Energia-alan todellisuus on tasapainoilua käytettävyyden, kyberturvallisuuden ja kustannustehokkuuden välillä. Kaikkea ei voi saada, mutta isoimmat riskit saa minimoitua melko yksinkertaisin keinoin. Kiinnitä huomiota etenkin viiteen alla olevaan asiaan pysyäksesi turvassa ja välttyäksesi ikäviltä yllätyksiltä.
Internetiin kytketyt reunalaitteet ovat suosittuja hyökkäyskohteita, koska niiden haavoittuvuuksien kautta pääsee murtautumaan organisaation verkkoon. Reunalaitteiden ohjelmistojen päivittäminen ja pitäminen ajan tasalla on ensimmäinen ja tärkein tehtävä. Myös oletussalasanat on vaihdettava ja muut perus järjestelmäkovennukset on syytä tehdä.
Aina nollapäivähaavoittuvuuksille ei voi mitään ja siksi internet-rajapinnassa kerroksellisuus ja hajauttaminen on valttia sekä tietoturvan että käytettävyyden kannalta. Reunalaitteet on hyvä erottaa omiin erillisiin alustoihinsa, jolloin niiden ongelmat eivät pääse vaikuttamaan suoraan organisaation sisäisiin palveluihin. Yhden järjestelmän pettäminen ei vielä välttämättä aiheuta katastrofia koko toiminnalle ja käytön oikeellisuus pyritään varmistamaan Zero Trust -mallin mukaisesti mahdollisimman lähellä kohdetta.
Internetin ollessa osa tuotantoa DDoS-hyökkäykset ovat aina mahdollisia. Niiden varalta on syytä hankkia kunnollinen suojauspalvelu. Palomuurin geoblokkausominaisuudet voivat olla helppo tapa estää karkeasti ei-toivotut lähteet organisaation omien toiminta-alueiden ulkopuolelta, ja saada pienennettyä hyökkäyksen riskiä sekä mahdollista vaikutusta.
Ympäristön pilkkominen pienempiin toimintokokonaisuuksiin ja jakaminen palomuurilla järjestelmä- tai roolikohtaisiin osiin on perusturvaa. Näin kontrolloidaan pääsyä järjestelmiin, rajoitetaan mahdollisten ongelmien leviämistä sekä saadaan näkyvyyttä ja hallittavuutta koko ympäristöön. Segmentointiin liittyy olennaisesti vähimmän periaatteen pääsynhallinta eli palomuurisäännöt, joissa kaikki on oletuksena kiellettyä ja vain tarvittavat yhteydet sallitaan. Sääntöjen määrittäminen onkin usein se hankalin juttu toteuttaa käytännössä. Tähän kannattaa kuitenkin panostaa, vaikka usein riittävää tietoa tarpeista ja aikaa selvittelyyn ei ole.
Segmentoinnin perusteena käytetään useasti Purdue-mallia. Se on hyvä lähtökohta ympäristön pilkkomiseen kerroksellisesti, mutta voi olla joskus turhankin raskas toteuttaa. Purdue-mallia voi soveltaa omaan käyttöön sopivaksi karsimalla tasoja sieltä, missä jaottelu tuntuu liian hienojakoiselta tai keinotekoiselta. IT-järjestelmät ovat todennäköinen väylä tuotantoverkkoihin (OT), joten IT/OT-rajapinta on riskipaikka, jota kannattaa segmentoida, vahvistaa ja tarkkailla.
Internetin kautta tulevat etäyhteydet ovat huonosti toteutettuna väylä organisaation sisään. SSLVPN on todettu haavoittuvaksi ja riskialttiiksi tekniikaksi, joten IPsec-VPN tai muu vastaava VPN-protokollaan perustuva tuote on turvallisempi valinta. Koska etäyhteyksiä on usein mahdoton rajata verkkotasolla, on syytä panostaa kehittyneempiin tunnistuskeinoihin. Etäkäyttäjille on hyvä asentaa etäyhteysohjelmisto, jolla saadaan päätelaitteet näkyviin ja kontrolliin. MFA pitää ottaa aina käyttöön varmistamaan käyttäjän aitoutta edes jollakin tasolla.
