Onko automaatiojärjestelmien tietoturvariskit huomioitu yrityksen kokonaisriskiarvioinnissa?

Robert Valkama

Robert Valkama

Lead Consultant, ICS Security, Risk Management

Joulukuu 31, 2015 at 10:30

IT-järjestelmät ja automaatiojärjestelmät on perinteisesti pidetty erillään niin teknisesti kuin hallinnollisestikin. IT-järjestelmien suunnittelu, hallinta ja kunnossapito ovat olleet tietohallinnon tehtävänä kun taas automaatiojärjestelmien osalta tämä vastuu on ollut automaatioryhmällä. Tästä huolimatta näitä kahta eri toimialuetta on kiihtyvällä vauhdilla alettu integroida toisiinsa viimeisten kahdenkymmenen vuoden aikana.

Muutostarpeita on tullut niin järjestelmätoimittajien kuin automaatioteknologian käyttäjienkin puolelta. Lähtökohtina tälle kehitykselle ovat olleet esimerkiksi standardin tietotekniikan käytön tuomat kustannussäästöt ja vaatimukset reaaliaikaisten tietojen saamiseksi liiketoiminnan johdolle.

Tietoturvallisuus on jo kauan osattu ottaa huomioon IT-ympäristöissä. Vakiintuneita käytäntöjä IT-alalla on määritelty jo yli vuosikymmenen ajan ja niitä on kehitetty ja päivitetty useaan otteeseen. Tietoturvallisuuteen liittyviä riskejä ei kuitenkaan vielä riittävästi huomioida yrityksien kokonaisriskiarvioinnissa kun on kyse automaatiojärjestelmistä. Yksi syy tähän voi olla se, että tietoturvallisuus on perinteisesti ollut – ja on usein edelleenkin – tietohallinnon alaisuudessa oleva vastuualue. Hyvät käytännöt ja alan opit eivät ole siirtyneet tietohallinnosta automaatiopuolelle, merkittävin osin sen takia että tietoturvallisuudesta vastaavilla henkilöillä ei ole ollut toimintavaltuuksia tuotantoympäristöissä. Tämä on monessa yrityksessä tilanne vaikka tietotekniikkaa käytetään tuotannon ohjauksessa tänä päivänä laajastikin.

Entä kun prosessilaite ohjataan toimimaan virheellisesti?

Tästä herää kysymys, onko yrityksessäsi arvioitu digitaalisten tuotannonohjausjärjestelmien vaikutus liiketoimintaan? Tuotantolaitoksen operaattorin tai kunnossapitohenkilön näkökulmasta sillä ei ole merkitystä, johtuuko laitteen tai järjestelmän toimimattomuus tavallisesta rikkoontumisesta vai tietoturvatapahtumasta. Tuotantojärjestelmien riskienarviointi on perinteisesti tehty toimiiko/eikö toimi -näkökulmasta niin, että vaikutus prosessiin on katsottu laitteen rikkoontumisen näkökulmasta. Useimmiten kunnossapitostrategia tai -suunnitelma on myös suunniteltu tämän pohjalta. Tämä perinteinen lähestymistapa on sinänsä hyvä lähtökohta, mutta siitä puuttuu yksi merkittävä tilanne: järjestelmän virheellinen tai suunnittelematon toiminta.

   
Tästä syystä haastaisin yritykset miettimään mikä on mahdollinen seuraus siitä, kun jonkun järjestelmän hallinnassa olevat prosessilaitteet ohjataan tahallisesti toimimaan väärin? Kun mahdolliset seuraukset ovat tiedossa, voidaan arvioida miten liiketoiminta kestäisi tällaisen tilanteen, sekä suunnitella tai arvioida käytössä olevat suojaustoimenpiteet sen mukaan.