Teknisen turvallisuuden ja kyberturvallisuuden riskej? on aika arvioida yhdess?

Ennen teollisuuslaitoksen IT-j?rjestelm?t ja prosessit voitiin pit?? riskitarkasteluissa erill??n. En?? se ei toimi. Verkottuneessa maailmassa kyberuhkat vaikuttavat tekniseen turvallisuuteen ja toisin p?in.

Turvauhkien n?k?kulmasta maailma on muuttunut. Jo l?hes kaikki teolliset prosessit ovat yhteydess? digitaaliseen ymp?rist??n, kuten erilaisiin automaatio- ja turvaj?rjestelmiin. Jos esimerkiksi turvatoiminnon on tarkoitus est?? kemikaalivuodot, mit? jos joku p??see peukaloimaan toimintoa ohjaavaa j?rjestelm?? et?yhteydell??

Ennen se ei olisi ollut mahdollista; t?m?n p?iv?n maailmassa se mit? todenn?k?isimmin on, jos suojaukset eiv?t ole kunnossa. Lukitut ovet ja kulkuluvat eiv?t en?? riit?, kun joku voi saada ”yhdell? napin painalluksella” varmana pidetyn turvatoiminnon pois p??lt?. Kyberuhkien riskikartoituksella haavoittuvuus olisi voitu huomata ajoissa ja est??.

Kyberturvallisuus ja tekninen turvallisuus? ovatkin jo niin tiiviisti yhteydess? toisiinsa, ett? kyberturvaosaamisen puutteesta on tullut prosessiturvallisuuden riski. T?m? on yksi syy sille, miksi mekin p??timme kirjoittaa t?m?n blogin yhdess?. Vain teknist? ja kyberturvaosaamista yhdist?m?ll? pystymme varautumaan t?m?n p?iv?n verkottuneisiin turvauhkiin.

Mik? tahansa teollisuuslaitos on ”kiinnostava kohde”

Globaalit turvauhkat koskevat l?hes kaikkea liiketoimintaa, eik? yksik??n teollisuuslaitos ole poikkeus. Mik? tahansa laitos voi olla ”kiinnostava kohde”, kun joku aktivisti, tietovaras tai terroristinen ??riliike haluaa tehd? toiminnalle haittaa tai vain saada n?kyvyytt?. Ja joskus sattuu vahinkojakin. V??r??n kohteeseen osuneen kyberhy?kk?yksen seurauksena on menetetty jopa ihmishenki?.

Yksi monenlaista teollista toimintaa yhdist?v? tekij? on kemikaaliturvallisuus . Kyse voi olla vain yhdest? oheistoiminnoissa tarvittavasta nestekaasupullosta tai koko prosessia sy?tt?v?st? massiivisesta s?ili?st?. Ilkivalta tai turvatoimintojen estyminen voi aiheuttaa esimerkiksi tulipalon, joka levi?? laajalle ja johtaa vaikkapa varastoidun kaasupullon r?j?hdykseen.

Siksi on t?rke?? tiet??, mitk? ovat oman toiminnan uhkatekij?it?, mitk? todellisia uhkia ja mitk? riskej?, joilla on my?s seurauksia.

Miten verkottuneen maailman turvauhkiin voi varautua?

Tukesin opas. Mik?li varastoit kemikaaleja, sinun kannattaa tutustua Tukesin oppaaseen ”Turvauhkiin varautuminen vaarallisten kemikaalien k?sittelyss? ja varastoinnissa ”. Se antaa tietoa kemikaalilains??d?nn?st? ja erilaisista kybervaikuttamisen keinoista. Opas sis?lt?? my?s kevyet tarkastuslistat, joilla p??see alkuun oman toiminnan turvauhkien arvioinnissa.

Riskiarvioinnit. Teollisen toiminnan turvallisuusuhkien arviointiin tarvitaan usein asiantuntija-apua. Voimme toteuttaa kattavan riskiarvioinnin, jossa l?hdet??n liikkeelle uhkien tunnistamisesta. Jokainen teollisuuslaitoshan on erilainen. Prosessiturvallisuuden HAZOP-tarkasteluun voidaan yhdist?? my?s kyberuhkien arviointi (SHAZOP).

Riskikatselmoinnit. Kun riskit on tunnistettu, riitt?? s??nn?llinen riskikatselmointi. Laitoksen kriittisyydest? riippuen katselmointi voi olla kerran kvartaalissa tai vuodessa sek? aina merkitt?vien muutosten ja poikkeamien yhteydess?. S??nn?llisen tekemisen etuna on, ett? sykli on kerta kerralta kevyempi. Toiminnan laajuudesta riippuen katselmointi on tuntien tai muutaman p?iv?n ty?. Hy?tyihin n?hden panostus on siis pieni.

Turvallisuus on prosessi. Toimintaymp?rist? muuttuu koko ajan, joten varautumiskeinot pysyv?t oikein mitoitettuina vain, kun tiedet??n, miten ajankohtaisia ja todenn?k?isi? eri uhkat ovat. Esimerkiksi toimialaan kohdistuneet kyberiskut tai rikollisten k?ytt?mien uusien tekniikoiden, kuten kryptohaittaohjelmien, yleistyminen teollisuuslaitoksissa voi vaatia varautumaan uudella tavalla.

Turvallisuusarvioinnit. Moni viranomainen vaatii todentamaan, ett? turvallisuutta seurataan ja kehitet??n asianmukaisella tavalla. Arviointi onnistuu esimerkiksi Swecon kehitt?m?ll? Safety Indexill? , johon on helppo yhdist?? erilaisia mittaristoja, kuten Traficomin Kybermittari.

J?rjest?mme riskiarviointeihin liittyen my?s ty?pajoja, yhteisharjoituksia ja koulutuksia, joissa on paikalla riitt?v?n laaja porukka asiantuntijoita meilt? ja teilt?. Lopputuloshan on parempi, kun teemme yhteisty?t?. Vaikka IT-osaston tietoturva-asiantuntijat ja prosessiturvallisuuden ammattilaiset eiv?t yleens? ”puhu samaa kielt?”, me voimme toimia tulkkina.

Olemme opetelleet puhumaan toinen toisillemme yli osastorajojen, joten pystymme tuomaan my?s laitoksesi vastuuhenkil?t saman p?yd?n ??reen keskustelemaan verkottuneen maailman uusista turvauhkista.

Niko Pikkarainen, Swecon teknisen turvallisuuden ryhm?p??llikk?, [email protected]

Cris Puchner, Swecon Head of Security, Teollisuuden ICT-suunnittelun ryhm?p??llikk?, [email protected]