Tom Tuunainen
Maailman kiihtyvä väestönkasvu (Yhdistyneet kansakunnat 2021) tulee merkittävästi lisäämään elin- ja maataloustarvikkeiden kysyntää. Jotta voimme ruokkia alati kasvavaa ihmiskuntaa, tarvitsemme koko ajan parempaa tuottavuutta. On löydettävä tehokkaampia tapoja tuottaa enemmän vähemmällä tinkimättä kuitenkaan kestävän toiminnan periaatteista. Tehtävä on mammuttimainen, ja se tulee olemaan täysin mahdotonta ilman elintarvike- ja maataloussektorien tietotekniikan merkittävää lisäämistä.
Tietotekniikkaa on jo pitkään hyödynnetty elintarviketuotannossa, ja sitä hyödynnetään yhä laajemmin maataloudessa, mutta uusien teknologioiden käyttöönotoissa on kuitenkin aina riskinsä. Ne avaavat uusia portteja, joita ei aikaisemmin ole ollut olemassa. Täten ei ole kaukaa haettua, että esimerkiksi kotimainen elintarvike- ja maataloussektorimme saattaa joutua ennennäkemättömän ryöpytyksen kohteeksi “haktivistien” ottaessa näiden alojen tuotannon hyökkäyskohteekseen – tätä on jo tapahtunut Yhdysvalloissa.
Eräänä esimerkkinä voidaan mainita aasialaisesta ruuastaan tunnettu JFC International, joka joutui kiristyshaittaohjelmahyökkäyksen kohteeksi maaliskuussa 2021 (Paganini 2021). Yrityksen normaali toiminta saatiin onneksi palautettua, mutta siitä, mitä kaikkea hyökkäyksen aikana tasan tarkkaan tapahtui – ja miten asia lopulta korjattiin – on tullut julkisuuteen varsin vähän tietoa. Voimme kuitenkin varmuudella todeta, että haittaohjelmahyökkäys on aiheuttanut taloudellisia menetyksiä. Toisena esimerkkinä voidaan nostaa esiin aterioiden toimituspalveluistaan tunnettu Home Chef. Yritys joutui tietoturvahyökkäyksen kohteeksi toukokuussa 2020, jolloin rikolliset onnistuivat mm. viemään asiakkaiden luottokorttitietoja (Abrams 2020). Näitä tietoja myydään edelleen tänä päivänä pimeässä verkossa, ja luottokorttitietonsa menettäneet joutuvat tarkkailemaan korttitapahtumiaan ties kuinka kauan. Nämä esimerkit nostavat esiin rikoksia, jotka ovat ainoastaan aiheuttaneet taloudellisia seurauksia. Hyvin koordinoitu tietoturvahyökkäys elintarvike- ja maataloussektoria kohtaan saattaisi pahimmassa tapauksessa aiheuttaa myös kuolonuhreja. Jos hakkeri saa maatalousrobotin hallintaansa, voi hän käskyttää sitä tekemään mitä tahansa. Jos robotti tekee hallitsemattomia toimia, voi uhkana olla maatalouseläinten ruokinnan häiriintyminen tai jopa puristumiskuolema.
Tietoturvaongelmaan on herätty ja tietoturvan kehittämiseen on ryhdytty (Public Safety Canada 2021; Nutrien 2021). Tilanne on kuitenkin haastava; elintarvike- ja maataloussektorit ovat erittäin riippuvaisia tietokoneohjatusta automaatiosta, jotta toiminta olisi sujuvaa ja kuluttajahinnat voisi pitää alhaisina.
On varsin yleisesti uskottu, että elintarvike- ja maataloussektorin käytössä olevien automaatiojärjestelmien tietoturvariski on huomattavasti pienempi muihin järjestelmiin verrattuna, koska käytössä olevat järjestelmät voidaan eristää Internetistä erillisten tai segmentoitujen verkkojen avulla. Tämä on kuitenkin väärä käsitys, eikä tietoturvariski ole välttämättä yhtään pienempi. Kyseessä olevat automaatiojärjestelmät ovat harvoin täysin eristettyjä, ja silloin kun ne ovat, niiden käyttöjärjestelmät ja ohjelmistot on päivitettävä aika-ajoin. Järjestelmät saattavat olla päivitysprosessin aikaan erittäin haavoittuvia tietoturvahyökkäyksiä kohtaan. Voimme tosin myös leikkiä ajatuksella, että mainitut järjestelmät olisivat paremmassa turvassa, jos ne voisi jollain tapaa hypoteettisesti eristää täysin Internetistä. Hyökkääjät löytävät kuitenkin erittäin usein tavan toteuttaakseen tahtonsa. Mahdollisten hyökkääjien ei välttämättä tarvitse päästä käsiksi mainittuihin automaatiojärjestelmiin häiritäkseen elintarvike- ja maataloussektorin toimintaa. Riittää, että hyökkääjät häiritsevät kyseisten tahojen liiketoiminnallisia kuvioita, jolloin tuotantokaan ei enää toimi kunnolla – jos ollenkaan.
Elintarvike- ja maataloussektori joutuu siis kehittämään tietoturvaansa, mutta tyhjästä ei onneksi ole pakko lähteä liikkeelle. On olemassa hyvin toimivia ja valmiiksi koestettuja ratkaisuja, jotka voi ottaa varsin vähällä vaivalla käyttöön tietoturvan parantamiseksi.
