Elintarvikealalla toimiva Pouttu halusi parantaa verkkoympäristönsä tietoturvaa segmentoinnin kautta yhdessä Loihteen kanssa. Projektin suuntaa viitoittivat myös SensorFu:n sensorit, jotka auttoivat löytämään verkkojen vuotokohdat. Samalla vahvistettiin Poutun NIS2-kyberturvallisuusdirektiivin vaatimustenmukaisuutta.
Tekoälyn tekemä ja kirjoittajan tarkastama tiivistelmä jutusta:
Pouttu on toteuttanut tuotannon OT-verkon segmentointiprojektin yhteistyössä Loihteen ja SensorFu:n kanssa vahvistaakseen tietoturvaa ja täyttääkseen NIS2-direktiivin vaatimukset. SensorFu:n sensorit auttoivat havaitsemaan verkon vuotokohtia ja varmistamaan segmentoinnin toimivuuden. Projekti on edennyt tiukassa aikataulussa ja tuonut merkittävästi uutta tietoa verkon turvallisuudesta.
Loihde on tuottanut jo pitkään Poutulle kokonaisturvallisuuden ratkaisuja. Verkon segmentointiprojektin tullessa ajankohtaiseksi olikin luonteva tehdä se tutun kumppanin kanssa. Lisäksi mukaan tuli SensorFu, jonka sensorit siivittivät segmentointia oikeaan suuntaan.
”Projekti sujui kokonaisuudessaan tosi positiivisesti. Tausta-ajatuksena meillä oli NIS2-kyberturvallisuusdirektiivin vaatimusten täyttäminen. Toimimme elintarvikealalla ja olemme osaltamme tukemassa Suomen huoltovarmuutta, joten siitäkin näkökulmasta turvallisuutta on jatkuvasti kehitettävä, Poutun ICT-päällikkö Jyrki Jaatinen toteaa.
Tuotantolinjoja koskevien OT-verkkojen (Operational Technology) segmentointiprojekti käynnistyi Poutulla lokakuussa 2025 ja haastatteluhetkellä kevättalvella 2026 työ on loppusuoralla.
”Meillä oli ennestään joitain eriytettyjä verkkoja, mutta tämän projektin myötä segmenttien määrä ainakin kolminkertaistui”, Poutun ICT-asiantuntija Aleksi Erkkilä vahvistaa.
Segmentointi eli eristys on verkon yksi tärkeimpiä tietoturvaelementtejä. Se toimii SensorFu:n Pekka Pirttiahon mukaan kuin laivan osastointi; vaikka yhteen osastoon tulisi vuoto, vesitiiviit väliseinät estävät koko alusta uppoamasta. Sensorit ovat kuin hälyttimiä, jotka kertovat heti, jos jonkin väliseinän tiiviys ei ole kunnossa.
”Yhtenäinen verkko altistaa koko tuotannon ketjureaktiolle: yhden laitteen haavoittuvuus vaarantaa kaikki järjestelmät. Tuotannon tunnin keskeytys ei ole vain tunnin menetys, vaan se aiheuttaa pitkäkestoisia kerrannaisvaikutuksia, kuten toimitusviiveitä, hukkatuotantoa ja resurssien uudelleenjärjestelyjä, joiden korjaaminen voi kestää pitkään”, Pirttiaho sanoo.
OT-verkon segmentoinnin kanssa rinnakkain kulki SensorFu:n sensoreiden tuottama tieto. Käytännössä tuotannon verkkoon asennetut sensorit yrittävät päästä verkosta ulos internetiin ja jos näin tapahtuu, tulee hälytys. Heti alkuun löytyikin pari paikattavaa kohtaa, jotka saatiin tilkittyä. Näin saatiin arvokasta tietoa haavoittuvuuksista ja verkon rakenteesta segmentointia ajatellen. SensorFu:n ohjelmisto siis käytännössä varmistaa, että verkon eristys toimii toivotulla tavalla.
”Haastavaa olisi ollut saada hyvä verkko ilman sensoreita. Esimerkiksi havaittua hallintaverkon vuotoa tuskin olisi huomattu ilman sensoreita”, Jaatinen kiittelee.
Sensoreiden asentaminen tuotannon verkkoympäristöön sujui nopeasti. Fyysisiä laitteita ei tarvita, vaan asennus tapahtuu virtuaalikoneiden avulla virtuaalipalvelinympäristöön. Sensoreiden asentaminen ei myöskään edellytä mitään laiteasennuksia tai muutoksia OT-verkkoon.
”Käyttöönotto oli helppoa. Aluksi meillä oli lähes 20 sensoria eikä käyttöönottoon mennyt tuntiakaan”, Erkkilä kertoo.
