Turvallinen tulevaisuus

9063_web
Janne Helenius toimii Granlundilla turvallisuuskonsulttina

Turvallisuus rakentuu ennen kaikkea siitä tunteesta, joka yksilöllä on vallitsevassa hetkessä ja johon sen hetkinen ympäristö vaikuttaa vahvasti. Olen verrannut organisaation turvallisuutta useasti talotekniikkaan laajemmaltikin. Kun ilmastointi pettää tai valaistus ei toimi, huomaamme talotekniikan olemassaolon.

Työskennellessämme yrityksen toimitiloissa taustalla toimiva talotekniikka huomaamattamme edesauttaa päivittäisestä työstä suoriutumistamme ja mahdollistaa liiketoiminnan sujuvuuden. Näin on myös turvallisuuden kanssa: vasta kun jokin asia menee todella pieleen, huomaamme turvallisuuden tai pikemminkin turvattomuuden tunteen olemassaolon. Tällöin myös yksilön oma mielikuva turvallisena pidetystä ympäristöstä muuttuu ja pahimmassa tapauksessa romahtaa täysin.

Entiset turvallisena pitämämme prosessit ja hallintakeinot, kuten ympärillä oleva turvatekniikka, eivät enää tunnu tuovan samaa turvallisen ympäristön tunnetta kuin ennen. Auttaisivatko johdon uudet lauselmat satsauksesta turvallisuuden kehittämiseen tai näkyvät konkreettiset toimet, kuten turvallisuustekniikan lisääminen ja turvallisuusprosessien näkyvämpi läsnäolo päivittäisessä työssä lopulta turvallisuudentunteen paranemiseen?

Toimiva talotekniikka huomaamattamme edesauttaa päivittäisestä työstä suoriutumistamme

Olen saanut viimeisten vuosien aikana seurata tiiviisti talotekniikan ja varsinkin turvallisuustekniikan kehittymistä. Odotan innolla, mitä tulevaisuus tuo tullessaan, mutta tällä hetkellä muutama osa-alue näyttää erottuvan selkeästi: anturitekniikka (myös IoT eli Internet of Things sen mukana) ja tekoälyn kehittyminen. Pistän Nostradamus-hatun hetkeksi päähän ja visioin luovasti tämän hetkisten tietojen perusteella turvallisuustekniikan kehittymistä taloteknisessä ympäristössä.

Tekoäly ottaa hallinnan ympäristöstä

Olemme jo siirtyneet Googlen hakukonemaailmasta hieman pidemmälle Apple-konsernin Sirin kaltaisten tekoälyksikin kutsuttujen virtuaaliapureiden maailmaan. Pian saamme nähdä kehittyneempiä versioita samankaltaisesta tekoälystä, mutta vielä on jonkin verran matkaa varsinaiseen tieteiselokuvistakin tuttuun tekoälyyn, joka tekee itsenäisiä päätöksiä ja päätelmiä myös kehittäen itseään.

Kiinteistö saa siis ympäristöstään, niin kiinteistä rakennelmista kuin sen sisällä liikkuvista ihmisistä, jatkuvasti tietoa

Talotekniikassa tällainen tekoäly muuttaisi tapaa käsittää kiinteistön toimintaa ja sen järjestelmiä. Visiossani kiinteistön tekoäly ja itse rakennus toimisi alati tuntevana ja havainnoivana systeeminä, joka kuin organismin tavoin elää yhdessä sen sisällä toimivien ihmisten kanssa. Tämä tarkoittaisi tekoälyltä jatkuvaa tarkkailua, mittausta, valvontaa ja ennen kaikkea päätöksiä. Erillisten talotekniikkajärjestelmien rajapinnat olisivat käytännössä olemattomia. Aivot kuitenkin tarvitsisivat tiedon siirtoa ja käsittelyä varten edelleen teknisiä järjestelmiä, johon anturitekniikka toisi tarvittavan avun.

