Tietoturva ja NIS2

Tietoturva ja NIS2-valmius SmartMES-toimituksissa

Teollisuuden ohjelmistojärjestelmien tietoturva on yhä tärkeämpi osa tuotannon jatkuvuutta, toimitusvarmuutta ja asiakasyritysten riskienhallintaa. Production Software huomioi SmartMES-toimituksissa tietoturvan, ylläpidettävyyden ja järjestelmien jatkuvuuden jo suunnittelu- ja käyttöönottovaiheessa.

SmartMES-ratkaisut toimitetaan asiakaskohtaisesti, ja järjestelmän arkkitehtuuri, integraatiot, käyttäjähallinta, etäylläpito sekä varmuuskopiointikäytännöt sovitetaan asiakkaan toimintaympäristön ja vaatimusten mukaisesti.

NIS2-vaatimuksia tukevat käytännöt

NIS2-direktiivi korostaa kyberturvallisuuden riskienhallintaa, poikkeamien käsittelyä, toimitusketjun hallintaa, pääsynhallintaa ja toiminnan jatkuvuutta. SmartMES-toimituksissa näitä osa-alueita tuetaan käytännönläheisillä toimintamalleilla ja asiakaskohtaisella dokumentoinnilla.

Toimituksissa voidaan dokumentoida esimerkiksi:

  • järjestelmäarkkitehtuuri ja keskeiset tietovirrat
  • etäyhteys- ja ylläpitokäytännöt
  • käyttäjä- ja oikeushallinnan periaatteet
  • varmuuskopiointi- ja palautumiskäytännöt
  • tietoturvapäivitysten toimintamalli
  • poikkeamien ilmoitusprosessi
  • toimittaja- ja pilvipalveluiden käyttö
  • lokitus- ja valvontaperiaatteet

Näin asiakas saa paremman näkyvyyden siihen, miten MES-järjestelmä liittyy yrityksen omaan tietoturva- ja jatkuvuudenhallintaan.

Hallittu järjestelmäarkkitehtuuri

SmartMES voidaan toteuttaa paikallisesti asiakkaan tuotantoympäristöön, pilvipalvelua hyödyntäen tai näiden yhdistelmänä. Tyypillisessä toteutuksessa tuotannon operatiivinen data käsitellään paikallisella palvelimella tai teollisuus-PC:llä, ja pilveen siirretään vain erikseen sovitut tiedot esimerkiksi johdon raportointia varten.

Järjestelmä voi integroitua esimerkiksi tuotantokoneisiin, PLC-laitteisiin, operaattoripaneeleihin, ERP-järjestelmiin, SCADA-järjestelmiin, tietokantoihin, MQTT-välityspalvelimiin tai muihin teollisuuden rajapintoihin.

Asiakaskohtaisessa arkkitehtuurikuvauksessa voidaan kuvata järjestelmän komponentit, tietovirrat, integraatiot, käyttöympäristöt ja vastuunjako asiakkaan ja toimittajan välillä.

Suojattu etäylläpito

SmartMES-järjestelmän ylläpito voidaan tehdä etäyhteydellä asiakkaan hyväksymällä tavalla. Etäylläpidon periaatteena on, että yhteydet ovat hallittuja, suojattuja ja tarkoituksenmukaisesti rajattuja.

Etäyhteyksiä käytetään esimerkiksi sovelluspäivityksiin, häiriötilanteiden selvittämiseen, lokien tarkastamiseen, integraatioiden käyttöönottoon ja asiakkaan tilaamiin muutoksiin.

Etäylläpidossa noudatetaan seuraavia periaatteita:

  • etäyhteys avataan vain sovittuun käyttötarkoitukseen
  • yhteystapa määritellään asiakkaan IT-käytäntöjen mukaan
  • ylläpitotunnukset rajataan tarpeen mukaan
  • vahvaa tunnistautumista käytetään aina, kun se on mahdollista
  • merkittävät ylläpitotoimet voidaan dokumentoida

Käyttäjä- ja oikeushallinta

SmartMESissä käyttöoikeudet voidaan määrittää käyttäjäroolien ja työtehtävien mukaan. Tavoitteena on, että käyttäjällä on käytössään vain ne toiminnot ja tiedot, joita hän tarvitsee omassa työssään.

Tyypillisiä käyttäjärooleja ovat esimerkiksi tuotantokäyttäjä, työnjohtaja, laadunvalvoja, pääkäyttäjä ja ylläpitäjä. Käyttöoikeuksien hallinta voidaan toteuttaa asiakaskohtaisesti joko SmartMESin omilla käyttäjähallintatoiminnoilla tai soveltuvin osin asiakkaan olemassa olevia tunnistus- ja hallintaratkaisuja hyödyntäen.

Käyttäjähallinnan tavoitteena on tukea vähimmän oikeuden periaatetta, tunnusten hallittua elinkaarta ja käyttöoikeuksien säännöllistä tarkistamista.

Varmuuskopiointi ja palautuminen

Tuotannonohjausjärjestelmän jatkuvuus edellyttää, että tärkeät tiedot ja asetukset voidaan palauttaa häiriötilanteessa. SmartMES-toimituksissa varmuuskopioinnin ja palautumisen vastuut määritellään asiakaskohtaisesti.

Varmuuskopioitavia kohteita voivat olla esimerkiksi:

  • MES-tietokanta
  • sovelluksen asetustiedostot
  • integraatioasetukset
  • raporttipohjat
  • lokitiedot
  • pilvisynkronoinnin asetukset

Palautumisen kannalta voidaan määritellä myös palautustavoitteet, palautusjärjestys ja palautustestauksen periaatteet. Näin järjestelmän käyttökatkoihin ja teknisiin häiriöihin voidaan varautua ennakolta.

