Siirry sisältöön
Huoltovarmuuskeskus

Rakennetun ympäristön digiturvaa kehittämässä

Digitalisaatio, automaatio ja tekoäly tekevät tuloaan myös rakennettuun ympäristöön. Kun rakennuksia hallinnoidaan ja valvotaan yhä enemmän etäyhteyksien kautta ja yhä useamman toimijan verkostoissa, on myös ratkaisujen turvallisuuteen ja testaukseen kiinnitettävä huomiota.

8.6.2023
tietoturvallisuus

Nykyaikaisten rakennusten talotekniikka on pitkälle digitalisoitua. Erilaisten toisiinsa kytkeytyneiden älyratkaisujen odotetaan vain lisääntyvän rakennuksissa, kun etsitään edellytyksiä energian kysyntäjoustolle ja ratkaisujen optimoinneille.

Esimerkiksi lämmitystä, ilmanvaihtoa, vesihuoltoa, sähkönjakelua, lukitusta, hissiä sekä erilaisia hälytyslaitteita ja antureita hallitaan digitaalisten etävalvottavien ja -hallittavien järjestelmien avulla. Yleensä laitteet ovat myös internetin kautta verkkoyhteydessä, jonka suojauksesta huolehdittava.

Erityisesti alihankkijaketjujen tuntemiseen ja hallintaan sekä järjestelmien yhteistoimintaan on syytä kiinnittää huomiota kyberturvallisuuden kannalta.

“Jos tällaisen rakennuksen järjestelmiin hyökättäisiin, siitä voisi seurata pahimmillaan talotekniikan täydellinen lamaantuminen. Vaikka tällainen täyskaaos on epätodennäköinen, se on kuitenkin mahdollinen, ellei olla suojauduttu ja varauduttu”, kertoo Rakennuspoolin projektipäällikkö Ari Järvinen Rakennusteollisuus RT:stä.

Järvinen vetää rakennetun ympäristön digitaalisen turvallisuuden projektia, joka on osa Huoltovarmuuskeskuksen rahoittamaa Digitaalinen turvallisuus 2030 -ohjelmaa. Sen tavoitteena on koota yhteen rakennus- ja kiinteistöalan sekä alan julkishallinnon toimijoista koko rakennetun ympäristön elinkaaren kattava yhteistyöverkosto.

Rakennuspoolin projektipäällikkö Ari Järvinen Rakennusteollisuus RT:stä

Viisas varautuu häiriöihin

Rakennusten digijärjestelmiin voi tulla häiriöitä monenlaisista syistä. Niitä voivat aiheuttaa sähkökatkot, haittaohjelmat, laitteiden kaappaaminen kyberrikollisten toteuttamiin palvelunestohyökkäyksiin ja usein myös tietojenkalastelu sekä inhimilliset virheet.

“Mahdollinen tilanne on esimerkiksi suojaamattoman, kiinteistöautomaation osana olevan anturiteknologiaa hyödyntävän laitteen kaappaus asiattomiin tarkoituksiin. Rakennuksen lukitusjärjestelmiin tai lämmön- ja ilmanvaihdon säätelyyn voidaan yrittää vaikuttaa myös suoraan”, Järvinen kertoo.

Lähtökohtaisesti kaikkien laitteiden pitää olla ajanmukaisia ja ohjelmistojen päivitykset ajan tasalla. Laitteiden ja järjestelmien tietoturvan ja tietosuojan pitää olla ammattimaisesti hoidettua. Yksikin heikko lenkki ketjussa on uhka.

“Mikä tahansa laite, joka on tavalla tai toisella kytketty nettiin, on turvatarkastettava. Erilaiset turvatekniikan kaapeloinnit ja laitteet on suojattava myös fyysisesti. Laitteiden turvallisuuteen tähtää myös valmisteilla oleva CRA-direktiivi eli EU:n kyberkestävyyssäädös.”

Tyypillinen syy digiturvan pettämiselle on inhimillinen virhe. Siksi osaamista on ylläpidettävä ja kehitettävä jatkuvasti.

Uusissa rakennuksissa taloteknisten järjestelmien digiturvan rakentaminen alkaa jo hankesuunnitteluvaiheessa, ja apuna on hyvä käyttää digiturva-asioita ymmärtäviä rakennuttajakonsultteja. Taloyhtiöissä järjestelmiä ja verkossa toimivia palveluita hankittaessa tarvitaan käsitys ohjelmistojen elinkaaresta, tietoturvasta ja päivityksien saatavuudesta.

Digiturvaan liittyy myös tietosuojasta huolehtiminen. Isännöitsijöillä ja huoltoyhtiöillä on käytössään sekä henkilörekistereitä että talotekniikan sensoreista ja erilaisista valvontalaitteista kerättyä dataa, joka lisääntyy kovaa vauhtia. Kun tietoa kerätään, on yksityisyyden- ja tietosuojasta pidettävä huolta. On oltava ymmärrys siitä, miten, miksi ja kuinka kauan tietoja on oikeus säilyttää ja kuka niitä saa nähdä ja käyttää.

