Turvallisuus on luottamusta

Kyberturvallisuusbuumissa ei näy laantumisen merkkejä. Onkin ilahduttavaa huomata kuinka kattavasti ja vakavasti eri tahot ovat ottaneet toimintaansa kohdistuvien riskien hallinnan myös kyberturvallisuuden saralla.

Ylilyönneiltäkään ei aina voida välttyä ja onkin tarpeen myös muistuttaa kyberturvallisuuden kahdesta eri ”maailmasta”, jotka nivoutuvat yhteen: digitaalinen ja fyysisen maailma.

turva

Turvallisuus on fyysistä ja digitaalista

Vallitsevassa turvallisuuskeskustelussa tuntuu tämä ns. perinteinen, eli fyysinen turvallisuus, jäävän usein taka-alalle. Jää usein sellainen kuva, että suurimmat uhat tulevat ja myös suurimmaksi osaksi riskit toteutuvat vain digitaalisessa maailmassa, jossa tietoturvallisuuskäytänteillä on suuri merkitys.

Tämä on toki ymmärrettävää ja näin usein onkin, koska digitaalinen maailma tuo roistot, häiriköt ja muut pahantekijät aivan lähituntumalle, vaikka fyysisesti olisivatkin maapallon toisella puolella. Aina ei kuitenkaan tule mieleen tai muistaneeksi, että kyseistä digitaalista maailmaa ei olisi olemassakaan ilman fyysistä infrastruktuuria.

Fyysinen maailma mahdollistaa digitaalisen maailman olemassaolon ja siten fyysisen maailman riskejä ei sovi unohtaa. Fyysisen maailman turvallisuusriskien hallitsemiseksi on jo vuosia käytetty turvallisuussuunnittelua, joka kuitenkin viime vuosina on kokenut arvostuksen puutetta.

Turvallisuutta, kuten ”aina on tehty”?

Talotekniikassa turvallisuussuunnittelu käsitetään usein vain erilaisten turvallisuusteknisten järjestelmien suunnitteluna kiinteistöön. Viime vuosien vallitseva mentaliteetti on usein ollut, että kyseessä on vain sähkösuunnittelun sivujuonne.

Turvallisuussuunnittelu voi perustua kokemukseen, tapoihin ja tottumuksiin, tai harkittuun strategiaan. Valitettavan usein kyseessä onkin tapa tai tottumus tehdä asiat samalla tavalla kun on tehty jo vuosia riippumatta siitä, että maailma on muuttunut ympärillä.

Tällöin riskinä on, että ennen hyväksi havaitut toimintatavat ovat muuttuneet jo osittain toimintaa haittaaviksi tekijöiksi tuomatta minkäänlaista lisäarvoa itse liiketoiminnalle. Turvallisuusteknisten järjestelmien lähtökohtainen tarkoitus on kuitenkin häiriöttömän liiketoiminnan turvaaminen, riskien pienentäminen ja häiriötilanteesta toipumisen edistäminen.

9063_web
Kirjoittaja Janne Helenius on Granlundin turvallisuuskonsultti.

Turvallisuus vaatii luottamusta

Turvallisuusjärjestelmien suunnitteleminen ja rakentaminen ei ole vaikeaa. Vaikeaa sen sijaan on suunnitella ja luoda sellaiset järjestelmät, jotka hyödyttävät liiketoimintaa nyt ja lähitulevaisuudessa huomioiden alati muuttuvat liiketoimintaympäristöt ja tavat tehdä työtä.

Vieläkin vaikeampaa on luottamuksen, joka turvallisuusajattelussa on yksi olennaisimmasta tekijöistä, luominen. Ilman luottamusta ei ole turvallisuutta ja ilman riittävää turvallisuutta ei ole luottamusta.

Kokemuksesta voin todeta, että turvallisuudesta, esim. turvallisuussuunnittelu tai turvaurakointi, ollaankin usein valmiita maksamaan enemmän, jos sen toteuttaa riittävän luottamuksen omaava taho.

Yhtenä turvallisuusprojektien kilpailutuksen ongelmakohdista onkin, miten saadaan määriteltyä riittävät kriteerit palveluntarjoajan luottamuksen osoittamiseen.

Miten yhdistää vaivaton, helppokäyttöinen ja turvallinen?

