Industrial Security: Miten yritykset pääsevät alkuun

Simon Nutz, konsultti Industrial Security

“Security? Ei koske meitä!" - Securityn osalta tämä on edelleen yleinen vastaus koneiden valmistajilta ja käyttäjiltä. "IT-osastomme vastaa securitystä", lisätään hieman anteeksipyytävästi. Käytännössä IT ei kuitenkaan omaa riittävää tietämystä erityisesti automaatioverkkojen osalta. Toisaalta suunnitteluinsinöörit ja työsuojeluvastaavat ovat epävarmoja siitä, miten käsitellä kyberturvallisuutta. Miten siis varustautua Industrial Securityä varten?

Tammikuusta 2027 alkaen Euroopan unionissa on sovellettava koneasetusta. Tämä koskee kaikkia yrityksiä, jotka haluavat tuoda koneita EU:hun tai käyttää niitä siellä. Koneasetuksessa Industrial Security määritellään korruption vastaisiksi suojatoimenpiteiksi. Industrial Securitystä on näin ollen tulossa liiketoiminnan kannalta kriittinen ja kuuluu siten johdon vastuualueeseen. Johdon on varmistettava, että Industrial Security on vahvasti juurtunut yritykseen.

Kokoa kaikki saman pöydän ääreen
Jotta tämä onnistuisi, ensimmäinen askel on koota kaikki saman pöydän ääreen. Koneenrakentajilla näitä ovat IT- ja kehitys-/suunnitteluosastot sekä mahdolliset Securitystä vastaavat henkilöt (esim. CISO). Käyttäjien osalta näitä ovat IT, tuotantotekniikka ja tuotantojohto, HSE ja CISO.
Ensimmäisenä askeleena on kartuttaa tietämystä ja kehittää yhteinen käsitys Industrial Securitystä: Millaisia oikeudellisia velvoitteita kone- ja laitosteollisuudella on? Miten Safety ja Security liittyvät niihin? Missä IT ja OT kohtaavat?

Toisessa vaiheessa nämä monialaiset tiimit kehittävät yritykselle sopivan strategian, johon sisältyy myös täytäntöönpanokonsepti. Kyse on itsensä löytämisestä ja jäsentämisestä: Missä vastuualueet ovat tulevaisuudessa? Miltä omien koneiden verkkotopologia näyttää? Miten tämä sopii yhteen uusien oikeudellisten vaatimusten kanssa?

Toteutus alkaa riskien arvioinnista
Vasta sen jälkeen yritys pystyy toteuttamaan Industrial Securityn. Tämä alkaa mahdollisten vahinkotapahtumien arvioinnilla ja kvantifioinnilla sekä suojaustarveanalyysillä. Osana tätä prosessia tunnistetaan myös mahdolliset haavoittuvuudet sekä hyökkäys- ja manipulointipotentiaali verkottumisen, digitalisaation ja tekoälyn avulla. Tärkeää: Klassisten IT-suojaustavoitteiden, kuten luottamuksellisuuden, eheyden ja käytettävyyden, lisäksi Industrial Securityn suojaustavoitteisiin kuuluu myös Safety eli koneen toiminnallinen turvallisuus.

Lähtökohta on aina Security-riskiarviointi. Tavoitteena on analysoida Security-puutteiden aiheuttamia uhkia ja riskejä. Tämä edellyttää jatkuvaa seurantaa ja turvatoimien mukauttamista. Tähän liittyy usein monimutkaisia IT-infrastruktuureja ja -verkkoja, mikä edellyttää teknistä lisäosaamista ja -resursseja.

Haetaan Security- ja Safety-asiantuntijoita!
Kaikkien, jotka etsivät ulkopuolista tukea aloittaessaan automaation Industrial Securityn alalla, on syytä olla tietoisia siitä, että IT Security -asiantuntemuksesta on vain rajoitetusti apua. Tämä johtuu siitä, että koneisiin kohdistuvien hyökkäysten riskin minimoimiseen tähtäävät prosessit (Industrial Security) ovat hyvin samankaltaisia kuin prosessit, joilla vähennetään koneista aiheutuvia riskejä (Safety). Jos haluat toteuttaa Industrial Securityn, sinun on oltava koneturvallisuuden asiantuntija ja tunnettava asiaankuuluvat eritelmät ja standardit, erityisesti koneasetus.

Lainsäädännön varsinainen täytäntöönpano on parhaillaan käynnissä. Joillakin aloilla yhdenmukaistettujen standardien laatiminen on vielä kesken. Koneturvallisuuden asiantuntijana Pilz on tiiviisti mukana ja osallistuu aktiivisesti asiaankuuluvien standardien laatimiseen. Pilz välittää tämän asiantuntemuksen asiakkailleen palvelujen ja koulutusten muodossa. Industrial Securityn perusteet -koulutus on suunnattu aloittelijoille. Osallistujat tutustuvat terminologiaan ja vaatimuksiin ja ymmärtävät kyberturvallisuuden kone- ja verkkoturvallisuuden yhteydessä. Parhaat käytännöt auttavat ymmärtämään kyberturvallisuusriskejä omassa tuotannossasi.
"Certified Expert for Security in Automation (CESA)" -koulutus antaa välineet tehokkaiden organisatoristen ja teknisten toimenpiteiden toteuttamiseen teollisuusautomaatioverkoissa.

Koulutusohjelman lisäksi Pilz tarjoaa myös "Identification and Access Management" (I.A.M.) -tuotevalikoiman. Tuotteet ja räätälöidyt ratkaisut monenlaisiin tehtäviin, jotka liittyvät työntekijöiden suojeluun, vastuun suojaamiseen, maksimaaliseen tuottavuuteen ja tietosuojaan. Sovelluksia ovat esimerkiksi käyttäjän todennus, turvallinen toimintatilan valinta, tietojen ja verkon turvallisuus sekä kulunhallinta. Tällä tavoin Safety ja Security voidaan kattaa yhdellä järjestelmällä.

Jotta koneiden valmistajat ja operaattorit kaikkialla maailmassa voisivat valmistautua Industrial Securityn haasteisiin ajoissa, heidän olisi tutustuttava asiaan nyt. Tietämystä on kartutettava, vastuualueet ja rajapinnat on määriteltävä ja on laadittava strategia. Ihannetapauksessa johto käynnistää tämän prosessin.