Kyberturvallisuus on olennainen osa tuotannon ja prosessien turvallisuutta teollisuudessa
Kyberturvallisuus on kiinteä osa turvallista toimintaa digitaalisessa yhteiskunnassa. Häiriö digitaalisissa järjestelmissä voi vaikuttaa liiketoimintaan ja aiheuttaa vakavia onnettomuuksia. Turvallisuus- ja kemikaalivirasto (Tukes) korostaa, että teollisuuden kyberturvallisuustyöhön on sisällytettävä automaatio- ja prosessiturvallisuuden näkökulmat.
Kyberturvallisuuslain tavoitteena on varmistaa, että lain soveltamisalaan kuuluvat toimijat tunnistavat digitaaliset riskit ja pystyvät hallitsemaan niitä ennakoivasti. Kyberhäiriö voi pahimmillaan johtaa tuotannon keskeytymiseen, taloudellisiin vahinkoihin tai vakaviin onnettomuuksiin.
Tukes valvoo kyberturvallisuutta energia-, kemikaali- ja valmistustoimialoilla. Digitalisaatio on lisännyt alojen tehokkuutta, mutta samalla myös riippuvuutta digitaalisista järjestelmistä.
Kyberturvallisuutta ei voida tarkastella vain tietojärjestelmien ja -teknologian (IT) suojauksena, vaan se on kiinteä osa operatiivista toimintaa ja teknologiaa (OT) sekä prosessiturvallisuutta. Teollisuudessa kyberturvallisuustyön prioriteetit ovat merkittävästi erilaiset kuin tavanomaisen tietotekniikan käytössä.
– Teollisuuden kyberturvallisuustyössä on huomioitava myös automaatio- ja prosessiturvallisuuden näkökulmat, korostaa Tukesin kybertiimin vetäjä Timo Talvitie.
Kyberturvallisuuspoikkeamia tapahtuu jatkuvasti – myös tahattomasti
Kyberturvallisuushäiriöt eivät ole pelkästään kyberhyökkäyksiä. Häiriöitä syntyy myös tahattomasti esimerkiksi teknisten vikojen, virheellisten muutosten tai puutteellisen osaamisen seurauksena.
IT-häiriö uhkaa tietoa, kun taas OT-häiriö vaarantaa fyysisen toiminnan ja turvallisuuden. Kriittisten tuotantoprosessien on pysyttävä hallinnassa ja turvallisina kaikissa tilanteissa.
Keskeistä on se, miten kyberturvallisuuspoikkeamat havaitaan ja käsitellään ja mitä niistä opitaan. Tämä edellyttää eri toimijoiden yhteistyötä, jotta tuotannon turvallisuuteen vaikuttavat häiriöt huomataan ajoissa.
Arvioi kyberturvallisuusriskejä liiketoiminnan näkökulmasta
Tukes korostaa, että yritysten tulee tarkastella kyberturvallisuutta johtamiskysymyksenä osana kokonaisvaltaista riskienhallintaa. Keskeistä on tuotannon jatkuvuuden ja turvallisuuden varmistaminen kaikissa olosuhteissa.
Esimerkiksi kyberturvallisuusriskien arviointi ja palautumissuunnitelma on tehtävä yrityksen oman liiketoiminnan näkökulmasta. Riskien arviointiin kannattaa ottaa mukaan asiantuntijoita laajasti eri toiminnoista, myös tuotannosta ja kunnossapidosta. Pelkästään palveluntoimittajan näkökulmasta tehty riskien arviointi tai palautumissuunnitelma ei ole riittävä.
Hyödynnä viranomaisten tarjoamia työkaluja
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus koordinoi kyberturvallisuuslain valvontaa ja viranomaisyhteistyötä.
Tukes kannustaa toimijoita hyödyntämään Traficomin Kyberturvallisuuskeskuksen Kybermittaria ja ohjeita kyberturvallisuuden kehittämisen tukena. Traficom on julkaissut suosituksen, jossa esitellään viisi tärkeintä kyberturvallisuuskontrollia tuotantoverkkojen valvonnan kannalta. Lisäksi kannattaa seurata Kyberturvallisuuskeskuksen ajankohtaisia uutisia ohjelmistohaavoittuvuuksista, viikkokatsausta sekä kybersäätä.
Teollisuusautomaation tärkeimmät kyberturvallisuuskontrollit | Traficom
Lisätietoa kyberturvallisuuslain energia-, kemikaali- ja valmistustoimialoja koskevista velvoitteista löytyy Tukesin Kyberturvallisuus (NIS2) -sivulta.
Lisätietoja:
Johtava asiantuntija Timo Talvitie, puh. +358 50 395 6029
[email protected], [email protected]
