19.08.2024

Koneiden digitaalisten elementtien turvallisuus Haastateltavana Ari Kattainen, Kone Oy

Uusien koneiden automaatiotaso on korkea ja yhä useammin koneet on kytketty myös tietoverkkoihin. Kehitys avaa ovia uusille mahdollisuuksille mutta myös uusille uhille. Kyberturvallisuuden merkitys koneissa on korostunut viime vuosina. EU:n uusi koneasetus 1230/2023 asettaa suoria vaatimuksia koneiden digitaalisten elementtien turvallisuudelle. Uusiin vaatimuksiin liittyviä standardeja ollaan vasta laatimassa, mutta koneasetuksen soveltamisen päivämäärä 20.1.2027 häämöttää jo horisontissa. Kyberturvallisuuden lisäksi koneasetuksessa on uusia vaatimuksia turvatoimintojen testaamisesta, ohjelmiston yksilöinnistä ja lokitiedoston keräämisestä ohjausjärjestelmään tehdyistä muutoksista.  

Sähkömagneettisia häiriönsietoa koskien on olemassa erikseen EMC-direktiivi ja radiolaitteille on RED-direktiivi (jota on muutettu delegoidulla säädöksellä koskien mm. kyberturvallisuutta).

Säädäntökenttä elää koko ajan. EU:n parlamentti hyväksyi vuoden 2023 lopulla Kyberkestävyysasetuksen, joka asettaa vaatimuksia koneenrakentajalle. Kyberkestävyysasetusta on sovellettava jäsenmaissa 24 kuukauden kuluttua sen julkaisusta. Säädöksen julkaisun odotetaan tapahtuvan vuoden 2024 aikana. Data-asetus (2023/2854 on jo julkaistu ja sitä aletaan soveltamaan 2025 aikana. Lisäksi komission työpöydällä on tekoälyn sääntely (ns. AI act).

Säädösviidakko on siis aikamoinen. Kaikkien vaatimusten asianmukainen huomiointi edellyttää valveutuneisuutta ja resursseja. PK-yrityksissä haasteet voivat olla erityisen suuria. Eurooppalaiset standardit tarjoavat yhden väylän vaatimustenmukaisuuden osoittamiseen. Yhdenmukaistettujen standardien soveltaminen pienentää valmistajan työtaakkaa. Yhdenmukaistetuissa standardeissa esitetään teknisiä ratkaisuja turvallisuusvaatimusten täyttämiseen ja niitä voidaan soveltaa usein varsin suoraviivaisesti. Uuden digisääntelyn tuomille turvallisuusvaatimuksille ei kuitenkaan vielä ole tarjolla standardeja, joten mitä valmistajan kannattaisi nyt tehdä?

Hissiala on jo laatinut standardeja

Hissien standardoinnissa ollaan jo pitkällä digitaalisuutta koskevien asetusten implementoinnissa hissistandardeihin. Hissien kyberturvallisuutta koskeva standardi ISO 8102-20 julkaistiin 2022. Sen lisäksi parhaillaan laaditaan teknistä spesifikaatiota ISO/TS 8102-21 koskien hissien ohjelmistojen etäpäivitystä. Myös muihin uusiin turvallisuusvaatimuksiin ollaan reagoimassa hissistandardien uusintatyössä.

Kone Oy on hissistandardoinnin edelläkävijä kansainvälisesti ja Suomen mittakaavassa jättimäinen toimija. Kone Oy:n asiantuntijat ovat useiden CEN- ja ISO-työryhmien puheenjohtajina ja osallistuvat aktiivisesti myös muiden työryhmien työhön. Ari Kattainen on työskennellyt Kone Oy:ssä vuodesta 1985 saakka hissien ohjauselektroniikan ja sähkötekniikan tuotekehityksessä ja muistaa hyvin, kuinka tutustui hissistandardeihin.

Miten päädyit mukaan standardointiin?

Aikana ennen hissidirektiiviä ja ensimmäistä harmonisoitua hissistandardia EN 81-1:1998, jouduin työssäni ohjausjärjestelmän pääsuunnittelijana selvittelemään eri maiden kansallisia hissiturvallisuusvaatimuksia. Se oli turhauttavaa, sillä tieto usein tuli tipoittain, oli puutteellista ja hajanaista. Kun sain käsiini standardin FprEN 81-1:1996, luin sen ahmien alusta loppuun ja totesin että Wow, tässä on dokumentti, joka selkeästi kertoo, mikä on oleellista hissiturvallisuudessa! Nälkä ymmärtää ja vaikuttaa standardeihin vai kasvoi, kun huomasin, että se joka hallitsee standardin, hallitsee myös keskustelua.

 Se joka hallitsee standardin, hallitsee myös keskustelua.

