”Direktiivi ei tuo varsinaisesti sellaista uutta, mikä ei jo kuuluisi parhaisiin tietoturvakäytäntöihin, mutta direktiivin myötä nämä parhaat käytännöt muuttuvat pakollisiksi ja niiden huomioimatta jättäminen sanktioiduiksi. Monet kriittisten toimialojen toimijat ovatkin jo ryhtyneet parantamaan käytänteitään niin koko toiminnan kuin järjestelmien osalta”, myyntipäällikkö Antti Kostiainen Hitachi Energystä sanoo.
Toimenpiteet riskiarvion mukaan
NIS2-direktiivin mukaisesti tietoturvallisuuden parantaminen lähtee hallinnasta ja riskien arvioinnista. Se ohjaa organisaatioita määrittämään mikä on tietoturvaloukkauksen riski ja sen vaikutus liiketoimintaan. Sähkönjakeluverkossa järjestelmiä sekä digitaalisia laitteita on monella eri tasolla. Esimerkiksi ohjausjärjestelmän vaikutus on suurempi kuin yksittäisen laitteen suljetussa sähköasemaympäristössä.
”Toisaalta prosessien ohjaus- ja automaatiojärjestelmät on perinteisesti koettu omiksi saarekkeikseen, jotka toimivat irrallaan muusta IT-verkosta. Nykypäivänä ne eivät kuitenkaan pääsääntöisesti enää toimi niin, vaan niidenkin ohjauksessa, valvonnassa ja päivityksessä syntyy siltoja muihin it-palveluihin ja -verkkoihin. Näin niidenkin hyökkäysrajapinta kasvaa jatkuvasti”, hän muistuttaa.
Jokaiselle järjestelmän osakokonaisuudelle on arvioitava riskit ja suunniteltava tarvittavat toimenpiteet tietoturvan parantamiselle ja ylläpidolle. Keskeisintä on toiminnan jatkuvuuden turvaaminen, minkä vuoksi direktiivi ohjaakin laatimaan toiminnan jatkuvuussuunnitelman, johon kuuluvat esimerkiksi varmistus- ja palautussuunnitelmat sekä tarvittavien tukipalveluiden saatavuus keskeisiltä toimittajilta.
”Jatkuvuussuunnitelmat kattavat tekniset varmuuskopioratkaisut sekä sen, mistä löytyvät ohjeet niin varmistukseen kuin palautukseen. On tärkeää huolehtia myös kriittisten järjestelmien tukipalveluiden riittävästä laajuudesta, jotta ne vastaavat tietoturvavaatimuksia.”
Hitachi Energyllä tukipalvelusopimuksessa määritellään muun muassa järjestelmätuen vasteajat. Kriittiset järjestelmät vaativat 24/7-tukipalveluja, jotta niiden toiminta varmistetaan välittömästi.
”Sopimustekniset seikat on hyvä tarkistaa siinä vaiheessa, kun jatkuvuussuunnitelmia tehdään. Kannustan myös harjoittelemaan järjestelmän palautusta yhdessä toimittajien kanssa.”
Mitä vanhempi laitekanta, sitä vaikeampaa haavoittuvuuksien seuranta
Tietoturvariskien hallinnassa oleellisena osana on ajantasainen käsitys laite- ja ohjelmistokannasta. Käytössä olevat ohjelmisto- ja laiteversiot on tunnettava, jotta pystytään seuraamaan haavoittuvuuksia ja tekemään vaikuttavuusanalyysit.
”On hyvä muistaa, että haavoittuvuuksien seuranta koskee kaikkia digitaalisia tuotteita. Esimerkiksi sähköasemilla laitekannan odotettu elinikä voi olla 15–20 vuotta ja jopa enemmän.”
On ensiarvoisen tärkeää kerätä ja ylläpitää täydellistä luetteloa laitteista ja tuotteista, joita käytetään OT-ympäristössä. Tietojen saatavuus on keskeistä OT-ympäristön kyberturvallisuusriskien hallinnassa.
Haastavuutta lisää se, että laitetietoihin ei pääse käsiksi verkon kautta, vaan kartoitus on tehtävä sähköasemalla.
”Meillä on vuosikymmenien osaaminen kyberturvan hallinnasta ja palvelupaketti päivitysten tason ja laitteiden sekä ohjelmistojen versioiden haavoittuvuuksien hallintaan. Tämä helpottaa merkittävästi asiakkaidemme elämää, kun järjestelmien hallinta ja varmuuskopioiden ja versiopäivitysten tekeminen on säännöllistä ja systemaattista”, Kostiainen korostaa.
