Tiede & tekniikka

Huoltovarmuuskeskuksen asiantuntija listaa elintarvikealan yritysten suurimmat tietoturvariskit: Keskiössä kiristäminen ja hakkereiden satunnaishyökkäykset

Asiantuntijan mukaan elintarvikeyritysten digitaalisille ratkaisuille on ollut leimallista, että niillä on pyritty tehostamaan ja parantamaan prosessia. Sen sijaan turvallisuuteen ei ole kiinnitetty niin paljoa huomiota.
Kuvat: Timo Aalto, Jukka Pasonen / Kuvitus: Juho Leskinen
Käytännön tasolla uhkiin varautumisessa auttaa asiantuntijan mukaan se, että saman alan yritykset hakevat toisiltaan oppeja tietoturvahaasteiden ratkaisemiseen.

Huoltovarmuuskeskuksen alaisen Digipoolin teettämän kartoituksen mukaan elintarvikeala on tietoturvaltaan heikoimpien alojen joukossa, kun tarkastellaan 12 kriittisen alan tilannetta. Parhaimmassa jamassa kyberturvallisuudesta huolehtiminen on saman selvityksen mukaan finanssialalla ja teleliikennealalla.

Huoltovarmuuskeskuksen varautumispäällikkö Jarna Hartikainen kertoo, että elintarvikeala on verrattuna vaikkapa finanssialaan verrattuna jäljessä siinä, miten digitalisaatiota hyödynnetään yritysten toiminnassa. Esimerkiksi pankeissa ajatus siitä, että rahat pitää suojata, on ollut läpi historian mukana niiden toiminnassa. Ajatus on kulkenut mukana myös, kun pankkitoiminta on siirtynyt viime vuosina yhä enemmän verkkoon ja it-järjestelmien vastuulle.

"Kun sitten taas puhutaan elintarvikepuolesta, ketjun matkan varrella on hyvin erilaisia toimijoita. Ne eivät ole olleet suurien ryöstöjen tai väärinkäytösten kohteena perinteisesti, joten digitaalisilla ratkaisuilla on ensisijaisesti haluttu sujuvoittaa toimintaa", Hartikainen kuvaa.

Elintarvikeyritysten digitaalisille ratkaisuille onkin Hartikaisen mukaan ollut leimallista, että niillä on pyritty tehostamaan ja parantamaan prosessia sekä lisäämään sen luotettavuutta. Nykyaikana on kuitenkin olennaista muistaa, että kaikki verkossa olevat laitteet voivat olla hyökkäyksen kohteena.

"Tuotannon suojaaminen ei ole ollut ohjaava kehitysperiaate, vaan on tehty tuotannollisesti järkevää prosessia", hän sanoo.

Tilanne on Hartikaisen arvion mukaan onneksi jonkin verran parantunut viime vuosina, ja nykyajan uhkiin on herätty. Vaikka uhkiin onkin herätty, ei se suinkaan tarkoita sitä, että edes yrityksissä, joissa tietoturvan taso on erinomaisella tasolla, voitaisiin lakata panostamasta siihen.

"On koko ajan katsottava, minkälaisia uhkakuvia on, miten tekniset ratkaisut kehittyvät ja miten niitä suojataan", Hartikainen muistuttaa.

Erityisesti elintarvikealalla on kyberturvallisuuden näkökulmasta äärimmäisen vaikea tehdä valmiita malleja. Tämä johtuu siitä, että jokainen yritys on yksilöllinen.

"Siksi on hirvittävän tärkeää, että yrityksen johto ottaa kyberturvallisuuden ohjaukseensa ja vastuulleen", varautumispäällikkö painottaa.

Kun johto ottaa kyberturvallisuuden vastuulleen, voidaan selvittää, mitkä ovat kyseisen yrityksen liiketoiminnan kannalta kaikkein kriittisimmät toiminnot tai järjestelmät.

"Jos liiketoiminta on riippuvainen it-ratkaisuista jollain tavalla, ne tulee varmistaa ja turvata riskilähtöisesti", Hartikainen sanoo.

Monesti sitä, pitäisikö vaikkapa oman yrityksen liiketoimintaa suojata hakkereiden varalta, pohditaan varautumispäällikön mukaan usein siitä näkökulmasta, onko yrityksellä jotain suuria ja merkittäviä innovaatioita. Asiaa kannattaisi hänen mukaansa lähestyä hieman eri näkökulmasta. Merkittävimmät tietoturvariskit liittyvät elintarvikeyritysten näkökulmasta nimittäin erityisesti kahteen asiaan.

