Toimijat ympäri maailmaa ovat yhä tietoisempia kriittisen infrastruktuurinsa haavoittuvuudesta, sillä kiristyshaittaohjelmahyökkäysten määrä on kasvanut eksponentiaalisesti hyvin rahoitettujen ja ammattimaisten uhkaryhmien toimesta. Kyberhyökkääjät tietävät hyvin, että he voivat asettaa kriittisen infrastruktuurin vaikeaan asemaan ja hyökkäysten seuraukset voivat olla hengenvaarallisia ja vahingoittaa yrityksen mainetta. Kriittinen infrastruktuuri vaihtelee maittain, mutta siihen kuuluvat yleensä hallinto, energia, vesihuolto, terveydenhuolto, maatalous, liikenne ja rahoitus. Näiden sektorien operatiivisiin järjestelmiin kohdistuvat hyökkäykset voivat olla vakavampia kuin digitaalisiin verkkoihin kohdistuvat hyökkäykset.

Energiasektori on yksi tärkeimmistä sektoreista, sillä sähköverkko on lähes kaikkien muiden sektoreiden keskiössä. Ilman sähköverkkoa nämä infrastruktuurit pysähtyisivät. Hyökkäykset sähköverkkoihin ovat lisääntyneet maailmanlaajuisesti, mukaan lukien hyökkäykset Virossa, Kanadassa, Italiassa ja Luxemburgissa. Vaikka useimmat näistä hyökkäyksistä aiheuttivat vain vähäisiä vaikutuksia, Ghanassa tapahtunut kiristyshaittaohjelmahyökkäys vuonna 2022 jätti ihmiset ilman sähköä yli viideksi päiväksi. Myös vesihuollon kaltaiset segmentit ovat erityisen haavoittuvia. Kyberhyökkäys voi vaikuttaa laajasti ja nostaa operatiivisia kustannuksia yrityksille, jotka käyttävät vettä esimerkiksi jäähdytykseen tai tuotantoon.

Kyberturvallisuuden merkitys muuttuu

Digitalisaation myötä laitteiden yhdistettävyys on lisääntynyt, mikä parantaa tehokkuutta ja kestävyyttä. Aiemmin erilliset operatiiviset verkot yhdistyvät nyt digitaalisiin verkkoihin, mikä lisää hyökkäyspinta-alaa kriittisen infrastruktuurin organisaatioille. Schnedier Electricin Services Marketing Leader Sanna Olkkosen mukaan:

”Kyberturvallisuustiimien on mukautettava prosessejaan, taitojaan ja työkalujaan riskien hallitsemiseksi. Lisäksi operatiivisiin verkkoihin liitettyjen laitteiden suojaaminen on haastavaa, koska ne voivat perustua nykyisiä kyberturvallisuusuhkia edeltäviin teknologiasukupolviin ja ovat siten vaikeammin suojattavissa.”

Kriittisten palveluiden on kuitenkin noudatettava korkeimpia kyberturvallisuusstandardeja. Lokakuussa voimaan astunut NIS2-direktiivi on Euroopan unionin uusi kyberturvallisuuslainsäädäntö, joka korvaa aiemman NIS-direktiivin. Sen tavoitteena on parantaa ja yhtenäistää kyberturvallisuuden tasoa EU:ssa. Direktiivi asettaa tiukempia vaatimuksia ja laajentaa soveltamisalaa kattamaan enemmän sektoreita ja toimijoita, kuten energia-, liikenne-, terveys- ja finanssialan yrityksiä, toteuttamaan kyberturvallisuutta vahvistavia toimenpiteitä ja raportoimaan merkittävistä poikkeamista.

Schneider Electricillä on käytössä toimenpiteitä koko toimitusketjun turvaamiseksi suunnittelusta ja valmistuksesta huoltoon asti.

”Meille luottamus on tärkeää asiakasketjun läpi ja kyberturvallisuuden on oltava jatkuvasti todennettavissa ja uudistettavissa. Kyberturvallisuus ei ole kilpailu, vaan kollektiivinen ponnistus, jossa jokainen osapuoli on vastuussa omasta roolistaan ketjussa. Yhteistyö ja tiedon jakaminen muiden yritysten kanssa, jotka tarjoavat tuotteita ja palveluja asiakkaillemme, on välttämätöntä”, kertoo Olkkonen.

Kyberturvallisuuden avoimilla automaatiojärjestelmillä

Schneider Electricin Offer Manager Marko Latvasalon mukaan kyberturvallisuuden hallinta vaatii monitasoista lähestymistapaa.

”Ensinnäkin, säännölliset kyberturvallisuusarvioinnit ovat välttämättömiä. Laitteiden inventointi ja päivitysten seuranta auttavat pitämään järjestelmät ajan tasalla ja vähentävät haavoittuvuuksia. Verkon segmentointi, eli IT- ja OT-verkkojen erottaminen, on toinen keskeinen toimenpide, joka estää hyökkääjiä pääsemästä kriittisiin järjestelmiin.”

Latvasalon mukaan myös tietojen varmuuskopiointi on tärkeää. Säännölliset varmuuskopiot suojaavat IP- ja ydintietoja, mikä mahdollistaa nopean palautumisen hyökkäyksen sattuessa. Lisäksi kyberhyökkäysharjoitukset valmistavat yrityksiä hyökkäysten torjuntaan ja parantavat henkilöstön valmiuksia. Nämä keinot ovat keskeisiä hyökkäyksiltä suojautumista varten.

Schneider Electricin ratkaisut, jotka analysoimalla dataa ja muuttamalla sen selkeiksi toimiksi – mahdollistavat toimintojen tehokkuuden, autonomian ja innovatiivisuuden kriittisen infrastruktuurin kohteissa. Esimerkiksi ohjelmistokeskeinen teollisuusautomaatiojärjestelmä EcoStruxure Automation Expert irrottaa laitteiston ohjelmistosta, mikä mahdollistaa joustavamman ja turvallisemman automaatioympäristön.

”Ratkaisu perustuu IEC61499 mukanaan tuomiin avoimen, ja toimittajariippumattoman automaation periaatteisiin. Tämä on iso askel kohti energiatehokkaampia ja kestävämpiä prosesseja, jotka vastaavat teollisuuden nykyisiin ja tuleviin haasteisiin.”, kertoo Latvasalo.