Prosessi- ja kyberturvallisuuden riskinarviointimenetelmien yhteensopivuus ja riippuvuussuhteet
Korhonen, Markus (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025091424671
https://urn.fi/URN:NBN:fi:amk-2025091424671
Tiivistelmä
Opinnäytetyön tarkoituksena oli kehittää Sweco Finland Oy:n sisäistä tietoisuutta prosessi- ja kyberturvallisuuden riskinarviointimenetelmien yhteensopivuudesta ja riippuvuussuhteista. Kehittämistyön tavoitteena oli luoda taulukkomuotoinen toimintamalli, jonka avulla prosessi- ja kyberturvallisuuden riskinarviointeja vertailtiin keskenään niiden erojen, yhteneväisyyksien ja riippuvuussuhteiden selvittämiseksi. Vertailun tulokset dokumentoitiin toimintamalliin, jolloin kehitetty taulukko auttaa toimeksiantajaa tulevissa projekteissa prosessi- ja kyberturvallisuuden riskinarviointien koheesion ja kokonaisvaltaisuuden parantamisessa.
Opinnäytetyön tietoperusta koostuu useista prosessi- ja kyberturvallisuuden virallisista standardeista, viranomaisten oppaista ja sanastoista sekä litteroiduista toimeksiantajan asiantuntijoiden haastatteluista. Tietoperusta jaettiin prosessi- ja kyberturvallisuuden osa-alueisiin ja niiden analyysi toteutettiin dokumenttianalyysinä aineistolähtöisen sisällönanalyysin menetelmää käyttäen. Tämän tuloksena prosessi- ja kyberturvallisuuden riskinarvioinneille syntyi keskenään vertailtavat ylä- ja alaluokat, joiden avulla toimintamallissa dokumentoitu vertailu suoritettiin.
Opinnäytetyön tuloksena syntyi taulukkomuotoinen toimintamalli, jonka avulla prosessi- ja kyberturvallisuuden riskinarviointeja vertaillaan keskenään kuuden yläluokan puitteissa. Tämän vertailun tuloksena syntyi yhteenveto merkittävimmistä riskinarviointien eroista, yhteneväisyyksistä ja riippuvuussuhteista. Tässä opinnäytetyössä käsitellään yksityiskohtaisesti toimintamallin kautta syntyneitä vertailun tuloksia sekä johtopäätöksiä, joiden kautta toimeksiantaja pystyy tulevissa projekteissa kehittämään näiden riskinarviointien koheesiota vastaamaan nykyisiä tarpeita. Toimintamallin sisältö ja soveltuvuus katselmoitiin yhdessä toimeksiantajan kanssa, jolloin todettiin sen vastaavan toimeksiantajan tarpeita.
Opinnäytetyön tulokset korostavat prosessi- ja kyberturvallisuuden riskinarviointien integroinnin ja koheesion parantamisen tärkeyttä nykymaailmassa, jossa kasvava kyberhyökkäysten kohdistuminen prosessiteollisuuden järjestelmiin ja automaatioverkkoihin nostaa ihmishengille sekä ympäristölle vaarallisten onnettomuuksien todennäköisyyttä. Huomiota pitää kohdistaa erityisesti riskinarviointien väliselle yhteistyölle sekä tämän yhteistyön perusteelliselle dokumentoimiselle, jotta kyberturvallisuuden puolella osataan tulevaisuudessa huomioida kyberriskien prosessinpuoleisia seurauksia ja prosessiturvallisuuden puolella prosessiriskejä aiheuttavia kyberriskejä. The purpose of the thesis was to enhance the internal awareness at Sweco Finland Oy regarding the compatibility and interdependencies of process safety and cybersecurity risk assessments. The objective of the development work was to create a chart format operational model to compare the differences, similarities, and interdependencies of process safety and cybersecurity risk assessments. The comparison results were documented in the operational model, which helps the commissioner improve cohesion and comprehensiveness of process and cybersecurity risk assessments in future projects.
The theoretical framework of the thesis consists of several official process safety and cybersecurity standards, guides and glossaries from authorities, as well as transcribed interviews with the commissioner’s experts. The theoretical framework was divided into separate sections on process safety and cybersecurity, and the analysis was carried out as a document analysis utilizing the material-based content analysis method. As a result, comparable upper and lower categories were formed for both risk assessments, which were used to perform the comparison documented in the operational model.
