Koneiden kyberturvallisuuden hallinta
Nordfors, Jaakko (2024)
2024
Konetekniikan DI-ohjelma - Master's Programme in Mechanical Engineering
Tekniikan ja luonnontieteiden tiedekunta - Faculty of Engineering and Natural Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2024-09-18
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202408268319
https://urn.fi/URN:NBN:fi:tuni-202408268319
Tiivistelmä
Koneiden kyberturvallisuuden hallinnan merkitys on kasvanut EU-lainsäädännön muutosten ja kyberuhkien myötä. Tutkimuksessa kehitettiin koneiden kyberturvallisuuden hallintasuunnitelma työn toimeksiantajille Comatec Mobility Oy:lle ja yritykselle X. Tässä tutkimuksessa selvitetään millaisia kyberturvallisuusvaatimuksia EU:n lainsäädäntö edellyttää liikkuvia työkoneita valmistavilta yrityksiltä. Tutkimuksessa selvitetään myös, millaisella kyberturvallisuuden hallintasuunnitelmalla voidaan täyttää lainsäädännön vaatimukset ja saavuttaa vaatimustenmukaisuus, sekä miten hallintasuunnitelma tulee integroida osaksi yrityksen toimintaa.
Tutkimuksen tausta- ja teoriaosuus käsittelee koneiden kyberturvallisuuden ja koneturvallisuuden perusperiaatteita, automaatio- ja ohjausjärjestelmien kyberturvallisuutta, sekä koneiden kyberturvallisuuteen liittyvää EU:n lainsäädäntöä. Tutkimuksessa havaittiin, että koneiden kyberturvallisuuteen liittyvää standardointia ja soveltamisoppaita ei vielä ole, sekä liikkuvien työkoneiden kyberturvallisuuden hallitsemiseksi ei ole ollut saatavilla hallintamallia. Tausta- ja teoriaosuutta täydennettiin laadullisen tutkimuksen menetelmillä, kuten haastatteluilla ja havainnoimalla. Haastatteluiden avulla pystyttiin tunnistamaan haastateltavien yritysten suurimpien haasteiden liittyvän lainsäädännön muutoksiin ja kyberturvallisuuden hallintaan. Haastatteluiden ja havainnoinnin avulla pystyttiin tunnistamaan myös koneiden kyberturvallisuuden hallintaan liittyviä hyviä käytäntöjä, joita voitiin hyödyntää koneiden kyberturvallisuuden hallintamallin luomisessa.
Tutkimuksen tuloksina kehitettiin toimeksiantajille koneiden kyberturvallisuuden hallintasuunnitelma, poikkeamaprosessi ja toimenpideluettelo. Tutkimuksen tuloksina tunnistettiin myös koneiden kyberturvallisuuteen liittyvää lainsäädäntöä ja standardointia. Koneiden kyberturvallisuuden kannalta keskeisimmät lainsäädännöt ovat EU:n koneasetus ja kyberresilienssisäädös. Standardoinnin osalta tunnistettiin automaatio- ja ohjausjärjestelmien standardisarjan ISA/IEC 62443 tarjoavan koneiden kyberturvallisuuden hallintaan riittävät menetelmät ja työkalut. Tutkimuksessa luotujen koneiden kyberturvallisuuden hallintasuunnitelman, poikkeamaprosessin ja toimenpideluettelon avulla voidaan saavuttaa vaatimustenmukaisuus ja vahvistaa yrityksen kyberturvallisuuden tasoa.
Tutkimus osoittaa, että koneiden kyberturvallisuuden hallitseminen vaatii kattavan hallintasuunnitelman ja poikkeamaprosessin käyttöä. Koneiden kyberturvallisuuden hallintasuunnitelman ja poikkeamaprosessien lisäksi yrityksissä tarvitaan selkeät vastuualueet kyberturvallisuuden johtamiseksi ja organisaatiopolitiikan luomiseksi. Lainsäädännön seuraamista tulee jatkaa ja toimintamalleja tulee jatkokehittää, jotta riskiperusteisesti voidaan saavuttaa riittävä kyberturvallisuuden taso.
Tutkimuksen tausta- ja teoriaosuus käsittelee koneiden kyberturvallisuuden ja koneturvallisuuden perusperiaatteita, automaatio- ja ohjausjärjestelmien kyberturvallisuutta, sekä koneiden kyberturvallisuuteen liittyvää EU:n lainsäädäntöä. Tutkimuksessa havaittiin, että koneiden kyberturvallisuuteen liittyvää standardointia ja soveltamisoppaita ei vielä ole, sekä liikkuvien työkoneiden kyberturvallisuuden hallitsemiseksi ei ole ollut saatavilla hallintamallia. Tausta- ja teoriaosuutta täydennettiin laadullisen tutkimuksen menetelmillä, kuten haastatteluilla ja havainnoimalla. Haastatteluiden avulla pystyttiin tunnistamaan haastateltavien yritysten suurimpien haasteiden liittyvän lainsäädännön muutoksiin ja kyberturvallisuuden hallintaan. Haastatteluiden ja havainnoinnin avulla pystyttiin tunnistamaan myös koneiden kyberturvallisuuden hallintaan liittyviä hyviä käytäntöjä, joita voitiin hyödyntää koneiden kyberturvallisuuden hallintamallin luomisessa.
Tutkimuksen tuloksina kehitettiin toimeksiantajille koneiden kyberturvallisuuden hallintasuunnitelma, poikkeamaprosessi ja toimenpideluettelo. Tutkimuksen tuloksina tunnistettiin myös koneiden kyberturvallisuuteen liittyvää lainsäädäntöä ja standardointia. Koneiden kyberturvallisuuden kannalta keskeisimmät lainsäädännöt ovat EU:n koneasetus ja kyberresilienssisäädös. Standardoinnin osalta tunnistettiin automaatio- ja ohjausjärjestelmien standardisarjan ISA/IEC 62443 tarjoavan koneiden kyberturvallisuuden hallintaan riittävät menetelmät ja työkalut. Tutkimuksessa luotujen koneiden kyberturvallisuuden hallintasuunnitelman, poikkeamaprosessin ja toimenpideluettelon avulla voidaan saavuttaa vaatimustenmukaisuus ja vahvistaa yrityksen kyberturvallisuuden tasoa.
Tutkimus osoittaa, että koneiden kyberturvallisuuden hallitseminen vaatii kattavan hallintasuunnitelman ja poikkeamaprosessin käyttöä. Koneiden kyberturvallisuuden hallintasuunnitelman ja poikkeamaprosessien lisäksi yrityksissä tarvitaan selkeät vastuualueet kyberturvallisuuden johtamiseksi ja organisaatiopolitiikan luomiseksi. Lainsäädännön seuraamista tulee jatkaa ja toimintamalleja tulee jatkokehittää, jotta riskiperusteisesti voidaan saavuttaa riittävä kyberturvallisuuden taso.