Suunnittelu- ja konsulttipalvelut (Tutkimus- ja kehitystoiminta)
Tiedonhallinta, tietojärjestelmät, digitalisaatio (Kyberturvallisuuspalvelut, Turvallisuus- ja valvontajärjestelmät)
Energiajärjestelmän kyberuhkia tutkiva pohjoismainen REDISET-hanke päättyy
Tutkimushankkeen tuottama käsikirja auttaa yrityksiä ja muita toimijoita varautumaan kyberuhkiin
Kuva: Pexels
Pohjoismaisen REDISET-hankkeen viimeisessä työpaketissa on tutkittu ihmisen osallisuutta ja sosiaalisen manipulaation vaikutuksia kyberturvallisuuteen. Tutkimustuloksista on koottu käsikirja ja tarkastuslista avuksi kyberuhkiin varautumiseen.
MAALISKUUSSA 2022 käynnistynyt pohjoismainen
Resilient
Digital Sustainable Energy Transition -tutkimushanke
(REDISET) on loppusuoralla. Hankkeessa kantaverkkoyhtiöt,
puolustusvoimat ja tutkimuslaitokset ovat tuottaneet ainutlaatuista
tieteidenvälistä kyberteknissosiaalista ymmärrystä tulevaisuuden
energiajärjestelmien haavoittuvuuksista ja niihin
varautumisesta.
”Tutkimustuloksista
on koottu
käsikirja ja tarkastuslista
avuksi kyberuhkiin
varautumiseen.
Vuoden 2023 jälkipuoliskolla alkaneesta neljännestä työpaketista
on vastannut Vaasan yliopisto, jonka tiimi on tutkinut
ihmisten osallisuutta ja sosiaalisen manipuloinnin vaikutuksia
energiaverkon kyberturvallisuuteen. Tutkimuksen pohjalta
julkaistaan ohjeistus sosiaalisen manipuloinnin tunnistamiseen
sekä konkreettinen tarkastuslista avuksi yritysten ja muiden
organisaatioiden päätöksentekijöille.
Kuva: Vaasan Yliopisto
REDISET-hankkeen projektipäällikkö, tutkijatohtori Petra Berg Vaasan yliopiston markkinoinnin ja viestinnän yksiköstä
sekä VEBIC-tutkimus- ja innovaatioalustasta toteaa kaikkialle
ulottuvan kybertason tekevän yksilöistä ja yhteiskunnasta
sosiokulttuurisesti
hyvin haavoittuvaisia. Kokonaisuuden ja
tulevaisuuden hallitsemiseksi tarvitaan uudenlaista tutkimusta,
koulutusta ja isojen yritysten vastuuta pienemmistä sekä toimitusketjuista.
Vaasan tutkimuspaketissa korostui
sosiaalinen ulottuvuus
Syksyllä 2023 ja alkuvuodesta 2024 REDISET-hankkeessa on
järjestetty työpajoja, joissa on luotu sidosryhmien kanssa riskimatriisi
erilaisten tapahtumien toteutumisen todennäköisyyksistä
ja seurauksista. Vaasassa työpajaan osallistui pääosin
energiasektorin edustajia, Ruotsissa painottui akateeminen
maailma, ja Norjassa mukana oli enimmäkseen sähköverkkojen
ja puolustusvoimien edustajia.
”Työpajoissa oli tavoitteena tunnistaa keskeiset funktiot
eri domainien eli toimialueiden sisällä. Jos esimerkiksi tulee
kyberhyökkäys, voiko se vaikuttaa ihmisten toimintaan? Kyllä
voi, ja päinvastoin, ihmisten toiminta voi saada aikaan kyberhyökkäykseen.
Kaikissa tapauksissa korrelaatiota ei kuitenkaan
ole”, tutkimusapulainen Linda Turtola kertoo.
”Tiivis sidosryhmäyhteistyö
on
auttanut tunnistamaan
yritysten näkökulmasta
keskeiset asiat.
Vaasa EnergyWeek tapahtumassa maaliskuussa 2024 järjestettiin
storytelling sessio energiasektorin kyberturvallisuudesta,
jossa paneelikeskusteluun osallistui eri alojen asiantuntijoita
energiasektorilta. Sosiaalisen manipuloinnin vaikutuksia
taas testattiin elokuussa 2024 järjestetyssä työpajassa. Lisäksi
Vaasan REDISET-tutkimustiimi esitteli tieteidenvälistä ja -sisäistä
tutkimustaan IST-konferenssissa Oslossa ja kyberuhkien vaikutuksia ja vaatimuksia liiketoiminnalle NFF-konferenssissa Islannissa.
Vaasan yliopiston REDISET-tiimiin kuuluvat mm. projektipäällikkö Petra Berg (oik.), projektitutkija Bahaa Eltahawy (2. oik.), tutkimusapulainen Linda Turtola ja apulaisprofessori Mazaher Karimi.
Kuva: Vaasan Yliopisto
Väitös- ja pro gradu -tutkimuksia
hankkeen ympärillä
Vaasan yliopiston REDISET-tiimiläiset ovat tehneet hankkeeseen
liittyen pro gradu ja väitöstutkimuksia. Tuotantotalouden
opiskelija Linda Turtola on tutkinut pro gradussaan, miten
NIS2-tietoturvadirektiivi ja toimitusketjun huomioimisvelvoite
vaikuttavat energiasektoriin ja erityisesti sähkönjakelijoihin.
Tiivis sidosryhmäyhteistyö on auttanut tunnistamaan yritysten
näkökulmasta keskeiset asiat.