Tietoturvapäivitykset ja haavoittuvuuksien hallinta

Production Software seuraa käyttämiensä teknologioiden, ohjelmistokomponenttien ja riippuvuuksien päivitystarpeita. Tietoturvapäivitykset arvioidaan niiden vaikutuksen ja kiireellisyyden perusteella.

Päivitysten yhteydessä huomioidaan esimerkiksi:

  • MES-sovelluksen versiot
  • käyttöjärjestelmä- ja tietokantapäivitykset
  • käytössä olevat ohjelmistokirjastot
  • etäyhteys- ja pilvipalveluihin liittyvät muutokset
  • integraatioiden yhteensopivuus

Tuotantoympäristöihin tehtävät päivitykset suunnitellaan asiakkaan kanssa siten, että tuotannon häiriöt voidaan minimoida. Merkittävissä muutoksissa huomioidaan myös palautusmahdollisuus aiempaan toimivaan versioon.

Poikkeamien käsittely ja asiakkaalle ilmoittaminen

Tietoturva- tai käyttöpoikkeamat käsitellään sovitun prosessin mukaisesti. Poikkeama voi liittyä esimerkiksi järjestelmän saatavuuteen, luvattomaan käyttöön, tietojen eheyteen, haittaohjelmaepäilyyn, etäyhteystunnuksiin tai pilvipalvelun häiriöön.

Jos havaittu poikkeama voi vaikuttaa asiakkaan tuotantoon, tietoihin tai järjestelmän luotettavuuteen, asiakkaalle ilmoitetaan ilman aiheetonta viivytystä.

Ilmoituksessa kerrotaan tilanteen mukaan esimerkiksi:

  • mitä on havaittu
  • mihin järjestelmään tai palveluun havainto liittyy
  • mikä on alustava vaikutusarvio
  • mitä välittömiä toimenpiteitä on tehty
  • mitä jatkotoimia suositellaan
  • milloin lisätietoja annetaan

Tavoitteena on, että asiakas saa ajoissa riittävät tiedot oman toimintansa, jatkuvuudenhallintansa ja mahdollisten viranomaisvelvoitteidensa tueksi.

Toimitusketjun ja pilvipalveluiden hallinta

SmartMES-toimituksissa voidaan hyödyntää erilaisia teknologia- ja pilvipalveluita esimerkiksi ohjelmistokehityksessä, ylläpidossa, raportoinnissa, viestinnässä ja tiedon synkronoinnissa.

Käytettävät palvelut valitaan käyttötarkoituksen, tietoturvan, luotettavuuden ja asiakastarpeen perusteella. Asiakaskohtaisesti voidaan kuvata, mitä palveluita toimituksessa käytetään, mitä tietoja niissä käsitellään ja mitkä vastuut kuuluvat asiakkaalle, toimittajalle tai kolmannelle osapuolelle.

Periaatteena on, että asiakkaan tuotantodataa käsitellään vain sovitussa tarkoituksessa ja vain sellaisissa ympäristöissä, joista on sovittu asiakkaan kanssa.

Lokitus ja valvonta

SmartMES-järjestelmään voidaan toteuttaa lokitusta ja valvontaa, joiden avulla voidaan selvittää virhetilanteita, seurata järjestelmän toimintaa ja havaita poikkeamia.

Lokitettavia tapahtumia voivat olla esimerkiksi:

  • kirjautumiset ja käyttöoikeusmuutokset
  • tuotannon tapahtumat
  • sovellusvirheet
  • integraatiovirheet
  • päivitykset
  • ylläpitotoimenpiteet
  • poikkeavat järjestelmätapahtumat

Valvonnan kohteita voivat olla esimerkiksi palveluiden käynnissäolo, tietokantayhteydet, integraatioiden toiminta, levytilan riittävyys, varmuuskopioiden onnistuminen ja pilvisynkronoinnin tila.

Lokituksen ja valvonnan tarkempi toteutus määritellään asiakaskohtaisesti.

Asiakaskohtainen dokumentointi

Jokainen teollisuusympäristö on erilainen. Siksi SmartMES-toimituksissa voidaan laatia asiakaskohtaiset dokumentit, jotka täydentävät yleisiä tietoturva- ja ylläpitoperiaatteita.

Asiakaskohtainen dokumentointi voi sisältää esimerkiksi:

  • järjestelmän teknisen arkkitehtuurin
  • palvelin- ja tietokantaympäristön kuvauksen
  • integraatiot ja tiedonsiirtotavat
  • etäylläpitokäytännön
  • varmuuskopiointivastuut
  • käyttäjäroolit
  • lokitus- ja valvontakäytännöt
  • palautumisen tavoitteet
  • poikkeamatilanteiden yhteyshenkilöt

Tämä dokumentointi helpottaa asiakkaan sisäistä tietoturvatyötä, toimittaja-arviointeja, auditointeja ja NIS2-vaatimuksiin valmistautumista.

Yhteenveto

Production Software auttaa teollisuusyrityksiä rakentamaan MES-ratkaisuja, joissa huomioidaan tuotannon tehokkuuden lisäksi myös tietoturva, ylläpidettävyys ja jatkuvuus.

SmartMES-toimituksissa voidaan dokumentoida keskeiset tekniset ja toiminnalliset käytännöt, jotka tukevat asiakkaan omaa riskienhallintaa ja NIS2-valmiutta.

Haluatko keskustella SmartMES-järjestelmän tietoturvasta, ylläpidosta tai NIS2-valmiutta tukevasta dokumentoinnista? Ota yhteyttä, niin käydään yhdessä läpi yrityksenne tarpeet.

ota yhteyttä