Astut pubiin, tilaat tuopillisen lempioluttasi. Baarimikko katsoo sinua ja sanoo: “Sitä ei ole saatavilla, joku toimitushäiriö”. Joudut tyytymään vaihtoehtoihin, tai janosi jää sammuttamatta. Ei tietenkään mikään kansallinen katastrofi, vaikka henkilökohtaisesti harmittaisikin.
Viittaan keveällä aasinsillallani japanilaisen panimojätin Asahi Group Holdingsin syyskuun lopussa tapahtuneeseen kyberhyökkäykseen. Isku pysäytti yhtiön tilausten käsittelyn ja jakelun kokonaan. Vaikka panimolinjat olivat toimintakuntoisia, tuotanto jouduttiin pysäyttämään, koska tilaus- ja jakelujärjestelmät halvaantuivat.
Käydäänpä Asahin tapausta hieman läpi.
Kyberhyökkäys rampautti yhtiön logistiikasta vastaavat järjestelmät. Muutamassa päivässä Asahin suositun Super Dry -oluen varastot uhkasivat ehtyä kaupoissa ja baareissa. Tuote on Japanissa ikoninen ja sillä on massiivinen menekki. Nyt kilpailevat panimot saivat tavallista enemmän kyselyjä korvaavista tuotteista, ja izakaya-baareissa varauduttiin vaihtamaan hanaoluet kilpailijoiden merkkeihin. Lisäksi häiriö pakotti yhtiön lykkäämään kymmenen uuden juoma- ja elintarviketuotteen lanseerausta. Myös yhtiön osakekurssi sukelsi pörssissä, ja laskua kertyi viikon aikana noin 7 % yhtiön arvosta. Tämä tulee kalliiksi.
Asiantuntijat arvioivat laajan järjestelmähäiriön viittaavan kiristyshaittaohjelmaan (ransomware). Hyökkääjät lamauttivat tilaustenhallinnan ja jakelun eli juuri ne kriittiset järjestelmät, joiden varassa moderni just-in-time -logistiikka pyörii.
Tämä myrsky olutlasissa on oiva esimerkki toimitusketjujen digitaalisesta haavoittuvuudesta sekä kyberhäiriöiden laajemmista vaikutuksista markkinoihin ja kuluttajiin.
Vaikka juuri oluen saatavuus ei ole huoltovarmuuskysymys, laajat toimitusketjun häiriöt vaikuttavat silti kansallisella tasolla esimerkiksi toimialan työpaikkoihin.
Asahi-hyökkäys Japanissa muistuttaa Britanniassa tapahtunutta Jaguar Land Roverin (JLR) kyberiskua. Molemmissa tapauksissa yksi onnistunut hyökkäys halvaannutti toimitusketjun: JLR:llä tuotanto pysähtyi yli kuukaudeksi, ja Asahilla oluen jakelu pysähtyi. Jokainen seisokkipäivä tarkoittaa menetettyä markkinaosuutta ja luottamuksen rapautumista.
Yhteistä molemmille tapauksille on modernin, pitkälle digitalisoituneen toimitusketjun ja toimintaympäristön alttius haavoittuvuuksille. Vaikka integroitu tuotanto- ja jakelujärjestelmä tuo huimaa tehokkuutta, siitä voi tulla samalla kriittinen yksittäinen heikko lenkki.
Miten vahvistaa toimitusketjua
Tarkastellaan mitä oppeja suomalaisen yritysjohdon ja tietoturvavastaavien kannattaa poimia näistä toimitusketjuun kohdistuneista hyökkäyksistä.
1. Tietojärjestelmät, tietoverkot ja toimitusketjut ovat toiminnan selkäranka – jos osa pettää, kokonaisuus romahtaa
Erityisesti just-in-time-tyyppiseen tuotantoon nojaavilla aloilla pienetkin häiriöt kumuloituvat nopeasti suuriksi. Asahin tapauksessa moderni, varastoja minimoiva tuotantomalli johti siihen, että oluen saatavuus romahti todella nopeasti.
Euroopassa näihin toimitusketjua koskeviin uhkiin on reagoitu vuonna 2024 voimaan tulleella NIS2-direktiivillä, joka velvoittaa kriittisiä toimialoja – mm. terveydenhuoltoa, energiaa, liikennettä ja myös elintarvike- ja juomahuoltoa – toteuttamaan vahvempaa riskienhallintaa ja varmistamaan toimitusketjujen turvallisuuden. Tämä olisi osaltaan voinut rajata vahinkoja sekä Asahilla että Jaguar Land Roverilla. (Lue NIS2-kirjoitukseni.)
2. Varautumissuunnitelmat on laadittava ja testattava etukäteen
Analogisten varajärjestelmien tarpeesta monissa yrityksissä on ehkä kuviteltu, että ”kyllä tuotanto pyörii hetken ilman IT:täkin”, mutta moderneissa tuotantoympäristöissä tämä harvoin pitää paikkaansa, ainakaan ilman ennakkosuunnittelua.
