Safety meets Security

Yhteiset strategiat ovat tarpeen

Koneiden ja järjestelmien turvatekniikalla on yhä suurempi merkitys sovelluksen koko käyttöiän. Tietotekniikka-alan automaatiojärjestelmien kasvava verkottuminen voi kuitenkin johtaa tilanteisiin, jotka vaativat uusia lähestymistapoja etenkin turvallisuussovelluksilta.

Valitse turvatuotteita!
Kyberturvallisuusilmoitus: System hacked
Käsi tietokoneella, jossa on esitys kyberrikollisuudesta

Tulevaisuuden Industry 4.0 -projektin puitteissa tuotanto ja tietotekniikka yhdistyvät yhä enemmän. Tämän myötä kasvavat myös turvallisuusalan vaatimukset. Toimisto-IT:n ja tuotannon verkon välisistä rajapinnoista hakkerit löytävät usein portin yrityksen verkkoon.

Kaspersky-ohjelmistoyhtiön vuonna 2017 tekemä tutkimus osoittaa, että noin joka kolmas kyberhyökkäys kohdistuu teollisuuden hallintajärjestelmiin ja siten tuottavia yrityksiä vastaan. Haittaohjelmien määrä kasvaa vuosittain ja näin myös niihin liittyvät vahingot teollisuuden järjestelmille. Ajankohtaisen "Triton"-haittaohjelman yhteys Safety Instrumented System (SIS) -järjestelmän tietoverkkohyökkäyksiin todistaa, että tämä skenaario on todellinen.

Turvallisuuden ja turvatekniikan maailmat kohtaavat, kun toiminnallisen turvallisuuden toteuttamiseen tarkoitetut automaatioratkaisut joutuvat hakkereiden hyökkäysten kohteiksi. Tämän vuoksi tulevaisuutta varten tulee kehittää yhteisiä strategioita.

Diplomi-insinööri C. Gregorius - Phoenix Contact Electronics GmbH, Senior Specialist Safety
Carsten Gregorius

Carsten Gregorius

Teollisuuden ohjausjärjestelmät ovat tällä hetkellä alttiina lukuisille uhkatekijöille. Seuraavassa niistä muutama esimerkki:

  • haittaohjelmistojen tarttuminen internetin tai intranetin välityksellä
  • haittaohjelmistojen tunkeutuminen vaihdettavien muistien tai muiden ulkoisten laitteistojen kautta
  • sosiaalinen manipulointi eli henkilöiden vaikuttaminen tavoitteena herättää tiettyjä käyttäytymismalleja
  • inhimilliset virheet ja ilkivalta
  • etähuoltoratkaisujen kautta tapahtuvat järjestelmämurrot
  • internetissä IP-protokollan avulla kytketyt ohjauskomponentit
  • tekninen väärinkäyttö ja ylivoimainen este
  • valmistusympäristössä hakkeroidut älypuhelimet, Extranet- ja Cloud-komponentit

Miten kyberturvallisuus kohtaa toiminnallisen turvallisuuden?

Toiminnallinen turvallisuus tarkoittaa turvallisuuteen liittyvien (ohjaus-) järjestelmien ja muiden riskitilanteita vähentävien toimenpiteiden oikeaa toimintaa. Mikäli toiminnassa esiintyy kriittinen virhe, huolehtii ohjaus turvallisen tilan saavuttamisesta. Turvallisuuteen olennaisesti liittyvien ohjausosien ominaisuuksille asetettavat vaatimukset on kuvattu B-standardissa EN ISO 13849 sekä sarjassa IEC 61508/IEC 61511/IEC 62061. Riskitasosta riippuen riskejä vähentävät toimenpiteet porrastetaan eri turvallisuustasoihin: suoritustaso (Performance Level, PL) tai turvallisuuden eheystaso (Safety Integrity Level, SIL).

