Küberturvalisuse tagamine energiasektoris Küberturvalisuse tagamine energiasektoris Küberturvalisuse tagamine energiasektoris

Tänaseks on alles jäänud vähe neid ettevõtteid, kes pole vähemalt osa enda põhilistest äritoimingutest digitaalsesse maailma üle viinud. Tänu Interneti olemasolule on digitaalseid sõnumeid võimalik ühest maailma nurgast teise edastada kõigest mõne sekundiga, mis lihtsustab tunduvalt uute ideede levitamist üle maailma ning muudab miljonite inimeste ja ettevõttete igapäeva tegevusi lihtsamaks kui kunagi varem. Ka energiasektori ettevõtted pole siinkohal erand. Turvalisuse teemadel energiasektoris räägib lähemalt KPMG küberturvalisuse nõustaja Igmar Ilves.

Igal positiivsel muutusel on tihti olemas ka negatiivne külg – ühendades enda teenused laia maailmaga, loome me teeraja enda ettevõtte põhifunktsioonide toimimiseks vajalike süsteemideni ka pahatahtlikele osapooltele.

Energiasektori ettevõtetes üle maailma on elektritööstuse toimimiseks loodud operatiivse käidutehnoloogia (ingl k Operational Technology ehk OT) arvutisüsteemide ja ettevõtete ärilise suhtluse andmesidevõrkude (IT-süsteemide) vahel suurenemas liideste arvud. Tihtipeale on eelmainitud OT süsteemid aga töötamas vanadel platvormidel (legacy systems). 

Eelmainitud liidesed luuakse reeglina legacy süsteemide monitoorimise ja hoolduse lihtsustamiseks ning isegi kaughalduseks. Sellised liidesed parandavad OT süsteemidele ligipääsu paindlikkust, mille kaudu paraneb teenuse tagamise operatiivsus. Samas võib selliste liideste kaudu avaneda võimalus kurjategijatel pääseda ligi eelmainitud süsteemidele. Suurimaks probleemiks legacy süsteemidel on nende haavatavus, mis on tingitud sellest, et vanemal tehnoloogial põhinevatele lahendustele ei ole reeglina aastaid turvauuendusi välja töötatud. Lisaks legacy süsteemide kasutamisele võib suureks ohuks olla ka ebapiisava eraldatuse loomine OT ning IT infosüsteemide vahel.

Energiaettevõtted on mainitud riskidest üldjuhul informeeritud ning on seetõttu rakendanud ka kaitsemeetmeid. Antud riskid on sellised, mida tuleb võtta väga tõsiselt – küberintsidendi tagajärjed operatiivsetes arvutisüsteemides võivad olla katastroofilised: elektrijaamad seiskuvad ja elektrivõrkudes tekivad katkestused, millega kaasnevad elektrivarustuse katkestused, oht inimeste elule ja tervisele ning energiaettevõttele korvamatu maine- ja finantskahju. Võimalikud tehnilised kaitsemeetmed võivad siinkohal olla: demilitaartsooni loomine (demilitarized zone ehk DMZ), tulemüürid, võrgupõhised sissetungituvastuse süsteemid (network-based intrusion detection system ehk NIDS), sissetungitõrje süsteemid (intrusion prevention system ehk IPS), ruuterid seadistatud pääsuloenditega (access control list ehk ACL), andmesidedioodid jpm.

Edukalt organisatsiooni sisevõrku infiltreerunud kuritegelikud rühmitused võivad ähvardada energiaettevõtte protsesside häirimist (või isegi peatamist), juhul, kui ettevõte ei täida kurjategijate poolt seatud tingimusi.

Kurjategijad sellises situatsioonis võivad olla väga erineva taustaga – alates amatöör-tasemel häkkeritest kuni hästi rahastatud, riiklikul tasemel organisatsioonideni. Viimaste nimetatud kurjategijate motivatsioon on reeglina raha või poliitilise eesmärgi saavutamine. Potentsiaalne rünnak võib tulla nii väljastpoolt (reeglina Interneti kaudu) kui ka seestpoolt – suureks ohuks võivad olla organisatsiooni enda pahatahtlikud töötajad, kes omavad ligipääsu kõikvõimalikele süsteemidele.

Ilmekas näide konkreetsest rünnakust on 2015. aasta küberrünnak Ukraina energiaettevõtetele, mille tulemusel katkes ajutiselt elektriga varustamine osale elanikkonnast. Aktuaalsem näide on aga 2021. aasta mais toimunud lunavara rünnak USA energiaettevõttele Colonial Pipeline, mille tõttu peatas ettevõte kõik operatiivsed tegevused (kütuse transportimine) rünnaku tagajärgede likvideerimiseks – selle tulemusel tekkis ajutine kütusepuudus mitmetes USA osariikides.

1. Tehniliste kaitsemeetmete rakendamise kõrval on energiaettevõtetel oluline näha suuremat pilti – võimalikud riskid peavad olema kaardistatud laiaulatuslikult ning ohuhinnanguid tuleb järjepidevalt uuendada.
2. Lisaks tehnilistele haavatavustele on vaja analüüsida ka füüsilise turvalisuse aspekte, organisatsioonilisi turvameetmeid ning ohtude geopoliitilisi tegureid. Ettevõtete küberkaitsestrateegia peaks kirjeldama eelmainitud ohtude kaardistamist, kaitsemeetmete väljatöötamist, paigaldamist ja nende järjepidevat parendamist; andmesidevõrkudes anomaaliate / intsidentide tuvastamist ja õigeaegset reageerimist; optimaalseid varundus- ning taasteplaane; reegleid kõikidele töötajatele organisatsiooni kaitsmiseks jpm.
   
3. On oluline, et energiaettevõtted ei jääks antud riskide käsitlemisel üksi. Olenemata enda spetsialistide võimekusest jääb alati oht, et midagi jäetakse ettevõtte-siseselt kahe silma vahele. Näha laiemat pilti ning nii-öelda „kastist välja mõelda“ aitavad võimekad partnerid.

Energiasektoris on küberturvalisuse tagamiseks oluline olla võimalikest ohtudest mitu sammu ees – riskide realiseerumisel võivad tagajärjed olla väga tõsised. Seetõttu on tähtis panustada küberturvalisuse tagamisse mitmetasandiliselt – seda nii iseseisvalt ettevõttesiseselt kui ka strateegiliste partnerite abiga.

• Mitmetasandiline lähenemine loob küberkaitses sünergia – sõltumatud küberturvalisuse eksperdid võivad aidata energiaettevõtetel leida seni avastamata turvanõrkusi ning kinnitada või ümber lükata olemasolevaid ohuhinnanguid ja kaitsemeetmete tõhususe hinnanguid.
• Kolmanda osapoole hinnang võib anda energiaettevõttele täiendava kinnituse, et kaitsemeetmete valikud, küberkaitse investeeringud ning ohtude hindamise metoodika on olnud adekvaatsed ning optimaalsed.