Digitalisaation kiihtyminen ja toimintaympäristön murros ovat muuttaneet teollisten tuotantoympäristöjen kyberturvallisuutta pysyvästi. Teollisuuden OT-verkkoja (Operational Technology) ei enää voida tarkastella irrallaan IT-infrastruktuurista. IT/OT-konvergenssi on väistämätön tosiasia, joka tuo mukanaan uusia uhkia, vaatimuksia ja mahdollisuuksia.
Kyberuhat eivät ole vain teoriaa, sillä hyökkäykset myös OT-ympäristöjä kohtaan ovat lisääntyneet merkittävästi niin maailmalla kuin meillä Suomessakin. Keskeinen haaste kuuluukin, miten tässä uudessa todellisuudessa voi turvata liiketoiminnan jatkuvuuden tuotantoa vaarantamatta.
Osaltaan vyyhtiä ratkovat erilaiset regulaatiot. Esimerkiksi NIS2 eli kyberturvallisuusdirektiivi ja kyberkestävyyteen liittyvä CRA-asetus ovat reaktioita todelliseen uhkakuvaan. Ne tähtäävät siihen, että kriittinen infrastruktuuri on suojattu ja valmiina toimimaan myös poikkeustilanteissa.
Kasvaneiden kyberhyökkäysten määrä sekä sääntelyn asettamien vaatimusten lisäksi kolmas keskeinen huomioon otettava seikka on kiihtynyt digitalisaatio ja lisääntynyt datan tarve. OT-ympäristö on siten monellakin tapaa uuden edessä.
Samat periaatteet, eri prioriteetit
IT:llä ja OT:llä on samat periaatteet, mutta eri prioriteetit. IT-ympäristöt ovat jo pitkään noudattaneet vahvoja tietoturvakäytäntöjä, mutta OT-ympäristöissä suojauksen lähtökohdat ovat toiset. Tuotannon jatkuvuus, käyttökatkoksien välttäminen ja järjestelmien pitkät elinkaaret tekevät muutoksista hitaita, vaikka tietoturvauhat kasvavat nopeasti.
Perinteinen eristäminen ei kuitenkaan enää riitä eikä toimi käytännössä. Keskeisiä tähän liittyviä kysymyksiä onkin monenlaisia. Yrityksissä pohdituttaa muun muassa se, miten mahdollistaa turvalliset etäyhteydet laitetoimittajille tai voidaanko IoT-laitteita hyödyntää turvallisesti. Arjessa on myös ratkottava, kuinka päivittää SCADA-järjestelmät ilman tuotantokatkoksia ja miten hallita pilviyhteyksiä ja datan käyttöoikeuksia.
Liiketoiminta tarvitsee dataa päätöksenteon tueksi, mutta tietoturva rajoittaa näkyvyyttä. Tuloksena syntyy usein varjo-IT:tä ja toimintaympäristö, jota ei hallita kokonaisvaltaisesti.
Tietoturva ei saa pysäyttää liiketoimintaa
Menestyvä organisaatio ei pelkästään täytä minivaatimuksia, vaan etsii tapoja hyödyntää teknologiaa turvallisesti. Avainasemassa ovat seuraavat toimenpiteet:
1) Pääsyn- ja identiteetinhallinta
Vahva todennus, käyttöoikeuksien hallinta ja vähimmän oikeuden periaate ovat keskeisiä. Tämä koskee myös OT-ympäristöjä.
2) Uhkakuvien ja tilanteiden seuranta
Verkkojen ja järjestelmien jatkuva valvonta, lokien hallinta ja uhkaympäristön ymmärtäminen mahdollistavat nopean reagoinnin.
3) Riskienhallinta ja assettien näkyvyys
Organisaation on tunnistettava omaisuutensa, luokiteltava järjestelmät ja kyettävä hallitsemaan riskejä systemaattisesti. Ylimmän johdon tuki on tässä tärkeä tekijä.
4) Teknologiat tukena eikä esteenä
OT-tietoturvaan voidaan soveltaa IT:stä tuttuja teknologioita. Täytyy vain ymmärtää OT-ympäristöjen periaatteita ja erot IT:hen. Onkin sanottu, että on parempi kouluttaa OT:ta IT-tietoturvaosaajille, kuin kouluttaa OT-asiantuntijoille IT:tä. Tietoturva on ollut osa IT:tä jo niin pitkän aikaa.
Nykyaikainen OT-tietoturvan valvonta nojaa IT:stä tuttuihin teknologioihin kuten OT-NDR (verkkojen havainnointi), EDR (päätelaitesuojaus), honeypots (ansoittaminen), IDR (identiteetin havainnointi) ja XDR (laajennettu havaintojärjestelmä). Tekoäly tuo uutta tehoa uhkien tunnistamiseen ja reagointiin.
IT/OT-konvergenssi on mahdollisuus
Kun IT- ja OT-ympäristöjä lähestytään yhteisten periaatteiden kautta, on mahdollista rakentaa turvallinen, läpinäkyvä ja skaalautuva kokonaisuus. Zero Trust -malli, segmentointi ja turvalliset etäyhteydet eivät ole esteitä vaan mahdollistajia.
Loihde toimii kumppanina, joka ymmärtää sekä fyysisen että digitaalisen turvan merkityksen. Yhdistämme teknologian ja turvallisuuden, jotta asiakkaamme voivat keskittyä liiketoimintaansa.
PS. Katso myös tallenne webinaaristamme: OT-tietoturvan uudet realiteetit – kun tehtaan seinät eivät enää suojaa.
Blogin kirjoittaja
