OT-ympäristöjen kyberuhkiin varautumisen kehittäminen – Esiselvitys ja suositukset

Tuotantoympäristöjen kyberturvallisuus on noussut kriittiseksi tekijäksi yhteiskunnan huoltovarmuuden ja elinkeinoelämän toiminnan jatkuvuuden kannalta. Näiden järjestelmien häiriöt voivat johtaa tuotantokatkoksiin, taloudellisiin tappioihin ja jopa laajoihin yhteiskunnallisiin vaikutuksiin. Digipooli on toteuttanut esiselvityksen OT-ympäristöjen kyberuhkiin varautumisesta tunnistaakseen nykyisiä haasteita, arvioidakseen kyberturvallisuuden kypsyystasoa eri toimialoilla ja tarjotakseen konkreettisia kehitysehdotuksia elinkeinoelämän tueksi.
OT-ympäristöjen kyberuhkiin varautumisen kehittäminen – Esiselvitys ja suositukset
Operatiivisen teknologian (OT) tai tuotantoympäristöjen ympäristöjen kyberturvallisuus on noussut kriittiseksi tekijäksi yhteiskunnan huoltovarmuuden ja elinkeinoelämän toiminnan jatkuvuuden kannalta. OT-ympäristöt käsittävät laitteet, ohjelmistot ja järjestelmät, jotka ohjaavat ja valvovat fyysisiä prosesseja esimerkiksi teollisuudessa, energiantuotannossa ja logistiikassa. Näiden järjestelmien häiriöt voivat johtaa tuotantokatkoksiin, taloudellisiin tappioihin ja jopa laajoihin yhteiskunnallisiin vaikutuksiin.
Digipooli on toteuttanut esiselvityksen OT-ympäristöjen kyberuhkiin varautumisesta tunnistaakseen nykyisiä haasteita, arvioidakseen kyberturvallisuuden kypsyystasoa eri toimialoilla ja tarjotakseen konkreettisia kehitysehdotuksia elinkeinoelämän tueksi. Selvityksen laati Deloitte Oy.
Selvitykseen osallistui 130 yritystä seuraavilta toimialoilta: Teollisuus, Energia, Vesihuolto, Satamat ja merenkulku, Logistiikka, Ruoan ja elintarvikkeiden tuotanto ja jakelu sekä Terveydenhuolto.
Esiselvityksen keskeiset havainnot
Keskeiset havainnot
Esiselvityksen perusteella OT-ympäristöjen kyberturvallisuuden hallinnan kokonaiskypsyystasot jäivät alle hyvän perustason kaikilla tarkastelluilla toimialoilla. Haasteita havaittiin erityisesti seuraavilla osa-alueilla:
- Kyberturvallisuuden hallintamallit ja prosessit ovat puutteellisia, eikä OT-ympäristöjen turvallisuutta ole riittävästi huomioitu osana organisaatioiden kokonaisturvallisuusstrategiaa.
- Resurssit ja budjetointi eivät vastaa kyberturvallisuuden kehitystarpeita.
- Riskienhallinta on monilla toimialoilla hajanaista, eikä kyberturvallisuusriskien systemaattista arviointia tehdä riittävällä tasolla.
- Kolmansien osapuolten hallinta on heikkoa, ja toimitusketjujen kyberturvariskejä ei ole riittävästi tunnistettu ja seurattu.
- Henkilöstön osaaminen OT-kyberturvallisuuden osalta koettiin yleisesti riittämättömäksi, mikä voi johtaa tietoturvariskien aliarviointiin ja väärinkäsityksiin.

Suosituksia elinkeinoelämälle
Esiselvityksessä esitetään useita toimenpiteitä OT-ympäristöjen kyberturvallisuuden vahvistamiseksi. Keskeisiä suosituksia ovat:
- OT-kyberturvallisuuden nostaminen strategiseksi prioriteetiksi, jotta se huomioidaan osana liiketoimintaprosesseja ja johtamista.
- Resursoinnin vahvistaminen niin, että kyberturvallisuuden kehitystyölle ja osaamisen lisäämiselle varataan riittävästi taloudellisia ja henkilöstöresursseja.
- Kolmansien osapuolten kyberturvallisuuskäytänteiden kehittäminen, jotta toimittajasuhteet ja toimitusketjut ovat paremmin suojattuja.
- Selkeiden kyberturvallisuusmittareiden ja minimivaatimusten määrittäminen, jotta yritykset voivat arvioida nykytilannetta ja asettaa kehitystavoitteita.
- Toimialakohtaisten käytännönläheisten ohjeistusten laatiminen, joiden avulla yritykset voivat konkreettisesti kehittää OT-ympäristöjensä tietoturvaa.
Tulisiko elinkeinoelämää tukea jotenkin?
Digipoolin säännöllisesti toteuttamien kyberkypsyysselvitysten perusteella Tuotantoympäristöjen kyberturvallisuus ei ole kehittynyt toivotusti 2020 luvulla. Tämänkin esiselvityksen perusteella yritykset tarvitsevat siis käytännön tukea OT-ympäristöjen kyberturvallisuuden kehittämiseen.
Esiselvityksen perusteella suositellaan tukitoimiksi:
- Toimialakohtaisten käytännönläheisten ohjeiden tuottamista, erityisesti riskienhallinnan ja kolmansien osapuolten hallinnan kehittämiseksi.
- Koulutusten ja tietoisuuden lisäämistä, jotta sekä johto että operatiivinen henkilöstö ymmärtävät OT-kyberturvallisuuden merkityksen.
- Yhteistyöverkostojen vahvistamista, jotta yritykset voivat jakaa tietoa ja parhaita käytäntöjä sekä hyödyntää saatavilla olevia resursseja tehokkaammin.
Lue koko esiselvitys
Esiselvitys tarjoaa kattavan analyysin OT-ympäristöjen kyberturvallisuustilanteesta sekä konkreettisia suosituksia eri toimialoille. Voit tutustua koko raporttiin lataamalla sen tästä: