Kyberisku, joka pimensi Ukrainan vuoden 2015 lopussa, nosti energiasektorin kyberturvallisuuden kertaheitolla valokeilaan. Tietoverkkohyökkäykset ovat olleet osa arkipäivää jo pitkään, mutta uutta on hakkereiden entistä järjestelmällisempi ja ammattimaisempi toimintatapa.
Energiayhtiöiden järjestelmien älykkyyden ja integraatioasteen kasvaessa niistä tulee myös entistä houkuttelevampia kyberhyökkäyksen kohteita. Tietoverkon ja -järjestelmien turvallisuuden pettäminen ei uhkaa ainoastaan yritysten tulovirtoja ja asiakastyytyväisyyttä vaan viime kädessä myös kuluttajien yksityisyyden suojaa ja koko sähkönjakelujärjestelmän vakautta.
”Etäluentahankkeissa eri puolilla Eurooppaa, Lähi-itää ja Afrikkaa olemme huomanneet, että tietoturvaan liittyvät vaatimukset vaihtelevat suuresti maittain. Riippumatta markkina-alueesta kyberturvallisuuden merkitys kuitenkin kasvaa jatkuvasti”, toteaa Peter-Georg Koller, Vice President Product Management, Landis+Gyr. ”Kyberturvallisuuden tasoa mittaavan Global Cyber Security -indeksin kärkimaita ovat esimerkiksi Viro, Iso-Britannia, Saksa ja Itävalta. Ei siis ole yllättävää, että myös tiukimmat vaatimukset etäluentaratkaisujen turvallisuudelle tulevat näiltä markkinoilta.”
Landis+Gyr on jo vuosia parantanut etäluennan (AMI, Advanced Metering Infrastructure) kyberturvallisuutta yhteistyössä energiayhtiöiden kanssa. ”Kyse ei ole kertaluonteisesta investoinnista tai toimenpiteestä”, Koller sanoo. ”Kyberturvallisuus on jatkuva prosessi, joka vaatii jatkuvaa tekniikan kehittämistä, kaikkien sidosryhmien kouluttamista ja tietoisuustason nostoa sekä ylimmän johdon pitkäjänteistä sitoutumista”, hän luonnehtii.
Tärkein askel
Etäluennan kyberturvallisuus on muutakin kuin teknisiä ratkaisuja, eli esimerkiksi mittareiden tietoturvaominaisuuksia tai kommunikaation, ohjelmistojen ja tiedon tallennuksen suojausta. Se on kokonaisvaltainen ajattelutapa, joka sisältää tekniikan lisäksi niin IT-infrastruktuurin suunnittelun kuin myös ihmiset, toimintatavat ja prosessit.
”Kyberturvallisuuden kehittämisen ensimmäinen ja tärkein askel on tietoisuuden lisääminen. Kaikkien sidosryhmien on oltava tietoisia turvallisuusriskeistä”, Koller sanoo.
Kyberriskien hallinta tarkoittaa uhkien kartoittamista ja ymmärtämistä, niiden toiminnalle aiheutuvien vaikutusten arviointia sekä prosessien kehittämistä uhkien hallitsemiseksi. Investointitarpeet on punnittava potentiaalisia riskejä vasten. Absoluuttisen turvallinen ratkaisu saattaa olla taloudellisesti epärealistinen, ja olennaista onkin löytää paras mahdollinen ratkaisu liiketoiminnan realiteettien kannalta.
EU-sääntely valmisteilla
Myös viranomaissääntely luo paineita kyberturvallisuutta koskevan tietoisuuden lisäämiseen. Koko EU:ta koskevasta kyberturvallisuusdirektiivistä sovittiin ensi kertaa joulukuussa 2015. Verkko- ja tietoturvadirektiivin (NIS-direktiivi, Network and Information Security) voimaan astuminen edellyttää vielä Euroopan parlamentin ja Eurooppa-neuvoston virallista hyväksyntää. Direktiivi astunee voimaan elokuussa 2016, minkä jälkeen jäsenvaltioilla on 21 kuukautta aikaa toteuttaa direktiivin sisältö kansallisessa lainsäädännössä. Joillekin energia-alan toimijoille tullaan asettamaan ”olennaisten palveluiden tuottajina” velvoite noudattaa määriteltyjä kyberturvallisuutta parantavia toimenpiteitä sekä ilmoittaa vakavista turvallisuuspoikkeamista asianmukaiselle kansalliselle viranomaiselle. Jäsenvaltiot määrittelevät, mitkä toimijat ovat tällaisia operaattoreita.
Kohti yhteisiä ohjeita
Samalla kun NIS-direktiivi etenee omaa rataansa EU:n organisaatiossa, useat alan järjestöt ja työryhmät laativat ohjeistuksia direktiivin soveltamisesta käytännössä. Yksi näistä ryhmistä, ESMIG Security and Privacy Group, tekee parhaillaan listausta AMI-komponenttien turvallisuudelle asetettavista vähimmäisvaatimuksista. Työtä tehdään yhdessä Euroopan standardointijärjestöjen (CEN, CENELEC ja ETSI) älykkään mittauksen koordinaatioryhmän (Smart Metering Coordination Group, SM-CG) kanssa. Tavoitteena on julkaista tietoturvaa koskevat vähimmäisvaatimukset kaikille etäluentaratkaisun komponenteille, älykkäistä mittareista HES-järjestelmiin (Head End System).