Anturitekniikka on jo nyt käytännössä erittäin edullista ja huomaamatonta. Tulevaisuudessa sitä tullaan käyttämään hyväksi niin seinien pinnoissa kuin vaatteissakin. Tekoäly tarvitsee antureita saadakseen jatkuvaa ajantasaista tietoa ja käsitelläkseen tätä tietoa optimaalisesti ja reaaliaikaisesti auttaen tekemään itsestään entistä ”näkymättömämmän”. Kiinteistö saa siis ympäristöstään, niin kiinteistä rakennelmista kuin sen sisällä liikkuvista ihmisistä jatkuvasti tietoa, jonka mukaan tekoäly säätää olemustaan ideaaliksi olosuhteiden ja myös turvallisuuden osalta.

Turvallisuustekniikka on osa onnistunutta liiketoimintaa

Olen useasti miettinyt ja myös keskustellut alan parissa toimivien kanssa siitä, miksi turvallisuus- ja muu talotekniikka antureineen ja ilmaisimineen on erotettu ideatasolla toisistaan. Nyt on jo selkeästi havaittavissa yrityksiä rikkoa tätä konsensusta mm. kameravalvonnassa, jota ei enää markkinoida pelkästään turvallisuusratkaisuna, vaan myös yhtenä osana kiinteistön olosuhteiden tai liiketoimintaprosessien mittausta tähtäämällä liiketoiminnan parantamiseen.

Miksi turvallisuus- ja muu talotekniikka antureineen ja ilmaisimineen on erotettu ideatasolla toisistaan

Taloteknisillä järjestelmillä on lukemattomia antureita mittaamassa omia järjestelmiään. Tällä hetkellä esimerkiksi valaistuksen apukeinona käytetään usein liiketunnistimia välittämään tietoa. Tämä lisää helppokäyttöisyyttä, vähentää komponenttien kulumista sekä tuo säästöjä esimerkiksi energiankulutukseen.

Jos kiinteistö niin sanotusti miinoitetaan näillä valaisimien liiketunnistimilla, on vähintäänkin aiheellista kysyä, miksi samaa tunnistetietoa ei voida käyttää turvallisuusjärjestelmien ohjauksessa? Nyt kutakin järjestelmää varten asennetaan omat tunnistimet ja anturit. Taloteknisiä ja varsinkin turvallisuusjärjestelmiä ajatellaan nykyisinkin vielä vahvasti omina järjestelminään, vaikka nykytekniikka voisi mahdollistaa huomattavasti tiiviimmän yhteistyön eri järjestelmien ohjauksessa ja tiedon tuottamisessa. Lopputuloksena on samaa ja jopa enemmän tietoa, jota kenties saataisiin kerättyä edullisemmin ja hyödynnettyä entistä paremmin.

Nykytekniikka mahdollistaisi huomattavasti tiiviimmän yhteistyön eri järjestelmien ohjauksessa ja tiedon tuottamisessa

Kiinteistön turvallisuustekniikka tulee siis aikanaan sulautumaan yhdeksi järjestelmäksi, jota tekoäly aivoillaan ja antureista saadulla tiedollaan hallitsee ja säätelee. Tämä vaatii kuitenkin selkeää hyppäystä tekoälyn kehittymisessä, mutta jo nyt olisimme valmiita paljon tehokkaampaan yhteistyöhön eri talotekniikkajärjestelmien kanssa.

Kun kiinteistö havainnoi mahdollisia häiriötiloja ja tietää, ketä sen sisällä liikkuu, olemmeko silloin vihdoin turvassa? Tuskinpa täysin, mutta ainakin kiinteistöön, liiketoiminnan prosesseihin ja ihmisiin kohdistuvia riskejä on saatu paremmin hallittua ja voimme mahdollisesti ainakin tuntea olevamme enemmän turvassa.

Turvallisuus on luottamusta

Kyberturvallisuusbuumissa ei näy laantumisen merkkejä. Onkin ilahduttavaa huomata kuinka kattavasti ja vakavasti eri tahot ovat ottaneet toimintaansa kohdistuvien riskien hallinnan myös kyberturvallisuuden saralla.

