Miksi IT ja OT vaativat eri pelikirjan

Suomalaiset organisaatiot ovat panostaneet merkittävästi tietoturvaan sekä kyberturvallisuuteen. Syy tähän on aito: DNA:n vuonna 2025 teettämän tutkimuksen mukaan suomalaisyritysten huoli kyberturvallisuudesta on korkea (70%), ja se kohdistuu erityisesti tietomurtoihin ja valtiollisiin toimijoihin. Tietoturvainvestoinnit ovat kasvussa, ja vastatakseen samanaikaiseen valtavaan osaajapulaan yritykset luottavat yhä useammin kumppaneihin: lähes kaikki DNA:n kyselyyn vastaajat (94 %) ilmoittivat hyödyntävänsä kumppaneita tieto- ja kyberturvallisuudessa joko pääasiassa tai jonkin verran.

Perustaso kyberhallinnassa vaikuttaa monella tapaa olevan kunnossa: palomuurit on konfiguroitu huolellisesti, virustorjunta päivitetään ajantasaisesti ja henkilöstöä koulutetaan säännöllisesti. Tässä tilanteessa piilee helposti tiedostamattomia riskejä. Kun IT-ympäristön perusturvallisuus on vahva ja tekniset kontrollit kunnossa, yritysten huomio saattaa jäädä liiaksi organisaation IT-infrastruktuurin suojaamiseen. Nykyisin kyberuhat kohdistuvat yhä useammin operatiivisen teknologian (OT) ympäristöihin, kuten tuotantolaitteisiin, logistiikan järjestelmiin ja kriittiseen infrastruktuuriin, jotka ovat digitalisaation myötä kytkeytyneet yhä tiiviimmin IT-verkkoihin.

IT/OT-konvergenssi: hyökkäykset IT-verkon kautta OT-järjestelmiin

Digitalisaation ja teollisen esineiden internetin (IIoT) myötä tehtaiden ja tuotantolaitosten operatiivinen teknologia (OT) on liitetty yrityksen IT-infrastruktuuriin (IT), mikä on tuonut mukanaan merkittäviä tehokkuushyötyjä. Integraatio mahdollistaa reaaliaikaisen tiedon hyödyntämisen ja prosessien optimoinnin ennennäkemättömän tehokkailla tavoilla. Samalla se luo kriittisen rajapinnan, jonka kautta hyökkäykset IT-puolella voivat eskaloitua ja aiheuttaa vakavia häiriöitä tai peruuttamatonta vahinkoa OT-järjestelmissä.

Hyökkääjät tietävät tämän ja hyödyntävät rajapintaa aktiivisesti. Tuoreiden kyberturvallisuusraporttien, kuten Dragosin The 2025 OT Cybersecurity Year in Review:n ja Check Point Softwaren The Manufacturing Security Report 2025, mukaan OT-kyberturvallisuuteen keskittyminen on juuri nyt erityisen kriittistä, koska uhkakenttä on muuttunut radikaalisti ja hyökkäykset kohdistuvat yhä suoremmin tuotantoon. Geopoliittiset jännitteet ovat lisänneet kohdennettuja kyberoperaatioita, joissa teollisuusympäristöjä käytetään välineenä yhteiskunnallisten häiriöiden aiheuttamiseen ja uusia, tuhoisia ICS-spesifisiä haittaohjelmia on kehitetty tätä varten.

Samaan aikaan lunnasohjelmahyökkäysten määrä on kasvanut merkittävästi: raportit osoittavat, että teollisuusorganisaatioita vastaan tehtyjen hyökkäysten määrä kasvoi 87 % vuodessa. Hyökkääjät tietävät, että lyhyetkin tuotantokatkokset voivat johtaa merkittäviin kustannuksiin, mikä tekee siitä houkuttelevan kohteen kiristykselle. Tilannetta pahentaa se, että hyökkääjien ei tarvitse enää olla huippuosaajia. He hyödyntävät tehokkaasti peruspuutteita, kuten internetiin avoimiksi jätettyjä laitteita ja heikkoja salasanoja, jotka ovat valitettavan yleisiä monissa OT-ympäristöissä.

Tämä herättää pysäyttävän kysymyksen: Jos hyökkäykset hyödyntävät niin perustavanlaatuisia puutteita, kuten heikkoja salasanoja ja avoimia yhteyksiä, miksi kalliit ja kehittyneet IT-tietoturvaratkaisumme eivät estä niitä?

Ongelman ydin on yleinen, mutta vaarallinen oletus: IT-järjestelmien suojaamiseen kehitetyt työkalut ja käytännöt toimivat sellaisenaan myös OT-maailmassa. Tämä virheellinen lähestymistapa jättää tuotannon kriittiset järjestelmät alttiiksi. Se pakottaa meidät kysymään, miksi nämä kaksi maailmaa vaativat täysin eri strategiat.

Miksi eri tietoturvastrategiat ovat välttämättömiä?

Suurin ja perustavanlaatuisin ero IT- ja OT-maailmoiden välillä ei ole teknologiassa, vaan prioriteeteissa. Tämä ero on hienovarainen, mutta sen ymmärtäminen on liiketoimintariskin hallinnan kannalta elintärkeää.

