Asiantuntija varoittaa teollisuusalojen kyberturvallisuudesta – “Pelkkään fyysiseen turvallisuuteen on luotettu liian pitkään”

Teollisuuden järjestelmien lisääntyvä autonomia tuo mukanaan merkittäviä kyberturvallisuushaasteita. Kun järjestelmät toimivat yhä itsenäisemmin ja manuaalisen työvoiman tarve vähenee, järjestelmät altistuvat samalla uusille uhkille.  

Teknologiatalo Huldilla Suomen johtavien teollisuustoimijoiden kyberturvallisuuden parissa työskentelevä asiantuntija Musa Jallow näkee tilanteen vakavuuden. 

”Suomen bruttokansantuote ja vienti nojaavat vahvasti teollisuuteen. Jos hyökkäys lamauttaa tehtaan ja tuotantolinjat pysähtyvät, vaikutukset ulottuvat koko kansantalouteen”, Jallow painottaa.  

Hän viittaa esimerkkinä Agco-konserniin, johon kuuluu myös suomalainen metsäkoneyhtiö Valtra. Vuonna 2022 konserni joutui mittavan kyberhyökkäyksen kohteeksi, mikä pienensi yhtiön liikevaihtoa 13 prosentilla tehtaiden ollessa seisahduksissa.  

Samat riskit koskevat myös kriittisiä infrastruktuureja kuten energiantuotantoa. 

”Jos kyberturvallisuutta laiminlyödään, hakkerit voivat pysäyttää sähköntuotantomme, millä olisi valtavia seurauksia”, Jallow varoittaa.  

Suljetut tilat eivät enää riitä 

Teollisuudessa on pitkään keskitytty fyysiseen turvallisuuteen, ja suljettuja tiloja pidetään edelleen keskeisimpänä suojautumiskeinona. Pelkkään fyysiseen turvallisuuteen keskittyminen kuitenkin sokeuttaa uusille hyökkäyspinta-aloille, joita digitalisaatio tuo mukanaan. 

Jallowin mukaan digitalisaatio, laitteiden lisääntyvä kompleksisuus ja laajenevat toimitusketjut muodostavat yhdessä haastavan yhtälön, joka altistaa teollisuuden yhä useammin kyberuhille. 

“Etähallinta, etähuolto ja pilvipalvelut ovat muuttaneet pelikenttää. Esimerkiksi aiemmin mekaaniset, painetta poistavat venttiilit ovat kehittyneet älykkäiksi järjestelmiksi, jotka keräävät dataa, tekevät päätöksiä ja mukautuvat automaattisesti syötteiden perusteella”, hän kertoo. 

Kun sadat venttiilit eri puolilla maailmaa kytketään pilviympäristöön datan keräämistä varten, syntyy valtava määrä uusia hyökkäyspinta-aloja.  

“IoT-laitteiden määrä on kasvanut räjähdysmäisesti – Gartnerin mukaan vuonna 2015 internetiin oli kytketty 4,9 miljardia laitetta, ja vuoteen 2020 mennessä luku oli jo 25 miljardia. Teollisuuden kyberturvallisuudessa ei ole aiemmin tarvinnut huomioida tällaisia riskejä”, Jallow huomauttaa. 

Tilannetta hankaloittavat entisestään pitkät ja monimutkaiset toimitusketjut. 

“Vaikka järjestelmä tai laite koottaisiin Suomessa, sen keskeiset komponentit, kuten sirut, tulevat usein esimerkiksi Kiinasta. Näiden osien matka tuotantoon voi kestää jopa vuosia”, Jallow kuvailee. 

Kyberturvallisuus tapetille teollisuudessa 

Teollisuuden turvallisuusajattelun on kehityttävä vastaamaan digitaalisen aikakauden haasteisiin. Kyberturvallisuus on laaja kokonaisuus, johon liittyvät autonomiset järjestelmät, digitalisaatio, yleistyvät verkkoyhteydet ja monimutkaiset sääntelyt kuten NIS2-direktiivi, CRA-asetus ja alakohtaiset määräykset esimerkiksi lääke- ja meriteollisuudessa. 