Ylilyönneiltäkään ei aina voida välttyä ja onkin tarpeen myös muistuttaa kyberturvallisuuden kahdesta eri ”maailmasta”, jotka nivoutuvat yhteen: digitaalinen ja fyysisen maailma.

turva

Turvallisuus on fyysistä ja digitaalista

Vallitsevassa turvallisuuskeskustelussa tuntuu tämä ns. perinteinen, eli fyysinen turvallisuus, jäävän usein taka-alalle. Jää usein sellainen kuva, että suurimmat uhat tulevat ja myös suurimmaksi osaksi riskit toteutuvat vain digitaalisessa maailmassa, jossa tietoturvallisuuskäytänteillä on suuri merkitys.

Tämä on toki ymmärrettävää ja näin usein onkin, koska digitaalinen maailma tuo roistot, häiriköt ja muut pahantekijät aivan lähituntumalle, vaikka fyysisesti olisivatkin maapallon toisella puolella. Aina ei kuitenkaan tule mieleen tai muistaneeksi, että kyseistä digitaalista maailmaa ei olisi olemassakaan ilman fyysistä infrastruktuuria.

Fyysinen maailma mahdollistaa digitaalisen maailman olemassaolon ja siten fyysisen maailman riskejä ei sovi unohtaa. Fyysisen maailman turvallisuusriskien hallitsemiseksi on jo vuosia käytetty turvallisuussuunnittelua, joka kuitenkin viime vuosina on kokenut arvostuksen puutetta.

Turvallisuutta, kuten ”aina on tehty”?

Talotekniikassa turvallisuussuunnittelu käsitetään usein vain erilaisten turvallisuusteknisten järjestelmien suunnitteluna kiinteistöön. Viime vuosien vallitseva mentaliteetti on usein ollut, että kyseessä on vain sähkösuunnittelun sivujuonne.

Turvallisuussuunnittelu voi perustua kokemukseen, tapoihin ja tottumuksiin, tai harkittuun strategiaan. Valitettavan usein kyseessä onkin tapa tai tottumus tehdä asiat samalla tavalla kun on tehty jo vuosia riippumatta siitä, että maailma on muuttunut ympärillä.

Tällöin riskinä on, että ennen hyväksi havaitut toimintatavat ovat muuttuneet jo osittain toimintaa haittaaviksi tekijöiksi tuomatta minkäänlaista lisäarvoa itse liiketoiminnalle. Turvallisuusteknisten järjestelmien lähtökohtainen tarkoitus on kuitenkin häiriöttömän liiketoiminnan turvaaminen, riskien pienentäminen ja häiriötilanteesta toipumisen edistäminen.

9063_web
Kirjoittaja Janne Helenius on Granlundin turvallisuuskonsultti.

Turvallisuus vaatii luottamusta

Turvallisuusjärjestelmien suunnitteleminen ja rakentaminen ei ole vaikeaa. Vaikeaa sen sijaan on suunnitella ja luoda sellaiset järjestelmät, jotka hyödyttävät liiketoimintaa nyt ja lähitulevaisuudessa huomioiden alati muuttuvat liiketoimintaympäristöt ja tavat tehdä työtä.

Vieläkin vaikeampaa on luottamuksen, joka turvallisuusajattelussa on yksi olennaisimmasta tekijöistä, luominen. Ilman luottamusta ei ole turvallisuutta ja ilman riittävää turvallisuutta ei ole luottamusta.

Kokemuksesta voin todeta, että turvallisuudesta, esim. turvallisuussuunnittelu tai turvaurakointi, ollaankin usein valmiita maksamaan enemmän, jos sen toteuttaa riittävän luottamuksen omaava taho.

Yhtenä turvallisuusprojektien kilpailutuksen ongelmakohdista onkin, miten saadaan määriteltyä riittävät kriteerit palveluntarjoajan luottamuksen osoittamiseen.

Miten yhdistää vaivaton, helppokäyttöinen ja turvallinen?

Turvallisuussuunnittelussa joudutaan jatkuvasti tasapainoilemaan riittävien suojaustoimenpiteiden, ulkoisten – ja liiketoiminnallisten – ja vaivattomuus vaatimusten välimaastossa. Järjestelmien tulisi mahdollistaa ketterä ja vaivaton liiketoiminta ja samaan aikaan suojata riittävän hyvin yrityksen intressejä.

