Suomessa on vahva ja edelleen kehittyvä automaatiojärjestelmien kyberturvallisuuden tutkimus- ja opetuskulttuuri. Tänään 29.4.2015 on julkaistu tuoreita tuloksia Huoltovarmuuskeskuksen ohjaamasta KYBER-TEO-hankekokonaisuudesta, jossa kehitetään toimivia käytäntöjä kyberturvallisuuden hallintaan teollisuudessa.

KYBER-TEO kiteyttää pitkäjänteisen tutkimustyön tuloksia

Suomessa on tehty jo vuodesta 2004 asti pitkäjänteistä yhteistyötä teollisuusautomaation tietoturvan parantamiseksi. Eräitä aktiivisimmista tutkimuksen tekijöistä ovat Teknologian tutkimuskeskus VTT ja sen pitkäaikainen tutkimuskumppani Tampereen teknillinen yliopisto (TTY). Huoltovarmuuskeskus ja Viestintäviraston Kyberturvallisuuskeskus (aiemmin CERT-FI) ovat tukeneet ja ohjanneet alan yhteistyötä ja tutkimusta jo kauan.

Tuorein suomalaisen yhteistyön hedelmä on Huoltovarmuuskeskuksen KYBER-TEO-hankekokonaisuus, "Kyberturvallisuuden kehittäminen ja jalkauttaminen teollisuuteen". Siinä kehitetään käytännön ratkaisuja tietoturvan kannalta haastavaan verkottuneeseen automaatioympäristöön. Hankekokonaisuus on käynnissä vuodet 2014-2016. Sen tuloksia on julkaistu tänään 29.4.2015.

Kyberturvallisuuskeskus on mukana KYBER-TEO:ssa sekä ohjaamassa tutkimusta että tutkimassa itse. Eräs Kyberturvallisuuskeskuksen panoksista hankkeelle on osallistuminen sopimusmallien kehittämiseen automaatiohankinnoille. Sopimusmalleja käyttäen automaatiojärjestelmien hankintaa suunnittelevat yritykset voivat laatia järjestelmätoimittajan kanssa sopimuksia, joissa myös tilattavan tuotteen tai palvelun tietoturvanäkökohdat otetaan yksiselitteisesti ja kattavasti huomioon.

Kattavaa tutkimusta Suomessa

Automaation tietoturvallisuutta yleisesti katsoen tutkitaan muutamilla tekniikan osa-alueilla, erityisesti systeemitekniikassa, tietotekniikassa ja informaatiotekniikassa. Seuraavassa on esimerkkejä Suomessa tehtävästä automaation tietoturvallisuuden tutkimuksesta.

Tampereen teknillisen yliopiston systeemitekniikan laitoksen automaation tietotekniikan ryhmässä on ollut pitkäjänteistä ja syvää tietoturvan tutkimusta automaation koko elinkaaressa. Laitoksen laajassa laboratorioympäristössä parannetaan automaatiojärjestelmien luotettavuutta ja kyberturvallisuutta. Sähkötekniikan laitos ratkoo älykkäiden sähköverkkojen kyberturvallisuuteen liittyviä haasteita kuten yksityisyyden suojaamista, palvelun saatavuutta ja langattoman teknologian ongelmia. Tietotekniikan laitoksella tutkitaan muun muassa tuhansia laitteita sisältävien verkkojen turvallista hallinnointia.

VTT tutkii ja kehittää kotimaisen teollisuuden kyberturvallisuutta ja tuotannon jatkuvuutta sekä tukemalla teollisuuden yrityksiä suoraan että kehittämällä julkisia tuloksia laajan yhteistyöverkoston kautta. Julkiset tulokset esitellään ja jaetaan relevanteille teollisuuden toimijoille Huoltovarmuuskeskuksen Huovi-portaalin kautta jatkosoveltamista varten.

Jyväskylän yliopiston tietotekniikan laitoksen tutkimusaloja ovat muun muassa kybertilannekuva ja -tilannetietoisuus, kriittisen infrastruktuurin suojaaminen kyberhyökkäyksiltä, sekä kohdistettujen hyökkäysten havaitseminen ja torjunta. Aalto-yliopistossa perustieteiden ja sähkötekniikan korkeakouluissa tutkitaan esimerkiksi kyberturvallisuutta, teollisuusautomaation turvallisuutta ja hajautettujen automaatiojärjestelmien uusia ohjelmointitekniikoita.

Oulun yliopiston tietoturvallisen ohjelmoinnin tutkimusryhmä etsii tietoturvahaavoittuvuuksia ja tietojärjestelmien tietoturvallisuuden tutkimuskeskuksen eräs tutkimusaihe on ydinvoimaloiden tietoturvallisuus.

Helsingin yliopistossa kyberturvallisuuden tutkimusta tehdään tietojenkäsittelytieteiden laitoksessa ja fysiikan laitoksessa. Lappeenrannan teknillisessä yliopistossa sivutaan kyberturvallisuutta osana ohjelmistotuotannon ja tiedonhallinnan tutkimusta.

