Työkalu IEC 62443-4-2 standardin tason arvioimiseksi koneohjausjärjestelmissä
Kemppi, Mikko (2024)
2024
Tietojohtamisen DI-ohjelma - Master's Programme in Information and Knowledge Management
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2024-04-12
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202403253089
https://urn.fi/URN:NBN:fi:tuni-202403253089
Tiivistelmä
Tietojärjestelmien tietoturvan merkitys kasvaa jatkuvasti. Teollisen asioiden internetin ja koneiden välisen kommunikaation luodessa pohjan moderneille teollisille prosesseille on tärkeää myös huomioida järjestelmään liitettyjen laitteiden tietoturva. Fyysisiä laitteita sisältävissä järjestelmissä on liiketoiminnallisten riskien lisäksi myös ihmisten turvallisuuteen liittyviä riskejä, minkä johdosta automaatio- ja ohjausjärjestelmien tehokas tietoturva on turvallisen toiminnan edellytys. Varsinkin suuria ja liikkuvia koneita sisältävien koneohjausjärjestelmien tietoturva usein keskittyy järjestelmien toimivuuden ja turvallisuuden takaamiseen, mikä poikkeaa perinteisten tietojärjestelmien tarpeesta suojata dataa ja informaatiota.
Standardit ovat ennalta määriteltyjä ja asiantuntijoiden luomia vaatimuksia, joita seuraamalla voidaan saavuttaa palvelulle tai järjestelmälle tietty toiminnan taso. Standardien avulla voidaan vertailla tietojärjestelmien tietoturvan tasoa keskenään ja täten luoda liiketoiminnallista etua kilpailijoihin verrattuna. Tietojärjestelmien kehittäminen siten, että ne vastaavat jonkin standardin vaatimuksiin on standardointia. Tietojärjestelmän standardointi on kuitenkin usein hyvin työläs ja kallis prosessi. Standardointia aloittaessa onkin usein tilanne, jossa järjestelmä on muuten jo kehitetty toimivaksi, mutta tietoturvan huomioon ottaminen tulee jälkijunassa. Tässä tilanteessa tarvitaan tehokkaita keinoja erityistä huomiota tarvitsevien komponenttien tunnistamiseksi, jotta korjaavat toimenpiteet voidaan aloittaa tehokkaasti.
Tietoturvastandardien tason arvioinnille harvoin löytyy työkaluja ja prosessi onkin tehtävä manuaalisesti ja vaivalloisesti. Tämän johdosta on hyödyllistä kehittää työkalu, jolla tietyn standardin tasoa voidaan nopeasti ja tehokkaasti arvioida tietojärjestelmässä. Tämän tutkimuksen avulla luodaan työkalu, jolla asiakasorganisaatiota kiinnostavan tietoturvastandardi IEC 62443-4-2:n tasoa voidaan arvioida kehitettävässä koneohjausjärjestelmässä. Tutkittava standardi asettaa vaatimuksia järjestelmän yksittäisille komponenteille. Tutkimus toteutettiin suunnittelututkimuksena, jossa ensin kehitettiin arkistotutkimuksen avulla työkalusta ensimmäinen versio, minkä jälkeen asiantuntijahaastatteluiden avulla työkalua kehitettiin iteratiivisesti. Työkalun ensimmäinen versio luotiin koneohjausjärjestelmiin ja tietoturvastandardeihin liittyvien teorioiden pohjalta, sekä analysoitiin tutkittavan standardin sisältö tarkasti. Työkalun luonnin toisessa vaiheessa havaittiin useita ongelmia standardin asettamien vaatimusten tiivistämisessä lyhyisiin ja helposti ymmärrettäviin väitteisiin, mikä olikin tutkimuksen toisen vaiheen iteraatiokierrosten keskiössä.
