Kyberturvallisuusuhat ovat lisääntyneet voimakkaasti ja kohdistuvat enenevissä määrin myös energiateollisuuteen. Energia-alaan liittyvät riskit uhkaisivat toteutuessaan alan perustoimintoja, kuten energian tuotantoa, siirtoa ja jakelua ja edelleen koko yhteiskunnan toimintaa. VTT, Kyberturvallisuuskeskus, Huoltovarmuuskeskus ja energia-alan avaintoimijat määrittelivät yhteiset toimintatavat uhkien rajoittamiseksi ja kyberturvallisuuden parantamiseksi.
Energia-alan kyberturvallisuusriskit liittyvät muun muassa tietojen kalasteluun, teollisuusvakoiluun, palvelunestohyökkäyksiin ja liiketoimintaa estäviin kiristyshaittaohjelmistoihin. Myös järjestelmien ja laitteiden etäohjaus sekä heikosti suojatut järjestelmät ja IoT tuovat mukanaan riskejä. Vakavimmillaan kyberuhka voi tarkoittaa soluttautumista koko Suomen kriittiseen infrastruktuuriin.
VTT, Kyberturvallisuuskeskus, Huoltovarmuuskeskus ja energia-alan yritykset aloittivat vuonna 2017 yhteistyön kyberturvallisuuden parantamiseksi. Aluksi tavoitteena oli jakaa edelläkävijäyritysten osaamista alan toimijoiden kesken. Myöhemmin yhteistyö on painottunut keskeisimpien kehityskohteiden parantamiseen sekä kyberturvallisuustyön käynnistämiseen ja harjoitteluun yrityksissä.
Kansallisen infrastruktuurin häiriönsietokyky edellyttää, että energiayritykset omaksuvat kyberturvallisen toimintatavan osaksi päivittäistä työtään. Tämä tarkoittaa muun muassa kyberturvatietoisuuden lisäämistä, kehitystarpeiden tunnistamista, tietoturvan aktiivista seurantaa sekä kyberturvallisuuden painottamista kumppaneiden tai IoT-ympäristön valinnoissa.
– Myös kehittyneiden hyökkäysten onnistuminen heikentyy huomattavasti, jos kaikki yrityksen työntekijät ja kumppanit osaavat toimia tietoturvallisella tavalla. Tietoisuuden kehittämistä ja levittämistä on jatkettava, kunnes kaikki energia-alalla toimivat yritykset ymmärtävät kyberturvallisuuden merkityksen liiketoiminnalleen, sanoo johtava tutkija Pasi Ahonen VTT:ltä.
Energiasektorin kyberturvallisuus edellyttää myös verkostoitumista alan toimijoiden kesken.
– Hyvää kyberturvallisuuden vertaisverkostoa ei voi korvata millään. Sen kautta saa tietoa esimerkiksi akuuteista uhista ja niiden ratkaisuista. Kannustamme yrityksiä jakamaan kokemuksiaan ja parhaita käytäntöjään sekä järjestämään kyberharjoituksia, erityisesti oman kumppaniverkostonsa kanssa. Harjoitukset auttavat mm. tunnistamaan puutteita riskeihin varautumisessa tai tilannekuvan hahmottamisessa ja yritysten välisessä viestinnässä.
Kyberturvallisuusyhteistyö toteutettiin fokusoituina projekteina energia-alan avaintoimijoille. Kooste yhteistyön tuloksista on saatavilla verkossa: https://www.vtt.fi/inf/pdf/technology/2019/T353.pdf