Tietoturva on teollisuuden uusi normaali

Internet of Things on saanut yritykset läpi toimialojen kytkemään laitteensa verkkoon. Niin myös teollisuudessa, vaikka ympäristönä se on hyvin omalaatuinen IoT-kehitykselle. Valtavan voimakkailla teollisilla laitteilla on usein runsaasti ikää, sillä ne ovat investointeina kalliita ja elinkaaret pitkiä. Laitteiden ja ohjelmistojen päivittäminen voi olla hankalaa tai kohtuuttoman kallista, etenkin jos valmistajaa ei enää ole tai dokumentaatio on täysin heitteillä. Kun tällainen laite liitetään verkkoon, tietoturvariskit ovat erityisen suuret.

Maailmalla on nähty useita tapauksia, joissa teollisuusyritys on tietoturvahyökkäyksen kohteena. Perinteisin motiivi on teollisuusvakoilu, jolla pyritään kasvattamaan omaa kilpailukykyä tai vahingoittamaan kilpailijaa. Taustalla on myös valtioiden välistä poliittista kärhämää, näyttämisen halua tai puhdasta kiusantekoa.

Hyökkäys on tehty kirurgin tarkkuudella. Muistitikun tai avoimen verkon kautta asentuva haittaohjelma tunnistaa kohteensa haistelemalla laitteen ajurit ja ohjelmistot, asentaa viruksen ja ryhtyy ohjaamaan laitetta normaalista poikkeavalla tavalla, tuhoaa tärkeät ohjelmistot tai rikkoo koko laitteen. Entä jos tietoturvahyökkäys tehdäänkin jo suunnittelupöydällä? Teollisuuden tuotekehityksessä on monta vaihetta, joissa hyökkääjä pystyy suunnitteluohjelmistoihin iskemällä vaikuttamaan esimerkiksi kantavan teräspalkin vahvuuteen tai materiaalin käyttöikään.

Olipa motiivi tai hyökkäyksen kohde mikä tahansa, häiriköinnin seuraukset ovat teollisuudessa erityisen vakavat. Kymmenien tonnien painoisen laitteen hakkerointi voi saada aikaan taloudellisia, ympäristö- ja henkilövahinkoja. Kohdeyritys voi häirinnän vuoksi rikkoa tahtomattaan lakia, menettää luottamuksellista tietoa ja loata maineensa. Vakavimmillaan tietoturvan pettäminen vaarantaa ihmishenkiä ja voi johtaa jopa kansallisen turvallisuuden järkkymiseen.

Teollisuuden tietoturva on kokonaisuus, johon vaikuttaa aina myös laitetta ohjaava ihminen. Joissakin yrityksissä koneiden mekaniikkaa ohjataan vieläkin tietokoneella, jonka käyttöjärjestelmä on 90-luvulta ja ohjelmilla, joiden turvallisuudesta ei ole takeita. Jos tietokonetta käyttävä työntekijä surffaa kahvitauollaan netissä, voi hän pahaa aavistamatta saastuttaa tietokoneen ja sen operoiman laitteen. Vahinkoja voi tapahtua myös tuliterällä kalustolla, mikäli ohjaimissa on tietoturvasta ja teollisten prosessien erityispiirteistä tietämätön ihminen.

Tietoturvaan panostaminen ei ole kertainvestointi, jonka tehtyään yritys voi huokaista helpotuksesta. Ei riitä, että tietoturva-aukko tunnistetaan, se pitää myös pystyä paikkaamaan. Samalla niin laitteet kuin niitä ohjaavat ihmiset on pidettävä jatkuvasti kartalla tietoturvan kehityksestä.  Parhaimmillaan tietoturvasta tulee luonnollinen osa arkista toimintaa – teollisuuden uusi normaali.