IT-maailmassa tietoturvan peruskiviä ovat perinteisesti olleet kolme asiaa, joita kutsutaan usein CIA-kolmioksi. Kuten oheinen visualisointi näyttää, prioriteetit ovat selkeät ja datakeskeiset:

Luottamuksellisuus (Confidentiality): Tieto ei saa vuotaa vääriin käsiin. Tämä on lähes aina tärkein prioriteetti.

Eheys (Integrity): Tietoa ei saa päästä peukaloimaan luvattomasti.

Saatavuus (Availability): Järjestelmien tulee lähtökohtaisesti olla aina käytettävissä, lukuun ottamatta lyhyitä ja hallittuja huolto- tai päivityskatkoja.

Tämän vuoksi luottamuksellisuus on lähes aina tämän kolmion kärjellä. Yrityksen näkökulmasta pahin skenaario on tyypillisesti luottamuksellisen tiedon, kuten asiakasrekisterien tai tuotekehityssalaisuuksien, vuotaminen. Tällainen vuoto voi johtaa suoriin taloudellisiin menetyksiin, mainevahinkoon ja lakiseuraamuksiin.

OT-maailma kääntää kolmion päälaelleen

Kuten tästä käänteisestä mallista nähdään, prioriteetit ovat täysin erilaiset, koska nyt suojellaan fyysisiä prosesseja ja ihmisiä, ei pelkästään dataa.

Saatavuus (Availability): Tuotantolinja ei saa pysähtyä odottamatta, eikä kukaan saa loukkaantua. Hallitsematon katkos tai fyysinen vaaratilanne on ehdottomasti vältettävä. Tämä on ylivoimaisesti tärkein prioriteetti.

Eheys (Integrity): Prosessidatan, kuten valmistusreseptiikan, paine- tai lämpötila-asetusten ja ohjauskäskyjen on oltava luotettavia. Virheellinen komento voi tuhota tuotantoerän tai rikkoa kalliin laitteen.

Luottamuksellisuus (Confidentiality): Tieto on tärkeää, mutta sen suojaaminen ei saa vaarantaa tuotannon jatkuvuutta tai ihmisten turvallisuutta. Se on prioriteeteista viimeinen.

Tässä mallissa saatavuus ja sen takaama turvallisuus ovat kaiken perusta. Yrityksen näkökulmasta suurin riski on tuotannon hallitsematon pysähtyminen tai, kaikkein vakavimmillaan, fyysinen onnettomuus. Nämä iskevät suoraan ydinliiketoimintaan: ne pysäyttävät toimitusketjun, aiheuttavat välittömiä kustannuksia ja vaarantavat turvallisuuden.

OT-järjestelmien suojaamisen haasteet käytännössä

Tämä prioriteettien ero näkyy kaikessa: teknologiassa, prosesseissa ja ihmisissä.

Teknologia: Tuotannossa saattaa olla 20 vuotta vanha, mutta täysin luotettavasti toimiva kone, jota ohjaa Windows XP -käyttöjärjestelmä. IT maailmassa tämä on painajainen, koska järjestelmään ei ole saatavilla tietoturvapäivityksiä. OT-näkökulmasta se on arkea, sillä laitteen päivittäminen voisi rikkoa sen tai vaatisi valmistajan sertifioinnin, jota ei enää ole saatavilla.

Prosessit: IT-tiimi on tottunut ajamaan tietoturvapäivityksiä viikoittain, jopa automaattisesti öisin. OT-ympäristössä seuraava suunniteltu huoltokatko voi olla puolen vuoden päässä ja luvaton päivitys kesken tuotannon voi pysäyttää koko tehtaan ja aiheuttaa miljoonien eurojen tappiot.

Ihmiset: IT-ammattilainen mittaa onnistumistaan ratkaistuina tiketteinä ja estettyinä uhkina. OT-insinööri puolestaan mittaa onnistumistaan tuotannon käyttöasteella (OEE) ja laadulla. He puhuvat eri kieltä ja heillä on eri tavoitteet. Kun IT-ammattilainen näkee päivittämättömän järjestelmän tietoturvariskinä (uhka luottamuksellisuudelle), OT-insinööri näkee sen vakauden takeena (takaa saatavuuden). Tämä perustavanlaatuinen näkemysero voi johtaa syvään kulttuuriseen kuiluun ja keskinäiseen turhautumiseen, ellei yhteistä kieltä löydetä.

Kokonaisvaltainen ymmärrys varmistaa turvallisen tuotantoympäristön

IT:n ja OT:n ero ei ole vain tekninen yksityiskohta, vaan se on perustavanlaatuinen ero liiketoiminnan prioriteeteissa. Tämän ymmärtäminen on ensimmäinen ja tärkein askel tuotantoympäristön turvaamisessa.

Kysy itseltäsi: Ymmärrämmekö todella IT- ja OT-ympäristöjen erilaiset prioriteetit? Olemmeko tunnistaneet kaikki rajapinnat, joissa ne kytkeytyvät toisiinsa?

Kun tiedämme nyt, miksi IT ja OT ovat erilaisia, avaamme blogisarjamme seuraavassa osassa sitä, miten turvallinen OT-ympäristö käytännössä rakennetaan. Ymmärrämme, että näiden kahden maailman tasapainottelu samanaikaisesti tuntuu vaikealta. Hyvä uutinen on, että et ole yksin, ja ratkaisuja on olemassa. Sarjan toinen osa ilmestuu alkuvuodesta 2025.

Lue lisää Instan palveluista – me hallitsemme sekä IT- että OT-ympäristöjen turvaamisen!