Case Sandvik Mining: Kyberturvallisuuden vahvistaminen kilpailukyvyn tukena

Kyberturvallisuus on uusi markkinaehto

Digitalisaation ja autonomian myötä kyberhyökkäysten pinta-ala kasvaa ja EU-kohtainen sääntely tiukentuu, minkä myötä tietoturva on noussut keskeiseksi kilpailutekijäksi ja edellytykseksi EU-markkinoille pääsylle tulevan kyberresilienssiasetuksen (CRA) myötä.

IEC 62443-4-1 -standardi on kansainvälisesti tunnustettu teollisuuden kyberturvallisuusstandardi, joka sertifioi toimittajan turvallisen tuotekehitysprosessin, kun taas Cyber Resilience Act (CRA) tekee elinkaaren aikaisesta kyberturvallisuudesta ja haavoittuvuuksien hallinnasta EU-markkinoille pääsyn lakisääteisen edellytyksen (ilmoitusvelvollisuudet alkaen 11.9.2026 ja suurin osa tuotekohtaisista vaatimuksista 11.12.2027). Lisäksi IEC 62443-4-1 odotetaan harmonisoituvan osaksi CRA:n vaatimuksia.

Sandvik vahvisti kyberturvallisuuttaan yhdessä Instan kanssa

Sandvikin tahtotilana oli vahvistaa Secure Development Lifecycle (SDL) -käytäntöjään ja yhdenmukaistaa ne tunnustettujen kyberturvastandardien kanssa. He tunnistivat haasteen ja tarttui määrätietoisesti siihen, että turvallisuus integroidaan johdonmukaisesti osaksi tuotekehitystä ja IEC 62443-4-1 -standardin vaatimukset hallitaan kokonaisuutena.

Projektiin valittiin kumppaniksi Insta, jolla on vahva alan standardien asiantuntemus, näyttöjä vastaavista toteutuksista sekä valmis SDL-malli, joka toi projektin aloittamiselle selkeät lähtökohdat.

Yhdessä Instan kanssa käynnistettiin projekti Sandvik Mining Suomen toimintojen SDL-prosessin sertifioimiseksi IEC 62443-4-1-standardin mukaiseksi. Projektin lähtökohtana toimi Instan SDL-viitemalli, joka sisälsi prosessit, mallipohjat, koulutusmateriaalit ja tietomallin. Insta perehtyi tuotekehityksen nykytilaan, jonka pohjalta ja laadittiin tiekartta kehitystoimille. Kahden tuotetiimin kanssa pilotoitiin SDL-prosesseja, mukautettiin ne Sandvikin tarpeisiin ja integroitiin osaksi tiimien päivittäisiä työkaluja ja käytäntöjä. Prosessien tueksi rakennettiin SDL-työkalu, joka integroitiin osaksi olemassa olevaa sovelluksen elinkaarenhallintaa, mikä varmisti kehitysprosessin yhtenäisyyden. Instan tuki toimi aina esiauditoinnista havaintojen käsittelyyn saakka.

Yhteistyön tuloksena saavutettiin sertifiointi

Sandvikista tuli yksi toimialansa ensimmäisistä yrityksistä, joka saavutti IEC 62443-4-1 –sertifioinnin. Lisäksi yritys on jo laatinut tiekartan kohti ML-3 tasoa. Sertifioinnin avulla Sandvik osoittaa standardien mukaista kyberturvallisuuden tasoa sekä asiakkailleen että viranomaisille. Sandvikin tuotteiden tietoturva vahvistui useassa tuotelinjastossa ja vakiinnutti heidän asemaansa kyberturvallisen tuotekehityksen edelläkävijänä.


"Sandvikin kehitystyö nopeutui merkittävästi valmiin referenssimallin ansiosta, sillä se tarjosi standardivaatimukset täyttävän kehikon, jonka päälle oli tehokasta rakentaa. Tämä mahdollisti keskittymisen Sandvikille tärkeisiin muutoksiin ja vapautti resursseja myös prosessien käytäntöön viemiseen. Referenssimalliin liittyvä koulutusohjelma tuki onnistunutta implementointia ja kasvatti tietoisuutta organisaatiossa. Toteutusta edesauttoi Instan asiantuntemus ja kokemus SDL-implementoinneista ja käytännönläheinen ote, joka varmisti sujuvan etenemisen ja ratkaisujen soveltuvuuden käytännön tarpeisiin.", toteaa Jarkko Holappa, Offering Cybersecurity Lead, Sandvik Mining.

Eu-asetus, standardi ja viitekehys:  

• CRA = Cyber Resilience Act on EU:n uusi asetus, joka velvoittaa digitaalisia tuotteita ja ohjelmistoja tarjoavat yritykset varmistamaan kyberturvallisuuden koko tuotteen elinkaaren ajan. 

• IEC 62443-4-1 –standardi = Osa kansainvälistä IEC 62443 -standardiperhettä, joka käsittelee teollisuusautomaation ja ohjausjärjestelmien (ICS) kyberturvallisuutta. 

• Secure Development Lifecycle (SDL) = järjestelmällinen malli, jossa tietoturva otetaan huomioon ohjelmistojen ja tuotteiden kehityksessä koko niiden elinkaaren ajan. 

Lisätietoa aiheesta: