IT ja OT ovat yhtä turvakokonaisuutta
Syksyllä 2023 kirjoitin blogissa “OT on myös osa IT:tä”, miten OT-verkkojen ja niiden digitaalisten järjestelmien (tuotannon) tietoturvaa ei voi kunnolla tehdä ilman, että mukana on myös IT:n tietoturva. Nyt pari vuotta myöhemmin vaikuttaa, ettei IT:n tietoturvaa voi tehdä ilman, että myös OT otetaan huomioon. Tähän tietenkin vaikuttavat myös uudet NIS2-vaatimukset, mikäli organisaatio kuuluu yhteiskunnan jatkuvuuden kannalta kriittisiin toimijoihin.
Tietoturvassa ja tarkemmin digitaalisessa kyberturvassa on tärkeää ymmärtää kokonaisuus, missä toimitaan, mikä on kyberympäristö ja mihin se ulottuu. IT:ssä on perinteisesti luotettu suojauksiin ja sitten vasta havainnointiin. OT:ssa puolestaan suojauksesta osittain tingitään tai suojauksessa ei ymmärretä tämän päivän kyberturvallisuuden uhkia. Usein OT-verkko eristetään palomuurilla ja uskotaan, ettei sen sisällä tarvitse enää niin kiinnittää huomiota suojaukseen. IT:n puolelle monet päivittävät tietoturvajärjestelmät ja hankkivat 24/7 SOC -palvelun (kyberturvakeskus), mutta OT:n osalta tämä kaikki jätetään valitettavan usein huomiotta tai siirretään tulevaisuuden hankkeeksi.
Yhdessä ja erikseen
Kyberturvaprojekteissa monesti jaetaan IT ja OT omiksi vaiheiksi. Usein aloitetaan IT:stä ja varmistetaan, että valitut teknologiat toimivat ja sitten ne uskalletaan siirtää myös soveltuvin osin herkempään OT:hen. Tai jos omat resurssit eivät riitä, hankitaan SOC-/MDR-palvelu palveluntuottajalta. Palveluntuottajan kohdalla helposti keskitytään IT-tietoturvaan ja OT jää huomiotta, vaikka OT eli tuotanto on se, mikä tekee tuottoa eli rahaa. Vaikka aloitetaan IT:stä, niin OT pitää ottaa myös huomioon. Sama pätee myös, jos aloitetaan OT:n tietoturvan päivityksestä, niin IT pitää huomioida. Parasta olisi, että tietoturvan päivitys tehdään molempiin vaiheittain samana projektina huomioiden IT:n ja OT:n prioriteettien ja vaatimusten erot.
Projektin vaarana voi olla, että tehdyt satsaukset IT:n kyberturvan päivitykseen menevät osittain hukkaan. Valittu ratkaisu ei ehkä toimikaan OT:ssa. SOC-palvelun tarjoaja ei ehkä osaakaan valvoa OT:ta ja tarvitaan vielä toinen SOC. Valittu päätelaitesuojaus ei välttämättä toimi OT:n vanhemmissa koneissa ja käyttöjärjestelmissä. Niinpä tarvitaan toinen päätelaitesuojausratkaisu. IT:ssä ja OT:ssa suojaus- ja havainnointiteknologiat voivat olla erilaisia ja monesti on hyväkin käyttää OT:ssa juuri siihen suunniteltua tietoturvajärjestelmää. Mutta jos tätä ei ole ymmärretty projektin alussa ja on hankittu lisenssit myös OT:hen eivätkä ne sovellukaan sinne, investointi on osittain mennyt hukkaan.
Mikä on riittävä satsaus tietoturvaan?
Monesti raha rajoittaa tietoturvan kehittämistä, koska kyberturvalle on vaikea laskea ROI:ta eli hyötyä tehtyihin panostuksiin nähden. Toisaalta jo NIS2-kyberturvallisuusdirektiivi pakottaa sen alle kuuluvia organisaatioita hoitamaan tietoturva-asioita kuntoon sakkojenkin uhalla.
