Puolustuksen ja turvallisuuden toimintaympäristö on viime vuosina muuttunut perustavanlaatuisesti. Fyysisen suorituskyvyn rinnalle on rakentunut digitaalinen kerros, joka ohjaa, yhdistää ja mahdollistaa yhä suuremman osan operatiivisesta toiminnasta. Nyky-yhteiskunnassa sekä perinteinen huoltovarmuus että laajemmin digitaalinen huoltovarmuus nojaavat siis merkittävässä määrin digitaalisiin ratkaisuihin.
Tietotekniikan (IT) ja operatiivisen teknologian (OT) yhteenliittymä luo paljon hyötyjä: sensorit, tilannekuvajärjestelmät, johtamisratkaisut ja verkottuneet alustat muodostavat kokonaisuuden, jossa tiedon keruu, monitorointi ja teollisten prosessien automatisointi mahdollistuvat. Samalla se kuitenkin avaa uudenlaisia kyberuhkia OT-ympäristöihin.
Digitaalisten ratkaisujen rooli ei rajoitu enää pelkkään tukitoimintaan. Ne ovat kiinteä osa suorituskykyä ja monessa tapauksessa myös sen kriittisin mahdollistaja. Kun järjestelmät kytkeytyvät organisaatio- ja toimijarajojen yli osaksi laajempia ekosysteemejä, korostuu tarve ymmärtää, miten nämä kokonaisuudet toimivat, miten niitä johdetaan ja miten niiden jatkuvuus varmistetaan sekä normaali- että poikkeusoloissa.
Tässä kokonaisuudessa huomio kääntyy väistämättä järjestelmiin, jotka yhdistävät digitaalisen ohjauksen suoraan fyysiseen toimintaympäristöön. Juuri näissä OT-ympäristöissä kyberturvallisuus, toimintakyky ja ihmisten turvallisuus kytkeytyvät toisiinsa kaikkein konkreettisimmalla tavalla.
IT- ja OT-kyberturvallisuus pähkinänkuoressa
IT-ympäristöjen kyberturvallisuus painottuu tyypillisesti tiedon luottamuksellisuuden, eheyden ja saatavuuden varmistamiseen. OT-ympäristöissä painopiste on näiden lisäksi fyysisessä turvallisuudessa ja toimintavarmuudessa: järjestelmien tulee ohjata fyysisiä prosesseja oikein, ennakoitavasti ja turvallisesti myös häiriötilanteissa. Tämän vuoksi OT-kyberturvallisuus kytkeytyy kiinteästi riskienhallintaan, elinkaaren hallintaan sekä operatiivisen toiminnan jatkuvuuden turvaamiseen.
Turvallisuus ja varautuminen rakennetaan jo suunnitteluvaiheessa
Yksi keskeinen havainto OT-ympäristöissä on se, että ratkaisevat päätökset tehdään usein paljon ennen käyttöönottoa. Arkkitehtuuri, integraatiot, teknologiat ja verkkoyhteydet määrittelevät pitkälti sen, kuinka hallittava ja turvallinen kokonaisuus on vuosien päästä. Kyse ei siis ole vain suojaamisesta, vaan siitä, miten rakennetaan ympäristöjä, jotka kestävät muutosta ja ottavat huomioon myös kriisi- ja poikkeusolojen vaatimukset.
Todellisuus on usein kuitenkin monimutkaisempi: järjestelmät ovat jo käytössä, ne on rakennettu eri aikoina erilaisiin tarpeisiin ja niiden päälle kehitetään jatkuvasti uutta. Tämän vuoksi turvallisuuden ja varautumisen kehittäminen edellyttää selkeää etenemissuunnitelmaa, priorisointia sekä kykyä toteuttaa parannuksia hallitusti tuotannon ja operatiivisen toiminnan ehdoilla.
Haaste 1: Kokonaiskuvan ja strategisen suunnan puute
Ensimmäinen askel kriittisten järjestelmien suojaamisessa on käytännössä ymmärryksen rakentaminen ja tilannekuvan muodostaminen. Monessa ympäristössä kokonaiskuva ei ole täysin läpinäkyvä: laitteita, teknologioita, yhteyksiä ja integraatioita on kertynyt vuosien varrella, eikä niiden keskinäisiä riippuvuuksia ole aina dokumentoitu kattavasti. Organisaation on lisättävä ymmärrystä toimintaympäristöstään, eli siitä, mitä sen ympäristössä tapahtuu, millaisia laitteita ja yhteyksiä on käytössä, miten data liikkuu ja mikä on normaalia toimintaa.
