Miten teollisen laitteen kyberturvallisuutta voidaan testata käytännössä, ja mitä hyötyä siitä on yritykselle? Näitä kysymyksiä lähdettiin selvittämään, kun Polarteknik Oy osallistui Kyberturvaa Satakunnan teollisuuteen -hankkeen laitetestauksen pilotointiin RoboAI Cyberlabissa.
Pilotoinnissa testattiin Polarteknikin kehittämän sähköisen oviohjaimen kyberturvallisuutta RoboAI Cyberlabin laitetestausympäristössä. Samalla kerättiin kokemuksia ja kehitettiin toimintamalleja, joiden avulla laitetestauspalveluita voidaan jatkossa tarjota entistä paremmin teollisuuden tarpeisiin. Pilotointi tarjosi arvokkaita oppeja sekä yritykselle että testausympäristön kehittäjille.
Euroopan markkinajohtaja junan ovijärjestelmissä
Polarteknik Oy on eurooppalainen junan ovijärjestelmien valmistaja, jonka tuotteita toimitetaan nykyisin ympäri maailmaa. Ovijärjestelmä liiketoiminta sai alkunsa 1990-luvun alussa ja on vuosien aikana kasvanut vahvasta eurooppalaisesta asemasta myös Aasian, Australian ja Amerikan markkinoille.
– Olemme toimineet kansainvälisillä markkinoilla jo yli 30 vuotta. Euroopassa asemamme on erittäin vahva, ja viime vuosina olemme laajentaneet toimintaamme aktiivisesti myös kaukaisemmille markkinoille. Yksi keskeinen syy tähän on se, että olemme onnistuneet rakentamaan vahvat suhteet suuriin eurooppalaisiin junavalmistajiin, kertoo Polarteknikin markkinoinnista ja tuotehallinnasta vastaava Mika Korhonen.
Teknologian kehittäminen on ollut yrityksen toiminnan ytimessä alusta asti. Polarteknik suunnittelee tuotteensa itse ja vastaa niiden teknologisesta kehittämisestä sekä immateriaalioikeuksien hallinnasta. Yritys on ollut mukana sähköisten oviohjausjärjestelmien kehityksessä jo pitkään, ja ohjelmistojen sekä elektroniikan merkitys on kasvanut vuosi vuodelta.
– Teknologia on ollut keskeinen osa toimintaamme koko yrityksen historian ajan. Olemme kehittäneet tuotteitamme määrätietoisesti ja pitäneet tärkeän osaamisen omissa käsissä. Erityisesti sähköisten ohjausjärjestelmien kehitys on ollut meille merkittävä kilpailuetu, ja tänä päivänä myös kyberturvallisuus on noussut yhdeksi tärkeimmistä kehityskohteista, Korhonen sanoo.
Kyberturvallisuuden merkitys näkyy vahvasti myös ohjelmistokehityksessä.
– Viimeisen kymmenen vuoden aikana ohjelmistojen vaatimukset ovat kasvaneet merkittävästi, ja erityisesti viime vuosina kyberturvallisuus on noussut keskeiseksi osaksi tuotekehitystä. Cyber Resilience Actin (CRA) myötä vaatimukset korostuvat entisestään, kertoo Polarteknikin Software Design & OT Cyber Security Manager Jussi Takala.
Verkostoitumisesta pilotointiin
Yhteistyö Kyberturvaa Satakunnan teollisuuteen (Kytee)-hankkeen kanssa käynnistyi sattuman kautta.
Polarteknikin ja Kytee-hankkeen edustajat tapasivat kyberturvallisuustapahtumassa, jossa keskustelu johti nopeasti yhteiseen kiinnostukseen laitetestauksesta.
– Olimme etsineet mahdollisuuksia kybertestaukselle ja erilaisille yhteistyökuvioille tuotteidemme ympärille. Keskustelun aikana kävi ilmi, että RoboAI:ssa oli juuri käynnistymässä tällaista toimintaa. Se oli oikeastaan onnekas sattuma, joka johti tähän pilottiin, Takala kertoo.
Hänen mukaansa vastaavanlaisia teollisuusympäristöihin soveltuvia laitetestausympäristöjä on Suomessa vielä melko vähän tarjolla.