Koulutusta
Kouluttautuminen on mahdollisesti tehokkain yksittäinen keino, jonka avulla voi parhaiten suojautua tietoturvahyökkäyksiltä. Suurin osa hyökkäyksistä alkaa sosiaalisen manipuloinnin avulla – yleensä sähköpostilla. Jos henkilökunta tunnistaa manipulointiviestien merkit, voi tämä toimia erittäin tehokkaana ensimmäisen tason suojana potentiaalisia tietoturvahyökkäyksiä vastaan.
Varmuuskopiointia
Kiristyshaittaohjelmien tavoitteena on estää pääsy kaikkiin mahdollisiin tietoihin. Jos rikolliset onnistuvat esimerkiksi lukitsemaan elintarvike- ja maataloussektorin liiketoimintajärjestelmien tiedot, pystyvät hyökkääjät samalla myös estämään tehokkaasti kaiken muun toiminnan. Tiedot voidaan kuitenkin palauttaa varmuuskopioinnin avulla, mikä on ehkä helpoin sekä käytännöllisin tapa palauttaa toiminta ennalleen ja estää kiristyshaittaohjelmarikollisten aikeet. Varmuuskopioidut tiedot tulee kuitenkin muistaa tallettaa paikkaan, johon hyökkääjät eivät pääse samalla kun he työstävät alkuperäisiä tiedostoja.
Verkon segmentointia
Turvallisuutta voidaan lisätä merkittävästi segmentoimalla esimerkiksi tuotantoverkko liiketoimintaverkosta ja jakamalla verkkosegmentit pienempiin osiin. Osia infrastruktuurista voidaan tällä tapaa mahdollisesti jopa eristää täysin, jos jakaminen tehdään hyvin. On kuitenkin syytä muistaa, että jopa segmentoitu infrastruktuuri on alttiina haittaohjelmille – kuten jo aikaisemmin tuli todettua. Hyvin toteutettu segmentointi estää kuitenkin varsin tehokkaasti haittaohjelmien leviämisen koko verkkoon.
Haittaohjelmien torjuntaa
Haittaohjelmilla on monia tarkoitusperiä. Niiden tarkoitus voi olla vahingon aiheuttaminen, tiedon varastaminen tai laittoman pääsyn salliminen. Jotta tätä tai muita haittoja ei pääsisi tapahtumaan, on tärkeää ottaa käyttöön haittaohjelmien torjuntaratkaisu. Uudet haittaohjelmien torjuntaan luodut ratkaisut käyttävät mm. käyttäytymisanalyysiä ja joissakin tapauksissa jopa tekoälyä haittojen torjuntaan. On tärkeää, että haittaohjelmien torjuntaratkaisut kattavat koko infrastruktuurin mahdollisimman hyvän tietoturvan aikaansaamiseksi.
Päivitystä
Valmistajat tarjoavat säännöllisesti päivityksiä kaikille valmistamilleen ja toimittamilleen käyttöjärjestelmille, ohjelmistoille ja laitteille. Näiden päivitysten avulla korjataan mm. löydettyjä tietoturvahaavoittuvuuksia, joita rikolliset saattavat käyttää omiin hämäriin tarkoitusperiinsä. Jotta tätä ei tapahtuisi, on päivitykset aina syytä ottaa käyttöön mitä pikimmin.
Miljardien ihmisten elämä sekä toimeentulo ovat riippuvaisia elintarvike- ja maataloussektorista, ja koska nämä kriittiset sektorit luottavat yhä enemmän tietotekniikalla ohjattuihin järjestelmiin, voi mahdollisella tietoturvahyökkäyksellä olla erittäin suuria haittavaikutuksia – hyökkäys voi jopa johtaa kuolonuhreihin. Tätä ei yksinkertaisesti voi sallia. On meidän kaikkien etu, että kyseisten sektorien toimijoita suojellaan kaikkein edistyneimmillä ja tehokkaimmilla tietoturvaratkaisuilla. Tämä on suorastaan välttämätöntä, meidän kaikkien on syötävä!
Lähteet
Yhdistyneet kansakunnat 2021. Global Issues – Population. Yhdistyneet kansakunnat, New York, Yhdysvallat. Julkaistu 11.7.2021. Saatavissa: https://www.un.org/en/global-issues/population. Viitattu 11.2.2022.
Paganini P. 2021. Distributor of Asian food JFC International hit by Ransomware. Security Affairs. Julkaistu 2.3.2021. Saatavissa: https://securityaffairs.co/wordpress/115150/malware/jfc-international-ransomware-attack.html. Viitattu 14.2.2022.
Abrams L. 2020. Home Chef announces data breach after hacker sells 8M user records. BleepingComputer. Julkaistu 20.5.2020. Saatavissa: https://www.bleepingcomputer.com/news/security/home-chef-announces-data-breach-after-hacker-sells-8m-user-records/. Viitattu 14.2.2022.
Public Safety Canada 2021. Government of Canada announces funding to enhance cyber security in Canadian agriculture sector. Public Safety Canada, Ottawa, Kanada. Julkaistu 25.3.2021. Saatavissa: https://www.canada.ca/en/public-safety-canada/news/2021/03/government-of-canada-announces-funding-to-enhance-cyber-security-in-canadian-agriculture-sector.html. Viitattu 15.2.2022.
Nutrien 2021. Nutrien – Cybersecurity. Nutrien Ltd., Saskatoon, Kanada. Julkaistu 2021. Saatavissa: https://www.nutrien.com/sustainability/governance/cybersecurity. Viitattu 15.2.2022.
Tom Tuunainen
TKI-kehittäjä
Centria-ammattikorkeakoulu
p. 040 681 7207