Panostuksia kyberturvaan
Jätevesien käsittely on tärkeä ja turvattava yhteiskunnan toiminto.
Turun seudun puhdistamo Oy:n (TSP) Kakolanmäen kallioluolaan louhittu puhdistamo huolehtii Turun ja sen kymmenen naapurikunnan jätevesien puhdistuksesta. Vuonna 2009 käynnistetyn varsinaisen laitoksen ohella TSP vastaa neljästä isosta pumppaamosta alueellaan sekä niiden välillä kulkevista siirtolinjoista. Kunnat huolehtivat itse varsinaisista viemäriverkostoistaan sekä asiakasrajapinnasta ja laskutuksesta.
Toimitusjohtaja Mirva Levomäki muistuttaa, että jäteveden puhdistus on tärkeä yhteiskunnallinen toiminto, vaikka se ei ole aivan samalla tavalla elintärkeää kuin esimerkiksi puhtaan veden saanti.
”Pitkäaikainen sähkökatkos tai puhdistamon toimintakykyyn vaikuttava kyberhyökkäys aiheuttaisi jätevesien pääsyn puhdistamattomana mereen tai luontoon, ja sillä olisi vakavat pitkäaikaisseuraukset ympäristölle ja kansalaisten hyvinvoinnille. Yhteiskuntaa se ei kuitenkaan pysäyttäisi, ainakaan heti.”
Laaja-alaisessa viemäriverkoston toimintahäiriötilanteessa perinteiseen tapaan viettoviemäröidyillä kaupunkialueilla viemärit tyhjenisivät ja keskeisille jätevesipumppaamoille tuotaisiin varavoimaa.
”Verkostossa jouduttaisiin kuitenkin turvautumaan puhdistamattoman veden ohijuoksutuksiin ja paineviemäröidyillä haja-asutusalueilla viemäriverkosto lakkaisi kokonaan toimimasta”, Levomäki kuvaa.
Riskejä kartoitetaan
TSP on parhaillaan päivittämässä laajaa analyysiä toimintaansa liittyvistä riskeistä ja kriittisistä tekijöistä. Hankkeeseen osallistuu oman väen lisäksi myös alihankkijoita, sillä yhtiö teettää palveluntuottajilla kaiken muun paitsi hallintoon ja varsinaiseen prosessin ajoon liittyvät toiminnot.
Edellinen vastaava kartoituskierros käytiin viisi vuotta sitten.
”Toiminnanjatkuvuuden kannalta keskeiset tunnistamamme ulkoiset riskit liittyvät muun muassa toiminta-alueen kuntien viemäriverkostojen kuntoon, hule- ja sulamisvesien päätymiseen viemäriverkostoon, jätevesiin päätyviin erilaisiin kemikaalipäästöihin, sähkönsaantiin sekä automaatiojärjestelmien tietoturvaan”, Levomäki listaa.
”Sulamisvedet, kaatosateet ja mahdolliset teollisuusjätevesipäästöt haittaavat biologista puhdistusprosessia, mutta niihin on varauduttu erilaisin järjestelyin. Meille ehkä hankalin on sen sijaan kuntien viemäriverkostojen saneeraukseen varaamien määrärahojen riittävyyden varmistaminen, jotta tarpeettomilta verkostoylivuodoilta vältyttäisiin. Asialla on suora vaikutus viranomaisten mittaamaan puhdistustulokseemme ja lupaehtojemme noudattamiseen, ja pystymme vaikuttamaan asiaan vain sopimuksin.”
Kyberasiat pitää mitoittaa oikein
TSP on mukana Huoltovarmuuskeskuksen viime vuonna käynnistämässä kolmivuotisessa KYBER-TEO -hankkeessa, jossa on muun muassa kartoitettu TSP:n prosessi- ja kiinteistöautomaation kyberturvallisuutta alan ammattilaisten toimesta.
Automaatiopäällikkö Jyrki Haapasaari arvioi, että mukanaolo on terävöittänyt näiden asioiden ymmärtämistä. Laitoksen suunnitteluajankohtana 2005-2007 nykyisiä uhkia ei ollut vielä olemassa samassa laajuudessa.
”Olemme löytänet hankkeen kautta järjestelmästämme toimenpidekohteita, joiden avulla hyökkääminen tehdään niin hankalaksi kuin mahdollista”, Haapasaari kuvaa TSP:n kyberturvafilosofiaa.
Hankkeen yhteydessä asiantuntijat kartoittivat puhdistamon automaation tietoturvatason ja antoivat suosituksia, joita on jo lähdetty toteuttamaan. Haapasaari muistuttaa, että vaikka perusarkkitehtuuri on kunnossa, järjestelmä vaati jatkuvaa kehittämistä ja koventamista.
”Tunnistimme kartoituksessa pääkehityskohteiksi raportoinnin, mikä on jo käynnistynyt, sekä ja kyberturvallisuusasioiden paremman huomioimisen alihankkijoiden sopimuksissa. Järjestelmänomistajina kyberturvasta huolehtiminen on meidän vastuullamme, ja vaadimme asioiden olevan kunnossa myös alihankkijoillamme”, Haapasaari sanoo.
”Kokonaisuuteen sisältyy myös olemassa olevien sopimusten jatkuva päivittäminen sitä mukaa kuin asioita tulee eteen. Sekä uusiin että päivittyviin sopimuksiin lisätään tietoturvaliite, joka käsittää tietoturvan tarkempia teknisiä määrittelyjä.”
”Emme ole kyberuhkien kannalta etulinjassa, vaan enemmänkin samalla viivalla muiden yhteiskunnan toimijoiden kanssa”, Mirva Levomäki vetää yhteen.
”Emme myöskään kilpaile muiden saman alan laitosten kanssa, vaan teemme tiivistä yhteistyötä ja jaamme tietoa ja kokemuksia. Myös KYBER-TEO -hankkeen meille tuoma kokemus ja osaaminen jaetaan aikanaan kollegoiden kesken.”
Teksti ja henkilökuva: Jussi-Pekka Aukia
