With data security plays a significant role in the company's daily operations, and one of its key dimensions is usability, i.e. availability. When we talk about the availability of information security, we refer to the production's ability to use information systems and their information content as needed without interruptions.

Tässä artikkelissa selitetään tietoturvan käytettävyyden merkitys ja annetaan ohjeita siitä, kuinka periaatetta tulisi noudattaa tuotantoyrityksen OT-verkossa (operational technology network).

Tietoturvan käytettävyyden määritelmä

The basic idea of data security usability is to ensure that users of information systems have continuous and reliable access to information. Usability is one of the three basic principles of information security, collectively called the CIA model (Confidentiality , Integrity, Availability). In terms of usability, we focus especially on the operation of systems and the availability of data warehouses.

Käytettävyyden kannalta merkittäviä uhkia ovat esimerkiksi laitteiston viat, ohjelmistovirheet, tietoliikennekatkot sekä tarkoitukselliset hyökkäykset, kuten palvelunestohyökkäykset (DDoS). Näiden uhkien hallintaan tarvitaan kattavaa ja jatkuvaa riskienhallintaa.

Miten käytettävyysperiaatetta voidaan noudattaa tuotantoyrityksen OT-verkossa?

Tuotantoverkkojen käytettävyyden täytyy olla niin lähellä 100 prosenttia kuin vain mahdollista, sillä ne valvovat tai suorittavat fyysisiä prosesseja, jolloin katko verkon käytettävyydessä voi johtaa vakaviin tuotantohäiriöihin tai jopa turvallisuusriskeihin.

Preparedness and continuity management

Tärkein ensiaskel on varautuminen mahdollisiin häiriöihin. Jatkuvuudenhallinnan tulisi olla keskiössä kaikessa tietoturvatyössä. Niin luonnonmullistuksille, teknisille vioille kuin kyberhyökkäyksillekin tulisi olla valmiina suunnitelma. Tähän sisältyvät yksityiskohtaiset toimenpiteet kriittisten järjestelmien palauttamisesta vian tai hyökkäyksen jälkeen. Myös varmuuskopioinnin tulisi olla osa normaalia toimintaa. Tämä ei koske ainoastaan kriittisiä järjestelmiä, vaan myös vähemmän kriittisiä, sillä datan palauttaminen voi olla elintärkeää järjestelmien toiminnan palauttamisessa. Muiden järjestelmien, kuten varajärjestelmien ja peilauspalvelimien, käyttö auttaa osaltaan varmistamaan jatkuvan pääsyn palveluihin myös kriittisissä tilanteissa.

Capacity management

OT-verkon on pystyttävä käsittelemään sen läpi kulkevan datan määrä. Järjestelmä tulee suunnitella ja rakentaa siten, että se kykenee käsittelemään normaalin työkuorman lisäksi myös odottamattomat kuormapiikit. Tätä varten on tarpeen tehdä säännöllisiä suorituskykytestejä, jotta voidaan varmistua järjestelmän kyvystä vastata kasvavaan datan määrään. Tämän lisäksi järjestelmän tulee olla suunniteltu skaalautuvaksi. Sen tulee siis kyetä mukautumaan kasvavaan kuormitukseen tarvittaessa resurssien laajentamisen myötä.

Protection from attacks

OT-verkot ovat houkutteleva kohde kyberhyökkäyksille, sillä niiden kautta on mahdollista saada merkittävien tuotantoprosessien hallinta. Yrityksen on siksi toteutettava asianmukaiset suojatoimenpiteet.

These may include:

firewall or for example use of the maintained firewall service
intrusion detection systems (IDS)
regular information security audits that reveal potential vulnerabilities before they have time to cause problems.

OT-verkko kattaa tietyillä yrityksillä hyvin laajan maantieteellisen alueen. Tällöin suojauksen suunnitteluun täytyy kiinnittää erityistä huomiota. Fyysisen suojauksen lisäksi korostuu erityisesti tilojen etävalvonta. Valvonnan avulla voidaan saada luvattomat vierailijat kiinni jo ennenkuin he aiheuttavat lisähaittoja.

Give us a call, then let's fix things in the production network

System update and maintenance

Vanhentunut ohjelmisto voi aiheuttaa vakavia turvallisuusriskejä ja häiritä käytettävyyttä. Järjestelmän päivitysten tulisi olla säännöllisiä ja niitä tulisi hallinnoida keskitetysti. Myös ohjelmistovalmistajien tietoturvaohjeita on seurattava ja noudatettava tarkasti. Yrityksen tulee myös ymmärtää ja hallita järjestelmänsä riippuvuudet ja niiden mahdolliset yhteensopivuusongelmat.

Personnel training

Vaikka teknologia on tärkeässä roolissa tietoturvan ylläpidossa, loppujen lopuksi ihmiset ovat usein heikoin lenkki tietoturvaketjussa. Henkilöstön säännöllinen koulutus on avainasemassa sen varmistamisessa, että tietoturvakäytännöt ymmärretään ja niitä noudatetaan. Koulutuksen tulisi kattaa perustiedot tietoturvasta, yleiset uhkakuvat, yrityksen tietoturvapolitiikat ja -prosessit sekä käytännön ohjeet tietoturvalliseen toimintaan. Koulutuksen ja siihen sisältyvien ohjeiden tulisi olla ymmärrettäviä ja selkeitä, jotta ne sisäistettäisiin ja otettaisiin osaksi päivittäistä työntekoa.

Summary

The availability of data security is not only a technical requirement, but it is necessary in terms of business continuity, legal requirements and maintaining customer trust. This is particularly important in OT networks, as their usability directly affects production processes and the company's ability to produce products or services. Adhering to the usability principle in information security requires continuous work, but it is necessary to secure the company's operations.

Frequently asked Questions

What is a data security crime?

Tietoturvarikos on toimintaa, joka rikkoo tietosuojaa tai tietoturvallisuuden periaatteita. Tämä voi tarkoittaa esimerkiksi luvatonta pääsyä tietoihin, niiden manipulointia tai tuhoamista. Tietoturvarikos voi tapahtua, kun käyttäjän henkilökohtaisia tietoja kerätään, käytetään tai paljastetaan ilman käyttäjän suostumusta. Muita vastaavia esimerkkejä ovat hyökkäykset yrityksen tietojärjestelmiä vastaan haittaohjelmalla, huijaamalla tai kyberhyökkäyksen muodossa. Tietoturvarikokset voivat aiheuttaa merkittävää haittaa yksityishenkilöille ja organisaatioille.

What is information security?

Tietoturva kattaa toimenpiteet, joilla suojataan tiedot vahingoilta, luvattomalta käytöltä ja tietovuodoilta. Tietoturvan kolme peruspilaria ovat luottamuksellisuus, eheys ja saatavuus. Luottamuksellisuus tarkoittaa, että vain valtuutetut henkilöt pääsevät käsiksi tietoihin. Eheys varmistaa, että tiedon oikeellisuus säilyy muuttumattomana sen koko elinkaaren ajan. Tietosuojan kannalta on olennaista, että nämä periaatteet ymmärretään ja niitä noudatetaan kaikessa tietojen käsittelyssä. Jokainen tietoa käsittelevä osapuoli on vastuussa sen suojaamisesta ja luottamuksellisuuden säilyttämisestä.