IT and OT cybersecurity practises for Digirail
Manninen, Juha (2022)
Manninen, Juha
2022
Tietotekniikan DI-ohjelma - Master's Programme in Information Technology
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2022-06-01
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202204294171
https://urn.fi/URN:NBN:fi:tuni-202204294171
Tiivistelmä
With digitalisation, the importance and relevance of cybersecurity is also increasing for industrial systems and environments. Railway environments are also going through a digitalisation and in Finland this is happening with the Digirail project. Since cybersecurity is a quite new topic for railways and there is not that much guidance about the topic, it is useful to research the topic and produce that needed guidance. This thesis aims to find the best parts of OT and IT cybersecurity practises that could be used for Digirail by using cybersecurity standards as guideline.
The thesis divides into two parts from which the background is the first. The background part focuses on the Digirail project from more overall level and also gives an overview for cybersecurity in railway environments. IT and OT systems and their differences and aspects are also introduced in the background part. The other part of the thesis focuses on the actual research that contains the interviews and studying the three cybersecurity standards.
As said before the research and the thesis focused on three cybersecurity standards. The first standard is TS50701 which is a cybersecurity standard specifically for railway environments released by CENELEC in 2021. It is also the standard that was the main focus point for this research.
Other standards that were studied are IEC 62443 and ISO/IEC 27001. The IEC 62443 is a general cybersecurity standard for OT environments and the TS50701 standard is based on it. The ISO/IEC 27001 on the other hand is more for IT focused systems and it gives guidance for information security management.
The thesis also included few interviews for different Digirail personnel. The point was to get better perspective for digirail environment overall and better understanding of cybersecurity for this kind of environment. There were four interviews in total, and they turned out be somewhat challenging but at the same time beneficial for this thesis and also interesting. The challenges with the interviews derived from the different backgrounds of the interviewees and how difficult it was to adapt the interview according to that.
The research showed that the TS50701 standards is a quite well-made standard and it contains a lot of relevant and important cybersecurity guidance that could be used for Digirail. It is derived from the IEC 62443 standard series but it also gives railway specific additional guidance. There are topics however that are not covered well like incident management which could be studied further.
The ISO/IEC 27001 and IEC 62443 give guidance that could be used as an additional information to support the TS50701. There are parts that overlap between the standards and there is a table that shows the most relevant parts of each standard at the end of this thesis. A bit of comparing is be done after the studying the standards.
This thesis gives guidance for coherent cybersecurity management for Digirail that covers both IT and OT side. Other topics that were not included in this thesis could be studied also from the standards. The next steps could be trying to implement the guidelines form the standards into practise. Digitalisaation myötä myös raideliikenne on muuttumassa ja kyberturvallisuuden merkitys kasvamassa. Suomessa meneillä olevalla Digirata-hankkeella kehitetään raideliikenteen digitalisaatiota ja sen myötä myöskin kyberturvallisuuden merkitys kasvaa. Koska kyberturvallisuus on uusi asia raideliikenteessä, eikä valmiita ohjeistuksia ole vielä paljon, on tärkeää kehittää uusia ja yhtenäisiä ohjeistuksia. Tämän diplomityön tavoitteena on löytää parhaat IT ja OT kyberturvallisuuden keinot, joita voitaisiin hyödyntää Digiradassa.
Tämä diplomityö koostuu kahdesta osasta, joista ensimmäinen on taustoitusta työlle. Taustoitus luvussa käsitellään Digirata-hanketta yleisesti, kyberturvallisuutta rautatiemaailmassa, sekä IT ja OT-ympäristöjä ja niiden eroavaisuuksia. Toinen osa diplomityöstä on itse tutkimusosio, joka sisältää haastattelut sekä kolmen kyberturvallisuuden standardin tutkimisen.
