Liikkuvat työkoneet ovat muuttuneet nopeasti mekaanisista laitteista verkottuneiksi ohjelmistoalustoiksi. Etädiagnostiikka, pilvipalvelut, OTA-päivitykset ja autonomiset toiminnot tuovat tehokkuutta ja uusia ominaisuuksia koneiden käyttöön. Samalla ne tuovat myös uuden riskiluokan; kyberturvallisuus.
Muutos näkyy konkreettisesti myös ohjelmistokehityksessä ja testauksessa. Kyberturvallisuus ei ole enää erillinen osa-alue, vaan yhä useammin suoraan sidoksissa koneen käyttöturvallisuuteen.
Heti kun kone yhdistetään verkkoon, mukaan tulee potentiaalisia kyberuhkia. Työkoneissa kyse ei ole vain siitä, että “tietoja voi vuotaa”, vaan myös siitä, miten hyökkäys voi vaikuttaa laitteen toimintaan. Siksi kyberturvallisuus kytkeytyy yhä useammin suoraan laitteen käyttöturvallisuuteen.
Haitallinen ohjelmisto voi päätyä koneeseen monia reittejä pitkin: huollon läppäriltä diagnostiikkaportin kautta, langattomasti tai osana softapäivitystä. Usein ohjelmisto on myös kulkenut useiden välikäsien kautta ennen asennusta. Siksi “saastumispisteitä” voi olla enemmän kuin ensisilmäyksellä ajattelee, eivätkä ne aina ole koneen omassa päässä.
Verkottuminen ei tarkoita pelkästään pilveä, vaan myös työmaan paikallisia verkkoja. Kone voi olla samassa verkossa huollon työkalujen, työmaan IT-laitteiden, kameroiden ja mittalaitteiden kanssa. Jos verkko on heikosti suojattu tai siihen pääsee käsiksi, hyökkääjä voi yrittää päästä koneen ja sen käyttämien palveluiden väliin, ohjata liikennettä väärään paikkaan tai käyttää hyväksi jo valmiiksi sallittuja yhteyksiä huoltotyökalujen ja koneen välillä. Tällöin fyysinen pääsy koneeseen ei ole aina välttämätön, joskus verkon kautta saavutettu yhteys riittää.
Siksi suojaus ei voi olla vain “pilviyhteyden koventamista”. Kannattaa katsoa koko ketjua: miten ohjelmisto rakennetaan, miten se jaellaan, miten se asennetaan ja miten päivitykset ylipäätään tehdään. Kun nämä eivät ole hallussa, kyberriski ei jää vain IT-ongelmaksi, vaan se voi heijastua suoraan koneen toimintaan.
Kun koneen toimintaa ohjataan yhä enemmän ohjelmistolla ja yhteyksillä, kyberturvallisuus ei ole enää vain tiedon suojaamista. Se alkaa määrittää myös sitä, miten kone käyttäytyy silloin, kun olosuhteet muuttuvat tai joku yrittää vaikuttaa sen toimintaan.
Perinteisesti työkoneiden turvallisuusriskeissä on puhuttu mekaanisista vioista, hydrauliikasta tai sähköjärjestelmistä. Verkottuneessa ja ohjelmistovetoisessa koneessa mukaan tulee uusi näkökulma: kyberhyökkäys voi vaikuttaa ohjaukseen tai päätöksentekoon, eli siihen, miten kone käyttäytyy työtilanteessa.
Tyypillisiä skenaarioita ovat esimerkiksi haitallinen päivitys, murrettu etäyhteys tai palvelukatkoksesta aiheutuva toimintahäiriö. “Helpoin” seuraus voi olla tuotannon keskeytys, mutta pahimmillaan vaikutus näkyy käyttöturvallisuudessa. Jos ohjaus käyttäytyy odottamattomasti tai kone tekee päätöksiä virheellisen tiedon perusteella, riskit koskevat suoraan operaattoria ja ympärillä työskenteleviä.
Tämä muuttaa myös testaamisen lähtökohtaa. Laitetta ei testata vain normaaleissa olosuhteissa, vaan myös tilanteissa, joissa sitä yritetään saada toimimaan väärin. Käytännössä tämä tarkoittaa esimerkiksi etäyhteyksien väärinkäytön simulointia, virheellisen datan syöttämistä tai päivitysketjun häiriöiden testaamista.
Oleellinen kysymys onkin: pysyykö käyttäytyminen turvallisena myös silloin, kun jokin menee tahallisesti pieleen?
Kyberturvallisuus tuo testaukseen asioita, joita perinteinen toiminnallinen testaus ei yksin kata. Liikkuvien työkoneiden kohdalla korostuvat erityisesti hyökkäysrajapinnat, resilienssi ja elinkaaren hallinta.
