Sisältöön

IT & OT -ajattelu - SecMeter

Ohita valikko
Ohita valikko

IT & OT -ajattelu

Yritysturvallisuus > IT & OT
IT & OT -ajattelu



IT & OT -ajattelu (Information Technology & Operational Technology) liittyy kokonaisvaltaiseen näkemykseen siitä, miten tietotekniikka ja operatiivinen tuotanto- sekä prosessiteknologia suunnitellaan, johdetaan ja integroidaan toisiinsa. Kyse ei ole vain teknisestä yhdistämisestä, vaan myös toimintamalleista, riskienhallinnasta ja organisaatiokulttuurista.

Yritysten toimintaympäristö on viime vuosina muuttunut perustavanlaatuisesti. Digitalisaatio, automaatio, etäkäyttö, datalähtöinen päätöksenteko ja kasvavat kyberturvallisuusuhat ovat tuoneet tietotekniikan (IT) ja operatiivisen teknologian (OT) yhä lähemmäksi toisiaan. Aiemmin selkeästi erilliset maailmat ovat konvergoituneet tavalla, joka tarjoaa merkittäviä liiketoimintahyötyjä, mutta samalla luo uusia, aiempaa monimutkaisempia riskejä.

IT & OT -ajattelu ei ole yksittäinen tekninen ratkaisu tai projekti, vaan kokonaisvaltainen tapa suunnitella, johtaa ja hallita yrityksen digitaalisia ja fyysisiä järjestelmiä yhtenä kokonaisuutena, kuitenkin tunnistaen niiden erilaiset vaatimukset ja reunaehdot.
IT & OT -ajattelun synty ja merkitys
Perinteisesti IT ja OT ovat toimineet erillisinä siiloina:

  • eri henkilöstö
  • eri budjetit
  • eri toimintakulttuurit

Digitalisaation myötä nämä rajat ovat murtuneet. Tuotantodata halutaan analytiikkaan, kunnossapitoa halutaan ennakoivaksi ja järjestelmiä halutaan valvoa etänä. Tämä on johtanut IT/OT-konvergenssiin, jossa OT-järjestelmät liitetään IP-verkkoihin ja osaksi yrityksen laajempaa digiekosysteemiä.

IT & OT -ajattelun ydin on ymmärrys siitä, että:

  • järjestelmät ovat teknisesti yhteydessä toisiinsa
  • riskit ja vastuut kytkeytyvät toisiinsa
  • arvo syntyy hallitusta yhteispelistä, ei erillisistä optimoinneista

IT (Information Technology)
IT-järjestelmien ensisijainen tehtävä on käsitellä tietoa ja tukea liiketoimintaprosesseja. Tarkoituksena on tiedon käsittely, tallennus ja jakaminen. Tyypillisiä järjestelmiä ovat muun muassa ERP, CRM, pilvipalvelut, sähköposti, toimistoverkot.

Painopisteet:

  • Tietoturva (luottamuksellisuus, eheys, saatavuus)
  • Joustavuus ja päivitettävyys
  • Käyttäjä- ja datakeskeisyys

OT (Operational Technology)
OT-järjestelmät ohjaavat ja valvovat fyysisiä prosesseja. Tarkoituksena on fyysisten prosessien ohjaus ja valvonta. Tyypillisiä järjestelmiä ovat muun muassa PLC:t, SCADA, DCS, BMS, teollisuusautomaatio

Painopisteet:

  • Saatavuus ja jatkuvuus (downtime on kriittinen)
  • Reaaliaikaisuus ja determinismi
  • Turvallisuus fyysisen prosessin näkökulmasta

Determinismillä tarkoitetaan järjestelmän tai prosessin ominaisuutta, jossa sama syöte ja samat olosuhteet tuottavat aina saman lopputuloksen ennalta määrätyssä ajassa. Toisin sanoen järjestelmän käyttäytyminen on ennustettavaa, toistettavaa ja ajallisesti hallittua.

Konvergenssi (IT/OT convergence)
IT & OT -ajattelun käytännön ilmentymä on konvergenssi:

  • OT-järjestelmät liitetään IP-verkkoihin
  • Tuotantodata viedään analytiikkaan ja pilveen
  • Etäkäyttö, ennakoiva kunnossapito ja digital twin -ratkaisut yleistyvät

Hyödyt

  • Parempi näkyvyys tuotantoon
  • Tehokkaampi kunnossapito
  • Dataperusteinen päätöksenteko

Haasteet

  • Kyberturvallisuuden monimutkaistuminen
  • OT-laitteiden pitkä elinkaari
  • Eriävät vastuut (IT vs. tuotanto)

Kyberturvallisuus IT & OT -ajattelussa
IT & OT -ympäristöjen suojaaminen vaatii erilaista lähestymistapaa:

  • IT, päivitykset, patchaus, nopeat muutokset
  • OT, muutokset harkiten, testaus kriittistä

Tyypillisiä periaatteita

  • Verkkojen segmentointi (IT / DMZ / OT)
  • Vähimmän oikeuden periaate
  • Selkeä vastuunjako IT:n ja OT:n välillä
  • Riskiperusteinen turvallisuus (IT-mallit ei sellaisenaan OT:hen)

Yleisiä viitekehyksiä

  • IEC 62443
  • NIST CSF (OT-laajennuksilla)
  • Zero Trust – sovellettuna OT-ympäristöihin

Organisatorinen näkökulma
IT & OT -ajattelu ei ole vain tekninen kysymys:

  • IT ja tuotanto toimivat usein eri kulttuureilla
  • Päätöksenteko, budjetointi ja vastuut eroavat

Onnistuminen vaatii:

  • yhteisen kielen
  • yhteiset tavoitteet
  • selkeän hallintamallin

Monissa organisaatioissa puhutaan jo Digital Operations tai Cyber-Physical Systems -ajattelusta IT/OT-jaon sijaan.

Tiivistettynä
IT & OT -ajattelu tarkoittaa:

  • ymmärrystä IT:n ja OT:n erilaisista vaatimuksista
  • tietoista ja hallittua integraatiota
  • riskien ja liiketoimintahyötyjen tasapainottamista
  • teknologian, turvallisuuden ja organisaation yhteensovittamista
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön