Nykyisen toimintaympäristön alati kasvavat ja muuttuvat tietoturvariskit edellyttävät teollisuuden toimijoilta ja järjestelmätoimittajilta aikaisempaa parempaa kyberturvallisuusriskien hallintaa ja ymmärrystä. Nimenomaan ymmärrystä lisäämällä kyberuhat vähenevät.
Yritysten riippuvuus tietoverkoista kasvaa samanaikaisesti kyberrikollisuuden ammattimaistumisen, hakkereiden määrän kasvun ja tietoturvahyökkäysten yleistymisen kanssa. VTT:n johtava tutkija Pasi Ahonen peräänkuuluttaa riskien tunnistamisen ja ymmärtämisen merkitystä kilpailukykyisten tuotteiden kehittämisessä.
– Kyberturvan ei pitäisi olla innovaatioiden showstopper vaan mahdollistaja. Kilpailukykyisten tuotteiden kehittäminen markkinoille edellyttää kyberturvariskien tiedostamista ja niiden huomioimista heti tuotekehityksen alusta alkaen. Kun kaikki osapuolet ymmärtävät kyberturvallisuuden perusteet ja tärkeyden, saadaan aikaan hyviä tuloksia, Ahonen sanoo.
Ahosen mukaan tietoturvariskien hallinta lähtee ostajasta.
– Suurimmat turvallisuusriskit muodostuvat hankintavaiheessa, kun ostajat eivät osaa määritellä ja vaatia riittävää tietoturvaa. Käytännössä tämä tarkoittaa, että hankitaan Iot-ratkaisuja, joissa tietoturva ei ole sisäänrakennettua ja hakkerit pääsevät murtamaan sen. Halvat laitteet eivät yleensä sisällä tietoturvaominaisuuksia lainkaan, mikä aiheuttaa sekavuutta sekä käyttäjä- että järjestelmätasolla.
Pahimmillaan halvalla rakennetut, tiedostamattomat Iot-hankinnat voivat johtaa miljoonamenetyksiin.
– Jos Iot-ratkaisussa ei ole seurantaominaisuuksia, hakkerit voivat päästä muuttamaan anturiarvoja tai aiheuttaa palvelunestohyökkäyksiä muihin verkkoihin tai kohteena olevaan tuotantoon. Väärä informaatio tuotannon valvontaan ja ohjaukseen on todella kriittistä ja voi aikaansaada tuotantokyvyn menetyksen useamman päivän ajaksi, Ahonen antaa esimerkkejä toimintaa uhkaavista kyberriskeistä.
Tiedostavia hankintoja ja jatkuvaa seurantaa
Kyberhyökkäyksiltä suojautuminen edellyttää henkilöstön kyberturvallisuustietoisuuden kasvattamista, selkeitä linjauksia ja jatkuvaa seurantaa.
Lue myös: Kyberturvallisuuden professori Jarno Limnéll: Tietoturva kasvattaa luottamusta
– Kun yrityksen henkilökunta ymmärtää kyberturvan perusteet, osataan tietoturvaa vaatia hankintojen yhteydessä myös järjestelmätoimittajalta, eikä sokeasti luoteta siihen, että toimittajan tietoturva on kunnossa. Ostajan tulee osata vaatia järjestelmätoimittajalta päivityksiä ja jatkuvaa seurantaa tuotteeseen koko sen elinkaaren ajaksi. Tärkeää on myös informaatio palveluntarjoajan omasta kehitysympäristöstä: miten sitä vastaan on hyökätty ja onko mahdollista, että toimittajan etäyhteyden kautta myös meidän yritykseemme päästään hyökkäämään, Ahonen neuvoo.
Ahonen kannustaa yrityksiä kasvattamaan tietoturva-osaamista ja pohtimaan yhteisiä linjauksia eri toimijoiden yhteisissä työpajoissa.
– Esimerkiksi energia-alalla turvallisuustietoisuutta lisätään liiketoimintajohdon, automaatioihmisten ja järjestelmätoimijoiden yhteisissä työpajoissa, joiden tuloksena kyberturvallisuuden vaatimuksia on onnistuttu parantamaan huomattavasti, Ahonen kiittelee.