Turvallisuussuunnittelussa joudutaan jatkuvasti tasapainoilemaan riittävien suojaustoimenpiteiden, ulkoisten – ja liiketoiminnallisten – ja vaivattomuus vaatimusten välimaastossa. Järjestelmien tulisi mahdollistaa ketterä ja vaivaton liiketoiminta ja samaan aikaan suojata riittävän hyvin yrityksen intressejä.

On sanomattakin selvää, että kompromisseja joudutaan aina tekemään.

Suuntaus järjestelmien toiminnallisuudessa on viime vuosina ollut vaivattomampaan, helppokäyttöisempään ja verkottuneeseen ympäristöön. Turvallisuussuunnittelussa se olennainen osa ei olekaan se, onko järjestelmä sähköteknisesti oikein rakennettu vaan ennen kaikkea se, onko toiminnallisuus oikein rakennettu koko vallitsevaan laajaan liiketoimintaympäristöön.

Onko tunnistettu oleelliset riskit, joita halutaan poistaa tai riittävästi hallita ja onko nämä kontrollikeinot linjassa muun liiketoimintaprosessien kanssa? Turvallisuussuunnittelu on helppoa, mutta se on myös haaste, josta vain harvat selviytyvät lopulta kuivin jaloin.

Kyberturvallisuus vaatii kipinävartijoita

Helsingin Sanomat uutisoi kesäkuun lopulla otsikolla: ”Kyberturvallisuus­keskus: Rikolliset voivat päästä käsiksi jopa vankiloiden lukituksiin” (HS 30.6.2015). Artikkeli koski kiinteistöautomaatiojärjestelmien kyberturvallisuutta. Raflaavasta otsikosta huolimatta HS, tai tässä tapauksessa Kyberturvallisuuskeskus, on oikeassa varoittaessaan kiinteistöautomaation tietoturvallisuusriskeistä.

Janne Helenius
Janne Helenius

Harvemmin korviin on kantautunut tietoa siitä, että kiinteistöjen lukitusten ohjauksia olisi johdettu kiinteistöautomaation kautta suojaamatta suoraan yleiseen verkkoon. Verkottuneessa ympäristössä yksittäinen järjestelmä on kuitenkin mahdollisesti kokonaisuuden heikoin lenkki.

Viimeaikaisen kybermyllytyksen alla on ollut ilo huomata ihmisten kasvava kiinnostus turvallisuusasioihin. Myös viimeaikaiset poliittiset tapahtumat ja jännitteet maailmalla ovat omiaan luomaan turvattomuuden tunnetta ja sitä kautta lisäämään keskustelua turvallisuudesta yleisestikin.

Käsitteenä turvallisuus on laaja ja monelle jopa hyvin subjektiivinen. Useasti turvallisuuskeskustelu polarisoituu tietyn osa-alueen ympärille, jättäen muut alueet varjoonsa. Näin näyttääkin käyneen kyberturvallisuuden osalla.  Toiset ovat sitä mieltä, että nykyisin ei muuta tunnu turvallisuuden saralla olevankaan kuin ”kyberiä”.

Itse en näe meneillään olevaa pöhinää pelkästään huonona asiana vaan koko turvallisuusala, laajasta käsitteestään huolimatta, on saanut ja saa uutta nostetta valloillaan olevasta keskustelusta. Nyt vain kaiken ylitsevuotavan kuhinan ja ylireagoimisen saralla pitää löytää ne oikeat, järkevät ja kustannustehokkaat keinot turvallisuushaasteiden hallitsemiseen.

Kyberiä talotekniikassa

Talotekniikan osalta huoli tietoturvallisuuden riittämättömyydestä on aiheellista. IoT (The Internet of Things) luo järisyttäviä mahdollisuuksia liiketoiminnassa, varsinkin talotekniikan saralla, mutta samalla se tuo merkittäviä haasteita tekniikan ja järjestelmien tietoturvallisuuden hallinnalle. Kriittisten laitteiden ja teknisten järjestelmien alkaessa aktiivisemmin ”keskustella” keskenään julkisen verkon yli, voidaan törmätä nopeasti vakaviin tietoturvaongelmiin ja häiriöihin toimintaprosesseissa.