Luotu työkalu toimii kolmessa vaiheessa. Ensimmäisessä vaiheessa tunnistetaan tutkittavan järjestelmän komponentit, toisessa vaiheessa tunnistetaan näiden komponenttien ominaisuudet ja kolmannessa vastataan järjestelmällisesti työkalun esittämiin väitteisiin. Työkalun käyttö toimii käytännössä merkitsemällä ruutuihin komponenttien täyttämät ominaisuudet ja vaatimukset. Lopputuloksena syntyy taulukko tutkittujen komponenttien tietoturvan tasosta IEC 62443-4-2 standardin vaatimuksina. Tutkimuksessa luotiin myös ohjedokumentti työkalun käytölle, jossa kuvataan sen tarkoitus, käyttö ja tulosten merkitys. Työkalun avulla kyettiin vähentämään tutkittavassa järjestelmässä tehtävää analyysiä huomattavasti, sillä työkalu rajaa komponentille sopimattomat vaatimukset analyysin ulkopuolelle niiden ominaisuuksien perusteella. Tutkittavasta järjestelmästä havaittiin selkeitä epäkohtia tietyillä standardin osa-alueilla, mikä toimii lähtökohtana järjestelmän tietoturvan parantamiseksi.
Standardit ovat ennalta määriteltyjä ja asiantuntijoiden luomia vaatimuksia, joita seuraamalla voidaan saavuttaa palvelulle tai järjestelmälle tietty toiminnan taso. Standardien avulla voidaan vertailla tietojärjestelmien tietoturvan tasoa keskenään ja täten luoda liiketoiminnallista etua kilpailijoihin verrattuna. Tietojärjestelmien kehittäminen siten, että ne vastaavat jonkin standardin vaatimuksiin on standardointia. Tietojärjestelmän standardointi on kuitenkin usein hyvin työläs ja kallis prosessi. Standardointia aloittaessa onkin usein tilanne, jossa järjestelmä on muuten jo kehitetty toimivaksi, mutta tietoturvan huomioon ottaminen tulee jälkijunassa. Tässä tilanteessa tarvitaan tehokkaita keinoja erityistä huomiota tarvitsevien komponenttien tunnistamiseksi, jotta korjaavat toimenpiteet voidaan aloittaa tehokkaasti.
Tietoturvastandardien tason arvioinnille harvoin löytyy työkaluja ja prosessi onkin tehtävä manuaalisesti ja vaivalloisesti. Tämän johdosta on hyödyllistä kehittää työkalu, jolla tietyn standardin tasoa voidaan nopeasti ja tehokkaasti arvioida tietojärjestelmässä. Tämän tutkimuksen avulla luodaan työkalu, jolla asiakasorganisaatiota kiinnostavan tietoturvastandardi IEC 62443-4-2:n tasoa voidaan arvioida kehitettävässä koneohjausjärjestelmässä. Tutkittava standardi asettaa vaatimuksia järjestelmän yksittäisille komponenteille. Tutkimus toteutettiin suunnittelututkimuksena, jossa ensin kehitettiin arkistotutkimuksen avulla työkalusta ensimmäinen versio, minkä jälkeen asiantuntijahaastatteluiden avulla työkalua kehitettiin iteratiivisesti. Työkalun ensimmäinen versio luotiin koneohjausjärjestelmiin ja tietoturvastandardeihin liittyvien teorioiden pohjalta, sekä analysoitiin tutkittavan standardin sisältö tarkasti. Työkalun luonnin toisessa vaiheessa havaittiin useita ongelmia standardin asettamien vaatimusten tiivistämisessä lyhyisiin ja helposti ymmärrettäviin väitteisiin, mikä olikin tutkimuksen toisen vaiheen iteraatiokierrosten keskiössä.
Luotu työkalu toimii kolmessa vaiheessa. Ensimmäisessä vaiheessa tunnistetaan tutkittavan järjestelmän komponentit, toisessa vaiheessa tunnistetaan näiden komponenttien ominaisuudet ja kolmannessa vastataan järjestelmällisesti työkalun esittämiin väitteisiin. Työkalun käyttö toimii käytännössä merkitsemällä ruutuihin komponenttien täyttämät ominaisuudet ja vaatimukset. Lopputuloksena syntyy taulukko tutkittujen komponenttien tietoturvan tasosta IEC 62443-4-2 standardin vaatimuksina. Tutkimuksessa luotiin myös ohjedokumentti työkalun käytölle, jossa kuvataan sen tarkoitus, käyttö ja tulosten merkitys. Työkalun avulla kyettiin vähentämään tutkittavassa järjestelmässä tehtävää analyysiä huomattavasti, sillä työkalu rajaa komponentille sopimattomat vaatimukset analyysin ulkopuolelle niiden ominaisuuksien perusteella. Tutkittavasta järjestelmästä havaittiin selkeitä epäkohtia tietyillä standardin osa-alueilla, mikä toimii lähtökohtana järjestelmän tietoturvan parantamiseksi.