekä proaktiivista otetta kyberturvallisuuteen. Aivan kuten yhtiöt tarvitsevat talous- ja HR-puolia, tulisi niiden panostaa yhtä lailla myös turvallisuuspuoleen niin että sillä olisi yhtä suuri rooli yrityksessä kuin muillakin eikä vain pienenä kivana juttuna laadun tai IT:n ohessa.

Tarmo Kellomäki, Huld Oy:n Digitaalisen ja toiminnallisen turvallisuuden johtaja

Kirjoittaja on ansioitunut menestyneen kyberturvallisuuden liiketoiminnan rakentajana. Hänellä on laaja ja kattava asiantuntemus toimintojen ylläpidon kannalta kriittisten ohjelmistojen kehittämisessä, kyberturvallisuudessa sekä asiantuntijatiimien johtamisessa. Hänen asiantuntemuksensa on kehittynyt hänen työskenneltyänsä 15 vuoden ajan eri tehtävissä Puolustusvoimilla sekä turvallisuuskonsulttina. Kirjoittaja toimii myös aktiivisena puhujana kansainvälisissä turvallisuus- ja teknologiatapahtumissa. Hän on teollisuuden kyberturvallisuuden standardointiryhmien jäsen sekä Suomen automaatioseura Ry:n turvallisuusjaos ASAF:n johtokunnan jäsen.