Osaavan asiantuntijat ovat keskustelleet kotimaisten energiayhtiöiden edustajien kanssa syksyn 2020 ja kevään 2021 aikana. Kymmenet keskustelut ovat luoneet pohjaa sille kokonaisuudelle, miten Osaava on mukana kun tavoitteena on luoda parempi energia-alan kokonaisturvallisuus. Osaavan viestintäalusta on yksi osa modernia kokonaisturvallisuutta, joka huomioi erilaisia kokonaisuuksia.
Tämä artikkeli on suunnattu energia-alan kokonaisturvallisuuden kehityksestä kiinnostuneille, energia-alan turvallisuudesta vastaaville ja energia-alan johtoryhmien jäsenille.
Energia-ala pitää sisällään useita yhtiöitä Suomessa. Riippumatta siitä onko kyseessä asiantuntija-, tuotanto- tai verkkoyhtiö on turvallisuuden eri osa-alueet tärkeässä asemassa kohdatessa tulevaisuuden haasteita. Keskusteluissa eri asiantuntijoiden kanssa nousi esille etenkin erilaiset kyberturvallisuuden haasteet. Siihen liittyy myös erilaiset sosiaalisen hakkeroinnin tilanteet, joissa järjestelmiin yritetään vaikuttaa joko suoraan tai välillisesti ja saada etua hakkerointia harjoittavalle taholle.
Kokonaisturvallisuus riippuu useista eri osatekijöistä. Usein vastuu jakautuu energiayhtiöissä monille eri osastoille. Yleensä siihen voidaan ainakin liittää työsuojelutoiminta, henkilöstöhallinto, tietohallinto ja monilla myös tuotanto- ja lakiosastot osallistuvat kokonaisturvallisuuden kehittämiseen. Tällöin tiedon välityksen merkitys kasvaa suureksi. Joillain toimijoilla on myös käytössä erilaisia ratkaisuja viestintään eri osastojen välillä, jolloin monikanavaisuus ja poikkitieteellisyys ei todennäköisesti tapahdu orgaanisesti.
Moderni tiedonkulku energia-alalla
Eräässä asiakasprojektissa Osaavan käyttöönottoa edelsi useita tapaamisia, joiden aikana määriteltiin eri osastojen tietotarpeet, oikeudet ja rakennettiin kuntoon oleellisimmat tavat välittää kriittistä informaatiota.
Parhaimmillaan eri osastojen välinen yhteistyö turvallisuuden osalta tapahtuu ilman lisäpanostuksien tekemistä. Turvallisuus saadaan osaksi toimintakulttuuria suunnitelmallisella taustatyöllä.
Asiakasprojektissa rakennettiin automatiikka mahdollistamaan erilaisten poikkeustilanteiden kohtaaminen:
Verkkohäiriö
Oikean osaamisen henkilökunta hälytetään vuoroon (mukaan lukien metsurit ja muut sidosryhmät)
- Hälytystila päättyy, kun tarpeeksi moni oikean osaamisen henkilö on kuitannut saapuvansa
Alueen asukkaat saavat tiedon sähkönjakelun poikkeamasta ja arvion (perustuen tilastodataan) huoltotöiden kestosta
- Asukkaat saavat automaattisesti tiedon toiminnan palautuessa normaaliksi ja pahoitteluviestin sekä mahdollisen manuaalisesti lisätyn selvityksen
Tuotantotiimi saa tiedon häiriöstä ja mahdollisista heijastevaikutuksista
- Järjestelmä voi automaattisesti hälyttää muita järjestelmiä käynnistämään erilaisia toimenpiteitä
Keskusteluryhmän käynnistäminen niiden välille, jotka aiheeseen liittyen tekevät päätöksiä (HR, markkinointi/viestintä, tuotanto jne.).
Vastaavia viestien automatisointeja ja erilaisten ”ketjujen” luomista tehtiin myös moniin muihin tilanteisiin. Kyberhyökkäysten osalta voidaan säästää aikaa järjestelmien sammuttamisessa ja uudelleen käynnistämisessä, kun niistä saadaan automaattisesti tieto eri järjestelmien välillä siirtymään.
Oleellista on se, että automatisointi mahdollistaa nopean reaktion poikkeustilanteisiin. Se ei poista tarvetta henkilöiden paikallaoloon valvomoissa, vaan säästää heidän aikaansa keskittyä oleellisiin työvaiheisiin. Lisäksi erilaiset manuaaliset tavat luoda helposti hälytyksiä poikkeustilanteista kehittävät koettua turvallisuutta ja oikein tehtynä myös reaalisesti turvallisuus kehittyy.
Koko järjestelmän suunnittelu vaatii monien osastojen välisen ymmärryksen rakentamista ja siiloutumisen purkamista. Osaava on ollut mukana modernisoimassa viestintää osaksi turvallisuuskulttuuria siten, että osastojen välinen yhteistyö kehittyy positiivisesti.
Osaavan alusta poikkeustilanneviestintään ei sinällään tee isoa muutosta olemassa oleviin käytäntöihin. Käyttöönottovaiheessa tehtävä selvitystyö ja eri osastojen kanssa käytävä kommunikointi on asiakkaiden toimesta nähty jopa tärkeimpänä projektivaiheena.
Energia-alan turvallisuushaasteista
Kansainvälisessä vertailussa Suomessa on tehty vähän julkisesti avauksia ulkoisen uhan tuomista riskeistä. Samalla sähköverkkoa on kunnostettu vastaamaan erilaisiin ilmastollisiin haasteisiin ja mahdollisesti muut uhkatekijät on käsitelty kevyemmin.
