Kriittisen infrastruktuurin suojaaminen edellyttää modernia kyberturvaa

Yhteiskunnan huoltovarmuuden kannalta energiainfrastruktuurin on toimittava ilman häiriöitä. Energiayhtiöissä oman toiminnan laatua mitataan ennen kaikkea jatkuvuuden varmistamisen kautta. Poikkeamia vältellään viimeiseen saakka, sillä ne voivat tulla kalliiksi niin yhtiölle kuin sen asiakkaillekin.

”Lyhyissä sähkön tai lämmityksen katkoksissa voi näkyä haittoja kotitalouksille ja yrityksille”, sanoo Vaasan Sähkön digitalisaatiojohtaja Topias Katajamäki. ”Mikäli sähkön ja lämmön toimitus häiriintyisi pidemmäksi aikaa, tilanne muuttuisi kertaheitolla ongelmallisemmaksi: sairaalat, pelastuspalvelut ja yhteiskunnan muut kriittiset toiminnot tulee saada pidettyä käynnissä. Häiriön lopullisia vaikutuksia määrittelee sen kesto.”

Geopoliittisten jännitteiden ja alati kasvavan kyberrikollisuuden aikakaudella yritysten on oltava valppaina ja kyettävä turvaamaan oman liiketoiminnan lisäksi myös asiakkaat. Suomessa käytetyn energian määrä per henkilö on maailman suurimpia. Suurimman siivun haukkaa lämmityksen lisäksi teollisuus.

“Suomessa suuret toimijat ovat varautuneet hyvin, mutta pienemmillä saattaa olla vielä aukkoja kokonaisturvassa. Maailma on muuttunut viimeisen kymmenen vuoden aikana todella paljon. Tuotannon puolella on perinteisesti varauduttu siihen, että jotain esimerkiksi hajoaa, mutta toiminnan pitää silti jatkua. Kyberturvaa on mietitty vähemmän”, huomauttaa kyberturvapalveluita toimittavan Loihteen tietoliikennearkkitehti Antti Leimio.

Suurin hidaste tarkoituksenmukaisen kyberturvan tiellä on usein osaamisen tai resurssien puute. Pienessä yrityksessä erikoistunutta osaamista voi olla vähän, eikä varautumisen ja ennaltaehkäisemisen arvoa aina nähdä ennen kuin tilanne osuu eteen. Jos varmuuskopioita ja palautumissuunnitelmaa ei ole, yritys on jo myöhässä.

Monenlaiset uhat vaativat valppautta

IT tekee väistämättä tuloaan osaksi tuotantoympäristöjä niissäkin yhtiöissä, joissa näin ei jo ole. Modernissa sähköyhtiössä dataa kerätään esimerkiksi IoT-antureilla ja sitä käsitellään analytiikkatyökalujen ja tekoälyn avulla erilaisissa pilvipalveluissa. Näin tuotantoa saadaan ohjattua entistä tehokkaammin. Liiketoimintahyötyjen lisäksi kehitys tuo tullessaan myös uhkia, joihin yhtiöiden on varauduttava.

“Turvallinen toimintaympäristö vaatii laajaa huomiointia. Fyysinen infrastruktuuri, kuten sähköverkon ilmajohdot, on sääolosuhteiden armoilla. IoT-teknologia tuo keinoja fyysisen infran valvomiseen ilman, että ihmisen tarvitsee henkilökohtaisesti käydä tarkastamassa joka asiaa. Tässä tullaan siihen, että myös digitaalinen infrastruktuuri on turvattava”, Katajamäki toteaa.

Yleisimpiin tietoturvauhkiin kuuluvat muun muassa erilaiset tietojenkalasteluyritykset, joissa tavoitteena on päästä käsiksi energiayhtiön järjestelmiin työntekijöiden kautta. Myös erilaiset haittaohjelmat käyttävät hyväkseen ihmisen kiirettä ja harkintakyvyn pettämistä. Aidolta näyttävän linkin klikkaaminen voi johtaa liiketoimintakriittisiä tietoja salaavan kiristysohjelman asentumiseen ja yrityksen koko toiminnan pysähtymiseen.