Loihteen tekninen asiantuntija Jukka Nyman kertoo sensoreiden havaitsevan heti, jos esimerkiksi palomuurissa on konfiguraatiovirhe. Löydökset ovat tärkeitä, sillä verkkoympäristöt eivät useinkaan ole staattisia.
”Sensorit tukivat oleellisesti segmentointiprojektia. Sen avulla löysimme myös DNS-vuodon verkosta ulospäin. Vuotosuuntahan voi verkossa olla tapauksesta riippuen verkosta joko sisäänpäin tai ulospäin.”
”Käytännössä kyseessä oli yksi liikennettä tutkiva palomuuri, joka avasi ip-paketteja ja lähetti osan tiedoista valmistajan pilveen validointiin tehdessään sisällöntarkastusta. Tämä saatiin kiinni heti alkumetreillä. Projektin edetessä sensorit olivat taustalla seuraamassa, jos segmentoinnin myötä tehdyt muutokset olisivat aiheuttaneet jonkinlaisen reiän. Se oli hyvää taustavarmistusta ja verifiointia koko matkan”, Erkkilä vahvistaa.
Sensorit sopivatkin erityisen hyvin OT-verkkojen tutkimiseen, sillä niissä on usein monenlaisia laitteita ja ohjelmistoja, joita ei päivitetä kovin usein.
”Ratkaisu on helposti skaalattavissa organisaation koon mukaan. Palvelupohjainen toteutus mahdollistaa tuotannon OT-verkkojen ammattimaisen tietoturvan myös pienemmille toimijoille”, Pirttiaho kertoo.
Segmentointityö ottaa aikansa ja Jaatinen kertookin, että Loihteelta annettiin realistinen arvio siitä, millainen hanke tulisi olemaan. Aikataulu nivottiin kuitenkin melko napakaksi, mutta siinä on pysytty.
”Mitään isoja ongelmia ei tullut projektin aikana vastaan. Osan työstä teimme itse ja osan Loihde. Halusimme itsekin olla tässä tiiviisti tekemisessä mukana ja oli hienoa, että Loihde mahdollisti sen”, sekä Jaatinen että Erkkilä vahvistavat.
Jaatinen kertoo, että projekti kokonaisuudessaan toi paljon uutta tietoa. Yhteydenpito etenkin alussa oli tiivistä niin Loihteen kuin SensorFu:nkin kanssa. Aktiiviset ja säännölliset palaverit tukivat projektin etenemistä.
”Etenkin jos verkkoratkaisuihin tekee isompia muutoksia, sensorit ovat tärkeänä apuna. Ne helpottavat myös verkon rakentamista”, Jaatinen summaa.
SensorFu:n Pirttiaho kertoo toisinaan törmäävänsä ajatukseen, että asiakas haluaisi tehdä ensin segmentointiprojektin ja vasta sitten asentaa sensorit.
”Tässä on riskinsä, aivan kuten rakennustyömaallakin voi vahinkoja sattua jo rakennus- ja siirtymävaiheissa. Eristyksen jatkuva testaus on kuin pysyvä kosteusanturi, jolla saadaan selville lähtötilanteen rakenteelliset ongelmat, vältytään rakennusvaiheen altistumisilta ja saadaan varoitus, jos eristykset hapertuvat käytön aikana. Samalla tavoin kuin uutta taloa rakennettaessa kannattaa sensorit upottaa rakenteisiin ja prosesseihin jo uudistushankkeen alussa.”
EU-tason regulaatiot, kuten NIS2-kyberturvallisuusdirektiivi, ovat osaltaan kirittäneet organisaatioita turvallisuuden kehittämisessä. Kehittämistyö on kuitenkin jatkuvaa.
”Segmentointityö oli taas yksi konkreettinen etappi eteenpäin meidän osaltamme. Tällaisia yksittäisiä kehitysprojekteja teemme askel kerrallaan ja toki arvioimme turvallisuustilanteen kehittymistä jatkuvasti – henkilöstön koulutusta unohtamatta”, Jaatinen toteaa.
Seuraavaksi tiedossa on koko kytkinverkon uusiminen elinkaarenhallinnan mukaisesti. Se osuu nyt ajallisesti sopivaan saumaan segmentointiprojektin loppuvaiheisiin.
”Saamme tehtyä nyt samalla palvelinohjelmien uusimista ja jos esimerkiksi palvelimen osoite muuttuu segmentoinnin takia, on kätevä muuttaa palvelin nyt tässä samalla uudempaan. Uudet asetukset vaikuttavat moneen paikkaan”, Erkkilä selventää.