The result of the thesis is a chart-format operational model, which compares process safety and cybersecurity risk assessments in the context of six upper categories. This comparison resulted in a summary of the most significant differences, similarities, and interdependencies between the risk assessments. This thesis details the comparison results and conclusions derived from the operational model, which will aid the commissioner in developing the cohesion of these risk assessments to meet current needs in future projects. The content and applicability of the operational model were reviewed together with the commissioner, where it was confirmed to meet the commissioner’s needs.
The thesis results highlight the importance of integrating and enhancing the cohesion of process safety and cybersecurity risk assessments in the modern age, where the increasing number of cyber-attacks targeting the process industry, its systems, and automation networks raises the probability of accidents which can result in significant harm to humans and the environment. Special attention should be paid to collaboration between risk assessments and thorough documentation of this collaboration to ensure that cybersecurity is able to take into consideration the impacts of cyber risks on the process side so that as a part of process safety identifying the process risks caused by cyber risks is feasible.
Opinnäytetyön tietoperusta koostuu useista prosessi- ja kyberturvallisuuden virallisista standardeista, viranomaisten oppaista ja sanastoista sekä litteroiduista toimeksiantajan asiantuntijoiden haastatteluista. Tietoperusta jaettiin prosessi- ja kyberturvallisuuden osa-alueisiin ja niiden analyysi toteutettiin dokumenttianalyysinä aineistolähtöisen sisällönanalyysin menetelmää käyttäen. Tämän tuloksena prosessi- ja kyberturvallisuuden riskinarvioinneille syntyi keskenään vertailtavat ylä- ja alaluokat, joiden avulla toimintamallissa dokumentoitu vertailu suoritettiin.
Opinnäytetyön tuloksena syntyi taulukkomuotoinen toimintamalli, jonka avulla prosessi- ja kyberturvallisuuden riskinarviointeja vertaillaan keskenään kuuden yläluokan puitteissa. Tämän vertailun tuloksena syntyi yhteenveto merkittävimmistä riskinarviointien eroista, yhteneväisyyksistä ja riippuvuussuhteista. Tässä opinnäytetyössä käsitellään yksityiskohtaisesti toimintamallin kautta syntyneitä vertailun tuloksia sekä johtopäätöksiä, joiden kautta toimeksiantaja pystyy tulevissa projekteissa kehittämään näiden riskinarviointien koheesiota vastaamaan nykyisiä tarpeita. Toimintamallin sisältö ja soveltuvuus katselmoitiin yhdessä toimeksiantajan kanssa, jolloin todettiin sen vastaavan toimeksiantajan tarpeita.
Opinnäytetyön tulokset korostavat prosessi- ja kyberturvallisuuden riskinarviointien integroinnin ja koheesion parantamisen tärkeyttä nykymaailmassa, jossa kasvava kyberhyökkäysten kohdistuminen prosessiteollisuuden järjestelmiin ja automaatioverkkoihin nostaa ihmishengille sekä ympäristölle vaarallisten onnettomuuksien todennäköisyyttä. Huomiota pitää kohdistaa erityisesti riskinarviointien väliselle yhteistyölle sekä tämän yhteistyön perusteelliselle dokumentoimiselle, jotta kyberturvallisuuden puolella osataan tulevaisuudessa huomioida kyberriskien prosessinpuoleisia seurauksia ja prosessiturvallisuuden puolella prosessiriskejä aiheuttavia kyberriskejä.
The theoretical framework of the thesis consists of several official process safety and cybersecurity standards, guides and glossaries from authorities, as well as transcribed interviews with the commissioner’s experts. The theoretical framework was divided into separate sections on process safety and cybersecurity, and the analysis was carried out as a document analysis utilizing the material-based content analysis method. As a result, comparable upper and lower categories were formed for both risk assessments, which were used to perform the comparison documented in the operational model.
The result of the thesis is a chart-format operational model, which compares process safety and cybersecurity risk assessments in the context of six upper categories. This comparison resulted in a summary of the most significant differences, similarities, and interdependencies between the risk assessments. This thesis details the comparison results and conclusions derived from the operational model, which will aid the commissioner in developing the cohesion of these risk assessments to meet current needs in future projects. The content and applicability of the operational model were reviewed together with the commissioner, where it was confirmed to meet the commissioner’s needs.
The thesis results highlight the importance of integrating and enhancing the cohesion of process safety and cybersecurity risk assessments in the modern age, where the increasing number of cyber-attacks targeting the process industry, its systems, and automation networks raises the probability of accidents which can result in significant harm to humans and the environment. Special attention should be paid to collaboration between risk assessments and thorough documentation of this collaboration to ensure that cybersecurity is able to take into consideration the impacts of cyber risks on the process side so that as a part of process safety identifying the process risks caused by cyber risks is feasible.