Kyberturvallisuuden uudet säännöt kulussa oleville rahtialuksille
Vainio, Juuso (2026)
2026
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202603305252
https://urn.fi/URN:NBN:fi:amk-202603305252
Tiivistelmä
Opinnäytetyön tarkoituksena oli selvittää nykyinen rahtialusten kyberturvallisuutta koskeva lainsäädäntö, selvittää Meriaura Oy:n omistamien vanhojen rahtialusten kyberturvallisuuden nykyinen tilanne sekä luoda toimintamalli rahtialusten OT-järjestelmien riskienhallinnalle. Opinnäytetyössä pyrittiin vastaamaan kysymyksiin: mitkä ovat voimassaolevat rahtialusten kyberturvallisuuden määräykset, mitä järjestelmiä tarkasteltavissa aluksissa on, mitä mahdollisia riskejä sisältyy kyseisiin järjestelmiin ja miten riskejä on mahdollista lieventää. Työn lopputuloksena luotiin päivitetty dokumentaatio Meriaura Oy:n rahtialusten sisältämistä järjestelmistä, sekä helppolukuinen dokumentaatio merenkulun kyberturvallisuutta määräävien tahojen säädöksistä.
Työ jakautui kahteen eri osuuteen. Ensimmäisessä osassa selvitettiin rahtialusten ja merenkulun kyberturvallisuutta määräävät tahot, sekä kyseisten tahojen luomat säädökset. Selvitystyön alkuvaiheessa Meriaura Oy:n yhteyshenkilö toimitti listan merenkulun säädöksiä hallinnoivista tahoista, sekä jakoi yrityksen omistamat tunnukset, joiden avulla pääsi lukemaan yrityksen omistamia merenkulun e-kirjoja. Selvitystyön aikana erilliset rahtialusten kyberturvallisuutta koskevat merenkulun säädökset kerättiin yhtenäiseen dokumenttiin. Toisessa osassa selvitettiin Meriaura Oy:n omistamien rahtialusten Auran ja Eeva VG:n OT-järjestelmien kyberturvallisuuden nykyinen tila. Selvitystyö toteutettiin perehtymällä yrityksen olemassa olevaan dokumentaatioon rahtialuksista sekä niiden sisältämistä OT-järjestelmistä. Rahtialusten OT-järjestelmille luotiin riskienhallinnan malli, jonka avulla arvioitiin rahtialuksen yksittäisten järjestelmien kyberturvallisuutta. Tulosten käsittelyssä hyödynnettiin rahtialusten kyberturvallisuudesta koottua materiaalia.
Merenkulun kyberturvallisuutta ohjaavat tahot olivat helposti tunnistettavissa, mutta merenkulun kyberturvallisuutta ei johdeta yhtenäisesti. Selvitystyön alussa saatu lista eri säädöksiä määrittelevistä tahoista sisälsi kaikki varsinaisia säädöksiä hallinnoivat tahot, mutta työssä perehdyttiin myös kyberturvallisuuden lainsäädäntöön ja säädösten taustalla piileviin standardeihin. Meriaura Oy:n rahtialusten OT-järjestelmien riskienhallinta toteutettiin kahden rahtialuksen osalta ja riskienhallintaa pohdittiin yhdessä Meriaura Oy:n yhteyshenkilön kanssa.
Lopputuloksena luotu taulukko rahtialusten kyberturvallisuuden säädöksistä mahdollistaa rahtialusta koskevien vaatimusten tarkastelun aluksen rakennussopimuksen allekirjoituspäivän mukaisesti. Taulukkoon lisättiin kyberturvallisuutta koskeva lainsäädäntö, alusten järjestelmien tekniset vaatimukset ja vaatimusten taustalla piilevät standardit. Aluksen sisältämien OT-järjestelmien riskienhallinnan suorittamiseen luotiin taulukkopohja ja riskienhallinta toteutettiin kahdelle Meriaura Oy:n rahtialukselle. Riskienhallinnassa ei ilmennyt välittömiä toimenpiteitä edellyttäviä korkeita riskejä. Tulosten perusteella keskityttiin riskien lieventämiseen pitkällä aikavälillä.
Työ jakautui kahteen eri osuuteen. Ensimmäisessä osassa selvitettiin rahtialusten ja merenkulun kyberturvallisuutta määräävät tahot, sekä kyseisten tahojen luomat säädökset. Selvitystyön alkuvaiheessa Meriaura Oy:n yhteyshenkilö toimitti listan merenkulun säädöksiä hallinnoivista tahoista, sekä jakoi yrityksen omistamat tunnukset, joiden avulla pääsi lukemaan yrityksen omistamia merenkulun e-kirjoja. Selvitystyön aikana erilliset rahtialusten kyberturvallisuutta koskevat merenkulun säädökset kerättiin yhtenäiseen dokumenttiin. Toisessa osassa selvitettiin Meriaura Oy:n omistamien rahtialusten Auran ja Eeva VG:n OT-järjestelmien kyberturvallisuuden nykyinen tila. Selvitystyö toteutettiin perehtymällä yrityksen olemassa olevaan dokumentaatioon rahtialuksista sekä niiden sisältämistä OT-järjestelmistä. Rahtialusten OT-järjestelmille luotiin riskienhallinnan malli, jonka avulla arvioitiin rahtialuksen yksittäisten järjestelmien kyberturvallisuutta. Tulosten käsittelyssä hyödynnettiin rahtialusten kyberturvallisuudesta koottua materiaalia.
Merenkulun kyberturvallisuutta ohjaavat tahot olivat helposti tunnistettavissa, mutta merenkulun kyberturvallisuutta ei johdeta yhtenäisesti. Selvitystyön alussa saatu lista eri säädöksiä määrittelevistä tahoista sisälsi kaikki varsinaisia säädöksiä hallinnoivat tahot, mutta työssä perehdyttiin myös kyberturvallisuuden lainsäädäntöön ja säädösten taustalla piileviin standardeihin. Meriaura Oy:n rahtialusten OT-järjestelmien riskienhallinta toteutettiin kahden rahtialuksen osalta ja riskienhallintaa pohdittiin yhdessä Meriaura Oy:n yhteyshenkilön kanssa.
Lopputuloksena luotu taulukko rahtialusten kyberturvallisuuden säädöksistä mahdollistaa rahtialusta koskevien vaatimusten tarkastelun aluksen rakennussopimuksen allekirjoituspäivän mukaisesti. Taulukkoon lisättiin kyberturvallisuutta koskeva lainsäädäntö, alusten järjestelmien tekniset vaatimukset ja vaatimusten taustalla piilevät standardit. Aluksen sisältämien OT-järjestelmien riskienhallinnan suorittamiseen luotiin taulukkopohja ja riskienhallinta toteutettiin kahdelle Meriaura Oy:n rahtialukselle. Riskienhallinnassa ei ilmennyt välittömiä toimenpiteitä edellyttäviä korkeita riskejä. Tulosten perusteella keskityttiin riskien lieventämiseen pitkällä aikavälillä.