Kyberturvallisuus – energia- ja vesihuollon näkymätön taustavaikuttaja
Energia- ja vesihuollon toimitusvarmuuden ylläpitäminen asiakkaille on vuorokauden ympäri tehtävää työtä, mutta ennen kaikkea suunnitelmallista riskien hallintaa. Kun toimitusvarmuudesta huolehtiminen oli organisaatioissa aiemmin pitkälti perinteisestä tuotanto- ja jakeluinfran toimintakyvykkyydestä huolehtimista, on kyberturvan systemaattinen hallinta noussut teknisestä vaatimuksesta yhdeksi organisaatioiden liiketoiminnallisesti kriittiseksi kyvykkyydeksi niiden rinnalle.
Kyberturvallinen digitalisaatio ketterän liiketoiminnan mahdollistajana
Yrityksiin kertyy päivä päivältä entistä enemmän dataan ja sen ympärille kehittyvää digitaalista omaisuutta. Yhteiskunnan alati kiihtyvä digitalisaatio luo ennen kaikkea uusia mahdollisuuksia organisaatioiden ansaintakeinoille, mutta samalla kasvattaa riskejä luoden uusia väyliä kyberuhkille. Energia- ja vesihuolto on entistä vahvemmin sidoksissa dataan, sen hallintaan tarkoitettuihin teknologisiin ratkaisuihin sekä niihin liittyviin palvelu- ja alihankintaketjuihin ja niissä vaikuttaviin ihmisiin. Kaikki edellä mainitut muodostavat myös lukemattoman määrän keskinäisiä riippuvuuksia, jotka pitää pystyä hallitsemaan kyberriskien kannalta. Kyberuhkien todennäköisyyttä lisää entisestään tässä ajan hetkessä vallalla olevat eri toimijoiden vahvat ja epävakaat geopoliittiset intressit.
Jonkin uhan konkretisoiduttua häiriöiden vaikutukset ovat pahimmillaan laajoja ja välittömiä ihmisten arjessa. Energia- ja vesihuollon katkot voivat myös muodostua yhteiskunnan toimintakykyä vähintään paikallisesti uhkaaviksi kriiseiksi, mikäli tilanteita ei pystytä hallitsemaan ja niistä palautumaan sujuvasti.
Nykyregulaatio ohjaa ja kannustaa myös osaltansa pitämään entistä parempaa huolta kyberturvasta. CER (Critical Entities Resilience Directive) ja NIS2 (Network and Information Security Directive 2) edellyttävät kattavaa riskienhallintaa sekä häiriönsietokykyä eli jatkuvuuden hallintaa kyberhäiriötilanteissa ja toisaalta palautumista kyberhäiriötilanteesta.
Kyberturvallisuus ei ole liiketoiminnallisten tavoitteiden ulkopuolella
Kyberturvallisuuden hallintamalli sen eri ulottuvuuksiltaan on keskeinen osa arjen organisaatiokulttuuria, ei sen ulkopuolella vaikuttava tekijä. Hallintamalli lähtee myös ennen kaikkea kunkin yrityksen liiketoiminnallisista tavoitteista ja on sidoksissa niihin.
Hallintamalli muodostaa kunkin organisaation luonnollisen kehyksen, jonka avulla suunnitellaan, ohjataan ja toteutetaan organisaation kyberturvaan liittyvät teknologiset ratkaisut, prosessit ja ihmisten arjen käytännöt. Hallintamalli luo siis perustan ketterälle kyberturvallisuuden ylläpidolle ja siten mahdollistaa digitalisaatiosta ulosmitattavat liiketoimintahyödyt.
Kyberturvassa korostuu riskit ja niiden hallinta päivittäisessä arjessa. Riskit tunnistetaan ja arvioidaan liiketoimintaprosessien kautta. Näiden kautta muodostetaan hallintakeinot, jotka ovat lukemattomien eri toimenpiteiden kautta osa jokapäiväistä tekemistä ja siihen liittyvää osaamista. Kyberturvassa korostuu monesti teknologiset ratkaisut, mutta ne ovat vain osa kokonaisratkaisua ihmisten arjessa tekemien valintojen rinnalla. Teknologian tukena tarvitaan systemaattista suunnittelua, toteutettuja toimenpiteitä sekä niiden jatkuvaa arviointia kyberturvallisuuden tunnuslukujen kautta.
Jotta kyberturvan hallintamallin ylläpito olisi arjessa sujuvaa, sen tueksi on saatavilla regulaation tarjoamia viitekehyksiä, kuten NIS2- ja CER-direktiivit sekä ISO 27001 -standardi. ISO 27001 tarjoaa selkeän rakenteen, joka auttaa organisaatioita kehittämään toimintaansa systemaattisesti kohti kyberturvallisuudelle asetettuja tavoitteita. Systemaattinen ennalta hoidettu kyberturva tulee lähtökohtaisesti edullisemmaksi kuin viime hetken korjausliikkeet vahingon tapahtuessa.
Tavoitteita kohti yhdessä sidosryhmien kanssa
Keskeinen keino mitata kyberturvallisuuden tasoa on harjoitella säännöllisesti ja kattavasti paitsi oman organisaation sisällä, mutta myös yli organisaatiorajojen yhdessä energia- ja vesihuollon toimitusvarmuuden kannalta kriittisimpien sidosryhmien kanssa.
Alihankinta- ja palvelutuottajaverkostolle tulee asettaa vähintään samat vaatimukset kyberturvalle kuin organisaatio on itselleen asettanut. Pelkkä vaatiminen ei myöskään riitä, vaan alihankinta- ja palvelutuottajaverkoston onnistumista tulee myös mitata ja seurata kyberturvan osalta. Tätä myös tukee regulaation kehitys, joka asettaa energia- ja vesihuollon parissa toimiville alihankkijoille ja palveluntuottajille entistä enemmän myös kyberturvaan liittyviä vaatimuksia.
Nykymuotoinen kyberturvallisuuden yhteiskunnallinen merkitys on vielä suhteellisen nuori. Vielä nuorempi on nykymuotoinen voimakkaasti kehittyvä dataperusteinen teknologia uusine liiketoiminnallisine mahdollisuuksineen. Edellä mainitut tekijät luovat paitsi kiirettä asettavat myös haasteen onnistuneelle kestävälle regulaatiolle siten, että se palvelisi laaja-alaisesti yhteiskunnallisia tavoitteita. Lähivuosina monien organisaatioiden arkeen on ilmestynyt ja ilmestymässä useita uusia lyhenteitä, kuten NIS2, CER, CSOA, DORA, RED, CRA, AIA ja DA. Paitsi arjen kyberturva myös jo lainsäädännön onnistunut valmistelu edellyttää entistä tiiviimpää ja laaja-alaisempaa yhteistyötä yhteiskunnan eri toimijoiden välillä kyberturvallisen ja kilpailukykyisen Suomen mahdollistamiseksi.
Sami Pesonen
Asiakkuusjohtaja
Lappeenrannan energia