Sähköyhtiöt kamppailevat pirstaloitumisen ja siilojen kanssa, mikä estää virtaviivaisen lähestymistavan vaatimustenmukaisuuteen. Tarvitaan vankempi perusta, mutta miten tämä voidaan tehdä?
Kate O'Flaherty
Sähköyhtiöt ylläpitävät lukuisia erilaisia järjestelmiä, joista monia ei koskaan ollut tarkoitettu yhdistettäviksi internetiin. Ei siis ole yllätys, että tietoverkkojen – ja alueen säännösten noudattaminen – ovat edelleen yksi alan suurimmista haasteista.
In 2010, Stuxnet-mato osoitti kyberhyökkäyksen aiheuttaman todellisen uhan alalle sen jälkeen, kun Iranin ydinohjelmassa käytetyt sentrifugit tuhottiin. Viime aikoina Venäjän ja Ukrainan välisessä sodassa on nähty useita valtion tukemia kyberhyökkäyksiä Ukrainaan. sähköverkkoSamaan aikaan Yhdysvalloissa vesiala on myös ollut hyökkäyksen kohteena.
Tällaisten hyökkäysten kasvava riski ja niiden tuhoisat seuraukset ovat johtaneet useisiin säädöksiin, joiden tarkoituksena on vahvistaa yleishyödyllisten laitosten turvallisuutta, mukaan lukien EU:n verkko- ja tietojärjestelmädirektiivi 2 (NIS2) ja Iso-Britannia Kyberturvallisuus- ja sietokykylaki.
Kun sähkölaitokset pyrkivät noudattamaan näitä useita sääntöjä, jotkut ovat arvostelleet alaa hitaasta sopeutumisesta. Itse asiassa äskettäin blogi Ernst & Youngin mukaan korostuu tarve tekoäly (Tekoäly) -teknologiaa monimutkaisten riskienhallintastrategioiden hallintaan ja vaatimustenmukaisuuden varmistamiseen.
Mutta onko työkalujen lisääminen todella ratkaisu toimialalla, joka jo ennestään kamppailee pirstaloitumisen ja siilojen kanssa?
Sääntelyn vauhdissa pysyminen
Monet asiantuntijat sanovat ei. Sen sijaan sähkölaitokset tarvitsevat yhtenäisen, suunnitellun vaatimustenmukaisuusverkoston, joka vastaa niiden ylläpitämien fyysisten järjestelmien monimutkaisuutta. Tämä alkaa perustusten korjaamisesta sen sijaan, että uusia teknologioita kerrostettaisiin vanhojen pirstaloituneiden järjestelmien päälle.
Viimeaikaiset sähkölaitoksiin vaikuttaneet kyberongelmat korostavat haastetta, joka ulottuu sääntelyn seuraamista pidemmälle. Sähkölaitoksiin kohdistuva paine on todellinen, mutta se ei johdu siitä, että säännöt muuttuvat nopeammin kuin organisaatiot pystyvät reagoimaan.
Se johtuu siitä, että pirstaloituneesta ja irrallisesta vaatimustenmukaisuudesta ja riskien omistajuudesta aiheutuvat kustannukset "nousevat nopeammin kuin sähköyhtiöt pystyvät kattamaan", kertoo Darren Guccione, Keeper Securityn toimitusjohtaja ja perustajajäsen. IO.
Sähkölaitokset käyttävät joitakin maailman toisiinsa kytkeytyneimmistä fyysisistä järjestelmistä. Silti kyberturvallisuutta, toiminnan kestävyyttä, yksityisyyttä, kolmansien osapuolten pääsyä tietoihin ja määräysten noudattamista koskevat prosessit ovat usein irrallaan toisistaan.
"Kyberturvallisuus, toimintatekniikka ”(OT)-tietoturva-, yksityisyys-, tarkastus- ja sääntelytiimit on usein organisoitu rinnakkaisiksi toiminnoiksi, joilla kullakin on omat valvontansa, työkalunsa ja raportointilinjansa, mutta yhteinen näkyvyys tai koordinointi on rajallista”, Guccione huomauttaa. ”Tämä pirstaloituminen luo todellista altistumista.”
