Yritysten riippuvuus tietoverkoista kasvaa samanaikaisesti kyberrikollisuuden ammattimaistumisen ja tietoturvahyökkäysten yleistymisen kanssa. VTT:n johtava tutkija Pasi Ahonen peräänkuuluttaa riskien tunnistamisen ja ymmärtämisen merkitystä kilpailukykyisten tuotteiden kehittämisessä.

– Kyberturvan ei pitäisi olla innovaatioiden showstopper vaan mahdollistaja. Kilpailukykyisten tuotteiden kehittäminen markkinoille edellyttää kyberturvariskien tiedostamista ja niiden huomioimista heti tuotekehityksen alusta alkaen. Kun kaikki osapuolet ymmärtävät kyberturvallisuuden perusteet ja tärkeyden, saadaan hyviä tuloksia, Ahonen sanoo.

Ahosen mukaan tietoturvariskien hallinta lähtee ostajasta.

– Suurimmat turvallisuusriskit muodostuvat hankintavaiheessa, kun ostajat eivät osaa määritellä ja vaatia riittävää tietoturvaa. Käytännössä tämä tarkoittaa, että hankitaan Iot-ratkaisuja, joissa tietoturva ei ole sisäänrakennettua ja hakkerit pääsevät murtamaan sen. Halvat laitteet eivät yleensä sisällä tietoturvaominaisuuksia lainkaan, mikä aiheuttaa sekavuutta sekä käyttäjä- että järjestelmätasolla.

Pahimmillaan halvalla rakennetut, tiedostamattomat Iot-hankinnat voivat johtaa miljoonamenetyksiin.

– Jos Iot-ratkaisussa ei ole seurantaominaisuuksia, hakkerit voivat päästä muuttamaan anturiarvoja tai aiheuttaa palvelunestohyökkäyksiä muihin verkkoihin tai kohteena olevaan tuotantoon. Väärä informaatio tuotannon valvontaan ja ohjaukseen on todella kriittistä ja voi aikaansaada tuotantokyvyn menetyksen useamman päivän ajaksi, Ahonen antaa esimerkkejä toimintaa uhkaavista kyberriskeistä.


Tiedostavia hankintoja ja jatkuvaa seurantaa

Kyberhyökkäyksiltä suojautuminen edellyttää henkilöstön kyberturvallisuustietoisuuden kasvattamista, selkeitä linjauksia ja jatkuvaa seurantaa.

– Kun henkilökunta ymmärtää kyberturvan perusteet, osataan tietoturvaa vaatia hankintojen yhteydessä myös järjestelmätoimittajalta, eikä sokeasti luoteta siihen, että toimittajan tietoturva on kunnossa. Ostajan tulee osata vaatia järjestelmätoimittajalta päivityksiä ja seurantaa tuotteeseen koko sen elinkaaren ajaksi. Tärkeää on myös informaatio palveluntarjoajan omasta kehitysympäristöstä: miten sitä vastaan on hyökätty ja onko mahdollista, että toimittajan etäyhteyden kautta myös meihin päästään hyökkäämään, Ahonen neuvoo.

Ahonen kannustaa kasvattamaan osaamista ja pohtimaan yhteisiä linjauksia eri toimijoiden yhteisissä työpajoissa.

– Esimerkiksi energia-alalla turvallisuustietoisuutta lisätään liiketoimintajohdon, automaatioihmisten ja järjestelmätoimijoiden yhteisissä työpajoissa, joiden tuloksena kyberturvallisuuden vaatimuksia on onnistuttu parantamaan, Ahonen kiittelee.