Näkökulma | 12.4.2019

Esineiden internet tehtaan lattialla

Teollisuuden esineiden internet (Industrial Internet of Things eli IIoT) on tehnyt tuloa teollisuusympäristöihin jo pidemmän aikaa. Jotkut tuotantoympäristöt ovat käyttäneet IIoT:n tapaisia tekniikoita jo yli kymmenen vuotta eli hyvän aikaa ennen kuin sanahirviö edes keksittiin.

Esineiden internet tehtaan lattialla

Robert Valkama

Senior Information Security Consultant,

Nixu Oyj

Teollisuusympäristössä voi saada tietoa monesta eri lähteestä. Keskeinen osa tiedonhankintaa ovat internetiin kytketyt teollisuuslaitteet. Aikaisemmin tehtaan oma tuotanto tai automaatiosuunnittelu vei laitteet verkkoympäristöön. Nykyään paine kytkeytyä verkkoon tulee laitetoimittajilta, kumppaneilta tai liiketoiminnan puolelta. Näillä tahoilla ei välttämättä ole ensisijaista vastuuta teollisuusympäristön riskienhallinnasta tai häiriöttömästä toiminnasta, vaan vastuu jää tilaajalle eli tehtaalle.

Tehtaan kunnossapitäjillä tai tietoturvallisuusvastaavilla voi olla hyvinkin rajallinen pääsy tai vaikutusvalta verkkoon kytkettyihin IIoT-laitteisiin. Hekin voivat kuitenkin edistää kokonaisturvallisuutta omalta osaltaan. Kun laitteita ja niihin liittyviä yhteyksiä tuodaan sopimuksien ”kylkiäisinä” esimerkiksi alinhankintana, on ensisijaisen tärkeää tunnistaa, missä näitä lisäosia käytetään.

Mikä on riittävän turvallinen ratkaisu?

Teollisuuden internetiin kytketyt laitteet ovat useimmiten suunniteltu itsenäisesti toimiviksi ja tiettyyn tarkoitukseen, joten niiden tietoturvallisuus keskittyy usein teknisiin ratkaisuihin. Mistä voi siis tietää, mikä on riittävän turvallista juuri omaan tehdasympäristöön? Tehtaan tietoturvallisuudessa voidaan helposti uppoutua yksityiskohtiin, mutta jo perusasioiden selvittämisellä päästään pitkälle:

  1. Miten kohteena oleva laite/prosessilaite toimii?
  2. Onko se kytkettynä tuotantolaitoksen ohjausjärjestelmiin? Miten?
  3. Mitä tietoa laite kerää?
  4. Miten tiedonsiirto tapahtuu (pilveen)? Suojataanko tiedot tiedonsiirron aikana? Miten?
  5. Onko tarvetta ohjata laitetta ympäristön ulkopuolelta? Miten?
  6. Miten laitteen tai laitteeseen tunnistautuminen (authentication) on toteutettu?
  7. Miten laitteen ohjelmistopäivityksien toimitus ja asennus on toteutettu?

Nämä asiat voivat tuntua triviaaleilta kysymyksiltä, mutta vastausten saaminen niihin on oleellista riskiarvioinnin ja teknisen toteutuksen kannalta. (Näiden lisäksi on myös pilvipuolen tietoturvallisuus tärkeässä roolissa, erityisesti jos pilvipuolelta annetaan ohjauskäskyjä, mutta jätetään tämä puoli toisen blogikirjoituksen aiheeksi.)

Pikainen riskiarviointi

Riskiarvioinnin tarkoitus on tunnistaa, minkätyyppisiä tai -tasoisia tietoturvallisuuskontrolleja tulee ottaa käyttöön, jotta taataan riittävä tietoturvallisuustaso. Suosittelen, että ensisijainen riskiarviointi tehdään toimintalähtöisesti: tarkasta siis ensin, miten ko. ratkaisulla on vaikutusta tuotantoprosessiin. Näin päätös tietoturvallisuusvaatimuksista perustetaan liiketoiminnan vaikutuksille.