Kuten aiemmin mainittiin, tässä työssä tutkitaan kolmea eri kyberturvallisuuden standardia. TS50701 on uusi CENELECin vuonna 2021 julkaisema raideliikenteelle tarkoitettu kyberturvallisuuden standardi, joka oli myöskin tässä diplomityössä tärkein ja päällimmäinen tutkimuksen kohde.
TS50701:n lisäksi tutkittavana olivat standardit ISO/IEC 27001 ja IEC 62443. Ne ovat yleisempiä kyberturvallisuuden standardeja, joista ISO/IEC 27001 on enemmän IT-ympäristöön suunnattu ja IEC 62443 puolestaan OT-ympäristöön.
Kuten mainittiin, työssä myös suoritettiin haastatteluita Digiradan kanssa työskenteleville henkilöille. Tarkoituksena oli kartoittaa Digiradan kokonaiskuvaa ja arkkitehtuuria ja kasvattaa ymmärrystä kyberturvallisuudesta Digiradan kaltaisessa ympäristössä. Haastattelut osoittautuivat hieman haasteellisiksi, mutta myös samalla hyödyllisiksi ja kiinnostavaksi. Haasteet johtuivat haastateltavien eri taustoista, ja siitä miten oli hankalaa sovittaa haastattelua niiden mukaan.
Standardien tutkimisen perusteella havaittiin, että TS50701 on kattava standardi, joka sisältää paljon oleellista ohjeistusta, jota voidaan myös Digiradan tarpeita varten hyödyntää.TS50701 perustuu IEC 62243-standardisarjaan ja siinä onkin useita viittauksia siihen. Joitakin tärkeitä IT/OT-ympäristöön puuttuvia asioita, kuten poikkeustilanteiden hallinta standardista kuitenkin puuttuu. Tämä onkin esimerkki siitä, mitä voisi tutkia vielä tarkemmin.
IEC 62443 ja ISO/IEC 27001 sisältävät ohjeistuksia näistä aiheista myös ja niitä voisi myös tarvittaessa soveltaa Digiradan ohjeistuksiin täydentämään TS50701 standardin ohjeistusta. IEC 62443 ja ISO/IEC 27001 standardit menevätkin jonkin verran päällekkäin TS50501 standardin ja työn lopussa on taulukko, jossa on jokaisen standardin oleellisimmat osat merkittynä.
Tässä diplomityössä etsittiin yhtenäistä IT ja OT-puolet kattavaa kyberturvallisuuden ohjeistusta Digiradalle standardeja hyödyntäen. Muitakin asioita, joita tässä diplomityössä ei tarkasteltu voisi tutkia standardeista. Eräänä jatkokehityskohteena voisi olla selvittää, miten standardeista löytyneitä ohjeistuksia voidaan hyödyntää käytännössä.
The thesis divides into two parts from which the background is the first. The background part focuses on the Digirail project from more overall level and also gives an overview for cybersecurity in railway environments. IT and OT systems and their differences and aspects are also introduced in the background part. The other part of the thesis focuses on the actual research that contains the interviews and studying the three cybersecurity standards.
As said before the research and the thesis focused on three cybersecurity standards. The first standard is TS50701 which is a cybersecurity standard specifically for railway environments released by CENELEC in 2021. It is also the standard that was the main focus point for this research.
Other standards that were studied are IEC 62443 and ISO/IEC 27001. The IEC 62443 is a general cybersecurity standard for OT environments and the TS50701 standard is based on it. The ISO/IEC 27001 on the other hand is more for IT focused systems and it gives guidance for information security management.
The thesis also included few interviews for different Digirail personnel. The point was to get better perspective for digirail environment overall and better understanding of cybersecurity for this kind of environment. There were four interviews in total, and they turned out be somewhat challenging but at the same time beneficial for this thesis and also interesting. The challenges with the interviews derived from the different backgrounds of the interviewees and how difficult it was to adapt the interview according to that.
