Save LAN toteutti OT- ja IT-tietoturva­kartoituksen Jylhän Sähköosuus­kunnalle

Jylhäläisten verkossa virtaa yhteinen energia, joka tekee hyvää koko kaupungille. Varma sähköverkko on asukkaiden ja elinkeinoelämän hyvinvoinnin tukiranka. IT- ja OT-verkkojen tietoturva on keskeinen osa ennakoivaa kybersuojautumista.

Haasteet ja tavoitteet

Jylhän Sähköosuuskunta halusi varmistaa, että heidän IT- ja OT-verkkonsa ovat riittävästi suojattuja nykyaikaisia kyberuhkia vastaan. Organisaatio tarvitsi kokonaisvaltaisen näkymän sekä teknisiin että organisatorisiin tietoturvakäytäntöihinsä.

Tavoitteena oli selvittää keskeisten verkkolaitteiden konfiguraatiot, tarkastella toiminta- ja turvallisuuskäytäntöjä sekä varmistaa, että kriittiset järjestelmät – kuten palvelinverkot ja SCADA-järjestelmät – täyttävät turvallisuusvaatimukset. Kartoituksen tuli myös tunnistaa mahdolliset haavoittuvuudet ja antaa suosituksia niiden korjaamiseksi.

Työn perustaksi otettiin kansainvälinen ISO 27001 -standardi, jonka auditointimenetelmällä pyrittiin systemaattisesti tunnistamaan ja parantamaan tietoturvakäytäntöjä.

Save LAN:n ratkaisu

Save LAN valikoitui kartoituksen toteuttajaksi erityisesti OT-verkon osaamisen ansiosta. Yrityksellä oli syvällistä asiantuntemusta erityisesti SCADA-ympäristöistä ja kriittisen infrastruktuurin suojauksesta.

Savelan lähestymistapana oli yhdistää IT- ja OT-verkon auditointi samaan kokonaisuuteen, ja toteuttaa arviointi ISO 27001 -standardin mukaisena auditointiprosessina. Tämä mahdollisti kattavan, johdonmukaisen ja vertailukelpoisen analyysin organisaation tietoturvasta.

Projektin toteutus

Auditointi jakautui kahteen pääalueeseen: IT-verkkoon ja OT-verkkoon.

IT-verkon osalta keskityttiin palvelinverkkojen tietoturvaan, pääsynhallintaan, salaustekniikoihin ja haavoittuvuustestaukseen. Erityishuomio kiinnitettiin siihen, kuinka vastuut on määritelty järjestelmäkokonaisuuksien ylläpidossa ja hallinnassa. Tämä on keskeistä tietoturvavastuiden kannalta.

OT-verkon osalta tarkastelun kohteena olivat SCADA-järjestelmien ja ala-asemien asetukset, yhteyskäytännöt sekä tiedonsiirron suojaus. Näiden järjestelmien suojaaminen on elintärkeää, sillä niillä hallitaan kriittisiä teollisuusprosesseja.

Kartoitus toteutettiin työpajojen avulla. Näissä osallistujat toivat esiin havaintojaan käytännön työstä ja turvallisuusnäkökulmista. Työpajojen pohjalta koottiin yksityiskohtainen raportti, jossa esiteltiin havaittuja heikkouksia ja konkreettisia suosituksia parannuksiksi.

“Työpajojen avulla saatiin syvällisempää tietoa organisaation tietoturvatarpeista ja -haasteista.”

Tulokset

Auditoinnin tuloksena Jylhän Sähköosuuskunta sai kattavan ja selkeän kuvan IT- ja OT-verkkojensa nykytilasta sekä parannuskohteista. Kartoitus toi esiin sekä teknisiä että prosessuaalisia kehitystarpeita, ja antoi konkreettisia toimenpide-ehdotuksia haavoittuvuuksien korjaamiseksi.

ISO 27001 -standardin mukainen lähestymistapa auttoi jäsentämään tietoturvakäytännöt ja osoittamaan ne osa-alueet, joihin tulee jatkossa keskittyä. Tuloksena oli parantunut tietoturvan hallintamalli, joka suojaa paremmin organisaation liiketoimintaa ja kriittistä infrastruktuuria tulevaisuudessa.

Ota yhteyttä ->
Lauri Jurvanen tuotantoverkko konsultti Save LAN