Tässä pääsee liikkeelle vastaamalla kahteen kysymykseen:

- Tehdäänkö palvelun keräämän tiedon perusteella päätöksiä?

- Ohjataanko tai optimoidaanko tietty toiminnallisuus vai onko toiminta puhtaasti tiedon keräämistä muuta tarkoitusta varten (esim. alihankkijan oman toiminnan ohjaamiseen)?

Tämän jälkeen on hyvä miettiä tekninen toteutus tai toteutussuunnitelma. Tämän tarkoitus on antaa viittausta siihen, miten ratkaisua voisi mahdollisesti käyttää hyökkäysvektorina tuotantoympäristön muihin järjestelmiin.  

- Onko laite osana ohjausverkkoa vai irrallisena siitä?

- Onko ohjattava laite kytketty toisella rajapinnalla ohjaavaan prosessiverkkoon? Miten laite on kytketty verkkoon?

Kerättävän tiedon tärkeys tulee myös huomioida:

- Minkä arvoinen kerättävä tieto on?

- Voiko sen perusteella tehdä muita johtopäätöksiä? Esim. jos IIoT ratkaisussa kerätään jonkin kriittisen laitteen käyttötietoja (miten tai kuinka paljon käytetään), voidaanko sen perusteella myös tehdä liiketoiminnallisia päätelmiä esim. tehtaan tuotannosta, jos joku ulkopuolinen pääsee tietoon käsiksi?

IIoT ja pilvipohjaisen palvelun käytössä tulee myös miettiä jatkuvuutta, vaikka se on palveluna tuotettu:

- Mitä tapahtuu, jos yhteys pilveen ei ole käytettävissä tai jos pilvipalvelussa on vikaa?

- Miten tämä vaikuttaa tuotantoprosessiin?

Näiden kysymysten perusteella voidaan arvioida tulisiko palvelun ”äly” sijata päätelaitteessa vai pilvessä, tai tarvitaanko varmentavia yhteyksiä pilvipalveluun jne.

Alihankkijan toimittama ratkaisu

Mikäli verkkoon kytkettävä ratkaisu on toisen toimijan toteuttama, voi asiakasorganisaatiolla olla vaikeaa vaikuttaa ratkaisun tekniseen toteutukseen. Asiakkaalla on kuitenkin aina mahdollisuus päättää olla asentamatta kyseessä olevaa ratkaisua, mutta sillä on todennäköisesti myös jonkinlainen rahallinen seuraus.

Riippuen siitä, mitä laite tekee, voidaan kuitenkin paikallisella tasolla ainakin rajoittaa mitä sillä voidaan aiheuttaa. Esimerkiksi jos tarve on välittää rajallinen määrä tietoa pilvipalveluun, on mahdollista tehdä yhteysrajapinta ohjausjärjestelmään digitaalisen tai analogisen I/O:n kautta. Tällöin palvelusta ei ole mahdollista vaikuttaa prosessiin. Jos on tarve myös ohjata, voidaan ohjaussignaali kytkeä digitaalisen tai analogisen I/O:n avulla, jolloin voidaan vastaanottajan puolella tehdä signaalin varmistus tai rajaus. Tämä ei estä sitä, että ohjausta ei voisi ohjata väärin, mutta se estää laajemman pääsyn ympäristöön.

Oma verkko käyttöön

Lisäksi suosittelen, että tiedon siirtomediana käytetään yrityksen omaa verkkoa. Tällöin ratkaisua kannattaa segmentoida omaan verkkoalueeseen mielellään niin, että tiedonvälityksessä käytetään jonkunlaista proxy palvelua (erityisesti jos on ohjausta). Käyttämällä yrityksen omaa tietoverkkoa mahdollistetaan myös liikenteen seurata ja tietoturvallisuusvalvonta.

Nämä toimenpiteet auttavat tietoturvallisuuden hallinnassa. Ne eivät kuitenkaan korjaa tilannetta, jossa teollisuusympäristössä internetiin kytketty IIoT-ratkaisu on täysin vailla tietoturvaa. Mikään teko ei korvaa suunnittelun aikana puuttuvaa tietoturvallisuutta. Siksi tietoturva kannattaa aina ottaa mukaan suunnitteluun heti lähtöruudusta alkaen.

