Turvallisuusjaoksen puheenjohtaja Sami Matinaho avasi teemapäivän ja Tukesin teollisuusyksikön johtaja Kirsi Levä jakoi yleistä tietoa Tukesin toiminnasta. Huomionarvoista on, että myös kyberturvallisuus on tänä vuonna 2025 liitetty uutena tehtävänä Tukesin tehtäväkenttään. Valvovia viranomaisia on kyberturvallisuuteen ja etenkin Euroopan unionin kyberturvallisuusdirektiiviin NIS2 liittyen Tukesin lisäksi useampia. Tukes keskittyy NIS2-asioissa kemikaaliturvallisuuskohteisiin.

Ylitarkastaja Janne Kotiranta Tukesilta esitteli teemapäivän aiheenvalintaan johtanutta vastikään uusittua Kattilalaitoksen vaaran arviointi -ohjeistusta. Pienimuotoista kuohuntaa turva-automaatioalan piireissä on aiheuttanut uusien ohjeiden soveltamisen kiireiseltä vaikuttava aikataulutus. Uudet ohjeet julkaistiin vuoden 2024 lopussa ja siirtymäajan jälkeen vaaranarviointien on oltava uuden ohjeen mukaisesti tehtyjä vuoden 2026 loppuun mennessä. Aiemmat melkein 25 vuotta vanhat ohjeet eivät sisältäneet kyberturvallisuusosaa ja nyt sellainen löytyy. Jaksottainen käytönvalvonta eli etävalvonta on myös päässyt ohjeeseen mukaan. Paine ohjeiden uusimiseen kasvoi vuonna 2016, kun painelaitelaki uusittiin. Esitystä seurannut turvallisuusautomaatioalan väki oli kiinnostunut erityisesti kyberturvallisuusasioista ja fyysisestä turvallisuudesta uusiin ohjeisiin liittyen. Yleisön joukosta löytyi mainio huomio, että painelaitelailla on pitkä historia. Suomen ensimmäinen keisarillisen majesteetin armollinen asetus höyrypannuista on annettu jo 1880-luvulla.

Kyberturvallisuus ja muut riskit

Kimmo Saarni, erityisasiantuntija Traficomin kyberturvallisuuskeskuksesta, valotti esityksessään kyberturvallisuusasiaa viranomaisen kannalta. Saarni raotti verhoa OT-järjestelmiin (Operational Technology) vaikuttamisen trendeistä sekä oppeja Ukraina-ikkunasta vuosilta 2022-2025. Myös kokonaisturvallisuus sekä OT-sektorin kansallinen yhteistyö ovat prioriteeteissa korkealla tulevaisuudessa.

Kokeneet turva-automaatioammattilaiset johtava asiantuntija Matti Raninen, ja pääinsinööri Sami Matinaho porautuivat esityksessään kohti kattilalaitosten riskinarviointimenetelmien ydintä. Heillä oli kriittinen näkökulma nyt julkaistuihin ohjeistuksiin ja yleisö liimautui penkkeihinsä seuraamaan tietopakettia. He puhuivat hyvin antaumuksella muun muassa automaatiosuunnittelun elinkaaren aikana esiintyvistä virheistä, riskien todennäköisyyksien ja suuruuden arvioinneista sekä prosessien kokonaisriskeistä, suojauskerrosmenetelmien haasteista, suojauskerroksista, haavoittuvuuksista ja hälytyksistä. Yhtenä asiana oli, miten perusautomaatiojärjestelmä (BPCS, basic process control system) voi myös toimia riippumattomana suojaustasona. Toinen mielenkiintoinen yksityiskohta esityksessä oli ALARP-perustelurajojen (as low as reasonably practicable) ja RAGAGEP-ajattelun (recognised and generally accepted good engineering practices) tasapaino, jossa vaakakupissa ovat kustannukset, tekniset soveltuvuudet ja mahdolliset uusien riskien arviointi, jos riski toteutuu. Kokonaisuudessaan esityksessä kiteytyi turvallisuusjaoksessa yleisesti keskustelun alla olevia asioita ja onkin syytä olettaa, että jaoksessa tullaan edelleen pureutumaan toiminnallisen turvallisuuden kannalta olennaisiin toimintamalleihin.