SASE:n kautta tutuksi tulleet ZTNA-tyyppiset etäyhteydet voidaan rajata tarkemmin päätelaitteen riskitason, käyttäjän, sovellusten, sijainnin tai muiden parametrien mukaan. Näin voidaan varmistua käytön oikeellisuudesta vieläkin monitasoisemmin ja luotettavammin. Myös etäyhteyksissä voi hyvin käyttää geoblokkausta karsimaan turhat lähdemaat pois yhteydenotoista, jos etäkäyttö rajoittuu vain tietyille alueille.
Vaikeimmin hallittavia riskipaikkoja ovat toimitusketjut ja niihin liittyvät kolmannet osapuolet. Kumppanien ja heidän käyttämien järjestelmien kautta kyberhyökkäys voi tulla sisään ydinjärjestelmiin arvaamatta ja salakavalasti. Kaikki etäyhteydet on syytä keskittää yrityksen omaan etäyhteyspalveluun, joka on toteutettu asianmukaisesti. Jos kumppaneille on pakko tehdä erillisiä etäyhteysratkaisuja tai ne käyttävät omia tai päivittämättömiä järjestelmiä, ne on syytä eristää palomuurilla omiin aliverkkoihin ja rajata pääsy tiukasti.
Suorat etätyöpöytäyhteydet ovat erittäin riskialttiita, siksi niitä ei pidä käyttää kuin suojatun VPN-yhteyden läpi. Myös tiedonsiirtopalvelut, kuten tiedostopalvelimet ja pilvitallennustilat, ovat suosittuja hyökkäyskohteita, joten niihin kannattaa kiinnittää huomiota pitämällä ohjelmistot ajan tasalla, tiukentamalla pääsyä ja lisäämällä valvontaa.
Kaikki käyttäjätunnukset tulee hallita keskitetysti organisaation IAM-järjestelmässä. Järjestelmien hallintayhteyksiin on suositeltavaa käyttää PAM-järjestelmää, johon keskitetään hallittavien kohteiden ja tunnusten tietoturvallinen hallinta ja käyttö. PAM helpottaa sekä ylläpitoa että käyttäjiä, mutta lisää myös merkittävästi ympäristön valvontakykyä tallentamalla mm. kaikki kirjautumiset ja käyttäjän tekemät toimenpiteet auditoitavaan muotoon.
Kaiken IT-toiminnan lähtökohtana on ajantasainen ja kattava resurssi-inventaario, josta selviää perustiedot IT-ympäristön käytössä olevista komponenteista ja niiden tilasta. Myös riittävä järjestelmädokumentaatio ja toimintaympäristön kokonaiskuva auttavat tilannekuvan muodostamisessa ja toimenpiteiden suunnittelussa. Lähtötietojen ollessa kohdillaan, on kyberturvaa huomattavasti helpompi toteuttaa riskiperustaisesti, suunnitelmallisesti ja tehokkaasti oikeassa paikassa oikeaan aikaan.
Usein käytön valvontaa on ollut hankala toteuttaa kustannustehokkaasti kaikkiin etäkohteisiin ja verkon perimmäisiin nurkkiin asti. Etäkohteiden verkkoratkaisua miettiessä kannattaa huomioida näkyvyysominaisuudet. NGFW-palomuuri on hyvä laite tuottamaan kattavaa ja syvällistä näkyvyyttä sekä liikenteeseen että tietoturvatapahtumiin. Samalla se toimii kontrollipisteenä ja voi tarpeiden mukaan tehdä monia muitakin asioita, esim. suojattuja VPN-yhteyksiä.
OT-ympäristön uhkat tulevat ensisijaisesti IT-ympäristön kautta. Siksi IT/OT-rajapinnan järjestelmät on syytä ottaa tarkasti valvontaan. Myös muita ulkoisia rajapintoja, kuten kumppaniyhteyksiä, on syytä tarkkailla. Kaikkia mahdollisia järjestelmiä kannattaa valvoa kattavan näkyvyyden tuottavilla EDR-agenteilla. Sinne missä EDR ei ole vaihtoehto tai muuten haluaa täydentää näkyvyyttä, NDR-järjestelmällä saadaan analysoitua verkkoliikennettä ja nostettua sieltä epäilyttäviä tapahtumia esiin. SOC valvoo tapahtumia ja reagoi nopeasti epäilyttäviin havaintoihin, jolloin hyökkäykset saadaan kiinni ja taltutettua jo ensimetreillä ilman isompia vahinkoja.
PS. Haluaisitko kuulla lisää teollisuuden turvallisuusratkaisuista? Industry Day -tapahtumamme 21.10.2025 voisi kiinnostaa sinua. Tutustu ohjelmaan.