Kyberturvallisuudesta huolehtiminen on koko elintarvikeketjun yhteinen asia

Liha ja ruoka 6 / 2022, Teksti Markku Summa  Kuvat Heli Sutinen

Elintarviketuotanto ja -jakelu ovat Suomen huoltovarmuuden kannalta kriittisiä toimintoja. Molemmat ovat suurelta osin riippuvaisia digitaalisten järjestelmien toimivuudesta. Jokaisen yrityksen tulee herätä kehittämään digitaalista puolustustaan, koska kyberhyökkäysten määrä kasvaa koko ajan.

Mitä tapahtuu, kun ruokaketjun digitaaliseen ympäristöön kohdistetaan kyberhyökkäys? Se voi vaikuttaa mittavasti esimerkiksi alkutuotantoon, logistiikkaan, kylmälaitteisiin tai keskusvarastoihin.

Turvallinen digitaalinen ympäristö vaatii organisaatiolta jatkuvaa osaamisen ylläpitoa ja kehittämistä.

Jyväskylän ammattikorkeakoulussa (Jamk) käynnistyi 1.8.2021 kaksivuotinen elintarviketuotannon ja -jakelun toimijoiden kyberturvallisuuden kehittämiseen tähtäävä hanke.

Uhriksi voi joutua kuka tahansa

Kyberturvallisuus on Jamkin IT-instituutin projektipäällikkö Elina Sunin mukaan tavoitetila, jossa digitaalisista tietojärjestelmistä muodostuvaan toimintaympäristöön voidaan luottaa.

– Suomalaisyrityksissä kyberturvallisuus otetaan kokemukseni mukaan yleisesti hyvin huomioon riskienhallinnassa ja toimintaprosesseissa. Kuitenkaan sataprosenttista turvallisuutta ei voida saavuttaa. Juuri siitä syystä korostuu varautuminen erilaisiin häiriöihin.

– Myös yritysten ja viranomaisten yhteistyö pelaa Suomessa. Sen eteen on tehty työtä, mutta toki kehitettävääkin löytyy, hän sanoo.

Minkälaisten kyberuhkien kohteeksi on mahdollista joutua?

– Kohdistamattoman hyökkäyksen uhriksi voi joutua kuka tahansa. Tästä esimerkkejä ovat haittaohjelmat ja tietojenkalasteluviestit. Kaikkiin älykkäisiin verkottuneisiin laitteisiin voi kohdistua kybervaikuttamista.

– Elintarviketeollisuudessa, tarkemmin ottaen tehdasympäristössä, on paljon teknologiaa, jonka toiminnasta vastaavien järjestelmien päivittäminen saattaa olla sekä haastavaa että kallista.

Lisäksi Suni korostaa, että elintarvikeketjussa on paljon keskinäisriippuvuuksia, eli häiriö yhdessä lenkissä voi levitä koskemaan koko ketjua.

Lihayrityksistä Atria on mukana

Jamkissa meneillään olevaa kyberturvallisuuden kehittämishanketta rahoittavat Euroopan unionin aluekehitysrahaston lisäksi Jamk sekä kumppanuusorganisaatiot 1,4 miljoonalla eurolla.

Hankkeessa kumppaneina ovat Atria, Cinia, DeLaval, Elisa, Fazer, Huoltovarmuuskeskus, Kesko, Netum, Penttilän Maito, Suomen Osuuskauppojen Keskuskunta (SOK), Tapiolan maitotila, Telia Cygate, Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus ja Valio.

– Myös HKScanin kanssa on tarkoitus tehdä yhteistyötä muun muassa tiedottamalla tuloksista ja kutsumalla yrityksen edustajia tutustumaan maaliskuussa 2023 järjestettävään hankkeen pilottiharjoitukseen, Suni kertoo.

Huoltovarmuuskeskus (HVK) toimii hankkeessa osarahoittajana ja ohjausryhmän jäsenenä. Hanke on osa HVK:n Digitaalinen turvallisuus 2030 -ohjelmaa. Myös Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta on edustaja ohjausryhmässä.

Jamkin IT-instituutti kouluttaa tieto- ja viestintätekniikan insinöörejä. Lisäksi se tarjoaa muun muassa alan täydennyskoulutusta, toteuttaa tutkimus-, kehittämis- ja innovaatiotoimintaa, tuottaa yrityksille kyberturvallisuuden kehittämispalveluita sekä kansallisia kyberturvallisuusharjoituksia.

Hankkeen keskeiset tavoitteet

Elintarvikeketjun kyberturvallisuushankkeessa rakennetaan arvoketjun digitaalista toimintaympäristöä mallintava kyberharjoitusympäristö.

Harjoittelulla kehitetään elintarviketuotannon ja -jakelun toimijoiden kybersietokykyä, turvallisuuskulttuuria ja yhteistyötä.
Tarkoitus on, että kyberturvallisuuden varmistaminen tulee osaksi alkutuotannon, elintarvikkeiden jalostajien ja kaupan alojen normaalia toimintaa ja laadunvarmistusta.

Kybersietokyky tarkoittaa kykyä ennakoida ja kestää häiriöitä sekä kykyä sopeutua kyberresursseihin kohdistuviin epäsuotuisiin olosuhteisiin, stressiin ja hyökkäyksiin.

