Blogi: Tuotantolaitosten turvauhat tärkeä saada osaksi tuotantolaitosten riskienhallintaa
Tuotantolaitoksilla hallitaan lukuisia erilaisia riskejä päivittäin. Kemikaalivuoto voi yhtä hyvin alkaa kuluneesta tiivisteestä, vikaantuneesta lämpömittarista kuin auki unohtuneesta venttiilistä. Voisiko sama vuoto syntyä tahallaan aiheutettuna, rikollisen toiminnan seurauksena? Lintukotomme turvallisuusympäristö on muutoksessa ja digitalisaatiossa otetaan yhä isompia loikkia. Turvauhat liittyvät tähän muutoksen. Onnettomuuksien ehkäisemiseksi ei enää riitä pelkkä oman tuotantolaitoksen tai prosessin vaarojen tunteminen vaan on tarkasteltava myös turvauhkia, jotka voivat käynnistää tapahtumaketjun, jonka seurauksena kemikaalivuoto syntyy.
Safety ja security ovat turvallisuuden tärkeitä osa-alueita
Englanninkieliset termit ”safety” ja ”security” hahmottavat hyvin näiden kahden asian eroa. Turvauhat voidaan jakaa erikseen vielä fyysiseen turvallisuuteen ja kyberturvallisuuteen, missä ensimmäisellä tarkoitetaan enemmän laitoksen alue- ja tilaturvallisuutta, kuten kulunvalvontaa, lukituksia jne. Kyberturvallisuus taas ei ole ”pelkkää” tietoturvallisuutta, missä suojellaan arvokasta informaatiota, vaan laitoksen automaatiojärjestelmien suojaamista haavoittuvuuksilta tai kyberhyökkäyksiltä.
Tyypillisesti safety- ja security-asioita on käsitelty laitoksilla erillään, eikä niiden ole katsottu oleellisesti vaikuttavan toisiinsa. VTT on koordinoinut kansainvälisen yhteistyöhankkeen ” Integrated Management of Safety and Security Synergies in Seveso plants, SAF€RA 4STER (M. Ylönen, M. Nissilä, J. Heikkilä et al. 2021)” missä on selvitetty, miten nämä kaksi turvallisuuden osa-aluetta huomioidaan tuotantolaitoksen riskien hallinnassa ja voidaanko niitä johtaa koordinoidusti.
Suomessa otetaan askelia kohti turvauhkien huomioimista
EU:n Seveso III-direktiivi (2012/18/EU) säätelee tuotantolaitosten suuronnettomuusvaaraa, mutta ainakaan toistaiseksi sen säädöskehikkoon eivät turvauhat ole kuuluneet. Suomessa on kuitenkin otettu askeleita tähän suuntaan. Työ- ja elinkeinoministeriössä (TEM) valmistui pari vuotta sitten hanke ”Kemikaalikohteiden suojaamista lainvastaiselta toiminnalta selvittäneen työryhmän raportti Dnro TEM/2490/00.02/2017”, jossa selvitettiin turvauhkien sääntelyä kemikaalilaitoksilla. Hanke ei ole vielä konkretisoitunut kemikaaliturvallisuuslain 390/2005 muutoksiksi, mutta tahtotila on edelleen olemassa.
Tukesissa nähdään tärkeänä, että turvauhat tulevat osaksi laitoksen riskien hallintaa. Security- ja kyberturvallisuudesta vastaavien ja osaavien henkilöiden tulee osallistua riskianalyyseihin, joissa mietitään onnettomuuksien syitä ja seurauksia. Näin saadaan muodostettua parempi kokonaiskuva vaaroista, riskien suuruudesta, ja voidaan päättää priorisoiden hallintakeinoista. Monta kertaa kuultu kommentti ”eihän meidän automaatiojärjestelmämme ole kytketty verkkoon” ei enää päde. Tuotantolaitoksen on kyettävä osoittamaan, millaisia yhteyksiä automaatiojärjestelmään on luotu ja miten kyberhyökkäyksiin ja haavoittuvuuksiin on varauduttu. Jotta haavoittuvuudet voidaan tunnistaa, tarvitaan kyberosaajia, mutta ilman prosessiturvallisuutta ymmärtäviä ei voida arvioida seurauksia. Tarvitaan siis yhteistyötä ja koordinointia, jotta sekä onnettomuuden syyt että seuraukset voidaan tunnistaa ja arvioida.
Turvauhat koskettavat myös pienempiä kemikaalilaitoksia, joissa ei varsinaisia prosessinohjaus- tai automaatiojärjestelmiä ole. Kemikaalien tai räjähteiden varastaminen on estettävä ja kemikaaleja sisältävät laitteistot tai varastot on suojattava törmäyksiltä tai muilta vahingontekoyrityksiltä.
Tukes tekee yhteistyötä Kemianteollisuus ry:n ja huoltovarmuuden Kemian poolin kanssa selvittääkseen parhaita keinoja turvauhkiin varautumisessa. Työ turvauhkaoppaan laatimiseksi on käynnistetty. Tästä lisää jatkossa, ole kuulolla – stay alert!
Kirjoittaja: ylitarkastaja Timo Talvitie, p. +358 295 052 654
Tukes on osarahoittanut VTT:n SAF€RA 4STER -projektia.