Varustamon ISM-käsikirjan kyberturvallisuusosion kehittäminen

Abstract

Tämän kehittämistyön tavoitteena oli laatia Mopro Oy:lle, Saimaalla toimivalle puutavarakuljetuksiin erikoistuneelle varustamolle, ajantasainen ja käytännönläheinen ISM-käsikirjan kyberturvallisuusosio. Osion tarkoituksena oli vastata IMO:n MSC.428(98) -päätöslauselman mukaisiin ISM-koodin vaatimuksiin ja tukea varustamon turvallisuusjohtamisjärjestelmää. Työ hyödyttää suoraan Mopro Oy:tä parantamalla sen varautumista kyberuhkiin ja varmistamalla säädöstenmukaisuus Suomen huoltovarmuuden kannalta kriittisellä merenkulkualalla. Kehittämistehtävänä oli päivittää Mopro Oy:n olemassa oleva ISM-käsikirjan kyberturvallisuusosio, joka oli yleisluontoinen ja puutteellinen. Haasteena oli sovittaa laaja ja tekninen kyberturvallisuustieto pienemmän sisävesivarustamon tarpeisiin ja resursseihin, varmistaen samalla käytännönläheisyyden ja helpon jalkauttamisen osaksi päivittäistä toimintaa.

Työn tietoperusta nojautui kansainväliseen ja kansalliseen merenkulun sääntelyyn ja ohjeistuksiin. Keskeisessä roolissa olivat IMO:n ISM-koodi ja MSC-FAL.1/Circ.3 – Guidelines on Maritime Cyber Risk Management. Lisäksi hyödynnettiin Huoltovarmuuskeskuksen ja Suomen Varustamot ry:n (2021) julkaisuja merenkulun kyberturvallisuudesta. Riskienhallinnan osalta hyödynnettiin DCSA:n luomaa opasta. Kehittämistyössä käytettiin pragmaattista lähestymistapaa, korostaen konkreettista hyötyä ja käytännön sovellettavuutta. Tiedonkeruumenetelminä hyödynnettiin strukturoimatonta syvähaastattelua yrityksen johtotehtävissä toimivan henkilön kanssa, sekä osallistuvaa havainnointia yrityksen tiloissa ja aluksilla. Nämä menetelmät mahdollistivat syvällisen ymmärryksen toimeksiantajan toimintaympäristöstä ja tarpeista.

Työn keskeinen tuotos oli Mopro Oy:n ISM-käsikirjaan päivitetty kyberturvallisuusosio, joka sisältää ISM-käsikirjaan sisällytettävän osion ja sitä täydentävän, henkilöstölle suunnatun kyberturvallisuusohjeistuksen. ISM-käsikirjan kyberturvallisuusosio sisältää ryhmätasolla jaotellut kriittisten laitteiden luettelon, kyberuhkien tunnistamisen ja kuvaukset sekä hallintakeinoja niiden torjumiseksi. Lisäksi osiossa on selittävät taulukot laitteiden kriittisyysluokitteluun (3-portainen asteikko) ja uhkien vakavuuden ja todennäköisyyden arviointiin (5-portainen asteikko). Kyberturvallisuusohjeistus sisältää toimintaohjeita yrityksen työntekijöille yleisimpien kyberriskien hallintaan.

Kehittämistyön tuotos paransi merkittävästi varustamon kyberturvallisuusvalmiuksia muuttamalla yleisluontoisen ohjeistuksen konkreettiseksi työkaluksi. Tuotos on nyt selkeämmin sidottu varustamon käytäntöihin ja vastaa paremmin sen toiminnallisiin vaatimuksiin ja ISM-koodin vaatimuksiin. Luotettavuutta tukee toimeksiantajan toimintaympäristöön pohjautuva suunnittelu ja ajankohtaisten asiantuntijalähteiden hyödyntäminen. Jatkokehitysehdotuksina esitettiin vastuuhenkilön nimeämistä ohjeistuksen ylläpidosta ja jalkauttamisesta vastaamaan, kyberturvallisuuskulttuurin vahvistamista koulutuksen kautta, ohjeistuksen sisällön toteuttamista Excel-laskentataulukkoon ylläpidon helpottamiseksi, sekä Granite-järjestelmän hyödyntämistä kyberturvallisuuteen liittyvien tapahtumien raportointiin.

The objective of this development project was to produce an up-to-date and practical cybersecurity section for the ISM manual of Mopro Oy, a shipping company operating on Lake Saimaa and specializing in timber transport. The aim of the guidance was to meet the ISM Code requirements in accordance with IMO Resolution MSC.428(98) and to support the company's safety management system. This work directly benefits Mopro Oy by enhancing its preparedness for cyber threats and ensuring regulatory compliance in the maritime sector, which is critical to Finland's security of supply. The development task focused on updating Mopro Oy’s existing cybersecurity section of the ISM manual, which had been general in nature and lacking in detail. The main challenge was to adapt broad and technical cybersecurity knowledge to the needs and resources of a smaller inland shipping company, while ensuring the content remained practical and easy to implement as part of daily operations.

The knowledge base for the work was grounded in international and national maritime regulations and guidelines. Key sources included the IMO’s ISM Code and MSC-FAL.1/Circ.3 – Guidelines on Maritime Cyber Risk Management. In addition, publications by the Finnish National Emergency Supply Agency and the Finnish Shipowners’ Association (2021) on maritime cybersecurity were utilized. For risk management, a guide developed by DCSA was referenced. A pragmatic approach was used throughout the development process, with an emphasis on tangible benefits and practical applicability. Data collection methods included an unstructured in-depth interview with a member of the company’s management and participatory observation at the company’s premises and onboard vessels. These methods enabled a deep understanding of the client’s operational environment and specific needs.

The main output of the project was the updated cybersecurity section for Mopro Oy’s ISM manual, consisting of both a section to be included in the ISM manual and a supplementary cybersecurity guide for staff. The ISM manual section includes a categorized list of critical systems, identification and descriptions of cyber threats, and mitigation measures. It also features explanatory tables for classifying equipment criticality (on a 3-level scale) and assessing the severity and likelihood of threats (on a 5-level scale). The cybersecurity guide provides employees with instructions for managing the most common cyber risks.

The result of the development project significantly improved the company's cybersecurity capabilities by transforming a general set of guidelines into a concrete tool. The result is now more clearly aligned with the company’s operational practices and better meets both functional and ISM Code requirements. Its reliability is supported by the use of context-specific design and up-to-date expert sources. Suggestions for further development included appointing a responsible person for maintaining and implementing the guidance, strengthening cybersecurity culture through training, creating an Excel-based version of the content for easier management, and utilizing the Granite system for reporting cybersecurity-related incidents.