Open search

    Suljettujen järjestelmien aika on ohi – kun portit avataan tekoälylle ja data-analytiikalle, tietoturvan on oltava kunnossa

    Teollisuusyritysten kyberturvallisuus on perinteisesti perustunut siihen, että järjestelmistä muodostetaan suljettuja ja ulkomaailmasta erotettuja kokonaisuuksia. Ongelma tällaisessa järjestelmässä on se, että samalla kun se estää tietoturvauhkat, se sulkee ulkopuolelleen myös digitalisaation ja uusien teknologioiden tarjoamat mahdollisuudet. Hyötyjä ei saavuteta, jos eri järjestelmiä ei saada verkottumaan keskenään. 

    Sitä mukaa kun teollisuusyritysten digitalisaatio kasvaa, yhä riittämättömämmäksi käy pelkkä järjestelmien kovennettu ulkokuori. Paras tulos syntyy, kun tasapainossa ovat kaikki kyberturvallisuuden elementit: ihmiset, prosessit ja teknologia. 

    Miksi kyberturvallisuus kiinnostaa teollisuudessa

    Kyberturvallisuus on noussut johtoryhmien marginaalista suuren kiinnostuksen kohteeksi monesta syystä. Uudet teknologiat tarjoavat teollisuuden liiketoiminnalle paljon mahdollisuuksia. Asiakkaille voidaan tarjota perinteisen laitos- tai konetoimituksen tueksi uusia palveluita digitaalisten rajapintojen yli. Osa palveluista tarjoaa järjestelmästä kerätty tietoa entistä hyödyllisemmässä muodossa, ja osa palveluista taas hyödyntää pilvilaskennan kapasiteettia, tekoälyä, data-analytiikkaa ja koneoppimista. Jotkut palveluista liittyvät entistä autonomisempiin laitoksiin, joiden seuraaminen ja hallinta on luontevaa tehdä etänä ja myös mobiililaitteista. Nämä mahdollisuudet onnistuvat vain, jos kyberturvallisuus on kunnossa.

    Samalla asiakkaiden tietoturvavaatimukset muuttuvat yhä haastavimmiksi. Myös standardien rooli kasvaa, ja esimerkiksi IEC 62443 tai ISO 27001 -standardien vaatimustenmukaisuus nousee asiakasrajapinnassa esille.

    Joskus kyberturva ei olekaan uhka vaan mahdollisuus, ja teollisuusyritys voi kääntää asiakkaiden tietoturvahuolet maksullisiksi kyberturvallisuuspalveluiksi. Niiden avulla huolehditaan toimitusten turvallisuudesta niiden koko elinkaaren ajan. 

    Heikoin lenkki on ihminen

    Kyberturvallisuudessa ihminen on aina heikoin lenkki, sillä tutkimusten mukaan jopa 95 % tietomurroista johtuu ihmisen toiminnasta. 

    Kyberturvallisuuden parantaminen kannattaa näin ollen aloittaa ihmisistä, sillä edes suljetut ympäristöt eivät ole suojassa inhimillisiltä virheiltä. Ongelma voi saada alkunsa USB-muistin kytkemisestä yrityksen verkkoon, heikoista salasanoista tai siitä, että työntekijä unohtaa tietokoneensa junaan. 

    Paras ratkaisu on kouluttaa koko henkilökunta. Sen sijaan vähintä, mitä organisaatio voi tehdä, on varmistaa ainakin avainhenkilöiden relevantti kyberturvallisuusosaaminen. Erilaisten koulutusten lisäksi yritykselle räätälöity kyberturvallisuuden johtamisharjoitus on hyvä tapa lisätä johtoryhmän osaamista. Simuloitu tilanne paljastaa oman tiimin tämän hetkisen tilan ja osaamisen kriisitilanteissa. Kaiken kaikkiaan henkilöstön kouluttaminen on kustannustehokkain tapa parantaa organisaation tietoturvaa. 