Pensaaseen ei suinkaan kannata päätä laittaa ja kieltää kehityksen kulku, vaikka se saattaisi altistaa turvallisuusmielessä uusille riskeille. Riskien hallinnan ja turvallisuuden tarkoituksena ei saisi lähtökohtaisesti olla asioiden estäminen, vaan ennen kaikkea mahdollistaminen tiettyjen rajojen puitteissa.

Omalta osaltaan lusikkansa soppaan on ansiokkaasti työntänyt Sähkötieto ry., joka on juuri julkaissut Verkottuneen talotekniikan tietoturva -ohjeiston (ST 22). Ohjeiston tarkoituksena on toimia apuna verkottuneen AV-, turvallisuus- ja rakennusautomaatiojärjestelmän tietoturvan varmistamiseksi. On hyvä, että ohjeisto on saatu kasaan avuksi taloteknistenjärjestelmien suunnittelijoille ja rakentajille, vaikkakaan se ei tarjoa yksiselitteisiä, yleismaallisia, joka tilanteeseen sopivia pakettiratkaisuja. Päinvastoin, ohjeisto pyrkii enemmän painottamaan riskien hallintaa, ennakointia ja varautumista, ja sitä myöten oikeiden suojaustoimenpiteiden löytymistä ja ylläpitämistä.

Tämä luo haasteita sille, miten suunnittelijat ja konsultit sekä järjestelmien rakentajat ja toimittajat saavat paketoitua nämä uudet tiedot ja ohjeet järkeviksi kokonaisuuksiksi tarjoamiinsa palveluihin tai tuotteisiin. Ja vielä siten, että asiakas ymmärtää saamansa lisäarvon.  Asiakas uskoo ja luottaa ostavansa turvallisen tuotteen tai palvelun, joten se pitää myös asiakkaalle pystyä tarjoamaan.

Riskialtis ”ei meillä ennenkään…” -ajattelu

Ongelma usein on, että on vaikea löytää maksajaa etukäteen tehtävälle riskienhallintatyölle ja -suunnittelulle. Turvallisuus, varsinkin siihen liittyvät suunnittelu- ja riskienhallintatyöt, nähdään usein vain kulueränä. ”Kun ei ole ennen tapahtunut, ei tule myöskään tulevaisuudessa tapahtumaan” -ajattelutapa on usein yleinen, puhuttaessa liiketoiminnan eri osa-alueiden riskien hallinnasta.

Riippumatta filosofisesta maailmankatsomuksesta, tulevaisuutta on aina vaikea ennustaa. Turvallisuuteen ja riskien hallintaan tähtäävät toimet eivät ole tae tai vakuutus siitä, että prosesseissa ei voisi tapahtua häiriöitä ja ongelmia. Tai siitä, että kriisejä ei syntyisi.

Riskien hallintaan ja turvallisuuteen satsattuja toimia voisi enemmänkin ajatella samalla tavoin kuin teltan kipinävartiointia: pääsääntöisesti palonalut saadaan ehkäistyä ja pienemmät tulipalonalut sammutettua, mutta on mahdollista myös, että tuli ottaa hetkellisesti vallan kipinävartijan nukahtaessa päivystysvuorollaan. Hyvän varautumisen johdosta apu on kuitenkin jo lähellä ja nopeasti saatavilla, jolloin pahimmat tuhot saadaan ehkäistyä ja pystytään nopeammin toipumaan kriisistä kohti normaalia toimintaa.

Vaikka hyökkäykset automaatiojärjestelmien kautta eivät tiettävästi ole vielä kovin yleisiä, on nyt viimeistään oikea hetki reagoida niiden tietoturvallisuusheikkouksiin. Tämä onnistuu vain hyvällä yhteistyöllä automaatiojärjestelmän tilaajan, suunnittelijan, rakennuttajan ja valmistajan välillä.

Kenelle vastuu automaatiojärjestelmien tietoturvallisuudesta lopulta kuuluu? Mitkä ovat riskien hallinnallisesti riittävät toimet kyseisiä järjestelmiä suunniteltaessa ja rakentaessa? Näihin kysymyksiin tulisi aina löytää vastaukset. Alkuun päästää jo sillä, että tiedostamme järjestelmiin sisältyvän turvallisuusriskejä, jotka voivat vaikuttaa oleellisesti liiketoimintaamme.

Kirjoittaja Janne Helenius on Granlundin turvallisuuskonsultti. Lisää yritys- ja toimialaturvallisuudesta Granlundin sivuilta.