Rakennetun ympäristön digiturvaa kehittämässä
Digitalisaatio, automaatio ja tekoäly tekevät tuloaan myös rakennettuun ympäristöön. Kun rakennuksia hallinnoidaan ja valvotaan yhä enemmän etäyhteyksien kautta ja yhä useamman toimijan verkostoissa, on myös ratkaisujen turvallisuuteen ja testaukseen kiinnitettävä huomiota.
Nykyaikaisten rakennusten talotekniikka on pitkälle digitalisoitua. Erilaisten toisiinsa kytkeytyneiden älyratkaisujen odotetaan vain lisääntyvän rakennuksissa, kun etsitään edellytyksiä energian kysyntäjoustolle ja ratkaisujen optimoinneille.
Esimerkiksi lämmitystä, ilmanvaihtoa, vesihuoltoa, sähkönjakelua, lukitusta, hissiä sekä erilaisia hälytyslaitteita ja antureita hallitaan digitaalisten etävalvottavien ja -hallittavien järjestelmien avulla. Yleensä laitteet ovat myös internetin kautta verkkoyhteydessä, jonka suojauksesta huolehdittava.
“Jos tällaisen rakennuksen järjestelmiin hyökättäisiin, siitä voisi seurata pahimmillaan talotekniikan täydellinen lamaantuminen. Vaikka tällainen täyskaaos on epätodennäköinen, se on kuitenkin mahdollinen, ellei olla suojauduttu ja varauduttu”, kertoo Rakennuspoolin projektipäällikkö Ari Järvinen Rakennusteollisuus RT:stä.
Järvinen vetää rakennetun ympäristön digitaalisen turvallisuuden projektia, joka on osa Huoltovarmuuskeskuksen rahoittamaa Digitaalinen turvallisuus 2030 -ohjelmaa. Sen tavoitteena on koota yhteen rakennus- ja kiinteistöalan sekä alan julkishallinnon toimijoista koko rakennetun ympäristön elinkaaren kattava yhteistyöverkosto.
Viisas varautuu häiriöihin
Rakennusten digijärjestelmiin voi tulla häiriöitä monenlaisista syistä. Niitä voivat aiheuttaa sähkökatkot, haittaohjelmat, laitteiden kaappaaminen kyberrikollisten toteuttamiin palvelunestohyökkäyksiin ja usein myös tietojenkalastelu sekä inhimilliset virheet.
“Mahdollinen tilanne on esimerkiksi suojaamattoman, kiinteistöautomaation osana olevan anturiteknologiaa hyödyntävän laitteen kaappaus asiattomiin tarkoituksiin. Rakennuksen lukitusjärjestelmiin tai lämmön- ja ilmanvaihdon säätelyyn voidaan yrittää vaikuttaa myös suoraan”, Järvinen kertoo.
Lähtökohtaisesti kaikkien laitteiden pitää olla ajanmukaisia ja ohjelmistojen päivitykset ajan tasalla. Laitteiden ja järjestelmien tietoturvan ja tietosuojan pitää olla ammattimaisesti hoidettua. Yksikin heikko lenkki ketjussa on uhka.
“Mikä tahansa laite, joka on tavalla tai toisella kytketty nettiin, on turvatarkastettava. Erilaiset turvatekniikan kaapeloinnit ja laitteet on suojattava myös fyysisesti. Laitteiden turvallisuuteen tähtää myös valmisteilla oleva CRA-direktiivi eli EU:n kyberkestävyyssäädös.”
Uusissa rakennuksissa taloteknisten järjestelmien digiturvan rakentaminen alkaa jo hankesuunnitteluvaiheessa, ja apuna on hyvä käyttää digiturva-asioita ymmärtäviä rakennuttajakonsultteja. Taloyhtiöissä järjestelmiä ja verkossa toimivia palveluita hankittaessa tarvitaan käsitys ohjelmistojen elinkaaresta, tietoturvasta ja päivityksien saatavuudesta.
Digiturvaan liittyy myös tietosuojasta huolehtiminen. Isännöitsijöillä ja huoltoyhtiöillä on käytössään sekä henkilörekistereitä että talotekniikan sensoreista ja erilaisista valvontalaitteista kerättyä dataa, joka lisääntyy kovaa vauhtia. Kun tietoa kerätään, on yksityisyyden- ja tietosuojasta pidettävä huolta. On oltava ymmärrys siitä, miten, miksi ja kuinka kauan tietoja on oikeus säilyttää ja kuka niitä saa nähdä ja käyttää.
Järjestelmien pääsy- ja käyttöoikeuksia pitää seurata aktiivisesti ja muuttaa, jos esimerkiksi henkilöt vaihtavat työpaikkaa. Tämä koskee myös turvajärjestelmiä ylläpitävien urakoitsijoiden ja kolmansien osapuolien henkilöstöä.
Huomio alihankintaketjuihin ja järjestelmien yhteistoimintaan
Rakennetun ympäristön tietoturvallisuuden taso on vielä vaihteleva. Erityisesti alihankkijaketjujen tuntemiseen ja hallintaan sekä järjestelmien yhteistoimintaan on syytä kiinnittää huomiota kyberturvallisuuden kannalta.
“Rakennusalan yrityksillä riittää vielä kyberkypsyyden suhteen tehtävää. Haasteena on myös pienempien järjestelmiä ja palveluja toimittavien yritysten digiturva ja sen osaaminen. Kun tietoja siirtyy usean toisiinsa verkottuneen toimijan kesken verkossa, myös kybervaikuttamisen mahdollisuudet ja hallitsemattoman riskin mahdollisuudet lisääntyvät”, Järvinen kertoo.
Häiriöihin on syytä varautua paitsi varmistamalla järjestelmät ennakkoon myös laatimalla varasuunnitelmat. On tärkeää, että digitaalisia järjestelmiä voi tarpeen tullen ohjata myös manuaalisesti.
“Jos häiriö ovijärjestelmässä estää ovien avaamisen tai kulunvalvonnan, mekaanisen lukituksen on toimittava. Silloin kulkua valvomaan taas tarvitaan ihminen. Tällaisiin häiriötilanteisiin kannattaa varautua ennakkoon esimerkiksi sopimuksellisesti palveluntuottajien kanssa.”
Varasuunnitelmilla ja turvajärjestelmillä pitää olla myös nimetyt vastuuhenkilöt.
“Taloyhtiöissäkin voisi olla talotekniikkavastaavia, joilla olisi auttavat valmiudet siirtää vaikkapa ilmanvaihdon automatiikka häiriötilanteessa käsiohjauksella perusteholle. Näin vältyttäisiin isommilta ongelmilta.”
Tyypillinen syy digiturvan pettämiselle on inhimillinen virhe. Siksi osaamista on ylläpidettävä ja kehitettävä jatkuvasti.
“Kaiken a ja o on, että tietoturvallisuusasiat tiedostetaan ja henkilöstön osaamiseen satsataan: pidetään oma pesä puhtaana, sekä varaudutaan kybervaikutuksiin asiallisesti.”
Kuka
Ari Järvinen, Rakennuspoolin projektipäällikkö, Rakennusteollisuus RT ry.
Vetää rakennetun ympäristön digitaalisen turvallisuuden projektia, joka toteutetaan osana Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmaa.
Lisätietoa: ari.jarvinen@rt.fi
Teksti: Hanna Kangasniemi
