Sisältöön

Tehtävälista teollinen tuotanto - SecMeter

Ohita valikko
Ohita valikko

Tehtävälista teollinen tuotanto

Yritysturvallisuus > IT & OT
Tehtävälista teollinen tuotanto (Manufacturing / Process Industry)
Tavoitteena on turvallinen ja tehokas tuotantoympäristö.

  1. Laadi Purdue-malliin perustuva verkko- ja järjestelmäkartta
  2. Segmentoi tuotantoverkot loogisesti ja fyysisesti
  3. Dokumentoi kaikki OT/IT tiedonsiirtotarpeet
  4. Toteuta DMZ tuotannon ja IT:n väliin
  5. Määrittele muutoksenhallintaprosessi OT-järjestelmille
  6. Dokumentoi järjestelmien versiot ja konfiguraatiot
  7. Testaa palautus- ja häiriötilamenettelyt
  8. Määrittele tuotannon kyberturvallisuuden vastuuhenkilöt

Purdue-mallilla (Purdue Enterprise Reference Architecture, PERA) tarkoitetaan viitearkkitehtuuria, joka kuvaa, miten teollisen ympäristön IT- ja OT-järjestelmät jaetaan loogisiin kerroksiin niiden tehtävän, kriittisyyden ja aikavaatimusten mukaan. Mallin päätarkoitus on selkeyttää vastuita, rajapintoja ja turvallista eristämistä IT:n ja OT:n välillä. Purdue-malli ei ole tekninen tuote tai standardi, vaan ajattelumalli, jota käytetään laajasti IT/OT-arkkitehtuurissa, kyberturvallisuudessa ja auditoinneissa.

Strateginen ja organisatorinen taso

  1. Nimeä tuotannon IT/OT-kokonaisvastuullinen (ei pelkkä IT tai tuotanto)
  2. Määrittele tuotantokatkon liiketoimintakustannus (€/h)
  3. Hyväksytä johdossa IT/OT-riskinsietotaso
  4. Yhdistä IT/OT osaksi operatiivista riskienhallintaa (ERM)

Järjestelmät ja arkkitehtuuri

  1. Inventoi kaikki PLC-, SCADA-, DCS- ja MES-järjestelmät
  2. Dokumentoi Purdue-mallin mukainen arkkitehtuuri
  3. Tunnista kaikki tuotannon ja IT:n väliset tietovirrat
  4. Toteuta tuotannon ja IT:n välinen DMZ
  5. Estä suorat IT–PLC-yhteydet

Suorilla IT–PLC-yhteyksillä tarkoitetaan tilannetta, jossa yrityksen IT-verkosta tai IT-järjestelmästä on suora verkkoyhteys tuotannon ohjauslogiikoihin (PLC, Programmable Logic Controller) ilman riittäviä eristys-, suodatus- tai hallintakerroksia.

Tuotantoturvallisuus ja jatkuvuus

  1. Dokumentoi kriittiset prosessit ja niiden häiriövaikutukset
  2. Testaa tuotannon palautus (backupit, konfiguraatiot)
  3. Dokumentoi manuaalinen ajotila häiriötilanteissa
  4. Rakenna muutoshallintaprosessi OT-järjestelmille

Kyberturvallisuus

  1. Tee OT-spesifi riskianalyysi (ei IT-mallilla)
  2. Ota käyttöön passiivinen OT-verkkovalvonta
  3. Rajoita etäkäyttö vain hallittuihin huoltomalleihin
  4. Määrittele patchauspolitiikka tuotannon ehdoilla
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön