Tulostusversio

1/2010

Tietoturva: Teollisuusautomaatiota verkoista voimaloihin

Teksti: Markku Tyynelä

Teollisuuden ohjausjärjestelmillä (ICS, Industrial Control Systems) tarkoitetaan useita eri teollisuusautomaation järjestelmiä. Niistä tärkeimpiä tyyppejä ovat käytönohjaus- ja valvontajärjestelmät (SCADA) ja hajautetut ohjausjärjestelmät (DCS).

SCADAa käytetään laajojen järjestelmien, kuten sähköverkkojen ja kaasulinjojen hallintaan. DCS-järjestelmiä on tyypillisesti maantieteellisesti rajatumman laitoksen, esimerkiksi voimalaitoksen tai öljynjalostamon, ohjauksessa. Selvää rajaa eri järjestelmätyyppien välille on kuitenkin käytännössä mahdotonta vetää.

Teollisuuden ohjausjärjestelmien tietoturvastandardeista on pulaa mutta niitä kehitetään parhaillaan useissa hankkeissa:

Yhdysvalloissa sähkönsiirtoon liittyvien järjestelmien käyttövarmuutta varmistava organisaatio NERC on julkaissut sähköalalle NERC-CIP (CIP, Critical Infrastructure Protection)-käyttövarmuusstandardit. Osa niistä on pakollisia määritellyille sähköalan toimijoille, joten ne vaikuttavat myös ohjausjärjestelmien valmistajiin. Käyttökelpoisia ovat NERC-CIP 002-009 -standardit.

Kansainvälinen automaatioalan järjestö ISA on pitkään valmistellut ISA-SP99-standardia. Sen kaksi ensimmäistä osaa on hyväksytty, lisää on tulossa. Hanke on tuottanut myös kaksi hyvää teknistä raporttia. Standardien puute on tuonut markkinoille epävirallisia standardeja, jotka keskittyvät sulautettujen laitteiden toimivuuden todentamiseen. Myös ISAn uusi ISASecure-sertifiointiohjelma on suunnattu näille laitteille. Tavoitteena on yhdistää epäviralliset sertifioinnit varsinaiseen ISASecure sertifikaattiin.

Standardien puutteesta huolimatta löytyy paljon ohjeita, suosituksia ja parhaita käytäntöjä:

Yhdysvaltain turvallisuusvirasto DHS on julkaissut malliohjeistuksen ohjausjärjestelmien tietoturvasta (The Cyber Security Procurement Language for Control Systems, 2009). Lisäksi DHS tukee Control System Security Program -ohjelmaa, joka on julkaissut useita käyttökelpoisia ohjeita.

Yhdysvaltojen standardointi-instituutti NIST julkaisee erittäin laadukkaita standardeja ja ohjeistoja (NIST Publications). Niistä erityisesti NIST 800-sarjan erikoisjulkaisut käsittävät useita käyttökelpoisia ohjeistuksia.

Viestintäviraston CERT-FI-yksikkö järjesti syksyllä 2009 seminaarin teollisuusautomaation tietoturvasta. 

---

[KIRJOITTAJA]

Projektipäällikkö Markku Tyynelä työskentelee Metso Automationilla. Hän on mm. osallistunut ”Teollisuusautomaation Tietoturva”-kirjan (Suomen Automaatioseura, SAS julkaisusarja no. 29, 2005) tekemiseen ja toimii parhaillaan puheenjohtajana kriittisten automaatiojärjestelmien tietoturvaa käsittelevässä CERT-FI-alityöryhmässä.

Lue myös

Tietoturva: Teollisuusautomaatiossa turva vaatii yhteistyötä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.