Voimalaitosautomaation liityntärajapinnat järjestelmään : tietoturvanäkökulma

Abstract

Opinnäytetyön toimeksiantaja oli Apex Automation Oy. Ensisijaisena tavoitteena oli suunnitella ja toteuttaa Apex Automation Oy:n asiakkaalle toimintavarma ja tietoturvallinen verkkoratkaisu noudattaen ISA/IEC62443-standardin vaatimuksia. Toiseksi työssä pyrittiin kartoittamaan ja arvioimaan eri liityntäraajapintojen turvallisuutta voimalaitosautomaatiossa. Kolmantena tavoitteena oli lisätä Apex Automation Oy:n osaamista nykyaikaisista tietoturvamääräyksistä sekä tarjota ajantasaista tietoa eri kommunikaatioprotokollista ja niiden turvallisuusnäkökohdista.

Työn kohteena oli pääosin etäohjattu kaukolämpölaitos, jossa on kolme öljykattilaa. Järjestelmän rakenne on suunniteltu siten, että samaa ratkaisua voidaan soveltaa myös muissa lämmöntuotantomuodoissa. Tämä laitos toimii varalaitoksena, jota käytetään huoltojen aikana ja energiankulutushuippujen tasoittamiseen. Laitos on osa laajempaa kaukolämpöverkkoa, jonka päätuotanto tapahtuu teollisuusalueen tarpeita palvelevilla voimalaitoksilla. Automaatiojärjestelmässä käytettiin pääasiassa Siemensin komponentteja ja sisäisessä kommunikoinnissa hyödynnetään Profinet-verkkoa. Ylätason järjestelmä on myös Profinet-kommunikointiväylää ja yhteys siihen toteutettiin Couplerin avulla. Tämä mahdollisti laitoksen verkosta pienen verkkosegmentin luomisen, joka on eriytetty Couplerin avulla ylätason järjestelmästä. Coupler on tietoturvallinen ratkaisu, sillä se estää liitettyjen verkkojen suoran näkyvyyden toisilleen, rajoittaen tiedonvaihdon vain rajapintaan määriteltyihin input- ja output-datapaketteihin.

Työn tuloksena onnistuttiin toteuttamaan Apex Automation Oy:n asiakkaalle tietoturvallinen ja luotettava verkkoratkaisu. Samalla Apex Automation Oy sai ajantasaista tietoa tietoturvasäädöksistä sekä liityntärajapintojen turvallisuusvaatimuksista. Erityisesti hiljattain voimaan astuneen NIS 2 -direktiivin vaikutusten huomiointi toi lisäarvoa sekä Apex Automation Oy:lle, että sen asiakkaalle, auttaen parantamaan heidän tietoturvallisuusvalmiuksiaan.

The thesis was commissioned by Apex Automation Oy. The primary objective was to design and implement a robust and secure network solution for Apex Automation Oy's client, adhering to the requirements of the ISA/IEC62443 standard. The secondary objective was to analyze and evaluate the security of various interface connections in power plant automation. The third objective was to enhance Apex Automation Oy’s expertise in contemporary cybersecurity regulations and provide up-todate knowledge on various communication protocols and their associated security considerations.

The thesis focused on a remotely operated district heating plant equipped with three oil-fired boilers. The system architecture was designed to be adaptable for other forms of heat production as well. The facility operates as a backup plant, activated during maintenance periods and to manage peak energy demands. It is integrated into a larger district heating network, where primary heat production is performed by power plants serving the needs of an industrial area. The automation system primarily utilized Siemens components, with Profinet as the backbone for internal communication. The high-level system also employed the Profinet communication protocol, with connectivity established via a Coupler. This design enabled the creation of a small, segregated network segment within the plant, isolated from the high-level system by the Coupler. The Coupler is a secure solution, as it prevents direct visibility between connected networks, restricting data exchange strictly to predefined input and output data packets at the interface.

The project successfully delivered a secure and reliable network solution for Apex Automation Oy’s client. Furthermore, Apex Automation Oy acquired updated knowledge of cybersecurity regulations and interface connection security requirements. Notably, incorporating considerations of the recently enacted NIS 2 Directive added value for both Apex Automation Oy and its client, enhancing their cybersecurity preparedness.