– Lisäksi on verkostoiduttu alan toimijoiden kanssa kansallisia ja kansainvälisiä yhteistyöverkostoja hyödyntäen sekä työstetty artikkeleita julkaistavaksi ammatti- ja tiedelehdissä, Suni kertoo.

Hanke esitteli toimintaansa Cyber Security Nordic -messuilla Helsingissä keväällä.

Yrityksen prosessit testataan

Ympäristö testataan pilottiharjoituksessa, joka järjestetään 28.–29.3.2023 Jamkin IT-instituutin tiloissa teknistoiminnallisena live-harjoituksena.

Teknistoiminnallinen harjoitus tarkoittaa, että siihen voi osallistua teknisten asiantuntijoiden lisäksi esimerkiksi yrityksen johtoa ja viestintää.

– Laajennamme harjoittelua varten julkisesta internetistä erillään toimivaa kyberharjoitusympäristöämme. Näin häiriötilanteita voidaan toteuttaa ja niihin vastaamista harjoitella aidon kaltaisessa ympäristössä, Suni kertoo.

Mikäli harjoituksessa huomataan, että organisaation häiriönhallinnan prosesseissa on puutteita, niitä voidaan muuttaa niin, että mahdollisessa tositilanteessa pystytään toimimaan optimaalisesti.

– Kysymyksessä on tämän toimialan ensimmäinen harjoitus meidän harjoitusympäristössämme. Siitä syystä keräämme kattavasti palautetta sen toimivuudesta ja soveltuvuudesta alan harjoituksiin.

– Harjoitusympäristön laajentaminen on vaatinut paljon työtä ja investointeja. Ensi kevään harjoituksen jälkeen jatkamme ympäristön kehitystyötä palautteiden pohjalta.

Alalle yhteiset toimintamallit

Hankkeen alussa perehdyttiin Sunin mukaan toimialaan ja käytiin vuoropuhelua keskeisten toimijoiden kanssa.

– Saimme tietoa alkutuotannon, elintarviketeollisuuden sekä kaupan ja jakelun yritysten teknisestä toimintaympäristöstä ja sen erityispiirteistä sekä toimialan kriittisistä toiminnoista ja mahdollisista uhkaskenaarioista.

Se loi hyvän pohjan rakentaa alan tarpeita palveleva hanke. Mikä on Sunin viesti?

– Oman osaamisen kehittäminen on yrityksissä erittäin tärkeää, vaikka kyberturvallisuuteen liittyviä palveluita olisikin ulkoistettu.

– Koko henkilöstön tulee esimerkiksi tietää, minkälaisia tietojenkalastelukampanjoita on kulloinkin meneillään, jotta tunnistetaan sähköpostiviesti, joka voi levittää haittaohjelman, hän korostaa.

Huoltovarmuuskeskus rakentaa kykyä torjua informaatiovaikuttamista

Huoltovarmuuskeskus (HVK) käynnistää uuden informaatioturvallisuuden osaamiskeskustoiminnon. Kysymyksessä on pilotti, joka rahoitetaan HVK:n Digitaalinen turvallisuus 2030 -ohjelmasta.

Informaatiovaikuttaminen on toimintaa, jonka avulla jokin ulkopuolinen taho pyrkii järjestelmällisesti ja haitallisesti vaikuttamaan ihmisten käsityksiin ja toimintaan.

Keinoja voivat olla esimerkiksi valheellisen ja virheellisen tiedon levittäminen tai datan käyttäminen tarkoituksellisesti harhaanjohtavalla tavalla. Niiden avulla on mahdollista horjuttaa koko yhteiskunnan toimintakykyä.

Esiselvitys paljasti puutteita

Informaatiovaikuttamista on ollut läpi historian, mutta nyt sen keinovalikoima on murroksessa digitaalisen ympäristön kehittymisen myötä.

– Median, kansalaisten ja viranomaisten käyttöön tarvitaan toimintamalleja ja työkaluja, joiden avulla voidaan tunnistaa informaatiovaikuttamista ja arvioida tiedon luotettavuutta, Huoltovarmuuskeskuksen varautumispäällikkö Antti Sillanpää sanoo.

Huoltovarmuuskeskuksen toteuttama esiselvitys osoitti merkittäviä kansallisia puutteita informaatioturvallisuudessa ja nosti yhdeksi kehityskohteeksi alan osaamistoiminnon perustamisen.

Keskuksen toiminta alkaa 2022 syksyllä ja jatkuu suunnitelman mukaan pilottina 2024 loppuun. Pilotoinnin aikana luodaan verkostoja ja toimintamalleja sekä kerätään tietoa.

Osa kokonaisturvallisuutta

Tavoitteena on vahvistaa informaatioturvallisuuden osaamista kansallisesti ja kehittää toimintamalleja sekä työkaluja haitallisen vaikuttamisen torjuntaan.

Keskus tuottaa tietoa maahamme kohdistuvista tahallisista ja haitallisista informaatiokampanjoista. Se myös tukee elinkeinoelämää, kansalaisia ja viranomaisia informaatiovaikuttamisen tunnistamisessa ja torjunnassa.

– Informaatioturvallisuus on osa kokonaisturvallisuutta, jota edistetään viranomaisten, elinkeinoelämän, järjestöjen ja kansalaisten yhteistyöllä. Tämä istuu hyvin HVK:n toimintamalliin, Sillanpää toteaa.

Teksti Markku Summa  Kuvat Shutterstock