Yliö: Investoiva maatila kyberturvallisuusriskien näkökulmasta - ihminen on usein kyberturvallisuusketjun heikoin lenkki

Maatilan tieto- ja viestintätekniikkaa hyödyntävä laitekanta sekä niiden käyttämät tietoliikenneyhteydet voivat olla kyberturvallisuuden näkökulmasta riski. Kuvituskuva.  Kuva: Kimmo Haimi

Ihminen on usein kyberturvallisuusketjun heikoin lenkki. Investoivien maatilojen näkökulmasta tämä kyberturvallisuusajattelun peruslähtökohta vaatii erityistä huomiota.

Investoinnin suunnitteluvaihe kestää usein vuoden tai pari, joten tutustumismatkojen, lupamenettelyjen, tarjouskilpailutusten sekä muiden investointiprosessin vaiheiden seurauksena hyvin monet eri tahot ovat tietoisia siitä, mitä ja millä aikataululla maatilalla ollaan toteuttamassa.

Kun investointiprosessi on edennyt rakennusvaiheeseen, maatilalla työskentelee ja vierailee paljon vieraita ihmisiä. Jos jollakin toimijalla on tarkoitus päästä tavoitteellisesti vaikuttamaan investoivaan maatilaan ja sen tuottamien päätuotteiden jalostusketjuun, muodostaa investointiaika yhdistettynä maatilan työhuippuihin otollisen ajankohdan mahdolliselle kyberhyökkäysoperaatiolle.

Maatilojen tietoverkot ovat yleensä rakentuneet vuosien varrella tarpeen mukaan tehdyistä hankinnoista. Osalle viljelijöistä tulee yllätyksenä, kuinka moni eri maatilan laite on yhteydessä verkkoon tai millä alueella heidän langattomat lähiverkkonsa todellisuudessa toimivat. Myös nämä tekijät tunnistettiin merkittäviksi kyberuhkiksi Elintarvikeketjun kyberturvallisuus -hankkeen alkukartoituksessa. Esille nousi, että varsinkin investointia suunnittelevien maatilojen kannattaisi tehdä koko talouskeskuksen alueelle selvitys, jossa näkyvät kartalla kaikki tietoliikenneyhteydet sekä tietoa tuottavat, tallentavat ja käyttävät laitteet. Se helpottaa huomattavasti pohdintaa sitä mitä ja miten tulisi toimia, kun varaudutaan rakennusvaiheessa maatilalle tulevien työntekijöiden perehdyttämiseen sekä mietitään käyttöoikeuksia ja kulkulupia.

Ei ole kovin todennäköistä, että yksittäisen maatilan rakennusprosessin haittaaminen itsessään olisi kyberhyökkäysoperaation varsinainen tarkoitus. Jos kuitenkin haitta- tai kiristystoimenpiteet kohdistuisivat yksittäiseen investoivaan maatilaan, toiminnan tavoitteet saattaisivat kohdistua maatilan tuotannon jatkuvuuden uhkaamiseen. Oli kyberhyökkäysoperaation tavoite mikä tahansa, tuotannon jatkuvuuden kannalta voitaisiin esimerkiksi vaikuttaa siihen; saadaanko rehunteko ajoitettua optimaalisesti tai miten eläimien suunniteltu siirto uuteen tuotantorakennukseen onnistuu aikataulussa. Lypsyrobottitilojen investoinneissa yksi merkittävä toiminnallisen ja taloudellisen onnistumisen tarkastelukohde on, milloin uusi tuotantorakennus saadaan täyttöasteeltaan ja lypsyrobottien kuormitusasteeltaan toimimaan suunnitelmien mukaan. Puuttuvalle ruokintavaikutukselle kotieläintilan rehustuksessa tai täyttöasteen vajauksesta johtuvalle suunniteltua pienemmälle maitomäärälle on helppo laskea hinta. Kohdistuessaan useisiin samaan aikaan investoiviin maatiloihin voi tämänkaltainen kyberuhkaskenaario olla kiinnostava uhkatoimijoille.

Todennäköisemmin uhkatoimijaa kiinnostaa laajempi ja siten ainakin kiristysmielessä maksukykyisempi kohderyhmä. Siksi investoivan maatilan laite- ja palvelujärjestelmätoimittajat sekä kotieläin- ja kasvinviljelytuotteiden jalostusketjut ovat uhkatoimijan mahdollisena kohderyhmänä kiinnostavia. Laite- ja palvelujärjestelmätoimittajiin kohdistuessaan toteutunut palvelunestohyökkäys synnyttää merkittävän mainehaitan. Kyberhyökkäysoperaatioiden valmisteluvaiheet voivat olla hyvinkin pitkäkestoisia, jolloin useiden eri investoivien maatilojen kautta pyritään levittämään haitallinen materiaali kohderyhmän laitteisiin ja tietoverkkoihin. Varsinkin rakennusprojektin loppuvaiheessa, kun tehdään laiteasennuksia, investoivalla maatilalla on töissä paljon eri yritysten henkilökuntaa. Nykyaikaisissa rakennusprojekteissa aikataulut työjärjestyksineen ovat yleensä tiukkoja ja harvoin selvitään ilman muutoksia. Niinpä tavoitteelliselle kyberuhkatoimijalle voi avautua mahdollisuuksia haitallisen materiaalinsa levittämiselle niin investoivan maatilan kuin varsinaisen kohderyhmän kyberturvallisuuspuutteita hyödyntäen.

Investoivan maatilan kannalta on tärkeää tunnistaa heti projektin alkuvaiheessa maatilan tieto- ja viestintätekniikkaa hyödyntävä laitekanta sekä niiden käyttämät tietoliikenneyhteydet. Seuraavaksi tulisi päättää tarvitaanko kaikkia kyseisiä laiteita ja yhteyksiä rakennusprojektin aikana, sillä maatilan kannalta on tärkeää hallita omien laitteidensa ja yhteyksiensä toiminta sekä niiden käyttöturvallisuus. Tarvitaanko esimerkiksi kaikkia valvontakameroita ja onko niiden näkyminen verkkoon päin rajoitettu? Mitkä ovat maatilan langattomien tietoverkkojen nykyiset käyttöoikeudet ja miten niitä pitäisi muuttaa? Tarjotaanko rakennusajaksi vierasverkon työntekijöille ja vierailijoille, jotta vähennetään matkapuhelinverkon kuormitusta? Riskienhallinnan näkökulmasta rakennusprojektin läpivienti edellyttää investoivalta maatilalta selkeää oman turvallisuuskulttuurin rakentamista. Kyberturvallisuuden näkökulmasta se lähtee liikkeelle perusasioista; käyttöoikeuksista, salasanoista, ohjelmistojen sulkemisesta, kun niitä ei käytetä sekä kulkemisen rajoittamisesta vain niille alueille missä se on välttämätöntä.

Jyrki Kataja

biotalouden asiantuntija

Jyväskylän ammattikorkeakoulu

Elintarvikeketjun kyberturvallisuus -hanke