Asahi siirtyi tilapäisesti käsittelemään tilauksia osin käsipelillä, puhelimella ja paperikirjanpidolla. Tämä on osa kriisinhallintaa. Jokaisella yrityksellä tulisi olla kunnollinen varasuunnitelma siitä, miten toimitusketju saadaan toimimaan järjestelmähäiriön kohdatessa.
Nyt on erinomainen hetki päivittää jatkuvuussuunnitelmat kyberajan vaatimuksiin: mikä on suunnitelma B, jos keskeinen järjestelmä kaatuu? Onko manuaalisia toimintamalleja olemassa, ja onko niitä harjoiteltu? Simuloi hyökkäys ja testaa varautumissuunnitelmat säännöllisesti.
3. Estä hyökkäyksen vaikutusten laajeneminen
Harva organisaatio toimii eristyksissä, ja siksi kyberiskun vaikutukset voivat levitä nopeasti koko ekosysteemiin. Kun Asahin jakelu pysähtyi, se vaikutti kauppoihin, baareihin, ravintoloihin ja lopulta kuluttajiin. Oli sitten kyseessä olut tai vaikka lääkkeet, komponentit tai ruoka-aineet: toimitusketjujen heikkoudet laajenevat nopeasti ympäristöönsä.
Siksi tietoturvallisuuden varmistamiseen kuuluu verkkojen ja järjestelmien segmentointi. Yhden kriittisen järjestelmän häiriö ei saa kaataa yrityksen toimintaa eikä vaikuttaa negatiivisesti laajalle ekosysteemiin ja yhteiskuntaan.
Huolehdi myös, että kriittiset järjestelmät ovat varmuuskopioitu (eri verkkoon ja ympäristöön kuin itse järjestelmä) tai jopa kahdennettu eri sijainteihin.
4. Kyberturvallisuus kuuluu koko organisaatiolle
Kyberturvallisuuden varmistaminen on CISOjen ja IT-osaston vahvaa aluetta, mutta asia kuuluu jokaiselle, myös ylimmälle johdolle. Näin määrittää jo kyberturvallisuuslakikin. Johdon tulee ymmärtää kyberturvallisuuden riskit ja merkitys liiketoiminnalle. Nämä esimerkit tuovat tähän konkretiaa.
Kyberturvallisuuden näkökulmat tulee ottaa osaksi yrityksen kokonaisturvan suunnittelua. Tekoäly tuo tähän yhtälöön paljon lisää huomioitavaa: tekoäly nopeuttaa hyökkäysketjua ja hyökkäyspinta kasvaa (kirjoitin tästä aiemmin).
Kasvattakaa kybertietoisuutta koko organisaatiossa. Järjestä säännöllisiä koulutuksia ja tietoturvaharjoituksia. Tavoitteena on, että jokainen tietää oman roolinsa kyberresilienssin varmistamisessa.
Digitaalinen resilienssi ja sen hinta
Digitaalisen resilienssin, tai kyberresilienssin, rakentaminen vaatii investointeja, mutta ne tulevat lopulta halvemmaksi kuin kyberiskun aiheuttamat vahingot ja kustannukset. On perin inhimillistä, että jos iso haaveri ei ole koskaan osunut omalle kohdalle, riskien toteutumisen todennäköisyys koetaan pieneksi ja suojaustoimiin panostaminen helposti siirtyy ”ensi vuoteen”.
Nyt on kuitenkin nähtävissä, että kyberiskujen määrä kasvaa ja se, miten kalliiksi tällainen hyökkäys voi tulla sekä organisaatiolle että yhteiskunnalle. Hyvä varautuminen on pieni hinta.
Ehdotan seuraavia konkreettisia toimia →
□ Järjestä yhteispalaveri → IT-johtaja + toimitusjohtaja + CISO/tietoturvavastaava
□ Kysy palaverissa ”milloin viimeksi testasimme kriisisuunnitelmaamme?”
□ Listaa kolme kriittisintä järjestelmääsi ja kuvaa niiden varajärjestelyt
□ Tarkista ovatko varmuuskopiot erillään tuotannosta?
□ Pyydä tarjous ISO 27001 -kartoituksesta tai -sertifioinnista (soita minulle)
ISO 27001 -sertifioinnissa on kyse 360 asteen näkymästä organisaation tietoturvallisuuteen ja riskeihin. Kun systemaattinen tietoturvallisuuden hallintamalli on käytössä, kriittiset heikkoudet huomataan ja korjataan ajoissa.
Japanissakin toivottavasti päästään pian nauttimaan kyberturvallisesti tuotettuja ja toimitettuja oluttuopillisia.
Kippis!
Ville
Into Security seuraa tiiviisti kansainvälistä kyberturvallisuuskeskustelua ja -kehitystä. Autamme suomalaisyrityksiä ja julkishallintoa rakentamaan digitaalista resilienssiä ja korkeatasoista kyberturvaa.
PS. Japanin tapauksesta lisää muun muassa täällä →
Industrial Cyber: Brewer Asahi suspends domestic operations after cyberattack disrupts ordering and shipping
BBC: Japan faces Asahi beer shortage after cyber-attack
The Guardian: Japan days away from running out of Asahi Super Dry due to cyber attack