Tämä tutkimus keskittyy tuotantoteknologian (OT) kyberturvallisuuteen. Tuotantoteknologia koostuu moninaisista ohjelmoitavista järjestelmistä ja laitteista, jotka toimivat fyysisen ja virtuaalisen maailman rajapinnassa. Fyysisiä prosesseja ohjaaviin järjestelmiin kohdistuvan kyberhyökkäyksen seuraukset voivat olla vakavia. OT-järjestelmien kehitys on tehnyt niistä haavoittuvampia kyberuhkia vastaan. Kasvava huoli OT-turvallisuudesta on lisännyt alan tutkimusta.

Tässä tutkimuksessa käytetty tutkimusmetodologia on suunnittelutiede. Sen mukaisen iteratiivisen prosessin lopputulos on artefakti, jonka avulla organisaatiot voivat arvioida OT-turvallisuuspolitiikkaansa. Tämän tutkielman kontekstissa OT-turvallisuuspolitiikka ymmärretään kokoelmana niistä hallintakeinoista, jotka organisaatio on ottanut tai suunnittelee ottavansa käyttöön OT-ympäristöidensä suojaamiseksi.

Arviointityökalu perustuu MITRE ATT&CK for ICS®-viitekehykseen sisältyvään tietoon. Se auttaa organisaatioita arvioimaan nykyistä lähestymistapaansa OT-turvallisuuteen viitekehykseen kuuluvia hallintakeinoja vasten. Arvioinnin tulosten perusteella organisaatiot voivat pyrkiä parantamaan suojautumiskykyään OT-ympäristöihin kohdistuvien kyberhyökkäysten varalta.

Työn kirjallisuuskatsaus tukee artefaktin uutuusarvoa. Sen soveltuvuutta demonstroidaan käytännössä tutkimukseen osallistuneen yhteistyöyrityksen OT-tietoturvapolitiikan arviointiin. Esitellyn artefaktin katsotaan täyttävän sen suunnittelukriteerit suurimmalta osin. Tutkimus kuitenkin esittelee useita alueita, joilla tapahtuva jatkokehitys tekisi ratkaisusta kypsemmän.