Cyber Security Management in Energy Supply : Cyber Security Roadmap for Elenia
Dauchy, Elina (2021)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021060113252
https://urn.fi/URN:NBN:fi:amk-2021060113252
Tiivistelmä
Sähkönjakeluyhtiö Elenia on toteuttamassa kyberturvallisuuden tiekarttaa vuosille 2023–2025. Tavoitteena oli tutkia kyberturvallisuuden merkitystä tulevaisuudessa tunnistamalla sähkönjakeluun keskeisesti vaikuttavat ennakoitavissa olevat toimialan muutokset. Toisena tavoitteena oli arvioida kyberturvallisuuden riittävää tasoa sähkönjakeluliiketoiminnassa.
Tutkimusmenetelmät olivat sekä laadullisia että määrällisiä painottuen laadulliseen
sisällönanalyysiin, haastatteluun ja keskeisimpänä Delfoi-menetelmään, jonka avulla
kerättiin asiantuntijanäkemyksiä ja mielipiteitä suositusten pohjaksi. Teoreettinen
viitekehys koostuu energia-alan ennakoitavissa olevista muutoksista, nykytilan
maturiteetin tarkastelusta ja uhkakuvista, trendeistä ja megatrendeistä sekä skenaarioista.
Tutkimuksessa huomattiin, että toimittajien ja laitteiden vaatimukset ovat keskeisessä
asemassa ja sen sijaan, että vaatimuksia asetettaisiin vain kriittisen infrastruktuurin
toimijalle, vaatimukset tulisi kohdistaa myös laitteisiin ja toimittajiin, jotta koko
systeemitasoisen kokonaisuuden kyberturvallisuus olisi ratkaistu. Huomioitavaa on, että
myös kuluttajat ja kuluttajaratkaisut ovat osana systeemiä. Kansantaloudellisesti ei ole
kannattavaa asettaa vaatimuksia vain yrityksille vaan digitaalisen maailman virkavallan
rooli olisi määriteltävä, ja asetettava selkeät vaatimukset kriittisen infrastruktuurin
toimijoille. Tällä tavoin kyberturvallisuuden osaamisvaje saadaan näkyväksi, mitattavaksi ja
ratkaistavaksi.
Suositukset osa-alueista, joihin sähkönjakeluliiketoiminnassa tulisi kyberturvallisuuden
kehitysaskeleet kohdistaa ovat tietoisuus, osaaminen ja riskienhallinta sekä aktiivinen
vaikuttaminen lainsäädäntöön ja tulevaisuuden suunnitteluun. Toimenpiteet tulisi ulottaa
kattamaan oman toiminnan lisäksi koko kumppaniverkosto. Electricity distribution company Elenia is planning cyber security roadmap for the years
2023–2025. The first objective was to study the meaning of cyber security in the future by
identifying the foreseeable factors affecting the energy sector in the coming years. The
second aim was to evaluate the adequate level.
The methods used were mixed methods with qualitative and quantitative methods
combined. The emphasis was on qualitative methods with content analysis, interview, and
the Delphi method. With the Delphi method opinions of experts were collected for
roadmap recommendations. Theoretical background consists of foreseeable changes of
the energy sector, the actual maturity level of the energy sector, threats, trends,
megatrends, and scenarios.
It was found that the requirements of the suppliers and devices are in a significant role.
Instead of setting requirements only for the critical infrastructure, the requirements
should also apply to suppliers and devices to address the system wide cyber security
question. The consumers and consumer devices are also part of the system. It would be
beneficial for the national economy to define a national level official digital authority and
set clear and precise requirements for the critical infrastructure. This way the lack of cyber
security resources and competence would become visible, measurable, and resolvable.
Recommendations for the key development areas for cyber security in electricity
distribution are awareness management, competence management, risk management,
and active management of the cyber security towards a desirable future by taking part in
legislative reforms both European and national wide. The actions should also cover the
partnerships.
Tutkimusmenetelmät olivat sekä laadullisia että määrällisiä painottuen laadulliseen
sisällönanalyysiin, haastatteluun ja keskeisimpänä Delfoi-menetelmään, jonka avulla
kerättiin asiantuntijanäkemyksiä ja mielipiteitä suositusten pohjaksi. Teoreettinen
viitekehys koostuu energia-alan ennakoitavissa olevista muutoksista, nykytilan
maturiteetin tarkastelusta ja uhkakuvista, trendeistä ja megatrendeistä sekä skenaarioista.
Tutkimuksessa huomattiin, että toimittajien ja laitteiden vaatimukset ovat keskeisessä
asemassa ja sen sijaan, että vaatimuksia asetettaisiin vain kriittisen infrastruktuurin
toimijalle, vaatimukset tulisi kohdistaa myös laitteisiin ja toimittajiin, jotta koko
systeemitasoisen kokonaisuuden kyberturvallisuus olisi ratkaistu. Huomioitavaa on, että
myös kuluttajat ja kuluttajaratkaisut ovat osana systeemiä. Kansantaloudellisesti ei ole
kannattavaa asettaa vaatimuksia vain yrityksille vaan digitaalisen maailman virkavallan
rooli olisi määriteltävä, ja asetettava selkeät vaatimukset kriittisen infrastruktuurin
toimijoille. Tällä tavoin kyberturvallisuuden osaamisvaje saadaan näkyväksi, mitattavaksi ja
ratkaistavaksi.
Suositukset osa-alueista, joihin sähkönjakeluliiketoiminnassa tulisi kyberturvallisuuden
kehitysaskeleet kohdistaa ovat tietoisuus, osaaminen ja riskienhallinta sekä aktiivinen
vaikuttaminen lainsäädäntöön ja tulevaisuuden suunnitteluun. Toimenpiteet tulisi ulottaa
kattamaan oman toiminnan lisäksi koko kumppaniverkosto.
2023–2025. The first objective was to study the meaning of cyber security in the future by
identifying the foreseeable factors affecting the energy sector in the coming years. The
second aim was to evaluate the adequate level.
The methods used were mixed methods with qualitative and quantitative methods
combined. The emphasis was on qualitative methods with content analysis, interview, and
the Delphi method. With the Delphi method opinions of experts were collected for
roadmap recommendations. Theoretical background consists of foreseeable changes of
the energy sector, the actual maturity level of the energy sector, threats, trends,
megatrends, and scenarios.
It was found that the requirements of the suppliers and devices are in a significant role.
Instead of setting requirements only for the critical infrastructure, the requirements
should also apply to suppliers and devices to address the system wide cyber security
question. The consumers and consumer devices are also part of the system. It would be
beneficial for the national economy to define a national level official digital authority and
set clear and precise requirements for the critical infrastructure. This way the lack of cyber
security resources and competence would become visible, measurable, and resolvable.
Recommendations for the key development areas for cyber security in electricity
distribution are awareness management, competence management, risk management,
and active management of the cyber security towards a desirable future by taking part in
legislative reforms both European and national wide. The actions should also cover the
partnerships.