    Mitä sujuvampi prosessi sen parempi

    Yrityksen digitaalista turvallisuutta tulee johtaa suunnitelmallisesti. Yksi osa hyvin johdettua kyberturvaa on, että turvallisuuteen liittyvät prosessit ovat kunnossa ja kaikki yrityksessä työskentelevät niiden mukaisesti. Esimerkiksi yrityksessä voidaan linjata, että henkilöstöhallinto ei koskaan lähetä linkkejä yrityksen työvälineisiin massasähköpostilla, vaan kaikki työkaluihin ohjaava viestintä tapahtuu intranetissä. Tällöin hälytyskellojen tulisi soida, jos sähköpostiin kilahtaa henkilöstöhallinnon pyyntö täyttää ulkoisesta linkistä kirjautumisen jälkeen löytyvä kysely. Toisaalta henkilöstöhallinnon tulee myös noudattaa toimintamallia ja keskittää viestintä intraan, ettei se omalla toiminnallaan opeta henkilöstöä reagoimaan sovitusta poikkeavalla tavalla. 

    Ei siis riitä, että kyberturvallisuus on otettu huomioon strategiatasolla, se on saatava mukaan operatiiviseen toimintaan. Vaikka suurin osa kyberturvallisuudesta on ennakointia ja varautumista, akuuttiin kyberuhkaan  reagoinnin tulee tapahtua yhtä salamannopeasti kuin palohälytykseen reagoimisen. Nopeaa reagointia edesauttaa prosessin vaiheiden automatisointi. Esimerkiksi tekoälyä voidaan hyödyntää poikkeamien tunnistamiseen ja nopeaan reagointiin vahinkojen välttämiseksi.

    Sujuvat menetelmät ja ennakkoon varautuminen koskevat myös ohjelmistopohjaisten järjestelmien tuotekehitystä. Tämän hetken tietoturvaedelläkävijät integroivat kyberturvallisuuden ohjelmistokehityksen DevOps-kulttuuriin. Tällöin kyse ei ole kerran vuodessa järjestettävästä murtotestauksesta, vaan siitä, että tietoturva kytketään samaan sykliin DevOps-toimintamallin kanssa, jolloin ohjelmistojen kehittäminen, testaaminen, julkaisu ja ylläpito tapahtuvat automatisoitujen työvälineiden avulla nopeasti ja usein. Pitkälle hiottujen työtapojen ja työkalujen ansiosta kyberturvallisuuteen käytettävä työmäärä pysyy kohtuullisena. 

    Ytimeen saakka kovennettua teknologiaa

    Paras teknologia on tänä päivänä sellainen, joka on pelkän ulkokuoren sijaan ytimeen saakka kovennettu. Tietoturvan sipulimalli koostuu kerroksista, joista jokainen suojaa järjestelmää hiukan eri näkökulmasta. Näin ollen jos yksi kerroksista murtuu, seuraava pitää. 

    Teknologian tietoturva on helpointa varmistaa siinä vaiheessa, kun sitä ollaan kehittämässä ja ottamassa käyttöön. Kun liikkeellä ollaan hyvissä ajoin, voidaan tuotekehittämiseen valita turvallinen kehitysmenetelmä. Turvallinen kehitysmenetelmä huomioi järjestelmää mahdollisesti uhkaavat hyökkäykset sekä riskit. Turvalliseen kehitysmenetelmään kuuluu esimerkiksi monitasoinen tietoturvatestaus sekä valittujen teknologioiden haavoittuvuuksien hallinta.  Kehitysmenetelmä myös lisää teknologiaan riskejä estävät ominaisuudet. Kyse voi olla esimerkiksi käyttäjien tunnistautumisesta tai järjestelmän jatkuvasta tietoturvavalvonnasta. Samalla vältytään myös turhalta työltä, kun aikaa tai rahaa ei käytetä sellaiseen tietoturvatyöhön, joka ei riskien kannalta ole oleellista. 

    Näin varmistat teollisuuden digitaalisen järjestelmän  kyberturvallisuuden:

    1. Aloita heti.
    2. Kouluta henkilöstö.
    3. Varmista prosessien olemassaolo, toimivuus ja ketterä kehitys.
    4. Kun otat käyttöön uutta teknologiaa, aloita kehitysmenetelmästä. 

    Kirjoittaja

    2030_048_Intopalo

    Henry Haverinen

    LinkedIn