ESMIG:n työ keskittyy älykkään mittauksen komponenttien ja tiedonsiirron teknisiin näkökohtiin. Sen perustana on joukko eurooppalaisia AMI-turvavaatimuksia etenkin Alankomaista, Iso-Britanniasta, Saksasta ja Itävallasta. Lisäksi huomioon on otettu pohjois-amerikkalaiset NIST-spesifikaatiot (National Institute of Standards and Technology). Kokoelma sisältää yli 300 vaatimusta, jotka on jaettu ryhmiin ja linkitetty toiminnallisiin vaatimuksiin. Tuloksena on 11 päätason vaatimusta, jotka koskevat muun muassa sellaisia toimintoja kuin ”tietoturvaan liittyvä tapahtumaloki”, ”AMI-komponenttien päivitettävyys uusilla tietoturvaominaisuuksilla” ja ”salausmekanismien ja avaimienhallinnan standardienmukaisuus”.
Landis+Gyr on osallistunut aktiivisesti ESMIG-työryhmän toimintaan yhteistyössä muiden alan yritysten sekä kyberturvallisuusasiantuntijoiden kanssa. Samanaikaisesti kehitämme jatkuvasti omaa Gridstream® -ratkaisuamme uusilla ominaisuuksilla, joiden avulla täytämme ja ylitämme niin lainsäädännön kuin asiakkaidenkin tietoturvaa koskevat vaatimukset.
Jostain on aloitettava
”Energiayhtiöiden yleisen kyberturvallisuuden parantamisessa on paras lähteä liikkeelle kohottamalla organisaation tietoutta turvallisuuteen liittyen sekä laatimalla ja ottamalla käyttöön yleinen tietoturvaohjeistus”, sanoo Peter-Georg Koller.
Energiayhtiöiden kyberturvallisuuden kehittämisprosessin ensiaskeleita ovat nykytilanteen arviointi, heikkouksien tunnistaminen ja kehittämissuunnitelman laatiminen. Useimmissa tapauksissa ulkopuolinen tuki ja konsultaatio vievät prosessia tehokkaasti eteenpäin.
Energiayhtiöiden kyberturvallisuus muodostuu sekä teknisistä ja että organisaatioon liittyvistä asioista. Turvallisuutta voidaan parantaa muun muassa seuraavilla osa-alueilla:
- Ihmiset ja prosessit
Tämä on kaikkein haavoittuvin osa-alue ja kyberturvallisuuden heikoin lenkki, joka edellyttää jatkuvaa huomiota. Tätä aluetta on yleensä myös helpoin parantaa. Esimerkkejä ovat vaikkapa yhtenäisten turvallisuuskäytäntöjen käyttöönotto sekä henkilöstön ohjeistaminen rooleista ja vastuista, tiedon luokittelu sekä salasanakäytännöt. Myös tietokantojen varmuuskopiointi- ja palautusjärjestelyillä sekä järjestelmien päivitysmenettelyillä on iso merkitys. - IT-infrastruktuuri
IT-ympäristön suunnittelu ja rakentaminen on kyberturvallisuuden kovaa ydintä. Arkaluontoisen informaation ja kriittisten palveluiden suojausta voidaan parantaa verkon segmentoinnin kautta. Usein esiin nostettu käytännön esimerkki on se, että AMI-ympäristö ja toimistoverkko tulisi pitää irrallaan toisistaan ja sijoittaa eri segmentteihin. - AMI-ratkaisut
Landis+Gyr toimittaa etäluennan kokonaisratkaisuja, ja suhtaudumme myös turvallisuuteen kokonaisvaltaisesti. Tietoturva on keskeinen suunnitteluperuste kaikissa Gridstream-komponenteissa, mukaan lukien laitteet, tiedonsiirto ja järjestelmät sekä asennus- ja ylläpito. Tiedonsiirron suojaus, käyttöoikeuksien hallinta sekä tapahtumalokit ovat esimerkkejä keskeisistä tietoturvaan liittyvistä toiminnallisuuksista.
Lue myös tuotepäällikkö Jani Kykyrin viisi käytännön vinkkiä tietoturvan kehittämiseksi!
Jokaisella energiayhtiöllä on oma yksilöllinen toimintaympäristönsä sekä omat tietoturvavaatimuksensa, -uhkansa ja -haavoittuvuutensa. Myös resurssit ja valmiudet kyberturvallisuuden hallintaan vaihtelevat. Yhteistä on kuitenkin tarve toiminnan jatkuvaan kehittämiseen. Informaation jakaminen ja tiivis yhteistyö energiayhtiöiden, teknologian tarjoajien sekä viranomaisten välillä on ehdottomasti yksi kyberturvallisuuden peruspilareista. Myös Landis+Gyr tähtää omassa toiminnassaan kyberturvallisuuden ja siihen liittyvän yhteistyön lisäämiseen!