Julkinen keskustelu, uutisointi ja tietoturva-alan markkinointi alati kasvavista kyberuhkista ovat toki lisänneet tietoturvatietoisuutta, mutta samalla saamme jatkuvasti kuulla tapauksista, joissa liiketoimintaa on lähdetty digitalisoimaan kiireellä ilman asianmukaista tietoturvaa. Asiaa ei myöskään helpota se, että automaatiolaitteiden valmistajat myyvät tuotteita uusilla IoT-ominaisuuksilla osittain täysin vailla tietoturvaominaisuuksia.

Tehdas- ja tuotantotiloja on pääsääntöisesti perinteisessä teollisuudessa, jossa tekninen tietoturva ei ole ollut keskeinen osa liiketoiminnan turvaamista. Sille ei yksinkertaisesti ole ollut tarvetta aiemmin. Tilanne on kuitenkin nykyään aivan toinen. Tuotantokapasiteetin lisäämiseksi, kustannusten karsimiseksi sekä tuotantolinjan läpimenoajan nopeuttamiseksi on järkevää automatisoida moniakin toimintoja. Automaatiota on myös käytännöllistä valvoa ja ohjata etäältä. Etäohjaus tai etäylläpito luo liiketoiminnalle kuitenkin riskin.

Teollisuusautomaatioon kohdistuvat hyökkäykset riskinä

Moni muistaa Stuxnet-haittaohjelman, jonka avulla iranilaisen ydinvoimalan sentrifugit saatiin pyörimään väärällä kierrosnopeudella, joka aiheutti niiden tuhoutumisen ja siten vaikutti Iranin ydinohjelman kulkuun. Vastaavankaltaisia hyökkäyksiä on nähty Ukrainassa ja Saksassa. On hyvä tiedostaa, ettemme me ole immuuneja teollisuusautomaatioon kohdistuville hyökkäyksille. Suomessa on paljon globaaleilla markkinoilla toimivia teollisuudenaloja, jotka ovat alttiita kilpailijoiden, valtioiden ja rikollisten vakoilulle. Otetaan kaksi esimerkkiä täysin toisenlaisista ympäristöistä, pankkimaailmasta ja sairaalasta. 

Osuuspankki joutui palvelunestohyökkäyksen kohteeksi joulukuun lopussa vuonna 2013. Käytännössä kukaan OP:n asiakas ei voinut käyttää maksukorttejaan ulkomailla hyökkäysten aikana. Verkkoliikenne ulkomailta pankin järjestelmiin estettiin turvatoimena, mikä aiheutti luonnollisesti sen, että ulkomailta ei voinut käyttää OP:n verkkopankkia ilman yhteyden erillistä reitittämistä Suomen kautta esimerkiksi VPN:n avulla. Verkkopankki oli pois käytöstä myös Suomen sisällä ensimmäisen hyökkäysaallon aikaan. OP:n liiketoiminta koki vakavan häiriön rikollisen toiminnan johdosta.

Lahdessa sen sijaan sairaalan tietoverkkoon iski Moner-kryptovaluuttaa louhiva haittaohjelma eli virus. Viruksessa oli louhintatoiminnallisuuden lisäksi myös vakoilun mahdollistavia ja kiristyshaittaohjelmien ominaisuuksia. Haittaohjelma levisi helposti, joten infektion leviämisen torjumiseksi sairaalan IT-infrastruktuurista vastannut yritys katkaisi sairaaloiden väliset viestikanavat. Tämä tarkoitti sitä, etteivät sairaalat enää saaneet digitaalisesti tietoa toisesta sairaalasta potilaiden sairauksiin tai hoitoon liittyen.

Hyökkäyksen tapahtuessa rikosilmoituksen teko kannattaa aina

Aina uhka ei kohdistu automaatioon tai sen hallintaan. Traficomin Kyberturvallisuuskeskus on varoittanut Office 365 -huijauksista jo pari vuotta. Kriittinen varoitus annettiin kesällä 2018. Toimialasta riippumatta uhriorganisaatioista tulee tietoon jatkuvasti, ja taloudelliset menetykset mitataan sadoissa tuhansissa euroissa. O365-huijauksien motiivi näyttää olevan taloudellinen hyöty. Täytyy kuitenkin muistaa, että rikollisen päästessä käsiksi yrityksen pilvessä oleviin dokumentteihin, kalenteriin, Sharepointiin ja tietysti myös sähköpostiin laajenevat rikollisen toimijan hyötymismahdollisuudet huimasti. Poliisilla on tapauksia tutkinnassa kymmeniä, ja asiasta on aktiivista kansainvälistä yhteistyötä. Rikosilmoituksen teko kannattaa aina – myös silloin, kun juuri sinun asiaasi ei saada selvitettyä. Jokainen ilmoitus lisää tiedon määrää, ja näitä tietoja analysoimalla on mahdollista ratkaista tulevia tapauksia.