– Erityisesti OT-ympäristöihin liittyvää testausta on tarjolla rajallisesti, ja kaupalliset vaihtoehdot voivat olla yrityksille raskaita tai kalliita. Tässä yhteistyössä arvokasta oli se, että toimintaa kehitettiin yhdessä molempien osapuolten hyödyksi.
Testauksen tavoitteena toistettava toimintamalli
Pilotointiin lähdettiin avoimin mielin, mutta taustalla oli myös selkeä tavoite.
Polarteknikille oli tärkeää löytää toimintamalli, jota voitaisiin hyödyntää jatkossakin tuotteiden kyberturvallisuuden arvioinnissa ja dokumentoinnissa. Samalla yritys halusi hyödyntää sellaisia työkaluja ja osaamista, joita ei olisi tarkoituksenmukaista hankkia omaan käyttöön.
– Haluamme rakentaa sellaisen testaus- ja raportointimallin, jota voidaan hyödyntää jatkossa vakioratkaisuna. Lisäksi ulkopuolinen näkökulma on tärkeä, sillä asiakkaat edellyttävät yhä useammin riippumatonta testausta. Pelkkä valmistajan oma arvio ei enää välttämättä riitä, Takala kertoo.
Polarteknikin näkökulmasta testauksen taustalla ovat myös kasvavat viranomais- ja asiakasvaatimukset.
– Meidän täytyy pystyä osoittamaan asiakkaille ja viranomaisille, että tuotteet täyttävät standardien ja direktiivien vaatimukset. Tällainen yhteistyö tarjoaa hyvän tavan lähteä rakentamaan sitä näyttöä käytännössä, Korhonen toteaa.
Avoin yhteistyö toi lisäarvoa molemmille osapuolille
Yksi pilotoinnin merkittävimmistä hyödyistä oli mahdollisuus tehdä tiivistä yhteistyötä testauksen aikana.
Polarteknikin mukaan yhteistyö oli aidosti vuorovaikutteista, ja keskusteluissa nousi esiin sekä yrityksen omia havaintoja että täysin uusia näkökulmia.
– Oli mielenkiintoista huomata, että monet asiat, joita olimme itse pohtineet, nousivat esiin myös testauksessa. Toisaalta saimme myös uusia havaintoja ja näkökulmia, joita emme itse olleet tulleet ajatelleeksi, Takala kertoo.
Pilotoinnissa ei keskitytty pelkästään yksittäisen laitteen testaamiseen, vaan samalla pohdittiin myös sitä, millainen testausmalli palvelisi yrityksiä mahdollisimman hyvin tulevaisuudessa.
– Meille oli tärkeää päästä vaikuttamaan toimintamalliin jo tässä vaiheessa. Mitä aikaisemmin pääsee mukaan kehitystyöhön, sitä paremmin lopputulos palvelee myös omaa toimintaa.
Avoimuus nähtiin koko yhteistyön keskeisenä vahvuutena.
– Emme lähteneet hakemaan pelkkää testiraporttia. Halusimme aidosti kuulla, mitä tuotteessa kannattaa kehittää ja mitä asioita voisi tehdä paremmin. Se teki yhteistyöstä hyödyllistä molemmille osapuolille.
Oikea laite teki pilotista erityisen kiinnostavan
Kytee-hankkeen laitetestauksesta vastannut lehtori Kimmo Viitala kuvailee projektia poikkeuksellisen mielenkiintoiseksi.
– Oli hienoa päästä työskentelemään oikean tuotteen parissa. Monesti testausta tehdään simuloiduissa ympäristöissä, mutta tässä kyseessä oli laite, jolla on todellinen käyttötarkoitus ja paikka markkinoilla. Se teki projektista erityisen kiinnostavan.
Viitalan mukaan yhteistyötä helpotti myös se, että yrityksen asiantuntijat olivat aktiivisesti mukana koko prosessin ajan.
– Oli arvokasta päästä keskustelemaan suoraan niiden ihmisten kanssa, jotka tuntevat tuotteen läpikotaisin ja ovat itse mukana sen kehittämisessä. Yhteinen tavoite oli alusta asti selkeä: kehittää tuotetta ja löytää mahdollisia parannuskohteita.
Takala nostaa esiin saman asian yrityksen näkökulmasta.