”Tiedämme, miten jakeluketjun ensimmäinen porras toimii
ja noudattaa kyberturvallisuusvaatimuksia. Pidemmällä ketjussa
tämä ei kuitenkaan ole yhtä selvää. Vaatimusten täytäntöönpanon
ja teknologioiden nopea muutostahti haastaa eritysesti
pieniä yrityksiä, joiden haavoittuvuus voi aiheuttaa suuria
riskejä koko jakeluketjulle ja suurillekin yrityksille”, Turtola
sanoo.
Tutkimusavustaja, sähkötekniikan opiskelija Mansi Negi
tekniikan ja innovaatiojohtamisen yksiköstä tutki pro gradussaan
viestintätekniikan (IT) ja käyttötekniikan (OT) yhdistymistä
sähköpohjaisissa digitalisoiduissa energiajärjestelmissä. Painopiste
oli osaamisen haasteissa.
Kuva: Pexels
Projektitutkija, tutkijatohtori Bahaa Eltahawy tekniikan
ja innovaatiojohtamisen yksiköstä keskittyy keväällä 2025
valmistuvassa tietojärjestelmäalan väitöstutkimuksessaan
yksityisyyden suojaamiseen kyberavaruudessa. Painotus on
koulutuksessa ja aiheen huomioimisessa energiasektorilla.
REDISET-hankkeen tutkimustulokset esitellään Vaasan
yliopiston Robocoast-projektin kanssa yhteistyönä
toteutettavassa seminaarissa.
Sosiaalisen manipuloinnin käsikirja
ja tarkastuslista avuksi yritysten
kybervarautumiseen
REDISET-tutkimus on osoittanut, että energiajärjestelmän toimijoiden
kyberturvaan liittyvät ongelmat ovat samankaltaisia, mutta tieto- ja osaamistasoissa on suuria eroja. Vaikeuksia
aiheuttavat esimerkiksi yleinen Minä en ole ongelman aiheuttaja,
vaan muut -ajattelu ja se, että kyberturva-asioissa tiedetään
ja osataan usein luultua vähemmän.
”Tulevaisuuden
kyberturvallisuustutkimuksessa
kannattaa panostaa pienyritysten
näkökulmaan.
”Tutkimukseen osallistui esimerkiksi IT-osaajia, mutta
se ei välttämättä korreloinut suoriutumistasoon, koska
kybermaailmaan liittyy teknisen puolen ohella paljon muitakin
ongelmatasoja”,
Turtola kertoo.
”Organisaatioissa kukin on yleensä erikoisosaaja vain
omassa erikoisalueessaan. Nykymaailmassa olisi kuitenkin tarpeen
tietää kaikesta vähän kaikkea ja lisäksi saada tieto siirrettyä
osaamiseksi”, Berg sanoo.
Edellä kuvatun kaltaisia tekijöitä arvioiden Vaasan
REDISET-
tiimi on ryhmitellyt energiajärjestelmän toimijat viiteen
pääsegmenttiin ja luonut työkaluksi sosiaalisen manipuloinnin
tunnistamisen tarkastuslistan sekä kyberuhkiin varautumisen
käsikirjan. Käsikirja julkaistaan keväällä 2025.
”Tarkastuslista antaa käsityksen, mistä kohdasta käsikirjaa
kannattaa alkaa lukea. Käsikirja puolestaan kertoo, miten
mahdollisiin ongelmiin kannattaa varautua”, Berg sanoo.
Kuva: Pexels
Pienyritykset ja isojen tuki kriittisiä
tulevaisuudessa
Ihmisen osallisuuteen ja sosiokulttuuriseen ulottuvuuteen keskittynyt
REDISET-hankkeen neljäs vaihe on osoittanut, että
kaikkialle
ulottuvassa kybermaailmassakin kriittinen tekijä on
lopulta ihminen – yksilö, joka päätyy ongelmatilanteeseen ja
päättää, miten toimii.
”Järjestelmämme ovat edelleen melko keskitettyjä, ja tulevaisuuden
ratkaisujen hahmottaminen vaatii futuristista ajattelua.
Tutkimusta tarvitaan tuottamaan tietoa oikeiden päätösten
pohjaksi”, Berg sanoo.
Tulevaisuuden kyberturvallisuustutkimuksessa kannattaa
panostaa pienyritysten näkökulmaan. Vaasan yliopistolla on
valmisteilla uusi hanke tähän liittyen.
”On kaikkien etu, että jokainen yritys varmistaa oman kestävyytensä.
Suuremman pitäisi alihankintaketjussa tukea pienempää,
jotta läpinäkyvyys lisääntyy ja pienempi saa resursseja
kyberturvan rakentamiseen”, Turtola toteaa.
Yhteenveto tutkimustuloksista
- Työpaketti 2: systeemitason malli
- Työpaketti 3: riskien mallinnus, julkaistaan keväällä 2025
- Työpaketti 4: sosiaaliseen manipolointiin varautumisen
käsikirja ja tarkastuslista
- Paljon julkaisuja, artikkeleita, graduja ja väitöskirja
Lisätietoa REDISET-hankkeesta:
- Kyberriskeihin varautumisen käsikirja ja tarkastuslista
tulevat kaikkien saataville Vaasan yliopiston
Osuva-arkistoon.
- kotisivut ja LinkedIn-profiili
- REDISET GO -podcastit, myös jakso yritysnäkökulmasta
- Lopputulosten esittelyseminaari julistetaan helmikuussa
Teksti: Riikka Autio / Viuleva Group Oy