On sanomattakin selvää, että kompromisseja joudutaan aina tekemään.

Suuntaus järjestelmien toiminnallisuudessa on viime vuosina ollut vaivattomampaan, helppokäyttöisempään ja verkottuneeseen ympäristöön. Turvallisuussuunnittelussa se olennainen osa ei olekaan se, onko järjestelmä sähköteknisesti oikein rakennettu vaan ennen kaikkea se, onko toiminnallisuus oikein rakennettu koko vallitsevaan laajaan liiketoimintaympäristöön.

Onko tunnistettu oleelliset riskit, joita halutaan poistaa tai riittävästi hallita ja onko nämä kontrollikeinot linjassa muun liiketoimintaprosessien kanssa? Turvallisuussuunnittelu on helppoa, mutta se on myös haaste, josta vain harvat selviytyvät lopulta kuivin jaloin.

Kyberturvallisuus vaatii kipinävartijoita

Helsingin Sanomat uutisoi kesäkuun lopulla otsikolla: ”Kyberturvallisuus­keskus: Rikolliset voivat päästä käsiksi jopa vankiloiden lukituksiin” (HS 30.6.2015). Artikkeli koski kiinteistöautomaatiojärjestelmien kyberturvallisuutta. Raflaavasta otsikosta huolimatta HS, tai tässä tapauksessa Kyberturvallisuuskeskus, on oikeassa varoittaessaan kiinteistöautomaation tietoturvallisuusriskeistä.

Janne Helenius
Janne Helenius

Harvemmin korviin on kantautunut tietoa siitä, että kiinteistöjen lukitusten ohjauksia olisi johdettu kiinteistöautomaation kautta suojaamatta suoraan yleiseen verkkoon. Verkottuneessa ympäristössä yksittäinen järjestelmä on kuitenkin mahdollisesti kokonaisuuden heikoin lenkki.

Viimeaikaisen kybermyllytyksen alla on ollut ilo huomata ihmisten kasvava kiinnostus turvallisuusasioihin. Myös viimeaikaiset poliittiset tapahtumat ja jännitteet maailmalla ovat omiaan luomaan turvattomuuden tunnetta ja sitä kautta lisäämään keskustelua turvallisuudesta yleisestikin.

Käsitteenä turvallisuus on laaja ja monelle jopa hyvin subjektiivinen. Useasti turvallisuuskeskustelu polarisoituu tietyn osa-alueen ympärille, jättäen muut alueet varjoonsa. Näin näyttääkin käyneen kyberturvallisuuden osalla.  Toiset ovat sitä mieltä, että nykyisin ei muuta tunnu turvallisuuden saralla olevankaan kuin ”kyberiä”.

Itse en näe meneillään olevaa pöhinää pelkästään huonona asiana vaan koko turvallisuusala, laajasta käsitteestään huolimatta, on saanut ja saa uutta nostetta valloillaan olevasta keskustelusta. Nyt vain kaiken ylitsevuotavan kuhinan ja ylireagoimisen saralla pitää löytää ne oikeat, järkevät ja kustannustehokkaat keinot turvallisuushaasteiden hallitsemiseen.

Kyberiä talotekniikassa

Talotekniikan osalta huoli tietoturvallisuuden riittämättömyydestä on aiheellista. IoT (The Internet of Things) luo järisyttäviä mahdollisuuksia liiketoiminnassa, varsinkin talotekniikan saralla, mutta samalla se tuo merkittäviä haasteita tekniikan ja järjestelmien tietoturvallisuuden hallinnalle. Kriittisten laitteiden ja teknisten järjestelmien alkaessa aktiivisemmin ”keskustella” keskenään julkisen verkon yli, voidaan törmätä nopeasti vakaviin tietoturvaongelmiin ja häiriöihin toimintaprosesseissa.

Pensaaseen ei suinkaan kannata päätä laittaa ja kieltää kehityksen kulku, vaikka se saattaisi altistaa turvallisuusmielessä uusille riskeille. Riskien hallinnan ja turvallisuuden tarkoituksena ei saisi lähtökohtaisesti olla asioiden estäminen, vaan ennen kaikkea mahdollistaminen tiettyjen rajojen puitteissa.

