12.2.2015

Prosessiautomaation tietoturva – onko se teillä jo hoidossa?

Monet yhteiskunnan kriittiset toiminnot ovat riippuvaisia tietojärjestelmistä, joten järjestelmien turvaaminen erilaisilta uhkilta on ensiarvoisen tärkeää. Insta Automation on viimeisen vuoden aikana pohtinut tutkimus- ja kehityshankkeessaan prosessiautomaation kyberturvallisuutta.

– Meillä on puolustus- ja turvallisuusteknologian puolelta kyberturvallisuudesta monipuolinen kokemus, jota nyt hyödynnettiin prosessiautomaation näkökulmasta, kertoo liiketoimintajohtaja Jyri Stenberg.

Kyberturvallisuudesta tulee helposti mieleen ulkoisista verkoista tuleva uhka, palomuurien ja virustorjunnan läpi järjestelmiin tunkeutuvat vahingontekijät. Tosiasiassa kyberturvallisuus sisältää paljon muutakin: tilojen ja alueen turvallisuudesta huolehtimista sekä turvallisuutta ylläpitäviä työtapoja. Niinpä Insta Automationin hanke lähestyikin asiaa kokonaisturvallisuuden kautta. Alusta lähtien mukana oli myös pilottiasiakas.

Kyberturvallisuusprojekti käyntiin riskikartoituksella

Kyberturvallisuusprojekti käynnistetään tekemällä riskikartoitus, jossa selvitetään, mitä pitää suojata ja miten vahva suojaus on tarpeen. Prosessiautomaatiojärjestelmät ovat keskenään hyvin erilaisia. Vesilaitoksilla on tyypillisesti paljon pitkien yhteyksien päässä olevia ala-asemia, kun taas perinteiset tehtaat sijaitsevat prosessinsa osalta yhdellä tontilla. Molemmissa on useita erilaisia kartoitettavia yhteyksiä, joiden aiheuttamat riskit tulee arvioida. Laitokset ovat hyvin erilaisia myös kokonsa puolesta.

Koska asiakkaiden tarpeissa on paljon vaihtelua, alusta asti lähdettiin rakentamaan skaalautuvaa systeemiä. Prosessiautomaation tietoturvan tarve jaettiin kolmeen riskitasoon. Taso 1 riittää silloin, kun riski arvioidaan matalaksi. Vaativimpia kohteita varten on tarjolla tason 3 tiukka turvataso. Oheinen taulukko sisältää muutamia esimerkkejä siitä, minkälaisia toimenpiteitä eri tasojen suojaukset sisältävät.

– Olemme huomanneet, että tarjouspyynnöissä liitetään kyberturvallisuus joskus varmuuden vuoksi osaksiprojektia miettimättä asiaa sen tarkemmin. Tällöin asiakkaat saavat tarjouksia liian järeistä ratkaisuista, ja hinta saattaa yllättää, kertoo Jyri Stenberg. – Nyt lähdimme alusta asti rakentamaan skaalautuvaa, kustannustehokasta prosessiautomaation tietoturvaa. Pystymme tarjoamaan sopivan palvelun kaikenlaisiin kohteisiin.

Prosessiautomaation erityispiirteet

Prosessiautomaation tietojärjestelmät ovat erilaisia kuin perinteisen ICT-maailman järjestelmät. Niiden suojaaminen vaatii erityisosaamista – huomioon tulee ottaa kenttäväylät, erilaiset protokollat, suljetut linkkiyhteydet mutta myös yhteydet julkiseen verkkoon ja koko organisaation muihin verkkoihin kuten esimerkiksi hallinnon, taloautomaation ja muiden vastaavien teknisten järjestelmien tietoverkkoihin.

Toisaalta kyse on rajatusta kohteesta, joten turvattava alue on pienempi kuin monissa muissa tapauksissa. Prosessiautomaatiojärjestelmästä on paljon linkkejä muihin järjestelmiin, mutta se on kuitenkin oma osakokonaisuutensa. Usein järjestelmä on rakennettu siten, että sinne tullaan yhtä väylää. Tällöin sen suojaaminen ei ole niin monimutkaista kuin koko organisaation suojaaminen.

Kun prosessiautomaation tietoturva järjestetään sen erityispiirteet huomioiden, laadukas suojaus syntyy kustannustehokkaasti.

Tietoturvasta huolehtiminen osaksi organisaation arkea

Totutuista toimintatavoista ei ole helppo luopua. Kun tekniset suojaukset on tehty, on edessä vielä uuden ajattelun juurruttaminen organisaatioon. Uhkat saattavat tuntua arkisessa työnteossa kaukaisilta, ja ohjeista lipsuminen voi houkutella. Siksi projektiin kuuluu myös henkilöstön koulutus, ja ensimmäiset koulutukset onkin jo pidetty.

– Haittaohjelma voi päätyä järjestelmään myös työntekijän ajattelemattomuuden kautta, vaikkapa muistitikulla, muistuttaa liiketoimintajohtaja Jyri Stenberg. – On tärkeää pitää huoli siitä, että myös pieniltä tuntuvat käytännön asiat kuten ovien asianmukainen lukitseminen ja avainten hallinta hoidetaan asianmukaisesti.

Onko kyberturvallisuus organisaatiossasi ajan tasalla? Haluatko kuulla lisää? Ota yhteyttä!

Lisätiedot:
liiketoimintajohtaja Jyri Stenberg, puh. 020 771 7315