Uusimmat artikkelit

Fortumin Loviisan voimalaitoksen vuosihuolto 2019 alkaa, vuorossa polttoaineenvaihtoseisokki

Fortumin Loviisan ydinvoimalaitoksen vuosihuolto alkaa sunnuntaina 18. elokuuta laitoksen kakkosyksiköstä, minkä jälkeen huolletaan ykkösyksikkö. Tänä vuonna molemmilla laitos yksiköillä on vuorossa polttoaineenvaihtoseisokki. Vuosihuoltojen arvioidaan kestävän yhteensä noin 35 vuorokautta.

14.8.2019 | Alan Uutiset

Vinkkejä lastuamisnesteiden käsittelyn tehostamiseen ja muita tärppejä Kunnossapidon osto-oppaasta

Tehostamalla lastuamisnesteiden käsittelyä voidaan saavuttaa runsaasti hyötyjä. Näin voidaan esimerkiksi vähentää suunnittelemattomia käyttökatkoja ja pidentää työkalujen ja koneiden käyttöikää. Noudattamalla Fuchs Oil Finland Oy:n vinkkejä voit pitää tuotannon tehokkaana ja tasaisena. Lue aiheesta lisää tästä

SSAB:n Raahen tehtaalla testattiin onnistuneesti fossiilisen hiilen korvaamista biohiilellä

SSAB:n Raahen terästehtaalla on testattu viimeksi kuluneen vuoden aikana kahteen otteeseen biohiilen käyttöä masuunin raaka-aineena. Testeissä fossiilisesta injektiohiilestä eli PCI-hiilestä korvattiin ensin 4 prosenttia ja sitten 10 prosenttia biohiilellä. Testien perusteella biohiilen 10 prosentin osuus on mahdollinen, mikä vähentäisi fossiilisesta hiilestä aiheutuvia hiilidioksidipäästöjä 100 000 tonnia vuodessa. 

Tuore selvitys sen vahvisti: hyvä johtaminen lisää kannattavuutta

Hyvä johtaminen ja esimiestyö lisäävät selkeästi yritysten kannattavuutta. Teknologiateollisuuden työhyvinvointihankkeessa tehty selvitys osoitti, että kannattavuudessa voi olla jopa useiden prosenttiyksiköiden eroja johtamisesta riippuvista syistä. Hyvällä johtamisella on myönteinen vaikutus myös työmotivaatioon ja työhön sitoutumiseen.

26.7.2019 | Tutkimus ja koulutus

Konesali törrötti keskellä rakennustyömaata, 5000 opiskelijan LAMK nousi ympärille

Lahden ammattikorkeakoulu LAMK:in neljä erillistä kampusta yhdistyivät saman katon alle syksyllä 2018. Uusi kampus saneerattiin vanhan huonekalutehtaan tiloihin ja se palvelee viittätuhatta tekniikan, designin, liiketalouden, matkailun ja sote-alan opiskelijaa 24 tuntia vuorokaudessa.

Langh Tech toimitti skrubberit Chiosin uuteen tankkeriin

Suomalainen Langh Tech on toimittanut rikkipesurit kreikkalaisen Chios Navigationin uuteen 50 000 dwt:n tuotetankkeriin, joka luovutettiin äskettäin korealaiselta Hyundai Mipon telakalta.

23.4.2019 | Kumppaniartikkeli

Kolme pointtia kunnossapidon kehittämisestä

Olemme saaneet olla mukana useiden eri organisaatioiden kanssa kehittämässä kunnossapitotoimintaa ja panneet merkille joitakin tärkeitä asioita, jotka ovat edesauttaneet näissä hankkeissa onnistumista. Kerromme tässä kolme asiaa, jotka kannattaa huomioida kunnossapitotoiminnan kehittämiseen tähtäävissä hankkeissa.