Omalta osaltaan lusikkansa soppaan on ansiokkaasti työntänyt Sähkötieto ry., joka on juuri julkaissut Verkottuneen talotekniikan tietoturva -ohjeiston (ST 22). Ohjeiston tarkoituksena on toimia apuna verkottuneen AV-, turvallisuus- ja rakennusautomaatiojärjestelmän tietoturvan varmistamiseksi. On hyvä, että ohjeisto on saatu kasaan avuksi taloteknistenjärjestelmien suunnittelijoille ja rakentajille, vaikkakaan se ei tarjoa yksiselitteisiä, yleismaallisia, joka tilanteeseen sopivia pakettiratkaisuja. Päinvastoin, ohjeisto pyrkii enemmän painottamaan riskien hallintaa, ennakointia ja varautumista, ja sitä myöten oikeiden suojaustoimenpiteiden löytymistä ja ylläpitämistä.

Tämä luo haasteita sille, miten suunnittelijat ja konsultit sekä järjestelmien rakentajat ja toimittajat saavat paketoitua nämä uudet tiedot ja ohjeet järkeviksi kokonaisuuksiksi tarjoamiinsa palveluihin tai tuotteisiin. Ja vielä siten, että asiakas ymmärtää saamansa lisäarvon.  Asiakas uskoo ja luottaa ostavansa turvallisen tuotteen tai palvelun, joten se pitää myös asiakkaalle pystyä tarjoamaan.

Riskialtis ”ei meillä ennenkään…” -ajattelu

Ongelma usein on, että on vaikea löytää maksajaa etukäteen tehtävälle riskienhallintatyölle ja -suunnittelulle. Turvallisuus, varsinkin siihen liittyvät suunnittelu- ja riskienhallintatyöt, nähdään usein vain kulueränä. ”Kun ei ole ennen tapahtunut, ei tule myöskään tulevaisuudessa tapahtumaan” -ajattelutapa on usein yleinen, puhuttaessa liiketoiminnan eri osa-alueiden riskien hallinnasta.

Riippumatta filosofisesta maailmankatsomuksesta, tulevaisuutta on aina vaikea ennustaa. Turvallisuuteen ja riskien hallintaan tähtäävät toimet eivät ole tae tai vakuutus siitä, että prosesseissa ei voisi tapahtua häiriöitä ja ongelmia. Tai siitä, että kriisejä ei syntyisi.

Riskien hallintaan ja turvallisuuteen satsattuja toimia voisi enemmänkin ajatella samalla tavoin kuin teltan kipinävartiointia: pääsääntöisesti palonalut saadaan ehkäistyä ja pienemmät tulipalonalut sammutettua, mutta on mahdollista myös, että tuli ottaa hetkellisesti vallan kipinävartijan nukahtaessa päivystysvuorollaan. Hyvän varautumisen johdosta apu on kuitenkin jo lähellä ja nopeasti saatavilla, jolloin pahimmat tuhot saadaan ehkäistyä ja pystytään nopeammin toipumaan kriisistä kohti normaalia toimintaa.

Vaikka hyökkäykset automaatiojärjestelmien kautta eivät tiettävästi ole vielä kovin yleisiä, on nyt viimeistään oikea hetki reagoida niiden tietoturvallisuusheikkouksiin. Tämä onnistuu vain hyvällä yhteistyöllä automaatiojärjestelmän tilaajan, suunnittelijan, rakennuttajan ja valmistajan välillä.

Kenelle vastuu automaatiojärjestelmien tietoturvallisuudesta lopulta kuuluu? Mitkä ovat riskien hallinnallisesti riittävät toimet kyseisiä järjestelmiä suunniteltaessa ja rakentaessa? Näihin kysymyksiin tulisi aina löytää vastaukset. Alkuun päästää jo sillä, että tiedostamme järjestelmiin sisältyvän turvallisuusriskejä, jotka voivat vaikuttaa oleellisesti liiketoimintaamme.

Kirjoittaja Janne Helenius on Granlundin turvallisuuskonsultti. Lisää yritys- ja toimialaturvallisuudesta Granlundin sivuilta.