Uhat lähtökohtana turvallisuusvaatimusten kehityksessä
Uhkaympäristö muuttuu jatkuvasti, ja tuotteen digitalisoidun elinkaaren hallinnan kannalta onkin oleellista arvioida lopputuotteeseen ja sen kehitysprosessiin kohdistuvia tietoturvauhkia ja -riskejä samalla peilaten niitä määritettyihin turvallisuusvaatimuksiin. Tuotetietouden kasvaessa voi käydä ilmi, että tuotteelle ja sen kehitysprosessille asetetut vaatimukset ovat laadullisesti riittämättömiä tai puutteellisia, kun huomioidaan tuotteen koko elinkaari. Uhkaympäristön muutokset myös tapahtuvat paljon nopeammin kuin aikaisemmin – tekijät, jotka vahvistavat kyberuhkien sietokykyä tänä päivänä eivät välttämättä takaa sitä tulevaisuudessa. Vaatimusten arvoketjun häiriöt, hitaus ja yhdensuuntaisuus johtavat nopeasti kehityskustannusten kohoamiseen, kun kyberuhkia huonosti sietävät tuotteet päätyvät tuotantoon asti.
Tuotteen digitalisoidun elinkaaren aikana tietoturvavaatimusten tulisi kulkea vaivatta molempiin suuntiin: konseptointivaiheesta tuotekehitykseen, tuotekehityksestä tuotantoon ja päinvastoin. Voidaan puhua vaatimusten arvoketjusta, johon liittyy yrityksen eri sisäisiä ja ulkoisia toimijoita tuotteen elinkaaren aikana. Arvoketjuun voidaan soveltaa esimerkiksi työpajatyyppistä uhkamallinnusta. Se on tehokas työkalu, jolla voidaan varmistaa, että tuotteen tietoturvavaatimukset ja jo tuotannossa olevat turvaominaisuudet vastaavat senhetkistä uhkaympäristöä.
Uhkamallinnuksen lisäksi kyberuhkien sietokyvyn ajantasaisuudesta voidaan saada varmuus tarkastamalla tuotteen tietoturvaa järjestelmällisesti esimerkiksi penetraatiotestauksen avulla. Penetraatiotestauksen ja uhkamallinnuksen on oltava säännöllinen osa kehitystä (DevSecOps-kehitysprosessi), ja nämä toimenpiteet on toistettava vähintäänkin silloin, kun tuoteversioita päivitetään. Goforen Harri Laukkanen kertoo blogitekstissään, että tuotantovaiheessa voidaan luoda digitaalinen kaksonen ennen kuin fyysistä laitetta lähdetään valmistamaan. Kaksosen avulla tuotantoa voidaan simuloida etukäteen digitaalisesti. Digitaalisten kaksosten skenaariopohjainen turvallisuusmallinnus mahdollistaa sekä tuotteen että sen turvallisuusvaatimusten soveltuvuuden testaamisen tunnettuun uhkaympäristöön nähden turvallisella tavalla ja vailla todellisen maailman seuraamuksia.
Tutustu digitaaliseen kaksoseen osana tuotteen digitaalista elinkaarta!
EU-sääntelyn vaikutus tuotekehitykseen
Viime vuosina Euroopan unioni on käynnistänyt monia sääntelyhankkeita, joiden tavoitteena on kiihdyttää kyberuhkien sietokyvyn vahvistamista sekä riskeihin ja uhkiin pohjaavan kehittämisen käyttöönottoa eri sektoreilla. Asetuksia yhdistää pyrkimys toimitusketjujen turvallisuuden hallintaan ja tietoturvariskien hallinnan kehittämiseen.
Suomessa verkko- ja tietoturvadirektiivin (NIS2) kansallisen toimeenpanon tavoitteena on taata riittävän korkea taso riskien ja uhkien hallintatoimissa kriittisiksi luokitelluilla sektoreilla. Nykyiseen ehdotukseen sisältyy uusi laki kyberturvallisuuden riskienhallinnasta. Kyseistä lakia sovelletaan kriittisten toimijoiden arvoketjuihin, joten sen vaikutukset tulevat näkymään laajalti. Tämän lisäksi myös tuleva kybersietokykyä koskeva säädös (Cyber Resilience Act, CRA) asettaa vaatimuksia tuotevalmistajille, joiden tuotteissa on digitaalisia elementtejä. Nämä vaatimukset kohdistuvat tuotteiden ja tuotekehitysprosessien turvallisuuteen. Kyberuhkien sietokykyä koskeva sääntely velvoittaa valmistajia muun muassa toimittamaan tietoturvapäivityksiä maksutta koko tuotteensa odotetun elinkaaren ajan.
Jatkuva kehitys ja muutos
Yrityksillä on jo tarvittava teknologia ja riittävä osaaminen tuotteidensa digitalisoidun elinkaaren hyödyntämiseksi. Muutoksen toteuttaminen perinteisissä tuotanto-organisaatioissa on kuitenkin haastavaa. Muutos ei koske pelkästään teknologista puolta, vaan se näkyy myös muutoksena organisaatiomallissa, työntekijöiden vaihtuvina rooleina sekä eri kehitys- ja valmistusprosessien muutoksena tai yhdistymisenä. Tietoturvavaatimusten arvoketjun haltuunotto on myös muutos, joka vaatii järjestelmällistä kehitysstrategiaa sekä eri toimijoiden ja roolien ymmärtämistä ja sitouttamista. Omistajuuden määrittäminen arvoketjussa on äärimmäisen tärkeää, jotta muutoksenhallinnan vastuut saadaan selkeytettyä.
Nyt on sopiva hetki miettiä sitä, miten tietoturvavaatimuksia kehitetään teidän yrityksessänne ja miten niitä ylläpidetään tuotteen digitalisoidun elinkaaren aikana. Onko tietoturvavaatimusten arvoketju hallinnassa? Kulkevatko vaatimukset sujuvasti eri suuntiin päivittäisissä toiminnoissanne?
Sääntelyn mukanaan tuomat uudet kyberuhkien sietokykyä koskevat vaatimukset ovat jo ovella, mutta vielä on hyvin aikaa laittaa paikat kuntoon.
