Vedenpuhdistamon allas

19 - 4 - 2023 - Referenssit

Vesilaitokset varautuvat kyberuhkiin harjoittelemalla

Vesihuoltopoolissa tehdään enemmän kuin toivotaan parasta: Instan toteuttamat kyberturvallisuusharjoitukset ovat auttaneet jo 50:tä vesilaitosta varautumaan uhkiin sekä minimoimaan vahingot, kustannustehokkaasti ja keskitetysti.

Kriittinen infraKyberturvallisuus

Huoltovarmuusorganisaation vesihuoltopoolin toiminnan tavoitteena on edistää vesihuollon toimintavarmuutta ja häiriönsietokykyä.  Kyberuhkien kasvaessa kysymys kuului, kuinka kaikille vesihuoltolaitoksille, niin suurille kuin pienille toimijoille, voitaisi tarjota käytännön apua tositilanteisiin varautumiseksi. Ratkaisu löytyi Instan harjoituspalveluista.

Vedenpuhdistamon allas

Osaavaa apua ja vertaistukea matalalla kynnyksellä

KyberturvallisuuskeskuksenHuoltovarmuuskeskuksenELY-keskuksenKuntaliitonHSY:n, Vesilaitosyhdistyksen ja Instan asiantuntijoista koostuva työryhmä suunnitteli vesihuoltolaitosten työpöytäharjoitusten sisällöt. Insta vastaa harjoitusten käytännön toteutuksesta, jossa keskeistä on harjoitusten johtaminen ja ohjaaminen sekä osallistujien motivointi ja sisältöjen kuvaaminen ymmärrettävästi osana varautumisen kehittämistä. Harjoitusalustana toimii Instan helppokäyttöinen ja tietoturvallinen Trasim

Harjoitusten teemoiksi valittiin laitosten IT- ja OT-järjestelmiin ulkopuolelta kohdistuvat häiriötilanteet, fyysinen turvallisuus, ja mainehaitat. Pilottivaiheessa kymmenelle vesilaitokselle järjestettiin seminaari ja työpöytäharjoitus, jota jatkokehitettiin kerätyn palautteen perusteella.

Osallistujille toimitetaan ennakkomateriaalit noin viikkoa ennen harjoitusta, sisältäen ohjeistusvideon sekä sekä Kyberturvallisuuskeskuksen, Instan ja Vesilaitosyhdistyksen asiantuntijoiden puheenvuorot. Harjoituspäivänä osallistujat kirjautuvat alustalle sekä seuraavat Instan fasilitoimaa harjoitustapahtumaa Teams-kokouksessa. Harjoitusalustalla osallistujille jaetaan tilannetta kuvaavia tapahtumakuvauksia sekä tehtäviä organisaatiokohtaisia keskusteluita varten. Harjoituksen edetessä osallistujat pääsevät vaihtamaan ajatuksia sekä ratkomaan haasteita paitsi oman tiimin, myös muiden vesihuoltolaitosten kesken. Työpöytäharjoituksen kesto on puoli päivää.

Harjoituksiin on jo osallistunut yhteensä noin 300 henkilöä 50 vesilaitokselta, ja osallistujat ovat arvioineet harjoituksen hyödyllisyydeksi 4.5/5.

Toteutetut harjoitukset rahoitti pääosin Huoltovarmuuskeskus ja Vesihuoltolaitosten kehittämisrahasto. 

Työpöytäharjoitus näyttää kehityksen oikean suunnan

Työpöytäharjoitukset lisäävät motivaatiota vesilaitosten tietoturvallisuuden varmistamiseen ja kehittämiseen, edistävät tietoturvallisia toimintatapoja ja tiedon jakamista, tukevat toimintatapojen ja osaamisen testaamista sekä mahdollistavat usean organisaation yhtäaikaisen harjoittelun.

Harjoituksen avulla vesilaitokset pääsevät peilaamaan toimintaansa tositilanteeseen sekä selvittämään esimerkiksi sen, ovatko niiden kyberturvallisuustyökalut ja -osaaminen ajan tasalla sekä miten uhkiin on mahdollista varautua. Havaintojen perusteella vesilaitosten asiantuntijat ja johto kykenevät määrittelemään tarvittavat kehitystoimenpiteet sekä päivittämään toimintamallit ja ohjeet. Samalla helpottuu toimintamallien rakentaminen laitoksen oman kyberturvallisuuskumppanin kanssa.

Kommentit harjoituksista

”Vesihuoltopoolissa haluttiin auttaa vesilaitoksia tunnistamaan kyberturvallisuuteen liittyvien toimintatapojen kehittämistarpeita, kun asian tärkeys on nykyisessä turvallisuustilanteessa korostunut. Poolin koordinoima ja laajan asiantuntijajoukon yhteistyönä suunnittelema harjoituskonsepti on pidettyjen harjoitusten perusteella onnistunut. Instan toteuttamat harjoitukset keskittyvät kyberturvallisuuden keskeisiin osa-alueisiin ja soveltuvat kaiken kokoisille vesihuoltolaitoksille. Kukin organisaatio osallistuu harjoitukseen itsenäisesti, mutta harjoituksessa opitaan myös toisilta, sillä rinnalla harjoittelee muitakin laitoksia. Tämä tekee harjoituskonseptista resurssitehokkaan.” 

– Riina Liikanen, vesiasian päällikkö, Vesilaitosyhdistys

”Instan toteuttamat kyberturvallisuusharjoitukset ovat todenmukaisia ja toimintaympäristöömme hyvin suunniteltuja. Eri skenaarioita oli helppo peilata omaan toimintaamme, ja tehtävät olivat pituudeltaan sopivia. Totesimme, että olemme tehneet monia asioita oikein, sekä tunnistimme uusia kehityskohteita. Erityisen antoisaa oli vaihtaa ajatuksia muiden vesilaitosten kanssa. Kokonaisuus oli ytimekäs, ja saimme muutamasta tunnista irti enemmän kuin monesta perinteisestä harjoituspäivästä yhteensä. Harjoitukseen oli helppo osallistua, sillä niin materiaalit kuin alusta ovat toimivia ja selkeitä. Kokonaisuuden eteen oli selvästi nähty paljon vaivaa, mistä iso kiitos järjestäjille.”

– Juha Sipponen, laitosyksikön päällikkö, HS-Vesi

“Harjoitukset olivat todentuntuisia ja hyödyllisiä. Ne herättivät ajatuksia erityisesti siitä, kuinka voimme vaikuttaa kyberturvallisuuteen päivittäisellä toiminnalla. Lisäksi alusta oli selkeä käyttää. Hyvä kokonaisuus!”

– Jari Virtanen, käyttöpäällikkö, Ylöjärven vesi

Keskitettyjen työpöytäharjoitusten hyödyt:

  • Kustannustehokas ratkaisu toimialan läpileikkaavan harjoitusten järjestämiseen. 

  • Realistiset harjoitustehtävät auttavat varautumaan tositilanteisiin.

  • Keskustelut eri toimijoiden kesken tarjoavat lisää näkemystä sekä auttavat ideoimaan uutta.

 

Kiinnostuitko? Lue lisää harjoituksistamme:

Kyber- ja kriisiharjoittelu

Jaa artikkeli

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.