Helsingin Sanomat uutisoi kesäkuun lopulla otsikolla: ”Kyberturvallisuus­keskus: Rikolliset voivat päästä käsiksi jopa vankiloiden lukituksiin” (HS 30.6.2015). Artikkeli koski kiinteistöautomaatiojärjestelmien kyberturvallisuutta. Raflaavasta otsikosta huolimatta HS, tai tässä tapauksessa Kyberturvallisuuskeskus, on oikeassa varoittaessaan kiinteistöautomaation tietoturvallisuusriskeistä.

Harvemmin korviin on kantautunut tietoa siitä, että kiinteistöjen lukitusten ohjauksia olisi johdettu kiinteistöautomaation kautta suojaamatta suoraan yleiseen verkkoon. Verkottuneessa ympäristössä yksittäinen järjestelmä on kuitenkin mahdollisesti kokonaisuuden heikoin lenkki.

Viimeaikaisen kybermyllytyksen alla on ollut ilo huomata ihmisten kasvava kiinnostus turvallisuusasioihin. Myös viimeaikaiset poliittiset tapahtumat ja jännitteet maailmalla ovat omiaan luomaan turvattomuuden tunnetta ja sitä kautta lisäämään keskustelua turvallisuudesta yleisestikin.

Käsitteenä turvallisuus on laaja ja monelle jopa hyvin subjektiivinen. Useasti turvallisuuskeskustelu polarisoituu tietyn osa-alueen ympärille, jättäen muut alueet varjoonsa. Näin näyttääkin käyneen kyberturvallisuuden osalla.  Toiset ovat sitä mieltä, että nykyisin ei muuta tunnu turvallisuuden saralla olevankaan kuin ”kyberiä”.

Itse en näe meneillään olevaa pöhinää pelkästään huonona asiana vaan koko turvallisuusala, laajasta käsitteestään huolimatta, on saanut ja saa uutta nostetta valloillaan olevasta keskustelusta. Nyt vain kaiken ylitsevuotavan kuhinan ja ylireagoimisen saralla pitää löytää ne oikeat, järkevät ja kustannustehokkaat keinot turvallisuushaasteiden hallitsemiseen.

Kyberiä talotekniikassa

Talotekniikan osalta huoli tietoturvallisuuden riittämättömyydestä on aiheellista. IoT (The Internet of Things) luo järisyttäviä mahdollisuuksia liiketoiminnassa, varsinkin talotekniikan saralla, mutta samalla se tuo merkittäviä haasteita tekniikan ja järjestelmien tietoturvallisuuden hallinnalle. Kriittisten laitteiden ja teknisten järjestelmien alkaessa aktiivisemmin ”keskustella” keskenään julkisen verkon yli, voidaan törmätä nopeasti vakaviin tietoturvaongelmiin ja häiriöihin toimintaprosesseissa.

Pensaaseen ei suinkaan kannata päätä laittaa ja kieltää kehityksen kulku, vaikka se saattaisi altistaa turvallisuusmielessä uusille riskeille. Riskien hallinnan ja turvallisuuden tarkoituksena ei saisi lähtökohtaisesti olla asioiden estäminen, vaan ennen kaikkea mahdollistaminen tiettyjen rajojen puitteissa.

Omalta osaltaan lusikkansa soppaan on ansiokkaasti työntänyt Sähkötieto ry., joka on juuri julkaissut Verkottuneen talotekniikan tietoturva -ohjeiston (ST 22). Ohjeiston tarkoituksena on toimia apuna verkottuneen AV-, turvallisuus- ja rakennusautomaatiojärjestelmän tietoturvan varmistamiseksi. On hyvä, että ohjeisto on saatu kasaan avuksi taloteknistenjärjestelmien suunnittelijoille ja rakentajille, vaikkakaan se ei tarjoa yksiselitteisiä, yleismaallisia, joka tilanteeseen sopivia pakettiratkaisuja. Päinvastoin, ohjeisto pyrkii enemmän painottamaan riskien hallintaa, ennakointia ja varautumista, ja sitä myöten oikeiden suojaustoimenpiteiden löytymistä ja ylläpitämistä.

Tämä luo haasteita sille, miten suunnittelijat ja konsultit sekä järjestelmien rakentajat ja toimittajat saavat paketoitua nämä uudet tiedot ja ohjeet järkeviksi kokonaisuuksiksi tarjoamiinsa palveluihin tai tuotteisiin. Ja vielä siten, että asiakas ymmärtää saamansa lisäarvon.  Asiakas uskoo ja luottaa ostavansa turvallisen tuotteen tai palvelun, joten se pitää myös asiakkaalle pystyä tarjoamaan.

Riskialtis ”ei meillä ennenkään…” -ajattelu

Ongelma usein on, että on vaikea löytää maksajaa etukäteen tehtävälle riskienhallintatyölle ja -suunnittelulle. Turvallisuus, varsinkin siihen liittyvät suunnittelu- ja riskienhallintatyöt, nähdään usein vain kulueränä. ”Kun ei ole ennen tapahtunut, ei tule myöskään tulevaisuudessa tapahtumaan” -ajattelutapa on usein yleinen, puhuttaessa liiketoiminnan eri osa-alueiden riskien hallinnasta.

Riippumatta filosofisesta maailmankatsomuksesta, tulevaisuutta on aina vaikea ennustaa. Turvallisuuteen ja riskien hallintaan tähtäävät toimet eivät ole tae tai vakuutus siitä, että prosesseissa ei voisi tapahtua häiriöitä ja ongelmia. Tai siitä, että kriisejä ei syntyisi.

Riskien hallintaan ja turvallisuuteen satsattuja toimia voisi enemmänkin ajatella samalla tavoin kuin teltan kipinävartiointia: pääsääntöisesti palonalut saadaan ehkäistyä ja pienemmät tulipalonalut sammutettua, mutta on mahdollista myös, että tuli ottaa hetkellisesti vallan kipinävartijan nukahtaessa päivystysvuorollaan. Hyvän varautumisen johdosta apu on kuitenkin jo lähellä ja nopeasti saatavilla, jolloin pahimmat tuhot saadaan ehkäistyä ja pystytään nopeammin toipumaan kriisistä kohti normaalia toimintaa.

Vaikka hyökkäykset automaatiojärjestelmien kautta eivät tiettävästi ole vielä kovin yleisiä, on nyt viimeistään oikea hetki reagoida niiden tietoturvallisuusheikkouksiin. Tämä onnistuu vain hyvällä yhteistyöllä automaatiojärjestelmän tilaajan, suunnittelijan, rakennuttajan ja valmistajan välillä.

Kenelle vastuu automaatiojärjestelmien tietoturvallisuudesta lopulta kuuluu? Mitkä ovat riskien hallinnallisesti riittävät toimet kyseisiä järjestelmiä suunniteltaessa ja rakentaessa? Näihin kysymyksiin tulisi aina löytää vastaukset. Alkuun päästää jo sillä, että tiedostamme järjestelmiin sisältyvän turvallisuusriskejä, jotka voivat vaikuttaa oleellisesti liiketoimintaamme.

Kirjoittaja Janne Helenius on Granlundin turvallisuuskonsultti. Lisää yritys- ja toimialaturvallisuudesta Granlundin sivuilta.