Satamien ja terminaalien kyberturvallisuus: roolit ja vastuut

”Periaatteessa vastuunjako on yksinkertainen: järjestelmän toimittaja vastaa ohjelmistonsa ja ratkaisunsa kyberturvallisuudesta, kun taas asiakas vastaa yleensä omasta IT-infrastruktuuristaan”, toteaa Kalmarin kyberturvallisuusinsinööri Jani Mäntytörmä. "Käytännössä roolien jako voi kuitenkin olla varsin monimutkainen. Esimerkiksi millaisia kyberturvallisuusvaatimuksia ja -odotuksia meillä ratkaisutoimittajana on asiakkaan järjestelmälle? Kuka vastaa käyttäjien hallinnasta ja pääsyn valvonnasta automatisoidussa järjestelmässä? Ja niin edelleen."

Periaatteessa vastuunjako on yksinkertainen: järjestelmän toimittaja vastaa ohjelmistonsa ja ratkaisunsa kyberturvallisuudesta, kun taas asiakas vastaa yleensä omasta IT-infrastruktuuristaan.

Tarkkaile noita yhteyksiä

Yleinen ongelma johon kyberturvallisuuden ammattilaiset törmäävät, on kolmannen osapuolen asiakkaan puolesta tekemät dokumentoimattomat ad hoc -muutokset tuotantojärjestelmään.

”Tämä on itse asiassa melko yleinen tilanne”, sanoo Kalmarin tietoturvajohtaja Jouni Auer. ”Esimerkiksi jos asiakkaan IT-kumppani korvaa automaatiojärjestelmämme reitittimen toisella tuotteella, jossa on laitteistovirhe, kenen vastuulla se on? Näihin kysymyksiin ei ole yksinkertaista vastausta, mutta ne on ehdottomasti keskusteltava yksityiskohtaisesti.”

Esimerkiksi jos asiakkaan IT-kumppani korvaa automaatiojärjestelmässämme olevan reitittimen toisella tuotteella, jossa on laitteistovirhe, kenen vastuulla se on?

”Tuoteturvallisuuden osalta yleisenä periaatteena on, että Kalmar vastaa tarjoamiensa sovellusten kyberturvallisuudesta”, lisää Kalmarin automaatio-operaatioiden johtaja Arttu Rantanen. "Tämä on kirjattu sopimuksiimme luettelona ohjelmistomoduuleista, joista olemme vastuussa, kun taas asiakas huolehtii omien palvelimiensa ja verkostonsa kyberturvallisuudesta. Kun tarjoamme etätukipalveluja joissa Kalmarin asiantuntijat voivat muodostaa yhteyden asiakkaan verkkoon VPN:n kautta, näille palveluille on omat lisäkyberturvallisuusprotokollansa."

Tuoteturvallisuuden osalta yleisenä periaatteena on, että Kalmar vastaa tarjoamiensa sovellusten kyberturvallisuudesta.

Keskustelun avoimena pitäminen

EU:n kyberturvallisuus lain kaltaiset kyberturvallisuusmääräykset on suunniteltu ohjaamaan organisaatioita kohti turvallista toimintakulttuuria ja selkeää vastuunjakoa. Ne ovat kuitenkin vasta alkua, sillä toimittajien ja päätelaitteiden operaattoreiden on ymmärrettävä toistensa järjestelmien kyberturvallisuusominaisuudet ja -vaatimukset sekä varmistettava, että oletukset näiden järjestelmien turvallisuudesta ovat oikeita molemmilla osapuolilla.


”On erityisen tärkeää, että molemmat osapuolet seuraavat mitä muutoksia kunkin uuden ominaisuuden ja ratkaisun käyttöönotto tuo mukanaan”, sanoo Kalmarin kyberturvallisuusjohtaja Henri Kettunen. ”Tämä edellyttää todella yksityiskohtaista vuoropuhelua kyberturvallisuusryhmien ja ohjelmistokehittäjien välillä.”

Tämä edellyttää todella yksityiskohtaista vuoropuhelua kyberturvallisuusryhmien ja ohjelmistokehittäjien välillä.

”Pelkkä säännösten noudattaminen ei ole kilpailuetu” Jouni Auer toteaa lopuksi. ”Sekä järjestelmätoimittajille että terminaalitoimijoille se on vain ehdoton vähimmäisvaatimus, jonka päälle rakentaa. Kalmar One -automaatiojärjestelmän kaltaisen ratkaisun toimittaminen edellyttää huolellista yhteistyötä kaikkien projektin osapuolten välillä, mutta meidän tehtävämme Kalmarilla on selvittää asiat yhdessä ja varmistaa, että asiakkaidemme järjestelmät pysyvät turvallisina, jotta he voivat keskittyä ydinliiketoimintaansa.”

Meidän tehtävämme Kalmarilla on ratkaista ongelmat yhdessä ja varmistaa, että asiakkaidemme järjestelmät pysyvät turvassa, jotta he voivat keskittyä ydinliiketoimintaansa.