OT-verkkojen tietoturva on nyt erityisen kiinnostava aihe. Maaliskuussa järjestettiinkin Suomen ensimmäinen OT Cyber Security Summit Finland -tapahtuma ja sille oli selvästi kysyntää, sillä loppuunmyytyyn päivään oli yli 400 ilmoittautunutta. Käyn tässä blogissa läpi tapahtuman käytännönlähteistä antia OT-ympäristöjen turvaamiseen viiteen pääkohtaan tiivistettynä.
Monessa esityksessä kerrattiin IT- ja OT-ympäristöjen erot. IT:n tutut toimintamallit eivät suoraan sovi OT-ympäristöön, joka elää pitkiä elinkaaria ja hitaita päivityksiä, korostaa toimintavarmuutta ja turvallisuutta. Lisäksi se on riippuvainen paljon toimittajista ja suljetuista protokollista. Siksi OT-ympäristöjen hallinta on IT:tä hankalampaa ja hitaampaa, ja epäilyttävään tai haitalliseen toimintaan on vähemmän mahdollisuuksia puuttua aktiivisesti. Perusasioiden kuntoon laittaminen ja hyvät toimintamallit korostuvat.
Näkyvyys on suojaamisen perusta eli voidakseen suojautua, pitää ensin tietää mitä suojata. Omaisuudenhallinta ja inventaariotieto on usein puutteellista ja sen kerääminen voi olla hankalaa. Toimintamalleja ja menetelmiä käytiin esityksissä läpi ja konsensus oli se, että passiivinen skannaus ja valvonta on ensisijainen tapa. Rajatusti ja harkitusti voi käyttää myös aktiivista skannausta.
Ympäristön suojaaminen pitää olla riskiperustaista ja riskiarviot perustuvat ajantasaiseen inventaariotietoon.
Haavoittuvuushallintaa tehdään riskiperusteisesti, koska kaikki haavoittuvuudet eivät ole yhtä olennaisia. Arviointi ja priorisointi on tärkeää. Arvioinnissa auttaa kunnollinen inventaariotieto. Päivittäminen ei ole useinkaan mahdollista, ainakaan nopealla aikataululla, joten virtuaalinen päivitys on toimiva keino. Myös IPS:n käyttö ja sallittujen sovellusten whitelistaaminen toimii.
OT-verkon segmentointi on yksi tärkeimmistä konkreettisista keinoista suojata verkkoa. IT- ja OT-ympäristöt tulee erottaa toisistaan palomuureilla, joilla saadaan kontrollia ja näkyvyyttä. Palomuurit kontrolloivat sekä ympäristön reunan pohjois-etelä-liikennettä että sisäistä itä-länsi-liikennettä. IDMZ-vyöhykkeen kautta yhdistetään IT- ja OT-ympäristöt. Purdue-tasojen käyttö on vakiintunut käytäntö. Segmentoinnin toimivuus on myös hyvä varmistaa, koska monesti arkista tarvetta varten tehdään viritys, jolla oikeastaan onkin yhteys ulkomaailmaan.
Etäyhteydet ovat OT-ympäristön suurimpia riskejä, koska ne ovat välttämättömiä toiminnalle mutta toteutus on usein huono. Etäyhteyksille tulee luoda malli, jossa yhteydet ovat hallittuja, valvottuja ja hyväksyttyjä, jolloin epämääräisistä takaporteista päästään eroon. Pääsy toimittajalle tai kumppanille voidaan antaa tarpeen mukaan. Automaatioinsinööri hyväksyy pääsyn ja valvoo käyttöä kuten fyysisellä käynnillä laitoksessa. Yhteyksien käyttöön on luotava selkeä prosessi ja yhteyksien toteutuksessa käytetään MFA:ta, whitelistausta ja lokitusta.
OT-ympäristö pyörii toimittajien avulla ja toimittajia on yleensä useita. Järjestelmätoimittajat ovat siis osa yrityksen kyberturvaa. Kyberturvavaatimukset pitää määritellä realistisesti jo hankinnoissa, ja tuotteen ominaisuuksia tärkeämpää pitäisi olla toimittajakumppanuus. Kumppanuuteen kuuluu, että toimittajat otetaan mukaan riskiarviointiin, muutoksiin ja harjoituksiin.
Puheenvuorot korostivat käytännöllistä lähestymistä, mutta sääntelyltä ei voitu välttyä. NIS2, CRA ja IEC 62443 eivät ole vain vaatimuksenmukaisuuden täyttämistä varten, vaan ne ajavat tuotteiden ja toiminnan kehittämistä eteenpäin sekä yrityksen että toimittajan puolella. Iso osa sääntelyä ovat toimintamallit, roolit ja vastuut, jotka pitää dokumentoida. Sääntelyä kannattaa lähestyä riskiperusteisesti ja yrityksen tehtävä on luoda riskiarvio omasta ympäristöstään. Toimittaja tukee riskiarvioinnissa tuotteidensa osalta ja pyrkii varmistamaan niiden turvallisuuden koko elinkaaren ajaksi.
Työkalut eivät korjaa puutteellisia prosesseja. Toimintaa pitää suunnitella ja harjoitella, ja ympäristön normaalitila täytyy tuntea, jotta vaste ja eskalaatiot voidaan toteuttaa hallitusti ja oikein. Kyberharjoitukset ovat suosittuja ja opettavaisia yrityksille. Kehittämisessä ja kehittymisessä on tärkeää valita yksi asia, josta aloittaa. Sen jälkeen iteroidaan jatkuvan parantamisen mallilla eteenpäin kohti lopullista tavoitetilaa.
Loihde oli mukana OT Cyber Security Summit Finland -tapahtumassa 10.3.2026 kumppanina.