Nämä siilot johtavat ”huonoon kommunikaatioon, päällekkäiseen työhön, väärinkäsityksiin ja hitaaseen päätöksentekoon”, sanoo Tracey Hannan-Jones, UBDS Digitalin tietoturvakonsultoinnin johtaja. ”Niinpä kun uusia määräyksiä tulee, jokainen osasto tulkitsee ja sitten toteuttaa muutoksia eri tavalla – tai ei ollenkaan – mikä johtaa epäjohdonmukaisuuksiin, tehottomuuksiin ja huonosti suunniteltuihin vaatimustenmukaisuuskehyksiin.”
”Teknisen velan” käsite ohjelmistoissa – oikotiet, jotka luovat tulevia kustannuksia korolle – ”sopii täydellisesti vaatimustenmukaisuuteen”, sanoo Rayna Stamboliyska, RS Consultingin toimitusjohtaja. ”Joka kerta, kun sähkölaitos asettaa uuden sääntelyvaatimuksen pirstaloituneisiin olemassa oleviin järjestelmiin sen sijaan, että se uudistaisi perustan, organisaatio kerryttää ’vaatimustenmukaisuusvelkaa’. ’Pirstaloitumisen kustannukset’ ovat itse asiassa korkomaksuja ’vaatimustenmukaisuusvelasta’ – ja Ison-Britannian sähkölaitokset maksavat korkoa korolle pienentämättä pääomaa.”
Alle työkaluilla
Mikään määrä uutta teknologiaa ei voi ratkaista ongelmaa – varsinkaan jos se yksinkertaisesti asennetaan pirstaloituneiden järjestelmien päälle.
Vuonna 2024 suuryritykset käyttivät keskimäärin 45 kyberturvallisuustyökalua GartnerTämä osoittaa, että ”alityökalujen saatavuus” ei ole ydinongelma, sanoo Rik Ferguson, Forescoutin tietoturvatiedustelujohtaja. ”Paperilla työkalujen monipuolisuus voi näyttää vakuuttavalta. Käytännössä se luo usein toisenlaisen ongelman: tietoturvaympäristön, joka on kiireinen, meluisa ja vaikeasti hallittava kokonaisuutena.”
Fergusonin mukaan hallitukset näkevät usein laajoja työkaluja ja olettavat kattavuuden olevan kattava. ”Turvallisuustiimit puolestaan käyttävät valtavasti aikaa tiedon kokoamiseen, hälytysten validointiin ja sellaisen toiminnan jäljittämiseen, joka ei aina johda mitattavaan riskien vähentämiseen.”
Tässä monimutkaisessa ympäristössä organisaatiot saattavat pitää tekoälyä "pelastajana". Tämä ei kuitenkaan tule koskaan toimimaan, koska tekoäly menestyy "korkealaatuisen, integroidun datan" avulla, sanoo UBDS Digitalin Hannan-Jones. "Pirstaleisissa laitoksissa data on usein heikkolaatuista, hajallaan, epäjohdonmukaista tai saavuttamattomissa. Ilman yhtenäistä dataa tekoälymallit voivat tuottaa vain rajallisia tai epäluotettavia tietoja."
Toinen huomioon otettava tekijä on, että tekoäly ei voi korjata organisaatioiden siiloja, Hannan-Jones sanoo. ”Tekoäly voi automatisoida tehtäviä tai luoda suosituksia, mutta se ei voi pakottaa osastoja yhteistyöhön tai tiedon jakamiseen.”
Virtaviivainen lähestymistapa
Pelkkien uusien työkalujen lisäämisen sijaan sähköyhtiöiden tulisi pyrkiä virtaviivaistettuun lähestymistapaan vaatimustenmukaisuuden saavuttamiseksi. Tämä voi auttaa helpottamaan keskitettyä organisointia, paikallista vastuullisuutta, yhdenmukaista valvontaa, jatkuvaa seurantaa ja integroitua riskien hallintaa.