Maanpuolustuskorkeakoulussa kyberturvallisuutta tutkitaan muun muassa sotatekniikan laitoksella aiheina tilannekuvan luominen, kriittisen infrastruktuurin suojaaminen ja verkostoavusteinen puolustus. Puolustusvoimien tutkimuslaitoksen informaatiotekniikkaosastossa tutkitaan tietoverkkosodankäyntiä.

Esimerkkinä yritysten tutkimuksesta Insta DefSec tutkii ja kehittää yhteiskunnan huoltovarmuuskriittisten järjestelmien turvallisuutta ja Insta Automation selvittää tutkimus- ja kehityshankkeessaan prosessiautomaation kyberturvallisuutta.

Rakennetta automaation tietoturvan koulutukseen

Automaation tietoturvan opettamista pitää katsoa erikseen peruskoulutuksen ja täydennyskoulutuksen näkökulmista.

Peruskoulutuksessa automaation tietoturvan ei tule olla oma opetusaihe. Tietoturva on automaatiojärjestelmien luotettavuuden parantamisessa yksi työkalu muiden joukossa. Peruskoulutuksessa tietoturvanäkökulma tulee sulauttaa kaikkeen automaatio-opetukseen.

Automaation turvaamisessa on oleellista ymmärtää, miten automaatio toimii; toisin sanoen, miten mitataan ja säädetään prosesseja sekä jalostetaan tuotantoon liittyvää tietoa yrityksen muun toiminnan tarpeisiin. Esimerkiksi Tampereen teknillisen yliopiston systeemitekniikan laitoksella integroitiin tietoturva automaatiokoulutukseen jo vuonna 2005. Tietoturvatyökalu tulee esiin jo ensimmäisillä automaatiokursseilla ja sen roolia sekä mekanismeja luotettavuuden parantamisessa tuodaan esiin siellä missä se on järkevää.

Tietoturva on pääosassa vain kurssilla Automaation turvallisuus, jolla muodostetaan kokonaiskuva tietoturvan roolista teollisten järjestelmien turvaamisessa koko elinkaaren ja myös kansallisten toimijoiden näkökulmasta.

Täydennyskoulutus on suunnattu yrityksille. Se on jaettavissa kolmeen vaiheeseen:

1) perusymmärrys tietoturvan roolista automaatiossa koko yrityksen henkilöstölle;

2) tietoturvan soveltaminen automaatioympäristössä niille, jotka tekevät automaatiojärjestelmien parissa töitä;

3) ympäristö- ja laitekohtainen tieturva niille, jotka konfiguroivat tai kehittävät automaatiojärjestelmiä.

Täydennyskoulutuksessa on oleellista myös organisaation IT:n osallistuminen, koska koulutuksen pääasiallinen tavoite tulee olla keskustelun lisääminen automaatio-IT-rajapinnassa. Esimerkiksi Automaation tietoturva (omin käsin) -yrityskurssia on käytetty erään yrityksen sisäisen automaation tietoturvan parantamishankkeen aloituksena.

Automaatiojärjestelmien tietoturvaamista operatiivisessa toiminnassa ei voida harjoitella tuotantojärjestelmillä. Automaatio ei nykymaailmassa ole yksin, vaan osa yritysten globaalia liiketoimintaa.

Kyberturvallisuuslaboratoriot tarjoavat turvallisen paikan harjoitella modernissa Internet-kytketyssä liiketoiminnassa toimimista. Ympäristöt kuten Jyväskylän ammattikorkeakoulun Realistic Global Cyber Environment ja Tampereen teknillisen yliopiston TUTCyberLabs tarjoavat yhdessä todenmukaisen harjoitusympäristön automaation ja muiden yritystoimintaan liittyvien eri kokoisten tietoteknisten kokonaisuuksien osana toimimista. VTT:n Cyber WAR ROOM -ympäristö mahdollistaa automaatiojärjestelmien testauksen ja tutkimuksen. WAR ROOM:n mallin pohjalta VTT järjestää myös harjoitustoimintaa.

Kiitokset

Kyberturvallisuuskeskus kiittää erikoistutkija Pasi Ahosta Teknologian tutkimuskeskus VTT:stä ja automaation tietoturva-asiantuntija Jari Seppälää Tampereen teknillisen yliopiston Systeemitekniikan laitokselta tämän artikkelin kirjoittamiseen osallistumisesta. Ahonen on kirjoittanut automaation kyberturvallisuuden tutkimusta Suomessa käsittelevän kappaleen ja Seppälä koulutusta käsittelevän kappaleen.

Lisää aiheesta

• Koeteltua kyberturvaa teollisuudelle. Huoltovarmuuskeskuksen tiedote 28.4.2015
• Kyberturvallisuuden kehittäminen ja jalkauttaminen teollisuuteen vuonna 2014. KYBER-TEO 2014 -hankkeen tuloksia
• Teollisuuden kyberturvallisuus. VTT:n esittelysivu KYBER-TEO-hankkeesta
• Martti Lehto, Aili Kähkönen: Kyberturvallisuuden kansallinen osaaminen. Informaatioteknologian tiedekunnan julkaisuja no. 20/2015. Jyväskylän yliopisto

Päivityshistoria

29.04.2015 klo 08:59