The research showed that the TS50701 standards is a quite well-made standard and it contains a lot of relevant and important cybersecurity guidance that could be used for Digirail. It is derived from the IEC 62443 standard series but it also gives railway specific additional guidance. There are topics however that are not covered well like incident management which could be studied further.
The ISO/IEC 27001 and IEC 62443 give guidance that could be used as an additional information to support the TS50701. There are parts that overlap between the standards and there is a table that shows the most relevant parts of each standard at the end of this thesis. A bit of comparing is be done after the studying the standards.
This thesis gives guidance for coherent cybersecurity management for Digirail that covers both IT and OT side. Other topics that were not included in this thesis could be studied also from the standards. The next steps could be trying to implement the guidelines form the standards into practise.
Tämä diplomityö koostuu kahdesta osasta, joista ensimmäinen on taustoitusta työlle. Taustoitus luvussa käsitellään Digirata-hanketta yleisesti, kyberturvallisuutta rautatiemaailmassa, sekä IT ja OT-ympäristöjä ja niiden eroavaisuuksia. Toinen osa diplomityöstä on itse tutkimusosio, joka sisältää haastattelut sekä kolmen kyberturvallisuuden standardin tutkimisen.
Kuten aiemmin mainittiin, tässä työssä tutkitaan kolmea eri kyberturvallisuuden standardia. TS50701 on uusi CENELECin vuonna 2021 julkaisema raideliikenteelle tarkoitettu kyberturvallisuuden standardi, joka oli myöskin tässä diplomityössä tärkein ja päällimmäinen tutkimuksen kohde.
TS50701:n lisäksi tutkittavana olivat standardit ISO/IEC 27001 ja IEC 62443. Ne ovat yleisempiä kyberturvallisuuden standardeja, joista ISO/IEC 27001 on enemmän IT-ympäristöön suunnattu ja IEC 62443 puolestaan OT-ympäristöön.
Kuten mainittiin, työssä myös suoritettiin haastatteluita Digiradan kanssa työskenteleville henkilöille. Tarkoituksena oli kartoittaa Digiradan kokonaiskuvaa ja arkkitehtuuria ja kasvattaa ymmärrystä kyberturvallisuudesta Digiradan kaltaisessa ympäristössä. Haastattelut osoittautuivat hieman haasteellisiksi, mutta myös samalla hyödyllisiksi ja kiinnostavaksi. Haasteet johtuivat haastateltavien eri taustoista, ja siitä miten oli hankalaa sovittaa haastattelua niiden mukaan.
Standardien tutkimisen perusteella havaittiin, että TS50701 on kattava standardi, joka sisältää paljon oleellista ohjeistusta, jota voidaan myös Digiradan tarpeita varten hyödyntää.TS50701 perustuu IEC 62243-standardisarjaan ja siinä onkin useita viittauksia siihen. Joitakin tärkeitä IT/OT-ympäristöön puuttuvia asioita, kuten poikkeustilanteiden hallinta standardista kuitenkin puuttuu. Tämä onkin esimerkki siitä, mitä voisi tutkia vielä tarkemmin.
IEC 62443 ja ISO/IEC 27001 sisältävät ohjeistuksia näistä aiheista myös ja niitä voisi myös tarvittaessa soveltaa Digiradan ohjeistuksiin täydentämään TS50701 standardin ohjeistusta. IEC 62443 ja ISO/IEC 27001 standardit menevätkin jonkin verran päällekkäin TS50501 standardin ja työn lopussa on taulukko, jossa on jokaisen standardin oleellisimmat osat merkittynä.
Tässä diplomityössä etsittiin yhtenäistä IT ja OT-puolet kattavaa kyberturvallisuuden ohjeistusta Digiradalle standardeja hyödyntäen. Muitakin asioita, joita tässä diplomityössä ei tarkasteltu voisi tutkia standardeista. Eräänä jatkokehityskohteena voisi olla selvittää, miten standardeista löytyneitä ohjeistuksia voidaan hyödyntää käytännössä.