Järjestelmien pääsy- ja käyttöoikeuksia pitää seurata aktiivisesti ja muuttaa, jos esimerkiksi henkilöt vaihtavat työpaikkaa. Tämä koskee myös turvajärjestelmiä ylläpitävien urakoitsijoiden ja kolmansien osapuolien henkilöstöä.

Huomio alihankintaketjuihin ja järjestelmien yhteistoimintaan

Rakennetun ympäristön tietoturvallisuuden taso on vielä vaihteleva. Erityisesti alihankkijaketjujen tuntemiseen ja hallintaan sekä järjestelmien yhteistoimintaan on syytä kiinnittää huomiota kyberturvallisuuden kannalta.

“Rakennusalan yrityksillä riittää vielä kyberkypsyyden suhteen tehtävää. Haasteena on myös pienempien järjestelmiä ja palveluja toimittavien yritysten digiturva ja sen osaaminen. Kun tietoja siirtyy usean toisiinsa verkottuneen toimijan kesken verkossa, myös kybervaikuttamisen mahdollisuudet ja hallitsemattoman riskin mahdollisuudet lisääntyvät”, Järvinen kertoo.

Häiriöihin on syytä varautua paitsi varmistamalla järjestelmät ennakkoon myös laatimalla varasuunnitelmat. On tärkeää, että digitaalisia järjestelmiä voi tarpeen tullen ohjata myös manuaalisesti.

“Jos häiriö ovijärjestelmässä estää ovien avaamisen tai kulunvalvonnan, mekaanisen lukituksen on toimittava. Silloin kulkua valvomaan taas tarvitaan ihminen. Tällaisiin häiriötilanteisiin kannattaa varautua ennakkoon esimerkiksi sopimuksellisesti palveluntuottajien kanssa.”

Varasuunnitelmilla ja turvajärjestelmillä pitää olla myös nimetyt vastuuhenkilöt.

“Taloyhtiöissäkin voisi olla talotekniikkavastaavia, joilla olisi auttavat valmiudet siirtää vaikkapa ilmanvaihdon automatiikka häiriötilanteessa käsiohjauksella perusteholle. Näin vältyttäisiin isommilta ongelmilta.”

Tyypillinen syy digiturvan pettämiselle on inhimillinen virhe. Siksi osaamista on ylläpidettävä ja kehitettävä jatkuvasti.

“Kaiken a ja o on, että tietoturvallisuusasiat tiedostetaan ja henkilöstön osaamiseen satsataan: pidetään oma pesä puhtaana, sekä varaudutaan kybervaikutuksiin asiallisesti.”

Kuka

Ari Järvinen, Rakennuspoolin projektipäällikkö, Rakennusteollisuus RT ry.

Vetää rakennetun ympäristön digitaalisen turvallisuuden projektia, joka toteutetaan osana Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmaa.

Lisätietoa: ari.jarvinen@rt.fi

Teksti: Hanna Kangasniemi

Jaa sivu:

FacebookTwitterLinkedInSähköposti

Syvenny myös näihin aiheisiin

Tummatukkainen nainen seisoo kadulla kotiovensa edessä vesisateessa. Vesipisarat ovat suuria kuplia, joista yhdessä etualalla olevassa kuplassa lukee 72 tuntia.

Suomalaiset haluavat oppia varautumaan – 72 tuntia -yleisökoulutusten suosio reippaassa kasvussa

Varautumiskoulutusten suosio kasvaa. Viime vuonna 72 tuntia -yleisökoulutuksia oli yli 200 ja niissä yli 8 300 osallistujaa.
Pöydällä on tietokoneita, johtoja, kuulokkeita ja papereita. Kädet näpyttelevät tietokonetta.

TIETO24 huipentui monitasoiseen roolipeliin, jossa tieto todella oli valtaa

Synkkiä pilviä kokoontuu tasavallan ylle. Ongelmat eskaloituvat ja raportteja eri tasoisesta kiusanteosta saadaan ympäri maata. Ulkopuolisten tahojen hybridioperaatiot hämmentävät pakkaa aina siinä määrin, että kansalaiset eivät enää tiedä, mihin uskoa. Pahantahtoisen hyökkäyksen kruunaa disinformaatiokampanja, joka on valjastanut käyttöönsä tiedotusvälineitä ja sosiaalisen median. Kohta oikea tieto jo hukkuu harhaanjohtavien väitteiden, härskien huhujen ja kylmän laskelmoivien valheiden suohon. Mikä neuvoksi?
Lähikuva käsistä, jotka pitävät maksupäätettä sekä puhelinta. Taustalla näkyy henkilö, jolla on päällään valkoinen kauluspaita ja musta kravatti.

Myös yritykset tarvitsevat varautumissuunnitelmia pankkihäiriöiden varalta

Yritykset ottavat riskienhallinnassaan huomioon lukuisia mahdollisia häiriöitä, joista yhden tulisi olla varautuminen pankkien häiriötilanteisiin. Siinä vaiheessa kun yrityksen pankkipalvelut lakkaavat esimerkiksi palvelunestohyökkäyksen takia toimimasta, ollaan myöhässä.