Kyberturvallisuuden ja toiminnallisen turvallisuuden vertailu

Kyberturvallisuus puolestaan suojaa tietojen käytettävyyteen, eheyteen ja luotettavuuteen kohdistuvilta hyökkäyksiltä. Tämän se tekee ennalta ehkäisevillä tai reagoivilla teknisillä ja organisatorisilla toimenpiteillä. Turvateknisten näkökohtien laiminlyönti turvallisuusympäristössä voi vaikuttaa suoraan valmistuslaitteisiin. Sillä voi olla myös epäsuoria vaikutuksia tuotantoprosessiin ja siten lopputuotteeseen. Esimerkkinä ovat farmaseuttiset tuotteet tai turvallisuuden kannalta olennaiset osat autoteollisuudessa. Näillä aloilla muutoksilla voi olla merkittäviä negatiivisia vaikutuksia kuluttajiin. Siksi standardi IEC 61511-1 vaatii prosessiteollisuuden varolaitteille IT-riskienarviointia. Vastuullisen haltijan on suoritettava IT-riskienarviointi NAMUR-vaatimusten NA-menettelyn mukaisesti ja toteuttaa määritetyt toimenpiteet. Siten haltija voi arvioida PCE-varolaitteensa tekniikan uusimman tason mukaisesti ja täyttää siten huolellisuusvelvollisuutensa.

Pyramidi ja yleiskatsaus olennaisista turvallisuuteen liittyvistä laeista, asetuksista, direktiiveistä ja määräyksistä

Yleiskatsaus olennaisista laeista, asetuksista, direktiiveistä ja määräyksistä

Heikkojen kohtien aktiivinen etsintä

Sekä toiminnallisessa että käyttöoikeuksia koskevassa turvallisuudessa mahdollinen riski on arvioitava ensin riskien arvioinnin eli IT-uhka-analyysin perusteella. Tässä tulee esiin jo olennainen ero lähestymistavassa. Suunnittelijoiden on konedirektiivin mukaisen riskien arvioinnin puitteissa kiinnitettävä huomionsa ennemminkin staattisiin riskeihin, kuten mekaanisiin tai sähkön aiheuttamiin vaaroihin. IT-turvallisuusasiantuntija sen sijaan löytää itsensä jatkuvasti muuttuvasta ympäristöstä. Siellä hyökkääjät etsivät yhä uusilla menetelmillä aktiivisesti vastaavia heikkoja kohtia, joita toiminnallisen turvallisuuden alalla tarkastellaan systemaattisina virheinä.

Tärkeä vaikuttaja on inhimillinen tekijä: koneturvallisuudessa puhutaan ennakoitavissa olevasta virheellisestä käytöstä, kun käyttöhenkilöstö esimerkiksi peukaloi suojalaitteita, kuten ovikytkimiä. Laajamittaisissa kyberhyökkäyksissä teollisuuslaitoksiin on puolestaan otettava huomioon rikollisen energian suuri määrä.

White paper -julkaisu
Riskien arviointi: Safety ja kyberturvallisuus
Miten tehdään konedirektiivin mukainen riskien arviointi? Miten riskit arvioidaan Industrial Securityn mukaan? Lue aiheesta lisää white paper -julkaisustamme.
Lataa nyt
Teknikko tekee riskien arviointia tuotannossa

Ensimmäinen kirjaus NAMUR-taulukossa

Järjestelmien valmistajien, integroijien ja ylläpitäjien on varmistettava turvallisuuteen liittyvien järjestelmien tai komponenttien elinikä. Tähän voidaan käyttää toiminnallisen turvallisuuden hallinnassa tarpeenmukaista laadunhallintaa standardin IEC 61508 mukaisesti. Turvatekniikan maailmassa ISO 27000 -standardin mukainen toiminnallisen turvallisuuden hallinta tarjoaa siihen verrattavissa olevan ratkaisun.

