Kone- ja tietoturvallisuus : riskien arvioinnin suhteet ja laillinen viitekehys

Abstract

Koneisiin liitetään yhä enemmän tietoteknisiä laitteita, jotka mahdollistavat esimerkiksi etäohjauksen ja kasvattavat työn tehokkuutta sekä laatua. Kun kone rakennetaan älykkääksi, siitä tulee myös altis uusille vaaroille ja uhille, joita ei ole aiemmin tarvinnut huomioida koneiden turvallisuutta arvioitaessa. Tietoturvahyökkäysten yleistyessä lainsäädäntö pyritään pitämään ajantasaisena yhteiskunnan turvallisuuden varmistamiseksi. Lainsäädäntö on muuttumassa myös koneiden osalta ja tietoturvan hallintaan on tulossa tiukempia vaatimuksia.

Opinnäytetyössä tutustuttiin koneiden ja tietoturvan riskien arvioinnin eroihin lainsäädännön, standardien ja aiemman tutkimuksen pohjalta. Työn tavoitteena oli tutkia, millaisia vaatimuksia lainsäädäntö tulee asettamaan koneille sekä miten tietoturvaan liittyvät vaarat voidaan huomioida koneiden riskien arvioinnissa. Työn toimeksiantaja oli Etteplan Finland Oy.

Työn tuloksena syntyi laillinen viitekehys, hahmotelma tietoturvariskien arvioinnin toimintakuvauksesta sekä näköispainos koneiden tietoturvallisuuden esiarviointityökalusta. Tulosten avulla voidaan paremmin ymmärtää nykyisiä ja tulevia tietoturvavaatimuksia koneille ja kehittää Etteplanin koneturvallisuuden asiantuntijapalveluita asiakkaiden tarpeiden mukaisesti.

There is an increasing amount of connected machinery which are equipped with IT-devices. Smart machinery provides better quality and efficiency, but can also be vulnerable. As the number of cyber-attacks increases, legislation must be kept up to date to ensure the safety of society. Legislation concerning machinery is also changing and more stringent requirements are coming for data security.

In this study, the differences of machinery and information security risk assessments were examined on the basis of legislation, standards and previous research. The goal of this study was to understand the legal requirements of connected machinery and how data security risks can be observed in the risk assessment of machinery. This thesis was commissioned by Etteplan Finland Oy.

The result of the work was a legal framework, a plan for a security risk assessment process and a demo of a data security pre-assessment tool for machinery. With these results it is possible to understand current and future information security requirements for machinery and to develop Etteplan's machinery safety services according to customer needs.