Kone Oy on iso toimija standardoinnissa. Miten standardointi on organisoitu Koneella?

Meillä on globaali noin 10 hengen päätoiminen Codes&Standard-tiimi, jolla on oma budjetti. Tuotekehityksen yhteydessä on eri tekniikan osa-alueille ns. code championeja, jotka tuntevat tuotteet ja tulevaisuuden suunnitelmat. Codes&Standard-tiimi ja code championit toimivat tiiviissä yhteistyössä sekä standardien laadinnassa että päivittäisten kysymysten ratkaisemisessa. Lisäksi jokaisessa maassa tai on paikallinen, usein osa-aikainen Codes&Standards manager.

Kattainen toimii puheenjohtajana teknisen komitean ISO/TC 178 työryhmässä WG 12, joka julkaisi kyberturvallisuusstandardin ISO 8102-20 vuonna 2022. Mikä tämän standardin merkitys on hissialalla?

¾ Etähuollon ja laitteiden liitettävyyden merkitys kasvaa kaikilla teollisuudenaloilla. Huoltotoiminnassa täytyy ennaltaehkäistä vikoja ja niiden ilmetessä reagoinnin täytyy olla entistä nopeampaa. Tämä vaatii, että laitteet on liitetty tietoverkkoon, Kattainen sanoo ja jatkaa: Toisaalta asiakkaat ja lainsäätäjät ympäri maailmaa ovat heränneet tai heräämässä kyberturvallisuusriskeihin. Vuonna 2018 alkanut keskustelu sovellutuskohtaisen kyberstandardin tarpeesta ja standardin ISO 8102-20 kehitys uskoakseni antoi standardointiin osallistuneille yrityksille etulyöntiaseman.

Nyt ISO 8102-20 aiotaan revisioida ja sisällyttää siihen koneasetuksen ja kyberkestävyysasetuksen uusia vaatimuksia. Mikä on olennaisin lisäys standardiin?

Standardin ISO 8102-20 yhdessä päivitettävänä olevan perushissistandardiin EN ISO 8100-1 kanssa vastaa käsityksemme mukaan riittävästi koneasetuksen uusiin vaatimuksiin. Standardin ISO 8102-20 uudistuksen tarve tulee lähinnä EU:n kyberkestävyysasetuksesta.

WG 12 laatii parhaillaan teknistä spesifikaatiota ISO/TS 8102-21 ohjelmistojen etäpäivityksestä. Mikä tämän spesifikaation merkitys on?

Ohjelmistopäivityksen laadun varmistaminen tuotekehityksen aikana on varmaankin suurimpia etäpäivitysten haasteita. ISO/TS 8102-21 ei ota tähän kysymykseen kantaa vaan määrittelee päivitysprosessin olennaiset vaiheet, kuten esimerkiksi ihmisten suojaamisen päivityksen aikana ja yhteensopivuuden varmistamisen.

Autoteollisuudessa etäpäivitykset ovat jo arkipäivää. On ollut mielenkiintoista havaita, että heillä standardien kehityspolku on ollut samantyyppinen kuin hissipuolella. Ensiksi on kehitetty kyberturvallisuusstandardi ja sen jälkeen etäpäivitysstandardit. Olemmekin ottaneet oman dokumenttimme kehityksessä oppia komitean ISO/TC 22 (Road Vehicles) kehittämästä standardista ISO 24089:2023 (Road vehicles — Software update engineering).

Hissiala on edelläkävijä digitaalisten elementtien turvallisuutta koskevien standardien laadinnassa. Muille konesektorin alueilla tarve vastaaville standardeille on yhtä olennainen. B-tyypin kyberturvallisuusstandardia ollaan laatimassa, mutta sen julkaisua on odotettava vielä vuosia. Mitä vinkkejä antaisit siitä mitä EU:n säädöskehitys tuo lähivuosien aikana ja miten yritysten tulisi varautua?

Mitä vinkkejä antaisit standardisoinnin seuraamiseen ja siihen osallistumiseen suomalaisissa yrityksissä?

Kansallisten seurantaryhmien kautta osallistuminen on ensisijainen tapa vaikuttaa standardien valmistelutyöhön. Seurantaryhmät tarjoavat alustan, josta voi saada tietoa ja vaikuttaa, mutta todellinen ymmärrys ja vaikutusmahdollisuus tulevat syvällisestä perehtymisestä työn alla oleviin dokumentteihin. Kansainväliseen standardointityöhön osallistuminen edellyttää yhä enemmän panostusta siihen osallistuvalta.

Kuva: Kone Oy:n Dave Searle (UK) ja Ari Kattainen tutustumassa uuden hissin konehuoneeseen Lontoossa.