OT ja IT ovat lopultakin yhdistymässä, mutta se luo uusia tietoturvahaasteita

Operatiivinen teknologia (OT) on keskeinen osa teollisuuden hallintajärjestelmiä, ja sillä tarkoitetaan perinteisesti ohjelmistoja sekä laitteita, joita käytetään fyysisten tuotteiden valmistukseen. Kyseistä teknologiaa käytetään nykyään toki myös huomattavasti laajemmin, ja se on erottamaton osa voimalaitosten ja julkisen liikenteen ohjausratkaisuja. Informaatioteknologiaa (IT) on teollisuudessa vuorostaan perinteisesti käytetty lähinnä tukitoimintoihin ja raportointeihin.

Molemmat teknologiat ovat perinteisesti toimineet omissa siiloissaan, ja ne ovat eläneet omaa elämäänsä kaukana toisistaan. Operatiivinen teknologia on saanut olla varsin hyvin eristyksissä, ja se on täten ollut varsin hyvässä suojassa. Informaatioteknologiasta on vuorostaan tullut jo aikoja sitten verkottunutta, ja se on ollut jo pitkään alttiina monenkirjaville tietoturvahyökkäyksille. Tämä varsin tiukka luonnonjärjestys on kuitenkin kovaa vauhtia muuttumassa.

Operatiivinen teknologia lähentyy koko ajan verkottunutta informaatioteknologiaa, ja kyseisen kehityssuunnan eteenpäin ajavana voimana on verkottumisen mahdollistama datan kerääminen. Iso datamäärä mahdollistaa laadun, tehokkuuden, kunnossapidon ja tuottavuuden parantamisen koneopin ja analytiikan avulla, ja tämä tehostaa huomattavasti mainittuja toimia. Kyseinen kehityssuunta luo kuitenkin kovia haasteita tietoturvalle. Tietoturvahyökkäys tehtaan operatiivista teknologiaa kohtaan voi pahimmassa tapauksessa lamauttaa koko tuotantoprosessin.

Ongelmaa selvitetään tällä hetkellä maailmanlaajuisesti; miten operatiivista teknologiaa voisi suojata parhaimmalla mahdollisella tavalla? Selvitystyötä tekevät sekä yksityiset tietoturvayhtiöt että julkiset tahot, ja työ on jo tuottanut tuloksia.

Yhdysvaltalainen National Institute of Standards and Technology (NIST 2018) suosittelee esimerkiksi monen eri alan asiantuntijoista koostuvan tietoturvatyöryhmän perustamista. Tällä saadaan taattua, että organisaation ratkaisuihin saadaan riittävän laaja näkökulmien kirjo. Yhdysvaltalainen Cybersecurity and Infrastructure Security Agency (CISA 2021) pitää vuorostaan ehdottoman tärkeänä käyttöön otettujen tietoturvaratkaisujen testausta. Tällä saadaan varmistettua, että ratkaisut toimivat tosipaikan tullen.

Hyvänä käytäntönä voi myös pitää osallistumista tietoturvan tietoisuusohjelmiin, kuten esimerkiksi liittymistä Kyberturvallisuuskeskuksen CERT-FI-ALERT- ja NCSC-FI-UUTISKOOSTE-sähköpostilistoille. Näiltä listoilta saa tietoa uusimmista tietoturvavaroituksista, kuten myös ajankohtaisia koosteita tietoturvauutisista. Tiedotteet kasvattavat ymmärrystä ja auttavat luomaan hyviä tietoturvakäytänteitä ja ovat avuksi omien ponnistelujen priorisoinneissa ja kohdentamisissa.

Ehdottoman tärkeää on kuitenkin muistaa, ettei työ lopu tietoturvakäytänteiden ja -ratkaisujen kartoittamiseen ja käyttöönottoon. Kyse on pitkäkestoisesta jatkuvasta työstä, jota on seurattava ja myös mukautettava tarpeen vaatiessa.  Tämä vaatii luonnollisesti resursseja, ja ne on myös saatava organisaation ylimmän johdon työlle antaman tuen kera.

Tietoturvaan on panostettava, jotta organisaatioille elintärkeät toiminnot pystytään turvaamaan. Klassisesti ajatellaan, että mitä parempi valmiustila organisaatiolla on toimia poikkeustilanteessa, sitä vähemmin vaurioin se selviää. Tämä pätee myös tietoturvaan. Kannattaisikin siis esittää kysymys, miten oma organisaatio onkaan varautunut tietoturvauhkiin. Kaikki organisaatiot ovat nykyään osa maailmanlaajuista järjestelmien, tietojärjestelmien ja tietoverkkojen verkostoa. Täten ne ovat myös entistä haavoittuvampia. Tästä syystä on erittäin tärkeää, että tietoturva kattaa organisaation kaikki toiminnot – operatiivinen teknologia mukaan lukien. Jos OT ei ole vielä tietoturvan parissa, tulee se saattaa mukaan pikimmiten. Tärkeää on lähteä liikkeelle samantien, vaikka vain yksi pieni pala kerrallaan.