“Uutisista on saanut lukea, miten hyökkääjät valmistelevat operaatioita hyvissä ajoin ja pyrkivät ottamaan toimintaympäristön haltuun jo ennen potentiaalista hyökkäystä. Tällöin sähköyhtiöiden verkkoon jää eräänlainen takaportti, jonka kautta hyökkäys voidaan käynnistää”, Leimio kertoo.

Takaportteja käytetään myös niin sanotuissa toimitusketjuhyökkäyksissä, joissa haittaohjelmat istutetaan jo valmistus- tai jakeluvaiheessa toimittajien tuotteisiin. Näin hyökkääjä voi täysin huomaamatta saastuttaa lukuisia organisaatioita ja päästä hallitsemaan niiden järjestelmiä.

Turvallinen toimintaympäristö syntyy useasta kerroksesta

Vaikka teknologinen kehitys haastaa etenkin kyberturvaa, antaa se myös aiempaa tehokkaampia keinoja ehkäistä erilaisia uhkia. Modernit ratkaisut oppivat ympäristön normaalitilan ja osaavat hälyttää tapahtumista, jotka poikkeavat siitä. Tekoälyn avulla myös täysin uudenlaisiin uhkiin on mahdollista reagoida hyvinkin nopeasti.

“Kyberturvassa kerrosmainen rakenne on ehdottoman tärkeä. Jos hyökkääjä pääsee ensimmäisestä kerroksesta läpi, on toinen jo vastassa. On syytä tarjota säännöllistä koulutusta työntekijöille, jotka usein ovat se ensimmäinen kohde. Järjestämme säännöllisesti tietoturva- ja tietosuojakoulutuksia, joiden tehokkuutta testaamme simuloimalla esimerkiksi kalasteluviestejä. Tällä tavoin pyrimme ylläpitämään organisaation valmiustasoa”, Katajamäki kertoo.

Niin kutsuttu Zero Trust -ajattelu antaa lisää turvaa. Käyttöoikeuksia jaetaan vain alimmalla mahdollisella oikeustasolla ja käyttäjiä sekä heidän laitteitaan pyritään varmistamaan huolellisesti. Järjestelmien päivitysten on oltava ajan tasalla, jotta mahdolliset heikkoudet ovat asianmukaisesti tilkittyinä. Verkon segmentointi, eli pienemmiksi vyöhykkeiksi pilkkominen, puolestaan rajaa hyökkääjän pääsyä vain pienelle alueelle.

Mutta entä jos hyökkäys kuitenkin osuu kohdalle?

“Valmistelevaa hyökkäystä voi olla haastava havaita jälkikäteen, jos sellainen on jo päässyt tapahtumaan. Alkava tai aktiivinen hyökkäys näkyy valvonnassa. Kyberturvaturvavalvomo pääsee reagoimaan nopeasti ja esimerkiksi eristämään ongelmalliset laitteet verkosta. Näin estetään pahimpien vahinkojen syntyminen”, Leimio kertoo.

Ilman vuorokauden ympäri toimivaa kyberturvavalvontaa moni hyökkäys huomataan liian myöhään. Kunnollinen dokumentaatio ja omaisuuden hallinta auttavat hyökkäysten torjunnassa ja ongelmien selvittelyssä.

Varautumis- ja palautumissuunnitelma säännöllisine koeajoineen parantaa energiayhtiöiden vikasietoisuutta, sillä toimintaa päästään jatkamaan nopeammin. Myös tuleva NIS2- eli kyberturvadirektiivi asettaa vaatimuksia toiminnan jatkuvuuden hallintaan.

“NIS2 kasvattaa omistajuutta organisaatioiden kyberturvasta, sillä se velvoittaa koko johtoryhmää. Energiayhtiöillä tulisi olla omasta takaa arkkitehtuuritason ymmärrys käytössä olevista järjestelmistä ja toimintakokonaisuudesta. Varsinainen työ kokonaisvaltaisen kyberturvan suunnittelussa ja toteutuksessa kannattaa ulkoistaa kumppanille, joka tuntee myös toimialan erityispiirteet ja lainalaisuudet”, Leimio sanoo.

Lue lisää NIS2-direktiivin vaikutuksista energia-alaan täältä.