Ensimmäisen pragmaattisen alun näiden kummankin aiheen limittymisen suuntaan tarjoaa NAMUR:in julkaisema taulukko "PCE-varolaitteiden IT-riskienarviointi". Siinä kuvataan IT-riskienarviointimenetelmä, joka perustuu IEC 62443 -turvallisuusstandardiin. Tämä menetelmä muodostaa perustan PCE-varolaitteen kestävyyden lisäämiselle IT-uhkia vastaan. Tätä varten suoritetaan ensimmäisen vaiheen kolme askelta esimerkkinä järjestelmästä, jollainen voi olla tyypillinen NAMUR-jäsenyrityksessä. Sen avulla käyttäjä voi tarkistaa menetelmän käyttökelpoisuuden arvioitavana olevan PLT-varolaitteen osalta. Toinen vaihe on toimenpiteiden toteuttamisen valvonta sekä IT-turvallisuusvaatimusten ja reunaehtojen dokumentointi. Toinen vaihe on suoritettava erikseen jokaiselle PCE-varolaitteelle.

NAMUR-suosituksen NA 163 mukainen riskien arviointi

NAMUR-suosituksen NA 163 mukaisen riskienarviointimenettelyn eri vaiheet

NAMUR-suosituksen NA 163 mukaisen riskienarviointimenettelyn eri vaiheet

Ei haittaa toiminnallista eheyttä

Tarkasteltava järjestelmä ja ohjelmisto jaetaan kahteen alueeseen:

  • Ydin-PCE-varolaite A-vyöhykkeellä käsittää PLT-varolaitteen, jollainen on määritetty standardissa IEC  61511-1. Siihen kuuluvat logiikkajärjestelmä, syöttö- ja tulostusyksiköt mukaan lukien etä-I/O sekä toimilaitteet ja anturit. Tähän vyöhykkeeseen kuuluvat myös liitokset ja mahdollisesti olemassa olevat verkkokomponentit, esimerkiksi kaapelit tai kytkimet, joita käytetään A-vyöhykkeellä olevien laitteiden kytkentään.
  • B-vyöhykkeen laajennettuun PCE-varolaitteeseen lasketaan kuuluviksi komponentteja, jotka eivät ole välttämättömiä turvatoiminnon suorittamista varten. Ne voivat kuitenkin vaikuttaa ydin-PCE-varolaitteen käyttäytymiseen. Näistä ovat esimerkkeinä käyttö-syöttötaulut, visualisointiasemat, PCE-varolaitteen ohjelmointilaite sekä anturi-/toimilaitekonfigurointia varten olevat laitteet.

Ympäristössä on komponentteja ja järjestelmiä, joita ei voida luokitella suoraan eikä epäsuorasti PCE-varolaitteeseen. Ne voivat kuitenkin olla yhteydessä turvatoimintoon. Kyseessä voivat olla nollauspyynnöt tai turvatoiminnon tilan visualisointi.

Alueiden yhteinen tavoite on, etteivät ympäristön vaikutukset haittaa varolaitteen toiminnallista eheyttä.

Vyöhykekonsepti riskien arviointia varten

Vyöhykekonsepti riskien arviointia varten

Asianosaisten henkilöiden kattava koulutus

Jotta voidaan vähentää vaarantuneen PCE-varolaitteen vaikutuksia tai estää uhkia, on ryhdyttävä toimenpiteisiin. Inhimillisellä tekijällä on tässä prosessissa erityinen rooli. Yli 50 prosenttia kyberturvallisuustapahtumista on työntekijöiden aiheuttamia. Siksi on tärkeää, että varolaitetta varten on nimitetty IT-turvallisuudesta vastaava henkilö. Kaikki asianosaiset henkilöt on valmisteltava ja koulutettava varolaitteen erittelyyn ja suunnitteluun. Lisäksi loppukäyttäjien tulisi solmia valmistajien, toimittajien ja ulkopuolisten ylläpitäjien kanssa luottamussopimukset turvallisuusjärjestelmää koskevien tietojen ja asiantuntemuksen suhteen.