Cybersecurity in Operational Technology Networks: NIS2 as a guideline

Abstract

This thesis examines the critical domain of cybersecurity in Operational Technology (OT) networks, which control physical processes in industrial environments and critical infrastructure. As digital transformation initiatives drive the convergence of traditionally isolated OT systems with Information Technology (IT) networks and the internet, new vulnerabilities have emerged that threat actors are actively exploiting. This integration, combined with legacy systems lacking basic security features, has created significant cybersecurity challenges. The research highlights that the current state of cybersecurity in OT networks is concerning, with continuously increasing and increasingly advanced cyber-attacks targeting these environments. Studies indicate that the average maturity level of OT cybersecurity management falls below acceptable standards, with organizations facing challenges such as insufficient budgeting, inadequate resources for development and training, and a lack of attention to security during acquisition and development phases. Effective OT security requires a defense-in-depth approach addressing technical, procedural, and organizational aspects while recognizing the unique requirements of industrial environments. The thesis examines frameworks such as the holistic approach and implementation plan proposed by industry experts, as well as the implementation of measures from existing standards like ISO 27001. The research also explores the regulatory landscape, focusing particularly on the Network and Information Systems directive 2 (NIS2) and the upcoming Cyber Resilience Act (CRA), which establish mandatory cybersecurity requirements for organizations operating in critical sectors. Various assessment tools and services offered by companies are evaluated for their effectiveness in improving OT network security. This research contributes to the understanding of the evolving threat landscape in OT environments and provides guidance on developing effective protection strategies, which is paramount for researchers and practitioners as industrial systems become increasingly connected and vital to national security, economic stability, and public safety.

Tässä opinnäytetyössä tarkastellaan kyberturvallisuuden kriittistä alaa operatiivisen teknologian (OT) -verkoissa, jotka ohjaavat fyysisiä prosesseja teollisuusympäristöissä ja kriittisissä infrastruktuureissa. Kun digitaalisen muutoksen aloitteet lähentävät perinteisesti eristettyjä OT-järjestelmiä informaatioteknologian (IT) -verkkoihin ja internetiin, on syntynyt uusia haavoittuvuuksia, joita uhkatoimijat hyödyntävät aktiivisesti. Tämä integrointi yhdistettynä perinteisiin- (legacy-) järjestelmiin, joista puuttuvat perusturvaominaisuudet, luo merkittäviä kyberturvallisuushaasteita. Tutkimuksessa korostetaan, että OT-verkkojen kyberturvallisuuden nykytilanne on huolestuttava, sillä näihin ympäristöihin kohdistuu jatkuvasti lisääntyviä ja yhä kehittyneempiä kyberhyökkäyksiä. Tutkimukset osoittavat, että OT-verkkojen kyberturvallisuuden hallinnan keskimääräinen kypsyystaso jää hyväksyttävien standardien alapuolelle, ja organisaatioilla on edessään haasteita, kuten riittämätön budjetointi, riittämättömät resurssit kehittämiseen ja koulutukseen sekä se, että tietoturvaan ei kiinnitetä huomiota hankinta- ja kehitysvaiheissa. Tehokas OT-turvallisuus edellyttää perusteellista puolustusta, jossa otetaan huomioon tekniset, menettelylliset ja organisatoriset näkökohdat ja otetaan huomioon teollisuusympäristöjen ainutlaatuiset vaatimukset. Tutkielmassa tarkastellaan puitteita, kuten teollisuuden asiantuntijoiden ehdottamaa kokonaisvaltaista lähestymistapaa ja toteutussuunnitelmaa, sekä olemassa olevien standardien, kuten ISO 27001:n, toimenpiteiden toteuttamista. Tutkimuksessa tarkastellaan myös sääntely-ympäristöä ja keskitytään erityisesti verkko- ja tietojärjestelmiä koskevaan direktiiviin 2 (NIS2) ja tulevaan kyberkestävyyslakiin (Cyber Resilience Act, CRA), joissa asetetaan pakollisia kyberturvallisuusvaatimuksia kriittisillä aloilla toimiville organisaatioille. Yritysten tarjoamia erilaisia arviointityökaluja ja palveluja arvioidaan niiden tehokkuuden kannalta OT-verkon turvallisuuden parantamisessa. Tämä tutkimus auttaa ymmärtämään OT-ympäristöjen kehittyvää uhkakuvaa ja antaa ohjeita tehokkaiden suojausstrategioiden kehittämiseksi, mikä on ensiarvoisen tärkeää tutkijoille ja käytännön toimijoille, kun teollisuusjärjestelmistä tulee yhä verkottuneempia ja elintärkeitä kansalliselle turvallisuudelle, taloudelliselle vakaudelle ja yleiselle turvallisuudelle.