Artikkeli   10 marraskuuta 2023

Vesihuoltoala – mitä uutta NIS2 tuo mukanaan?

Uusi NIS2-direktiivi on kaikkien aikojen kattavin eurooppalainen direktiivi tietoturvariskeille, sillä yhä useammalla alalla on riskien ja virheiden hallinta sekä kovemmat rangaistukset sääntöjen noudattamatta jättämiselle. Vedenhuoltoala mielletään keskeiseksi sektoriksi tulevassa NIS2-direktiivissä, koska häiriö tällä alalla voisi aiheuttaa vakavia seurauksia koko yhteiskunnan tasolla.

Turvallisuus
Tietoturva
NIS2
Vesihuoltoala – mitä uutta NIS2 tuo mukanaan?

Kuva: Piqsels.com (royalty free)

Vesihuoltoala on keskeinen ala, joka on vastuussa puhtaan ja turvallisen veden jakelusta koko yhteiskunnalle. Samalla se hallinnoi ja puhdistaa jätevettä. Tämä sektori kuitenkin kohtaa monenlaisia kyberturvallisuushaasteita. Piiloon jääneet haavoittuvuudet johtuvat kuitenkin yksinkertaisesta faktasta – monet vesiratkaisut ja jakelujärjestelmät oli suunniteltu ennen kuin kyberturvallisuudesta tuli haaste. Tämän takia monet vesihuoltolaitokset ja jakelukanavat sijaitsevat syrjäisillä tai turvattomilla alueilla, minkä johdosta ne ovat haavoittuvaisia fyysisiin hyökkäyksiin, jotka voivat aiheuttaa häiriöitä järjestelmiin.

Monet vesi- ja jätevesiyksiköt kärsivät resurssipulasta, sillä heidän tulisi investoida lahjakkaaseen kyberturvallisuushenkilökuntaan tai huoltaa tehokasta turvallisuusjärjestelmää. Sillä on muiden alojen tavoin riski sisäpiiririskeihin samoin kuin kolmannen osapuolen riskeihin, sillä tämän sektorin monet toimittajat käyttävät usein kolmannen osapuolen myyjiä. Tämä ratkaisu mahdollistaa pääsyn hyökkäyksille. Kontrollijärjestelmät hallitsevat kriittisiä teknisiä prosesseja vedenhuoltokäsittelyssä ja jakeluprosessissa. Järjestelmät ovat usein kytkettynä nettiin, minkä johdosta ne ovat alttiita hyökkäyksille.  

Sektorin erityishaasteita

Vesihuoltoala tulee todennäköisesti saamaan vaikutteita NIS2-direktiivistä usealla eri tavalla. Vesihuoltoala saattaa joutua investoimaan rankasti kyberturvallisuusmittareihin, jotta se onnistuu vastustamaan kyberhyökkäyksiä. Tämä tarkoittaa, että heidän tulee lisätä budjetissaan resursoituja varoja kyberturvallisuuden mittareita varten. Niihin lukeutuvat esimerkiksi teknologian päivittäminen, uusien turvallisuustyökalujen hankkiminen ja työntekijöille tarkoitettujen koulutusten tarjoaminen. Tämä voi vastavuoroisesti stimuloida kysyntää kyberturvallisuuspalveluille, lisätä kilpailua ja innovointia.

Lisäksi vesihuoltoalan tulee mukauttaa heidän prosessikäytäntönsä NIS2-direktiivin kyberturvallisuusvaatimusten mukaisiksi. Sektori edellyttää, että NIS2-direktiivi painottuu koordinoimaan eri sektoreita ja vesihuoltoalan tulee toimia yhteistyössä muiden alojen kanssa kehittääkseen ja implementoidakseen erilaisia kyberturvallisuusstrategioita.

Kyberturvallisuuskoulutus – yksi 10 tärkeimmästä kyberhygieniatekijästä

NIS2-direktiivi edellyttää, että vesihuoltosektori ja muut 'kriittiset ja tärkeät toimielimet' implementoivat 10 perustavanlaatuista turvallisuustekijää, jotta ne hoitavat asianmukaisesti erilaiset kyberuhat. 

- Tietojärjestelmien riskienarvioinnin ja turvallisuuskäytännöt.
- Käytännöt ja menettelyt turvallisuustoimien tehokkuuden arvioimiseksi.
- Käytännöt ja menettelyt salaustekniikan käyttämiseksi.
- Suunnitelma turvallisuudessa tapahtuvien vaaratilanteiden käsittelemiseksi.
- Turvallisuus järjestelmän hankinnan ja kehityksen sekä järjestelmien toimintaan liittyen.
- Turvallisuustoimenpiteet työntekijöille, joilla on pääsy arkaluontoisiin tai tärkeisiin tietoihin.
- Suunnitelma liiketoiminnan yksikön toimimiseen turvallisuusvaaratilanteen aikana ja sen jälkeen.
- Monivaiheisen tunnistamisen käyttö.
- Toimitusketjujen välinen turvallisuus ja suhteet yrityksen ja suorien toimittajien välillä.
- Kyberturvallisuuskoulutus ja käytäntö ovat keskeisiä IT-hygienian käyttöä varten.

Kyberturvallisuuskoulutus ei ole vain “listalla”. On tunnettu fakta, että tietoisuuskoulutus on tärkeässä osassa organisaation turvallisuuskoulutuksen luomisessa. Sitä tarvitaan, jotta organisaatiot voivat seurata monia muita turvallisuustoimia, joita NIS2 omaa vaatimuksissaan. Ilman ympäri vuoden kestävää tietoisuuskoulutusta monet operatiiviset toiminnot epäonnistuvat pikku hiljaa, mikä johtuu inhimillisistä virheistä.   

Meillä on uusi ja päivitetty versiomme tietoturvatietoisuuden koulutuksista. Se on tarkoitettu kaikille työntekijöille, esimiehille, johdolle ja hallituksille NIS2-direktiivin soveltuvuuden mukaisesti.

Tai miksi et aloittaisi meidän NIS2-direktiivin johdannon kurssiamme? Sen tarkoituksena on antaa johdollenne parempi ymmärrys, mitä sinun organisaatiosi tarvitsee ollakseen NIS2-direktiivin mukainen.

 

Artikkeli   10 marraskuuta 2023