IBM:n tutkimuksen “Cost of a Data Breach Report 2025” mukaan globaalisti tietomurron keskimääräiset kustannukset laskivat vuoden 2024 4,88 miljoonasta Yhdysvaltain dollarista 4,44 miljoonaan (edelleen iso summa). Laskusuunta johtui siitä, että AI:ta ja automaatiota on otettu käyttöön tietoturvan valvonnassa. Tämä luku toki täytyy suhteuttaa suomalaisten yritysten liikevaihtoon. Toinen huomiota herättävä asia on keskimääräinen tietomurron selvitysaika, joka oli vuoden 2025 raporissa edelleen korkea. Korkeimmillaan aika oli koskien murtoa läpi erilaisten ympäristöjen. Aika oli kesimäärin 276 päivää (206 päivää, Mean Time to Identify (MTTI)) ja tämän päälle kesti keskimäärin 70 päivää pysäyttää murto (Mean Time to Contain, MTTC). Kolmas keskeinen seikka on AI:n käyttö hyökkäyksissä. Hyökkäyksistä 16 % hyödynsi AI:ta esim luomalla kalasteluviestejä sekä deep fake -hyökkäyksiä. Hyökkäyksissä on alettu myös hyödyntämään kohdeorganisaation AI-malleihin ja AI-ohjelmiin liittyviä tietoturvapuutteita sekä Shadow AI:ta. Neljäs huomio on toimitusketjujen (supply chain) osuuden kasvu ja vaikutus murtoihin. Tutkimukseen osallistuneista organisaatioista 86 % ilmoitti tietomurron aiheuttaneen häiriöitä. Mutta vain 49 % aikoi lisätä tietoturvainvestointeja (vuonna 2024 luku oli 63 %).
Organisaatioiden pitäisi arvioida ja laskea, mitä esimerkiksi tuotannon osittainenkin pysähtyminen 70 päiväksi maksaisi ja miettiä paljonko kannattaa satsata riskin minimoimiseen ja mitkä eri asiat tuotannon pysähtymisen voivat aiheuttaa. Yleensä ajatellaan koneiden ja laitteiden rikkoutumista ja niiden korjaamisesta syntyvää viivettä. Nykyään ei voi myöskään enää jättää kyberrikollisuutta ja valtiollisia haittatoimijoita huomiotta. Ransomware iskee myös tuotantoa ohjaaviin tietokoneisiin tai valtiollinen toimija voi sabotoida tuotantoa digitaalisestikin. Esimerkkejä löytyy ja tätä on harjoitettu käytännössä Ukrainan ja Venäjän välisessä sodassa jo vuosia. Rikolliset ovat saaneet vahvistuksen, että tämä toimii ja tähän kannattaa satsata.
Tietoturvan kehitys pitää olla jatkuvaa ja siihen pitää panostaa myös rahalla. Yleensä IT-budjetin arvioidaan olevan noin 5 % liikevaihdosta, ja IT-budjetista noin 5 % tulee ohjautua tietoturvaan. Jos organisaatiolla on OT-tuotantoa, pitäisi se myös huomioida kyberturvan budjetoinnissa. Lisäksi ratkaisu tulee olla sellainen, että se kattaa IT:n ja OT:n sekä mahdollistaa tietoturvan kehityksen kokonaisuutena.
PS. Loihteelta saat kokonaisvaltaiset kyberturvapalvelut niin IT- kuin OT-ympäristöihin. Teemme aina asiakaskohtaiset ratkaisut ja ymmärrämme tietoturvakokonaisuuden tärkeyden.
PS2. Lue esimerkkicase, miten kyberhyökkäys voi edetä IT-verkosta tuotannon ympäristöihin.
Blogin kirjoittaja

Tuomas Peltola
Palvelun omistaja