Yhteistyö poliisin kanssa ei tarkoita pelkästään rikostutkintaa. Poliisilain ensimmäisessä pykälässä määritellään poliisin tehtävät. Sen mukaan poliisin ensisijaisena tehtävänä on muun muassa turvallisuuden ylläpitäminen sekä rikosten ennalta estäminen, paljastaminen ja selvittäminen. Jotta poliisi kykenee ennalta estämään kyberulottuvuudessa yhtikäs mitään, tarvitsee se tietoa. Samassa pykälässä onkin määritelty, että poliisi toimii turvallisuuden ylläpitämiseksi yhteistyössä muiden viranomaisten sekä yhteisöjen ja asukkaiden kanssa. Lainsäätäjä on välillisesti kansan tahtoa toteuttaen halunnut, että Suomessa poliisi tekee yhteistyötä kaikkien kanssa. Näin se kykenee myös toteuttamaan sille määritettyä tehtävää, luonnollisesti resurssit huomioiden. Mikäli tätä lukiessasi herää mielessäsi ajatus, että sinulla saattaisi olla poliisia kiinnostavaa tietoa, kannattaa siitä ilmoittaa, vaikka et rikostutkintaa asiasta haluaisikaan.

Haasteena valtava datan määrä

IoT ja digitalisaatio luovat paljon hyviä mahdollisuuksia liiketoiminnalle ja saattavat luoda kilpailuetua. Yritysten kannattaa harkita uusien teknologioiden käyttöönottoa kokonaisinfrastruktuurin näkökulmasta, jotta liiketoiminta on turvattua myös jatkossa. Älä siis keskity vain yhden laitteen tietoturvaan vaan katso koko liiketoimintaa kokonaisuutena.

Monessa yrityksessä on viilattu petostorjunnan prosessia. Yksinkertaisimmillaan kyse on sisäisestä ohjeistuksesta ja käytännöistä: talouspäällikkö ei saa tehdä rahansiirtoa ennen hyväksyjän vahvaa tunnistamista. Tällaiset sinänsä yksinkertaiset toimet saattavat estää miljoonien eurojen taloudellisen vahingon. Olisi hyvä miettiä, missä muissa yrityksen prosesseissa torjuntatoimia pitäisi tehdä. Mutta sikaa ei kannata ostaa säkissä, vaan selvittämällä, mitkä kohdat liiketoiminnassa ovat haavoittuvia, osataan torjuntaa kohdentaa tehokkaammin. Niin sanotut turhat tietoturvapurkit voi jättää silloin kauppaan, sillä ne todennäköisesti vain vaikeuttavat operatiivista toimintaa.

Katsomalla kristallipalloon voi jo nähdä, että IoT:n ja automaation tulevaisuus siirtyy vahvasti ennakoivan ylläpidon ja lohkoketjun maailmaan. Suurin haaste jo tällä hetkellä on jatkuvasti kasvava datan määrä. Se ei pelkästään vaikuta tallennuskapasiteetin tarpeeseen vaan myös datan analysointiin ja visualisointiin. Massiivisesta datasta ei ole oikein iloa, jos siitä ei nähdä liiketoiminnalle keskeisiä hyötyjä.

Siirtymällä IIoT-maailmaan (Industrial Internet of Things) saat enemmän. Enemmän tehoa tuotantoon, enemmän dataa, enemmän tietoa, enemmän uhkia ja tietysti enemmän kustannuksia. Tekemällä asiat maltilla ja suunnitelmallisesti voit poistaa listasta viimeisen, sillä se kääntyy hyvin nopeasti tuotoksi.

Artikkeli on julkaistu alun perin Promaint-lehden sivuilla. Tekstin on kirjoittanut tietoturva-alan asiantuntija Tomi Liesimaa,