“Mitään laitetta ei voi tehdä täysin hyökkäysvarmaksi. Tärkeintä on osoittaa, että riskit on kartoitettu, toimenpiteet tehty ja jatkuva suunnitelma olemassa. Näin asiakas tietää, että tilanteisiin on varauduttu ja on kyky toimia, jos jotain odottamatonta tapahtuu”, kertoo Jallow.  

Kyberturvallisuusosaamisen puute on yksi teollisuuden suurimmista haasteista. Asiantuntijoita on liian vähän, ja monilla yrityksillä on vielä kehitettävää perusasioiden hahmottamisessa. 

“Käymme jatkuvasti keskusteluja asiakkaidemme kanssa siitä, mitä kyberturvallisuus käytännössä tarkoittaa teollisessa ympäristössä. Aihe on monelle uusi ja vaatii syvempää ymmärrystä”, Jallow kuvailee. 

Suomessa ja globaalisti on tällä hetkellä myös suuri teollisen turvallisuuden osaajapula. Saatavilla ei ole riittävästi koulutusohjelmia, jotka yhdistäisivät kyberturvallisuuden ja teollisuusautomaation. 

“Meillä koulutetaan tietoturva-asiantuntijoita ja automaatioinsinöörejä, mutta ei molempia yhdessä. Tämä pakottaa asiantuntijat opiskelemaan toisen osa-alueen olemassa olevan osaamisen päälle”, Jallow huomauttaa. 

Jallow painottaa myös kiinnostuksen herättämistä alaa kohtaan. 

“Teollisuuden turvallisuus ei ole vielä saanut ansaitsemaansa huomiota, vaikka kyse on kriittisestä kansantalouden ja yhteiskunnan peruspilarista.”  

Koko yhteiskunta vastuussa 

Teollisuuden kyberturvallisuus on paljon enemmän kuin yksittäisten yritysten haaste – se on kriittinen osa kansallista turvallisuutta. Jallow korostaa, että vastuuta on kannettava niin kyberturvallisuuden toimijoiden kuin koko yhteiskunnan tasolla. 

“Teollisuuden kyberturvallisuus on Suomen kokonaisturvallisuuden kannalta ratkaisevaa. Jos emme ymmärrä osaamisen merkitystä kriittisen infrastruktuurin ylläpitämisessä, vaarannamme samalla kansallisen turvallisuuden”, hän painottaa. 

Turvallisuuden varmistaminen edellyttää asiantuntemusta ja kykyä reagoida nopeasti muuttuviin vaatimuksiin. Prosessi alkaa toimialakohtaisten vaatimusten tunnistamisesta, jonka jälkeen arvioidaan nykytila ja laaditaan suunnitelma puutteiden korjaamiseksi. 

Monille organisaatioille tämä työ on kuitenkin uutta, ja vaatimusten laajuus voi tulla yllätyksenä. 

“Ilman selkeää ymmärrystä yhdenmukaisuuden saavuttamisesta riskinä on kiire ja jopa merkittävät sanktiot, jos esimerkiksi NIS2-direktiivin tai CRA-asetuksen vaatimuksia ei täytetä ajoissa”, Jallow huomauttaa. 

Lisäksi aikataulut voivat olla haastavia. Yksinkertaisten tuotteiden kohdalla prosessi saattaa viedä puolisen vuotta, mutta suurissa, monimutkaisissa organisaatioissa työ voi kestää jopa vuosia.  

Jallow muistuttaakin suunnitelmallisuuden merkityksestä. 

“Ennakoiva työskentely on välttämätöntä. Viime tippaan jääminen voi vaarantaa sekä yrityksen toiminnan että maineen.”