Haaste 2: Operatiivisen toiminnan keskeytyminen
Kun ymmärrys kasvaa, seuraava haaste liittyy muutosten tekemiseen ilman että operatiivinen toiminta häiriintyy. OT-ympäristöissä järjestelmät ovat usein kriittisiä ja jatkuvassa käytössä, eikä niitä voida pysäyttää tai päivittää samalla tavalla kuin IT-ympäristöjä. Tämä tarkoittaa, että kyberturvallisuutta rakennetaan vaiheittain. Tällöin esimerkiksi verkkojen segmentointia lisätään hallitusti, pääsynhallintaa tarkennetaan ja valvontaa laajennetaan sinne, missä sillä on suurin vaikutus. Jokainen muutos vaatii suunnittelua, testausta ja usein myös käytännön kompromisseja.
Haaste 3: IT- ja OT-ympäristöjen yhteensovittaminen
Teknisten ratkaisujen lisäksi merkittävä haaste liittyy toimintamalleihin ja vastuisiin. IT- ja OT-maailmat ovat perinteisesti toimineet erillään, ja niiden tavoitteet ovat osin erilaiset. Kun kyberresilienssiä kehitetään, nämä rajapinnat nousevat keskiöön. Tarvitaan yhteinen kieli, selkeät roolit ja ymmärrys siitä, kuka vastaa mistäkin – erityisesti tilanteissa, joissa tapahtuu poikkeamia.
Samalla pääsynhallinta ja valvonta nousevat keskeiseen rooliin. Kaikki käyttö ei ole samanarvoista, eikä kaiken liikenteen tarvitse olla sallittua. Kun oikeudet ja näkyvyys ovat hallinnassa, myös poikkeamiin voidaan reagoida nopeasti ja hallitusti.
Viitekehykset tukevat, mutta eivät määritä ajattelua
Kriittisten järjestelmien kyberturvallisuudesta puhutaan usein vaatimusten, standardien ja velvoitteiden kautta. Se on ymmärrettävää – regulaatio on kiristynyt ja toimintaympäristö muuttunut. Erilaiset standardit ja viitekehykset, kuten NIST, IEC 62443, ISO 27001 ja KATAKRI, tarjoavat hyvän perustan OT-kyberturvallisuuden kehittämiselle. Ne auttavat jäsentämään tekemistä ja varmistamaan, että keskeiset osa-alueet tulevat huomioiduiksi. Edelläkävijäorganisaatioille ne ovat kuitenkin lähtökohta, eivät päätepiste.
Turvallisuuskeskustelusta jää helposti puuttumaan yksi olennainen näkökulma: mitä jos kyberturvallisuutta ei tehtäisikään vain välttävällä tasolla tai siksi, että on pakko – vaan siksi, että halutaan tehdä asiat paremmin?
Puolustuksen ja turvallisuuden toiminnassa tämä ajattelutavan muutos on erityisen kiinnostava. Tällöin huomio siirtyy pelkästä riskien hallinnasta kokonaisvaltaiseen toimintakyvyn ja loppupeleissä myös huoltovarmuuden vahvistamiseen. Kun OT-kyberturvallisuus nähdään pakotteiden sijaan aktiivisena valintana ja kilpailuetua luovana toimintona, se alkaa ohjata myös sitä, miten järjestelmiä suunnitellaan, rakennetaan ja käytetään.
Niille toimijoille, joiden vastuulla on yhteiskunnan kriittinen toimintakyky, kyse on lopulta luottamuksesta. Luottamuksesta siihen, että järjestelmät toimivat, päätökset perustuvat oikeaan tietoon ja toiminta jatkuu myös silloin, kun toimintakenttä muuttuu.
Rakenna turvallisia ja kriisinkestäviä digitaalisia ratkaisuja
OT-ympäristöt (Operational Technology) tarkoittavat järjestelmiä, jotka ohjaavat ja valvovat fyysisiä prosesseja, kuten tuotantolaitteita, energiaverkkoja, logistiikkaa tai muita kriittisiä toimintoja, joissa digitaalinen ohjaus vaikuttaa suoraan fyysiseen maailmaan. Näiden ytimessä toimivat usein ICS-järjestelmät (Industrial Control Systems), kuten SCADA- ja DCS-ratkaisut, jotka keräävät dataa, ohjaavat prosesseja ja mahdollistavat operatiivisen toiminnan jatkuvuuden. Puolustuksen ja turvallisuuden kontekstissa OT-kyberturvallisuus tarkoittaa järjestelmien turvallisen toiminnan varmistamista ja IT/OT-konvergenssista avautuvien hyökkäyspintojen ja haavoittuvuuksien suojaamista: sitä, että ohjaus toimii oikein, prosessit pysyvät hallinnassa ja toiminta jatkuu ennakoitavasti myös muuttuvissa tilanteissa – sekä että ihmisten turvallisuus ei vaarannu häiriöiden seurauksena.
