Tietoturvallisuudesta tullut osa ydinturvallisuutta
Esittelen tässä kirjoituksessa kesäkuun alussa Wienissä Nixun, Teollisuuden Voiman (TVO) ja Säteilyturvakeskuksen (STUK) yhdessä tekemän julkaisun tavasta kehittää ja ylläpitää ydinvoimalaitoksen tietoturvallisuuden hallintaa. Tapahtuma on kansainvälisen atomienergiajärjestö IAEA:n arvovaltainen International Conference on Computer Security in a Nuclear World: Expert Discussion and Exchange -konferenssi (1.–5.6.2015).
Teollisuuden Voiman (TVO) Olkiluodon kolmannella laitoksella käyttöön otetussa lähestymistavassa uhkia arvioidaan jatkuvasti sekä laitos- että järjestelmätasolla, jolloin voimalaan kohdistuvat nykyiset ja tulevat turvallisuusvaatimukset pystytään täyttämään.
Lähestymistapa näkyy laitoksella esimerkiksi tarkistuslistoina, joita päivitetään vastaamaan arvioinneissa tunnistettuja uhkia. Lisäksi otetaan huomioon palaute, jota saadaan laitoksen päivittäisessä toiminnassa tehdyistä havainnoista ja dokumentaation arvioinneista.
Lähestymistavan edellyttämiä toimenpiteitä on tähän mennessä kohdistettu Olkiluodon rakennustyömaalla toimivien alihankkijoiden työtapoihin, mutta mallia pystytään soveltamaan myös muissa laitoksen elinkaaren vaiheissa. Esityksemme myös valottaa työstä saatuja kokemuksia ja tähänastisia tuloksia.
Miksi tämä on tarpeen?
Modernit ydinvoimalaitokset käyttävät lisääntyvässä määrin digitaalisia automaatiojärjestelmiä. Niiden myötä tietoturvasta on tullut olennainen osa ydinturvallisuutta.
Laitokset on suojattava luvattomilta prosessien muutoksilta ja mahdollisilta kyberhyökkäyksiltä. Tietoturvallisuus ei kuitenkaan saa häiritä ydinturvallisuutta, joka on ehdoton ykkösasia. Laitosten sähköntuotannon jatkuvuus ja häiriöttömyys parantavat myös operoinnin kannattavuutta.
Ydinvoimapuolella tietoturvallisuuteen herättiin yllättävän myöhään, vasta tämän vuosituhannen puolella. Tärkeimpänä syynä tähän oli laitosten ja järjestelmien pitkä elinikä: valtaosa ydinvoimaloista on rakennettu 1970- ja 1980-luvuilla ja niiden ohjaus- ja automaatiojärjestelmät ovat joka tapauksessa suljettuja ja erillään muusta maailmasta. Alalla ajateltiin, että huolehtimalla ydinlaitosten fyysisestä turvallisuudesta huolehdittiin myös niiden tietoturvallisuudesta.
Vasta Stuxnet-virus lopulta herätti tietoturvallisuuden tarkempaan huomiointiin. Ymmärrettiin, että vanhatkin automaatiojärjestelmät on pystyttävä suojaamaan riippumatta siitä, mistä tietoturvahyökkäykset tulevat, samalla kun järjestelmien väistämättömän uusimisen myötä on otettava huomioon digitalisoitumisen vaatimukset.
Ydinvoimaloihin kohdistuvat teollisuusautomaation haasteet ovat monelta osin samoja kuin millä tahansa muullakin toimialalla. Keskeisin niistä on pitkien alihankintaketjujen saaminen yhtenäisen turvallisuuskulttuurin piiriin. Tietoturvallisuus on osa kokonaisturvallisuutta, johon kuuluu muun muassa henkilöstö-, fyysinen-, työ- ja ympäristöturvallisuus. Turvajärjestelyissä operaattorin omavalvonta on ensisijaisen tärkeää. Tämän lisäksi laitokseen kohdistuu vielä riippumatonta viranomaisvalvontaa.
Suomalaisten kykyä toimivaan yhteistyöhön kuvaa, että myös tämä Wienissä esiteltävä julkaisu on toteutettu yhteistyössä operaattorin ja viranomaisen kanssa.