Energiajärjestelmät ja vihreä sähköntuotanto ovat yhteiskunnalle kriittisiä toimintoja, joihin kohdistuu uusia, merkittäviä kyberuhkia. VTT oli vahvasti mukana pohjoismaisessa NATO-harjoituksessa, jossa sähköntuotantoon liittyvät yritykset etsivät yhdessä keinoja suojautua mahdollisilta uhkatilanteilta.
Energiantuotannolla on ratkaiseva rooli yhteiskuntien toiminnassa, ja energiajärjestelmä on siksi keskeinen kohde hybridisodankäynnissä. Uusiutuvan energian tuotanto on erityisen altis hyökkäyksille, ja sen kyberturvallisuuteen liittyy kasvavia haasteita. Samalla alan sääntely lisääntyy Euroopassa, ja edellyttää kriittisen infrastruktuurin toimijoilta huolellista varautumista uhkiin.
Suomessa ja Ruotsissa järjestettiin syyskuussa yhteinen NATOn Nordic Pine 2023 -harjoitus, joka keskittyi vihreän energiantuotannon kyberturvallisuuteen. Kriittisiä palveluita tuottavat yritykset tuotiin yhteen harjoittelemaan kyberuhkiin ja vihamieliseen informaatiovaikuttamiseen liittyviä tilanteita. NATOn näkökulmasta tavoitteena oli myös löytää yhteisiä, maiden rajat ylittäviä kehittämiskohteita.
– Harjoituksen fokuksessa oli vihreän energian tuotanto, ja esimerkkitapauksemme koski tuulivoimaa. Osallistujat turvasivat kuvitteellista toimintaympäristöä, johon kohdistui kiihtyvällä tahdilla erilaisia uhkia, hyökkäyksiä ja vihamielisen toimijan tekoja, kuvailee VTT:n kyberturvallisuudesta vastaava kehitysjohtaja Petri Puhakainen.
Realistiset skenaariot ohjasivat etsimään ratkaisuja
Harjoitukseen osallistui 29 eri kokoista sähköenergian tuotantoon liittyvää yritystä ja organisaatiota Suomesta ja Ruotsista. Mukana oli muun muassa yritysten turvallisuushenkilöstöä, voimalaitospäälliköitä ja kyberturvallisuusjohtoa. Osalle yrityksistä kyberturvallisuusuhkiin varautuminen on jo jokapäiväistä toimintaa, kun taas toisille harjoitus oli hyvin silmiä avaava.
Harjoitusryhmät miettivät yhdessä, mitä kuvitteelliseen ympäristöön kohdistuvat uhat tarkoittavat ja kuinka niihin on reagoitava. Skenaariot olivat realistisia, mutta eivät rajanneet liikaa osallistujien ajattelua.
– Kun ihmiset miettivät ratkaisua johonkin ongelmaan saman pöydän ääressä, siitä yleensä opitaan jotain. Tämä harjoitus lisäsi osallistujien ymmärrystä riskeistä ja mahdollisista hyökkäystilanteista sekä siitä, kuinka niissä pitää toimia. Esimerkiksi viestintä, tilannekuvan muodostaminen ja viranomaistiedottaminen herättivät paljon keskustelua, Puhakainen sanoo.
Harjoituksessa yritykset jakoivat keskenään tietoa parhaista käytännöistä sekä tunnistivat kehittämiskohteita omissa toimintatavoissaan. Samalla syntyi näkemyksiä esimerkiksi siitä, millaista kyberturvallisuusosaamista tulevaisuudessa tarvitaan ja kuinka se pitää organisoida.
”Kyberturvallisuusharjoitukset ovat olennainen osa yritysten kyberturvallisuuden riskienhallintaa. Ne auttavat yrityksiä tunnistamaan kyberuhkia, ehkäisemään niitä ja reagoimaan niihin, mikä on ratkaisevan tärkeää liiketoiminnan jatkuvuuden varmistamiseksi ja asiakkaiden luottamuksen ylläpitämiseksi. Fortumin kannalta kyberharjoitukset edistävät aina yhteistyötä muiden energia-alan yritysten ja viranomaisten kanssa. Yhteiset harjoitukset ja kokemusten jakaminen auttavat luomaan laajempaa tietoturvaekosysteemiä ja parantamaan koko energia-alan kyberpuolustusta”, sanoo Fortumin kyberturvallisuuspäällikkö Jarmo Huhta.
VTT:llä vahva rooli – toimialan ja kyberturvallisuuden osaaminen tarpeen
VTT suunnitteli kaksipäiväisen harjoituksen ensimmäisen päivän tilanteen ja siihen liittyvät tapahtumat, kun taas toisen päivän harjoituksen suunnitteli ruotsalainen tutkimusinstituutti RISE. VTT fasilitoi molemmat harjoitukset Suomessa, hankki niihin osallistujia sekä arvioi harjoituksia NATOn suuntaan.
– Suunnittelutyössä pääsimme hyödyntämään ymmärrystä toimialan haasteista ja vahvaa osaamista kyberturvallisuudesta. On tiedettävä, mitä kyberuhat merkitsevät tuulienergian tuotannossa sekä millaisia toimialakohtaisia haasteita on olemassa. Lisäksi on ymmärrettävä, kuinka mahdollinen hyökkääjä tarkastelee maailmaa ja millaisia vastatoimia tarvitaan, Puhakainen kertoo.
VTT:llä on vahva tausta kyberturvahaasteiden ratkaisemisessa useilla eri aloilla, kuten energiateollisuudessa, tiedustelussa, maanpuolustuksessa ja tietoliikenteessä. VTT:n monitieteellisen tutkimustiimin ratkaisuja on sovellettu niin kuluttajatuotteiden turvallisuuden varmistamiseen kuin kriittisen infrastruktuurin suojaamiseen sekä haastaviin käyttötarpeisiin. Lisäksi VTT auttaa asiakkaitaan ja kumppaneitaan löytämään uusia kaupallisia mahdollisuuksia kyberturva-alalta.