Osana tätä standardointi tarjoaa Hannan-Jonesin mukaan ”yhtenäisen sanaston ja menettelytavat” riskien, turvallisuuden, yksityisyyden ja tekoälyn hallintaan. Esimerkiksi ISO 27001 kattaa tietoturvan, ISO 22701 yksityisyydestä ja ISO 42001 tekoälyn hallintaa.
Nämä viitekehykset edellyttävät selkeää roolien ja vastuiden jakoa keskitetyn lähestymistavan avulla. Tämä varmistaa, että kaikki tietävät kuka on vastuussa mistäkin, mikä parantaa koordinointia ja viestintää sekä vähentää aukkoja, Hannan-Jones sanoo. ”Organisaatiot voivat sitten ottaa käyttöön dokumentoidut, toistettavat prosessit riskienarviointia, tapauksiin reagointia ja jatkuvaa parantamista varten”, hän selittää.
Samaan aikaan, koska ISO-standardit ovat riskiperusteisia, ne edellyttävät organisaatioilta riskien kokonaisvaltaista tarkastelua siiloutuneena rakenteensa sijaan. Riskienhallinnan yhdenmukaistaminen liiketoimintatavoitteiden kanssa varmistaa, että kaikki osastot "työskentelevät samojen tavoitteiden saavuttamiseksi johdonmukaisella lähestymistavalla", Hannan-Jones sanoo.
Hannan-Jonesin mukaan organisaation virtaviivaistamisen ensimmäinen askel on kartoittaa ja standardoida ydinprosessit. ”Dokumentoi kaikki organisaation keskeiset työnkulut, mukaan lukien omaisuudenhallinta, kunnossapito, häiriötilanteisiin reagointi ja riskienhallinta. Tämä luo selkeyttä, paljastaa päällekkäisyyksiä, tunnistaa aukkoja ja tarjoaa vahvan perustan standardoinnille.”
Hannan-Jonesin mukaan on tärkeää varmistaa, että kaikki, myös johto, ovat mukana. ”Ylemmän johdon on puolustettava yhtenäistä vaatimustenmukaisuuteen liittyvää lähestymistapaa, viestittävä sen arvosta ja kohdennettava resursseja. Jatkuva muutos edellyttää näkyvää tukea johdolta ja selkeää viestintää koko organisaatiossa.”
Vaatimustenmukaisuuden edut
Vaikka haasteita on edelleen, sääntely ei monimutkaistu. Sen sijaan se paljastaa, kuinka sotkuisiksi ja hauraiksi sisäiset rakenteet ovat tulleet. Sähkölaitoksissa riskistä tulee voimavara vain, kun sitä kohdellaan kuin itse sähköverkkoa: toimivana järjestelmänä, joka on yhteydessä toisiinsa, jota valvotaan jatkuvasti ja joka on suunniteltu kestämään.
Hyödyt ovat selvät: Kun vaatimustenmukaisuus koordinoidaan ja integroidaan, sähkölaitokset saavat nopeamman sääntelyyn reagoinnin, vahvemman kyberturvallisuusaseman, luotettavampia tekoälymalleja, paremman varmuuden hallitukselta sekä vähentyneet päällekkäisyydet ja kustannukset.
Koordinoitu ja integroitu vaatimustenmukaisuus antaa yrityksille mahdollisuuden ”toimintakapasiteetin takaisinsaamiseen”, jotta ne voivat suunnata energiansa tietoturvatulosten parantamiseen, sanoo Conor Sherman, Sysdigin tietoturvajohtaja. ”Voit sitten käyttää aikasi sähköverkon sietokyvyn parantamiseen sen sijaan, että väitelisit tilintarkastajalle näytettävän kuvakaappauksen alkuperästä.”