– Tämä ei ollut asetelma, jossa toinen osapuoli etsii virheitä ja toinen puolustautuu. Kaikilla oli yhteinen tavoite kehittää tuotetta ja samalla kehittää myös testausprosessia tulevaisuutta varten. Se näkyi koko yhteistyön ajan erittäin positiivisena ilmapiirinä.
Pilotointi kehitti myös testausympäristöä
Kytee-hankkeen projektipäällikkö Jere Grönmanin mukaan pilotointi oli tärkeä myös RoboAI Cyberlabin näkökulmasta.
– Olemme rakentaneet laitetestauksen toimintamallia vasta lyhyen aikaa, joten tällaiset pilotit auttavat meitä ymmärtämään paremmin yritysten tarpeita. Samalla pystymme kehittämään palveluita, joilla voidaan jatkossa tukea alueen yrityksiä entistä paremmin.
Tulevaisuudessa täytyy pohtia esimerkiksi, millaisia testauksia eri laitteille kannattaa tehdä, mikä on riittävä testauksen taso ja miten testaus voidaan toteuttaa jatkossa mahdollisimman toistettavasti.
Sekä Polarteknik että RoboAI Cyberlab näkevät pilotoinnin tärkeänä askeleena kohti toimintamallia, jossa laitetestauksesta voidaan rakentaa yritysten tarpeisiin soveltuva, säännöllisesti hyödynnettävä palvelumalli.
Tarve kasvaa tulevaisuudessa
Polarteknik uskoo, että vastaavanlaiselle laitetestaukselle tulee olemaan kasvavaa kysyntää tulevina vuosina.
Erityisesti CRA:n kaltaiset säädökset lisäävät painetta osoittaa tuotteiden kyberturvallisuus järjestelmällisesti ja toistettavasti.
– Uskon, että tällaisille palveluille tulee olemaan tarvetta käytännössä kaikissa yrityksissä, jotka kehittävät ohjelmistoja tai laitteita, joissa on digitaalisia ominaisuuksia. Ainakin meidän asiakkaamme tulevat varmasti vaatimaan tällaista testausta tulevaisuudessa, Takala arvioi.
Polarteknikin toiveena on, että pilotoinnin pohjalta kehittyy selkeä ja tuotteistettu palvelu, jota voidaan hyödyntää osana yrityksen omaa tuotekehitys- ja laadunvarmistusprosessia myös jatkossa.
– Mitä aikaisemmin olemme mukana kehittämässä toimintamallia, sitä paremmin se palvelee myös meidän tarpeitamme. Näemme tässä paljon potentiaalia tulevaisuutta ajatellen.
Luottamus rakentuu avoimuudesta
Pilotointi vahvisti myös sitä, kuinka tärkeä rooli luottamuksella on kyberturvallisuuden kehittämisessä. Polarteknikin mukaan tavoitteena ei ole ainoastaan täyttää vaatimuksia, vaan varmistaa aidosti, että tuotteet toimivat turvallisesti ja luotettavasti kaikissa tilanteissa.
– Haluamme itsekin tietää, että tuotteemme toimivat juuri niin kuin niiden pitää. Asioita ei jätetä oletusten varaan, vaan niitä tutkitaan ja testataan mahdollisimman perusteellisesti. Se kertoo myös yrityskulttuuristamme ja siitä, että haluamme rakentaa tuotteita, joihin voimme itse luottaa, kertoo Korhonen.
Korhosen mukaan paikallinen yhteistyö toi pilotointiin myös oman lisäarvonsa.
– Kun yhteistyötä tehdään lähellä ja tutussa toimintaympäristössä, syntyy luottamus aivan eri tavalla. Paikallisen toimijan kanssa on helppo keskustella avoimesti ja jakaa tietoa. Se on tällaisissa kehitysprojekteissa suuri vahvuus.
Polarteknikin ja SAMKin yhteistyö osoitti, että kyberturvallisuuden kehittäminen ei ole pelkästään testauksia ja teknisiä vaatimuksia, vaan myös yhteistä oppimista, luottamusta ja jatkuvaa kehittämistä. Juuri tällaiselle yhteistyölle yrityksissä on kasvava tarve tulevaisuudessa.