Turvallisuuspäällikkö Markku Tyynelä piirsi eteemme näkymää kriittisestä infrasta tietomurtojen kohteena. Asiaan sisältyy monenlaisia haasteita ja niiden hallintaa, koulutusta ja harjoittelua on selkeästi lisättävä. Esittäjä jakoi informaatiota toimintaympäristön muuttumisesta entistä vaikeammin hallittavaan suuntaan. Vaatimusten ja standardien määrä kyberturvallisuuteen liittyen on kasvanut valtavasti viimeisten 10 vuoden sisällä. Tietoturvallisuuden ylläpitäminen on entistä enemmän säänneltyä ja varsinkin pienten yritysten on tulevaisuudessa todennäköisesti haastavampi täyttää kaikkia alihankkijoihin, kumppaneihin ja toimitusketjuihin liittyviä turvallisuusvaatimuksia.

Käyttäjän osaaminen kriittistä

Tulevaisuudessa tuotteet suunnitellaan turvallisiksi (”Secure by Design”), mutta mikään ei poista osaamisen tarvetta myös tuotteiden käyttäjien puolella. Milloin olette viimeksi testanneet, että tehdyt varmuuskopiot oikeasti sisältävät kaiken tiedon ja harjoitelleet järjestelmien ja varmuuskopioiden palauttamista toimintaan siten, että se tilanteen tullessa varmasti onnistuu ja tuotanto pääsee jatkumaan? Sertifikaattimaailma laajeni esityksessä esittelyyn ACSSA:sta eli Automation & Control System Security Assurance:sta, joka mahdollistaa kokonaisten järjestelmien turvallisuussertifioinnit yksittäisten komponenttien sijaan. Esittäjä palasi varsin käytännölliseen lähestymistapaan kyberturvallisuuden hoitoon projekteissa ja järjestelmissä. Projekteissa turvallisuutta on ylläpidettävä yhteistyössä kaikkien olennaisten toimijoiden kanssa. Ja muistetaan pitää huolto- ja ylläpitosopimukset kunnossa, jolloin toimittaja hoitaa mahdolliset tietoturvallisuuspäivitykset ajallaan.

Tilaisuuden lopuksi automaatioturvallisuuden asiantuntija Janne Peltonen, joka on mukana IEC 61508 -standardisarjan kehittämisessä, kertoi, missä mennään IEC 61508 edition 3 suhteen. IEC 61508 on standardisarja, jonka keskiössä on sähköisten/elektronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus. Muutoksia tällä hetkellä voimassa olevaan versioon on tulossa runsaasti ja uuden standardisarjan julkaisu tapahtunee vuoden 2026 aikana. Uusia standardiin mahdollisesti lisättäviä yleisiä vaatimuksia liittyy esimerkiksi vaatimusmäärittelyyn, inhimillisten tekijöiden huomioimiseen, todennuksen ja kelpuutuksen riippumattomuuteen. IEC 61508 on sateenvarjostandardisarja usealle toimialakohtaiselle standardille ja tulevan edition 3:n vaikutuksia tullaan käsittelemään myös turvallisuusjaoksen tilaisuuksissa..

ASAF-teemapäivän järjestelyt ja sisältö olivat erittäin kattavia ja laadukkaita. Turvallisuusjaoksessa toimivien henkilöiden ja läheisten sidosryhmien edustajien esityksiä on tulossa Automaatioseuran ASAF-kahveilla webinaarimuodossa, ASAF-teemapäivillä ja 2025 Teknologia -päivillä.

Lisätietoa Suomen automaatioseuran kotisivuilta.