Meillä on vuosien kokemus erilaisten kyberturvallisuuden kehittämisen mallien ja ohjeiden kehittämisestä teollisuusyrityksille. Hyvin harvoin joitain malleja ja ohjeita kannattaa esim. sellaisenaan kopioida yritykseltä toiselle, sillä yritysten toiminta on yleensä aina erilaista (toiminta syntyy sitä toteuttavista ihmisistä). Alla avaan hieman tällaiseen määrittelytyöhön liittyvää taustaa.
Tietoturvallisuusstrategia
Teollisuusyrityksen tietoturvallisuutta johdetaan kyseiseen liike- ja tuotantotoimintaan räätälöidyn tietoturvallisuusstrategian, tietoturvapolitiikkojen, -vaatimusten ja ohjeiden pohjalta. Toimivan tietoturvallisuusstrategian kehittäminen ja ylläpitäminen vaatii laajaa osaamista mm. tuotannon, automaation ja tietoturvan osa-alueilta, jatkuvaa uuden oppimista, erilaisten seurantamenetelmien ja kontrollien koestamista, vertaisyritysten kokemusten hyödyntämistä, jne. Tämä vaatii jatkuvaa työtä ja tietoisuuden ylläpitämistä useilta hyvinkin erilaisilta osa-alueilta.
Hyvin toimiva strategia kuitenkin yhdistää yrityksen eri osastoja ja kannustaa niitä toimimaan yhteistoiminnassa tietoturvallisuuden kehittämiseksi ja varmistamiseksi. Toimiva strategia ”valitsee jyvät akanoista” eli määrittelee mm. mitkä käytännössä koetellut, tehokkaat ja tarkoituksenmukaiset hallintamenettelyt, kumppanit ja teknologiat on valittu käytettäväksi myös kriittisen tuotannon turvaamiseksi.
Tietoturvapolitiikka
Tietoturvapolitiikka on yritysjohdon tärkeä johtamistoimenpide, jolla voimassaolevien lakien, asetusten ja sopimusten velvoitteisiin perustuvat liiketoiminnan tietoturvallisuuden yleiset tavoitteet ja vastuut asetetaan.
Tietoturvapolitiikka kattaa yleisesti:
Tietoturvallisuuden päätavoitteiden ja periaatteiden määrittelyn (liiketoimintaa varten)
Tietoturvallisuuden hallintaan liittyvien roolien määrittelyn
Sitoutumisen tietoturvallisuuden hallinnan jatkuvaan parantamiseen
Häiriötilanteita koskevien tärkeimpien toimintatapojen määrittelyn
Sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
Tietoturvavaatimukset
Tietoturvavaatimuksia tarvitaan, jotta oma henkilöstö, kumppanit, sekä laite-, ohjelmisto- ja järjestelmätoimittajat osaavat toimia turvallisella tavalla. Vaatimusten asettaminen on myös hyvä keino valita tietoturvallisuudesta hyvin huolehtivia kumppaneita ja vastaavasti hyvin ylläpidettyjä tuotteita ja palveluja.
COREQ-VE on eräs esimerkki automaatiota varten kehitetystä tietoturvavaatimuskannasta, jota voidaan käyttää automaatiotoimittajien kyberturvallisuuden hallinnassa järjestelmän koko elinkaaressa.
Materiaaleja kriittisen infrastruktuurin turvaamiseen: https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/materiaaleja-kriittisen-infran-turvaamiseen
Tietoturvaohjeet
Tietoturvaohjeet ovat erittäin hyödyllisiä siksi, että ne kuvaavat turvalliset toimintatavat mahdollisimman yksinkäsitteisellä tavalla eri tehtävissä toimiville henkilöstöryhmille ja kumppaneille. Ohjeet tulee sovittaa yrityksen olemassa oleviin prosesseihin ja toimintaohjeisiin ja niitä tulee helposti voida noudattaa myös käytännössä (epäselvät tai liian vaativat ohjeet ovat turhia). Tarvittava ohjeistus tietenkin riippuu henkilöstölle ja kumppaneille määrätyistä tehtävistä, sekä liiketoiminnan sisällöstä ja kriittisyydestä.
Erityistä ohjeistusta on aiemmin tarvittu mm. seuraaville osa-alueille (Ref: KYBER-ENE 1-2 kirja):
Automaatio-omaisuuden hallinta
Hankintojen kyberturvavaatimukset
Operatiivisten kumppanien & ratkaisujen arviointi ja valinta
Tietoliikenteen turvallinen arkkitehtuuri
Turvalliset etäyhteydet
Pääsyoikeuksien hallinta
Jatkuvuuden varmistaminen, palautus
Häiriötilanteiden hallinta ja harjoittelu