Kyberturvallisuus ei myöskään ole pelkkä arkkitehtuuri- tai suunnittelukysymys. Lopulta ratkaisevaa on se, miten järjestelmä toimii käytännössä. Siksi kyberturvallisuuteen liittyvät vaatimukset on pystyttävä todentamaan testauksessa.
Modernissa työkoneessa on useita rajapintoja, joiden kautta hyökkääminen on mahdollista:
• CAN-väylä ja muut sisäiset verkot
• Huolto- ja diagnostiikkaportit
• Langattomat yhteydet
• Pilvipalveluihin liittyvät API-rajapinnat ja mobiilisovellukset
Kehityksessä on varmistettava, ettei näiden kautta voi tehdä luvattomia toimintoja. Testauksessa tämä tarkoittaa käytännössä autentikoinnin ja oikeuksienhallinnan varmistamista sekä rajapintojen väärinkäyttötestejä ja heikkouksien analysointia.
Joissain tapauksissa kontrolloidut hyökkäyssimulaatiot ovat erittäin hyödyllisiä. Simulaattorilla voidaan testata tilanteita, joita olisi vaikea tai riskialtista toteuttaa oikeassa ympäristössä. Näin nähdään, miten järjestelmä oikeasti reagoi haitalliseen dataan tai saastuneeseen ohjelmistoon.
Kyberturvallisuudessa olennaista ei ole vain se, voiko hyökkäys onnistua, vaan myös se, mitä tapahtuu, jos se onnistuu.
• Mitä kone tekee, jos siihen päätyy haitallista koodia tai dataa?
• Mitä tapahtuu, jos paikannus tai anturidata häiriintyy?
• Entä jos etäyhteys katkeaa tai jokin palvelu ei ole saatavilla?
Turvallinen järjestelmä siirtyy hallittuun tilaan eikä tee vaarallisia päätöksiä epäluotettavan tiedon perusteella. Tämä vaatii testaukselta tarkoituksellisesti rikottuja tilanteita.
Käytännössä tämä tarkoittaa testitapauksia, joissa simuloidaan häiriöitä, katkoja ja virheellistä syötedataa, ja varmistetaan, että käyttäytyminen pysyy turvallisena myös poikkeustilanteissa.
Työkoneiden elinkaari voi olla muutamasta vuodesta useisiin kymmeniin vuosiin. Ohjelmisto voi päivittyä tasaisesti koko elinkaaren ajan tai sitä ei päivitetä käytännössä lainkaan. Molemmissa on kyberturvallisuuden kannalta omat riskinsä.
Jos ohjelmistoa ei päivitetä, vanhat haavoittuvuudet jäävät elämään. Jos taas ohjelmistoa päivitetään, päivitysprosessin on oltava luotettava, koska muuten päivityskanava voi muuttua hyökkäysreitiksi.
Ilman hallittua elinkaarimallia parannukset eivät välttämättä koskaan päädy koneisiin. Tämä on käytännössä yksi yleisimmistä kohdista, joissa kyberturvallisuus ja järjestelmän pitkäaikainen ylläpidettävyys kytkeytyvät toisiinsa.
Kun työkoneet verkottuvat ja niiden toiminta perustuu yhä enemmän ohjelmistoon, kyberturvallisuudesta tulee osa turvallisuutta. Tämä näkyy suoraan myös testauksessa.
Pelkkä “toimiiko oikein” ei riitä. Sen rinnalle tarvitaan kysymys: toimiiko järjestelmä turvallisesti myös häiriöissä, väärinkäyttötilanteissa ja mahdollisissa kyberhyökkäyksissä?
Jos laitteessa on etäyhteyksiä, OTA-päivityksiä tai pilvirajapintoja, testauksessa kannattaa huomioida hyökkäysrajapinnat, resilienssi ja elinkaaren turvallisuus jo varhaisessa vaiheessa.
Näitä kysymyksiä ei kannata jättää pelkästään suunnittelupöydälle. Ne ratkaistaan lopulta siinä, miten järjestelmä toimii käytännössä.
Jos nämä teemat ovat ajankohtaisia teillä, niistä kannattaa keskustella ajoissa. Mitä aikaisemmin turvallisuus huomioidaan osana kehitystä ja testausta, sitä hallittavammaksi kokonaisuus muodostuu. Me AtoZilla sparrailemme mielellämme aiheesta.
Aiheeseen liittyviä aineistoja:
ISO/SAE 21434: kyberturvallisuusprosessit ja -vaatimukset elinkaaren läpi
NIST SP 800-115: opas teknisiin kyberturvallisuustestauksen ja arvioinnin menetelmiin