Ensinnäkin verkossa tapahtuva kiristäminen on lisääntynyt huimasti viime vuosina. Hartikaisen mukaan kiristämisestä on syytä pitää mielessä se, että useinkaan tietojen vieminen tai kiristyksen kohteeksi joutunut yritys itsessään ei hakkeria kiinnosta. Sen sijaan hakkeri pyrkii aiheuttamaan kohteelleen sen verran hankaluuksia, että hän saa vaatimansa lunnaat.

"Se on verkkorikolliselle rahanansaintakeino. Jos saadaan pistettyä joku tärkeä asia jumiin hetkeksi, saadaan painostettua maksamaan lunnaat", Hartikainen muistuttaa.

Toinen merkittävä riski liittyy sellaisiin satunnaishyökkäyksiin, joissa edes hyökkääjä ei tiedä, mihin kohteeseen hän on iskenyt.

"Osa vaan etsii jotakin aukkoa huvikseen tai siksi, että voidaan asentaa haittaohjelma, joka hankkii resursseja", varautumispäällikkö kuvaa.

Satunnaishyökkäyksissä haittaohjelma voidaan laittaa esimerkiksi lähettämään roskapostia tai louhimaan virtuaalivaluuttaa. Koska järjestelmät tehot kuluvat vaikkapa roskapostin lähettämiseen, voi tuotantoprosessi pahimmillaan jumiutua. Hartikainen painottaa, että kiristämiseltä ja satunnaishyökkäyksiltä suojautuminen auttaa suojautumaan samalla myös vakavammilta uhilta.

Mitään selkeää jakoa siitä, millaisissa yrityksissä tietoturva on parhaimmassa jamassa, ei voida Hartikaisen mukaan tehdä. Tietoturvan taso nimittäin vaihtelee rajusti eri yritysten välillä.

"Isoilla firmoilla on ehkä enemmän mahdollisuutta taloudellisesti panostaa, mutta helpostihan heillä on myös monimutkaisemmat ympäristöt eli siinä mielessä pienellä firmalla voi olla paljon selkeämpi ja hallittavampi kokonaisuus", hän sanoo.

Jotta ikäviltä yllätyksiltä vältytään, olisi varautumispäällikön mukaan tärkeää huomioida se, että elintarvikeala on melko vahvasti riippuvainen muista yhteiskunnan aloista, kuten vaikkapa vedenjakelusta. Toisin sanoen vedenjakelun keskeytys voi aiheuttaa vakavia seuraamuksia elintarvikeyrityksille.

"Toisaalta elintarvikealan monipuolisuus ja pirstaleisuus jokseenkin varmistaa sitä, että koko alaa on hankalaa saada kerralla pysähdyksiin", Hartikainen lisää.

Käytännön tasolla uhkiin varautumisessa auttaa se, että saman alan yritykset hakevat toisiltaan oppeja tietoturvahaasteiden ratkaisemiseen. Oppeja voi hakea esimerkiksi Huoltovarmuusorganisaation eri alojen pooleista sekä Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen toimialakohtaisista ISAC-yhteistyöverkostoista. Lisäksi oppeja voi toki hakea myös muilta samantyyppisiltä toimialoilta.

"Muilla aloilla, joissa on prosessiteollisuutta ja tuotantolaitoksia, voi ollakin jo ihan toimivia menetelmiä", varautumispäällikkö vinkkaa.

Lue lisää:

Poliisiylijohtaja Seppo Kolehmainen Vastaamo-tapauksesta: "Erityisen alhaista ja tuomittavaa"

Vuotaneilla henkilötiedoilla voi tehtailla tilauspetoksia ja ottaa luottoa uhrin nimiin – kaikki pikavippiyrityksetkään eivät Finanssialan mukaan välttämättä noudata lakia

Sitran Jyrki Katainen Vastaamon potilastietomurrosta: "Kriisi alleviivaa reilun datatalouden tarpeen Suomessa"

Lue lisää

Suomi ottaa Pohjoismaiden ministerineuvoston johtoonsa täksi vuodeksi – ohjelmassa huoltovarmuuden parantaminen, ilmastonmuutos ja Ahvenanmaan juhlavuosi

Tietoturva-asiantuntija: Iso osa tietomurroista on rikollisryhmien tekemiä – "Tietoturvan pitää olla ihan yhtä tärkeä asia kuin fyysisen turvallisuuden"

Ruuan tuottaja ansaitsee arvostuksen ja kiitoksen

Hoskonen pauhaa: Turpeen loppuminen hirvittävä huoltovarmuusriski – tuontihake levittää tauteja, kuitupuuta ajetaan surutta polttoon