Miksi tuotantolaitteiden kyberturvallisuus tulisi ottaa huomioon turvallisuusarvioissa?
Tuotantolaitosten teknisten ratkaisujen kehittyneisyys ja käyttöönoton aikaiset määräykset poikkeavat toisistaan. Turvallisuustarkastukset keskittyvät yleensä lähinnä työturvallisuuteen eivätkä niinkään kyberturvallisuuteen. Tarvitaan kulttuurin muutosta, jotta kyberturvallisuus ymmärretään ottaa riittävän vakavasti. Ratkaisu haasteeseen on turvallisuusprosessien ja -menetelmien muuttaminen siten, että kyberturvallisuus otetaan osaksi koko laitoksen teknistä turvallisuusarviota.
Sääntely ei ratkaise kaikkea
Kyberturvallisuusuhat kasvavat jatkuvasti. Alan sääntely, kuten NIS2-direktiivi ja uusi konetuoteasetus, ohjaavat organisaatioita tämän tyyppisten uhkien torjumisessa ja hallinnassa. Kyberturvallisuuden huomioon ottaminen vaatii kuitenkin muutakin.
”Kyberturvallisuuden huomioon ottaminen teknisissä turvallisuusarvioinneissa vaatii muutosta kulttuurissa ja tavoissa, joilla asioita tehdään”, sanoo turvallisuusoperaatioista Etteplanilla vastaava Jari Laurila. ”On mahdollista ja olennaistakin tehdä oikeanlaiset muutokset jo etukäteen ja laitteiden hankintavaiheessa.”
Koneiden ja laitteiden tekniset riskinarvioinnit ovat laitosten omistajille rutiinitoimenpiteitä. Valitettavasti kyberturvallisuus jää niissä usein huomiotta. Asiaa ei auta, jos koneita on otettu käyttöön eri aikoina.
”Koneita päivitetään usein USB-tikuilta, ja ohjauslogiikoilta on vapaa pääsy tuotantojärjestelmiin. Perinteiset toimintatavat aiheuttavat merkittäviä kyberturvallisuusriskejä”, Jari jatkaa.
Kyberturvallisuuden sisältävä turvallisuuskonsepti
Etteplanin turvallisuuskonseptia hyödynnetään yksityiskohtaisen tiedon kokoamiseen työpaikan turvallisuusjärjestelyistä. Palvelu tarjoaa systemaattisen tavan rakentaa yksityiskohtainen kone- tai tuotantolinjapohjainen riskinarviointi. Olemassa olevien laitteiden, koneiden ja tuotantolinjojen turvallisuus päivitetään voimassa olevan paikallisen lainsäädännön vaatimalle tasolle.
Kuva 1. Turvallisuuskonseptin suhteet arvoketjun ja perusprosessin eri vaiheisiin
Kuvasta 1 näkyy, kuinka turvallisuuskonsepti vaikuttaa olennaisesti prosessin eri vaiheisiin riippumatta siitä, koskeeko kyseinen vaihe konevalmistajaa, järjestelmäintegraattoria vai laitoksen omistajaa. Turvallisuuskonsepti paljastaa koneiden, prosessien ja tuotantolinjojen kriittiset turvallisuuspuutteet. Se antaa myös lähtökohdan detaljisuunnittelulle ja esitettäville teknisille toteutuksille. Turvallisuuskonseptin toteuttavat Etteplanin turvallisuusasiantuntijat yhteistyössä asiakkaan kanssa. Etteplan sisällyttää yleiseen riskinarvointiin myös kyberturvallisuusriskien tarkastelun.
”Kyberturvallisuus on tärkeää kaikissa vaiheissa, mutta se yleensä unohtuu niissä vaiheissa, jotka ovat laitoksen omistajan vastuulla. Meidän turvallisuuskonseptimme sisältää yksityiskohtaisen kyberturvallisuusriskien arvioinnin ja esitykset näiden riskien hallitsemiseksi”, Jari jatkaa. ”Tarkastelemalla prosessia kyberturvallisuuden näkökulmasta sekä jatkuvien toistojen kautta laitoksen omistaja pystyy nivomaan kyberturvallisuuden osaksi laitoksen päivittäistä toimintaa.”
Kaipaatko apua oman laitoksesi turvallisuuden ja etenkin kyberturvallisuuden kehittämiseen? Ota rohkeasti yhteyttä.