Taustalla olettamus siitä, että huoltovarmuus pysyy kunnossa riippumatta yksittäisestä toimijasta. Samalla moni alan toimija pohtii itsenäisesti huoltovarmuuden kehittämistä omalla alueellaan. Yksi iso osatekijä siinä on valmistautuminen erilaisiin ulkoisiin uhkiin. On kyseessä sitten sosiaalisen hakkeroinnin (social engineering, social hacking) tuomat ongelmat, suorat kyberriskit tai erilaiset fyysiset iskut, voidaan niihin valmistautua kehittämällä viestintää.
Osaava järjesti perustasoisen katsauksen webinaarin muodossa kahdesta eri näkökulmasta (toimitila- ja ympäristöturvallisuus) energia-alalle toukokuussa 2021.
Viestintä ei poista uhkatekijöitä, sillä voidaan kehittää koettua turvallisuutta, joka tutkitusti lisää työntekemisen mielekkyyttä. Työn tekemisen mielekkyys voidaan nähdä osatekijänä, kun halutaan estää sosiaalista hakkerointia – turvallisen työympäristön omaavien organisaatioiden työntekijät ovat todennäköisesti paremmin valmistautuneita kohtaamaan vaikuttamisyrityksiä.
Samalla viestintä eri osastojen välillä mahdollistaa nopea reagoimisen. Kun it-tiimi pystyy viestimään kalasteluyrityksistä tehokkaasti (parhaimmillaan automaattisesti), niiden onnistumisen todennäköisyys laskee.
Kokonaisturvallisuus ei voi olla täydellinen, mutta osatekijöiden tuomien riskien minimointi johtaa huomattavasti paremmin ennakoitavaan tulevaisuuteen.
Myös luonnon tuottamat ympäristöpoikkeamat lisääntyvät edelleen. Kuten todettua, moniin niihin toimiala on erinomaisesti valmistautunut.
Suurimpina haasteina on saada luotua turvallisuuskulttuuri osaksi yhtiön kulttuuria siten, että poikkeustilanteisiin osataan reagoida laajalti, eikä vain yksittäisen vastuutiimin sisällä. On kyseessä sitten kuluvalvonnasta saatava hälytys tai asiakaspalvelun paniikkipainike – tieto siitä poikkeamasta on parempi jakaa laajalti, kuin yrittää pitää tietoa vain niiden keskuudessa, joihin tapahtumaketju on välittömästi vaikuttanut. Energia-alan turvallisuus kehittyy vauhdilla ja yhä useammalla yhtiöllä on perusasiat erinomaisesti kunnossa.
Energia-alan kyberturvallisuuden kehittämisestä
Osaava sidosryhmiensä kanssa on pyrkinyt viestimään aktiivisesti mahdollisuuksista valmistautumiseen. Suomessa kyberturvallisuuden kehittämiseen energia-alalle on tehnyt suuria panostuksia Vaasan yliopisto. Tutkija Mike Mekkanen yhdessä Osaavan asiantuntijan Jyri Paasosen kanssa puhuivat asiasta Osaavan energia-alan turvallisuus -webinaarissa kesäkuun alkupuolella.
Suurin haaste ennakkoon valmistautumisessa on hahmottaa eri riskien todennäköisyyksiä. On tuottavinta panostaa sellaisiin ongelmatilanteisiin, joiden voi katsoa olevan todennäköisempiä kuin harvinaiset poikkeustilanteet.
Kyberturvallisuuden merkitys kasvaa vauhdilla. Taustalla tieto siitä, kuinka moni energiayhtiö on joutunut jo jonkinlaisen hakkeroinnin kohteeksi. Monissa tapauksissa asiaan on liittynyt myös sosiaalinen hakkerointi ja sen estämisestä on keskusteluja käyty useiden eri alojen ammattilaisten kanssa.
Säännöllinen valmennus erilaisista riskeistä toimii hyvänä ensimmäisenä esteenä vaikuttamisyrityksille. On käytössä sitten koko henkilökunnan tavoittava viestintäalusta, tai ei-aktiivinen asioista tiedottaminen edistää kokonaisturvallisuutta. Valitettavan monessa keskustelussa nousi esille se, että henkilökunta ei hahmota eri riskejä ja niiden arkipäiväisyyttä. Jolloin niiden harjoittelu on myös nähty järkeväksi tavaksi edistää asioiden ymmärtämistä.
Kuten eräs pitkänlinjan kyberuhkien torjumisen asiantuntija sanoikin.
Onhan se nyt ihme, että jokainen osaa unissaankin kävellä palohälytyksen soidessa oikeaan paikkaan, mutta samat henkilöt kertoo innoissaan järjestelmistä jokaiselle kiinnostuneelle.
Sosiaalisen hakkeroinnin estämiseen ei ole olemassa kaikille sopivia ratkaisuja. Se vaatii pitkäkestoista, osastojen välistä, viestintää. Parhaimmillaan saadaan koko henkilökunta toimimaan kokonaisturvallisuuden asialla ja turvallisuuskulttuuri saadaan aidosti osaksi energia-alan yhtiön toimintaa. Sitä Osaava on ollut tekemässä – energia-alan turvallisuus on huoltovarmuutta.
Osa artikkelin sisällöstä pohjautuu asiakaskokemuksiin, tietoturvasyistä asiakastiedot on jätetty pois. Samoin informaatio, joka yksilöisi toimijan on poistettu.
Varaa tapaaminen asiantuntijamme kanssa ja keskustellaan, miten voisimme edistää turvallisuuskulttuurianne:
Varaa aika