Menu

Rakennusten teknisten järjestelmien tietoturva tapetilla

Rakennusten teknisten järjestelmien tietoturvaan on viime aikoina kiinnitetty enenevässä määrin huomiota. Näiden järjestelmien tietoturvassa on useita hankaluuksia. Tietoturvaan ei haluta panostaa ajallisesti tai rahallisesti eikä tietoturva-asioihin löydy tarvittavaa teknistä tai sopimuksellista osaamista. Tietoturvan merkitystä liiketoiminnalle ei ymmärretä tai asiasta kommunikointi on haastavaa niin yhtiöiden sisällä kuin välilläkin. Rakennusala koostuu useasta eri toimijasta ja rakennushankkeeseen liittyy useita eri tahoja. Alan sirpaloitumisen ja toimijoiden lukuisan määrän takia tietoturvaan liittyvät tehtävät ja vastuut ovat epäselviä.

STUL:n, STEK:n, Huoltovarmuuskeskuksen, Rakennusteollisuus RT:n Rakennuspoolin ja VTT:n järjestämän Rakennusten tietoturva 2016 -seminaarin (15.3.2016) tavoitteena oli käsitellä kyberturvallisuuteen liittyviä keskeisiä kysymyksiä sekä selvittää koko rakennus- ja kiinteistöalan toimijoiden kanssa erityisesti rakennusten tietoturvaan liittyviä kehittämiskohteita ja toimenpide-ehdotuksia.

Seminaarissa peräänkuulutettiin selkeän vastuunjaon tärkeyttä ja tietoturvallisuudesta vastaavien henkilöiden nimeämisen merkitystä. Aamupäivän luentotyylisessä osuudessa tehtiin katsaus sekä yleiseen että rakennusten järjestelmien tietoturvaan. Seminaarin iltapäivän osuudessa pureuduttiin taas työryhmissä keskustellen rakennusten tietoturvan ongelmiin, haasteisiin ja ratkaisuihin.

Aamupäivän avauspuheenvuoron pitäneen STEK:n Timo Kekkosen mukaan rakennusautomaation tietoturvariskejä ei osata vielä tunnistaa riittävän hyvin, eikä niihin ole varauduttu vielä riittävästi. Onkin tärkeää, että tässä vaiheessa tietoturvakysymykset saadaan kaikkien tietoisuuteen. Monimutkaisissa järjestelmissä pienikin vika voi johtaa suuriin ongelmiin ja näistä riskeistä on vielä liian vähän tietoa.

Teollisuusautomaation tietoturvasta puhuneen Neste Oyj:n Pasi Lehtisen mukaan automaatiojärjestelmien tilausvaiheessa pitää osata määritellä haluttu tietoturvan taso ja siihen vaadittavat ratkaisut sekä oman organisaation ja toimittajan välinen vastuujako. Järjestelmän käyttöönottovaiheessa pitää varmistaa, että asetetut vaatimukset on toteutettu ja dokumentoitu halutulla tavalla. Järjestelmän toiminta pitää pystyä testaamaan käyttöönottovaiheessa. Käyttöönoton jälkeen myös ylläpidosta ja tietoturvan seurannasta tulee pitää huolehtia pitkäjänteisesti.

Teollisuusautomaatiojärjestelmiin pätevät säännöt toimivat myös rakennusautomaation puolella. Automaatioratkaisuja suunniteltaessa pitää aina miettiä, tarvitaanko verkkoliikennettä molempiin suuntiin, ja mitkä laitteet tai anturit tarvitsee ylipäätään näkyä verkossa. Kriittisten järjestelmien toiminta pitää pystyä varmistamaan myös poikkeustilanteissa. Järjestelmä täytyy voida ajaa tarvittaessa hallitusti alas, ja tämän jälkeen myös palauttaa normaalitilaan. Jotta se onnistuisi, tulee poikkeustilanteita harjoitella perusteellisesti.

Tilaajapuolen tietoisuus tietoturvan huomioon ottamisesta on kasvamassa nopeasti, ja tämä heijastuu alihankkijoille asetettaviin vaatimuksiin. Tietoturvakonsultointiin erikoistuneen Nixu Oyj:n Kalle Luukkainen muistutti, että harvat tahot ylläpitävät enää omia järjestelmiään itse. Jopa monet huoltovarmuuskriittiset organisaatiot ovat nykyisin ulkopuolisten palveluidentarjoajien varassa. Aikaisemmin tietoturvalla tarkoitettiin yrityksen sähköpostia ja asiakastietokantaa, mutta nykyään maailma on aivan erilainen, koska kaikki on ulkoistettu, kytketty pilveen ja tehty mobiililaitteilla ohjattavaksi.

Kun järjestelmien ylläpito ulkoistetaan palveluntarjoajalle, liitetään tilaussopimuksiin yleensä myös varsin tiukat vaatimukset toimintavarmuudesta ja tietoturvasta huolehtimisesta. Tilaajan tärkeimmäksi tehtäväksi jää varmistaa, että palvelutoimittaja tekee kaiken niin kuin pitääkin. Epäselvyyksien välttämiseksi vastuualueet pitää määritellä tarkasti jo järjestelmän toimitusvaiheessa ja sopia samalla tietoturvan ylläpidosta järjestelmän kaikissa elinkaaren vaiheissa.

Huoltovarmuuskeskuksen ja VTT:n KYBER-TEO eli ”Kyberturvallisuuden kehittäminen ja jalkauttaminen teollisuuteen” -hankkeessa on tuotettu automaatiohankintojen tietoturvaohje sekä laadittu Kyberturvallisuuskeskuksen kanssa ”Automaatiojärjestelmien toimitus- tai palvelusopimusten tietoturvaliitteet”, joiden avulla automaatiojärjestelmien tilaajat voivat varmistua tietoturvavaatimusten huomioon ottamisesta automaatiojärjestelmätoimitusten tarjouspyynnöissä. Dokumentteihin on listattu esimerkiksi malliesimerkkejä sallituista etäyhteyskäytännöistä, langattomien järjestelmien tietoturvan huomioimisesta, testauskäytännöistä sekä automaatiojärjestelmän varmuuskopiointiohjeita järjestelmän palauttamiseksi mahdollisen hyökkäyksen jälkeen. Ohjeet löytyvät Huoltovarmuuskeskuksen internet-sivuilta.

Iltapäivän ryhmätyöosuuden keskusteluissa nousi esille tarve selkeälle ohjeistukselle ja koulutukselle kyberturvallisuuden parantamiseksi. Yleispätevän ohjeen laatiminen on hyvin haastavaa alan nopeasta muutoksesta ja toimijoiden erilaisista tarpeista johtuen, mutta jotkin periaatteet ovat universaaleja. Erityisesti yritykset kokivat hyötyvänsä muistilistoista, joiden asiat voitaisiin jakaa suunnitteluun, ylläpitoon ja seurantaan sekä toimintaan tietoturvan pettäessä.

Kyberturvallisuus on kansallinen kysymys, mutta yritykset eivät välttämättä koe asiaa niin. Tiedon jakaminen kyberuhista ja niihin varautumisesta hyödyttäisi kaikkia toimijoita ja tarvittaisiin oikeanlainen foorumi tiedon jakamiseksi. Rakennusten tietoturvan osalta erityisiä ongelmia tuottaa se, että sektori osuu eri hallinnonalojen välimaastoon eivätkä vastuut siksi ole selkeitä.