Satamien ja terminaalien kyberturvallisuus: Se ei ole tuote jonka voi ostaa

Yhä monimutkaisemmassa toimialassa, jossa digitalisaatio ja automaatio ovat kiinteä osa toimintaa ja liiketoimintaprosesseja, kyberturvallisuus on tullut entistä tärkeämmäksi. Satamat ja terminaalit ovat tiiviisti toisiinsa kytkeytyneiden globaalien logistiikkaketjujen keskeisiä lenkkejä, mutta ne ovat myös kriittistä infrastruktuuria, joka houkuttelee monenlaisia potentiaalisia uhkia, kuten kiristysohjelmia, järjestäytynyttä rikollisuutta ja valtioiden hybridejä hyökkäyksiä.

”Voidaan sanoa, että Kalmarin asiakkaat ovat yleensä erittäin kiinnostavia monenlaisten pahantahtoisten toimijoiden kannalta”, sanoo Kalmarin tietoturvajohtaja Jouni Auer. Satamien ja terminaalien toiminnassa aika on lähes aina kriittinen tekijä, joten häiriöistä aiheutuvat potentiaaliset tappiot ovat merkittäviä. Tämän seurauksena tämän alan yritykset kohtaavat myös poikkeuksellisen monenlaisia uhkia.

Voidaan turvallisesti sanoa, että Kalmarin asiakkaat ovat yleensä erittäin kiinnostavia monenlaisille pahantahtoisille toimijoille.

Liikkuva kohde

Kyberturvallisuuden olennainen piirre on, että uudet uhat kehittyvät jatkuvasti joko uusien ratkaisujen ja teknologioiden käyttöönoton tai olemassa olevissa järjestelmissä havaittujen haavoittuvuuksien kautta. ”Kyberturvallisuuden ammattilaisten keskuudessa yleinen sanonta on ‘jos se on älykäs, se on haavoittuva’”, Auer sanoo. ”Kaikissa älykkäillä ominaisuuksilla tai liitettävyydellä varustetuissa järjestelmissä on väistämättä jonkinlaisia haavoittuvuuksia ja vaikka ne olisivatkin turvallisia tänään, tilanne voi olla hyvin erilainen vuoden kuluttua. Tämä tarkoittaa, että kaikkia älykkäitä järjestelmiä on määritelmän mukaan huollettava ja päivitettävä tarvittaessa.”

Kyberturvallisuuden ammattilaisten keskuudessa yleinen sanonta on: ”Jos se on älykäs, se on haavoittuva

Tahattomat takaportit

Monet Internetiin liitetyt kuluttajalaitteet, kuten verkkokamerat ja reitittimet, ovat tunnettuja heikoista tietoturvatoiminnoistaan. Niissä on haavoittuvuuksia, kuten avoimet ohjauspaneelit ja kiinteästi koodatut järjestelmänvalvojan salasanat, jotka mahdollistavat hyökkääjien helpon pääsyn laitteisiin. Samat haavoittuvuudet muuttuvat entistä kriittisemmiksi, kun tällaisia laitteita lisätään teollisiin verkkoihin joko vahingossa tai tahallaan.

”Kyberturvallisuuden suunnittelun perusperiaate on, että turvallisuusvalvonnan on estettävä ihmisiä tekemästä sitä mitä heidän ei pitäisi tehdä, olipa kyseessä sitten vahinko tai tahallinen teko”, sanoo Henri Kettunen, Kalmarin kyberturvallisuusjohtaja. ”Jos verkossasi on internetiin kytketty ja suojaamaton laite, voit olla varma että ennemmin tai myöhemmin joku löytää sen ja käyttää sitä hyväkseen. Päivittämättömät ja joskus jopa luvattomat laitteet voivat vaarantaa verkot, joiden pitäisi olla täysin suojattuja.”

Kyberturvallisuuden suunnittelun perusperiaate on, että turvallisuusvalvonnan on estettävä ihmisiä tekemästä sitä mitä heidän ei pitäisi tehdä, olipa kyseessä sitten vahinko tai tahallinen teko.

Kokonaisuus ja osat

Kyberturvallisuuden hallinnan monimutkaisuutta lisää se, että yksittäiset koneet ja laitteet sisältävät lukuisia komponentteja ja alijärjestelmiä, joiden ohjelmistoissa tai laiteohjelmistoissa voi olla erillisiä haavoittuvuuksia.

”Vaikka oma ohjelmistomme olisi 100-prosenttisen turvallinen, kolmannen osapuolen laitteistokomponentissa voi silti olla ongelma joka vaatii päivitystä”, toteaa Timo Alho, Kalmarin tuotehallinta- ja liiketoiminnan kehitysjohtaja. ”Valmistajien on oltava valmiita varmistamaan ja ylläpitämään tuotteidensa turvallisuutta koko tuotteen odotetun käyttöiän ajan ja samalla pidettävä asiakkaansa ajan tasalla uusista haavoittuvuuksista, jotka voivat vaikuttaa heidän järjestelmiinsä. Tämä ei ole helppo tehtävä, mutta se on vastuu jonka me järjestelmätoimittajina on otettava kantaaksemme, jotta voimme taata asiakkaidemme turvallisuuden nyt ja tulevaisuudessa.”

Alho huomauttaa että kyberturvallisuuden alalla on luontainen paradoksi. ”Yhtäältä turvallisuutta ei voi ostaa tuotteena tai palveluna ja olla sitten valmis. Toisaalta on kuitenkin erittäin tärkeää että kaikissa järjestelmissä on jonkinlainen palvelu, joka tarjoaa turvallisuuspäivityksiä ja korjaustiedostoja. Itse asiassa jos joku yrittää myydä sinulle ratkaisua, jossa ei ole minkäänlaista palvelu- tai turvallisuuspäivityskomponenttia, sinun pitäisi ehdottomasti olla varuillasi.”

Toisaalta turvallisuus ei ole jotain, jonka voi ostaa tuotteena tai palveluna ja olla sitten valmis.

Sarjan toisessa osassa tarkastelemme kyberturvallisuusstandardien ja -sertifioinnin etuja. Miksi standardit ovat tärkeitä ja miten ne voivat paitsi auttaa varmistamaan järjestelmien ja prosessien turvallisuuden myös tehostaa viestintää toimittajien ja asiakkaiden välillä?