Asiantuntija: Älykiinteistöjen tietoturvassa vakavia puutteita – julkisen ja yksityisen sektorin yhteistyö avainasemassa

Rakennuksissa käytetään yhä enemmän erilaisia järjestelmiä muun muassa kulunvalvontaan, turvallisuuteen, rakennusautomaatioon ja kiinteistönhallintaan. Teknologian verkottuminen ja tekoälyn yleistyminen tehostavat järjestelmiä ja niiden hyödyntämistä.

Kääntöpuolena ovat lisääntyneet kyberturvallisuusriskit: tietoturvakatkot tai -hyökkäykset voivat aiheuttaa vakavia ongelmia esimerkiksi sairaaloissa, energiantuotantolaitoksissa, datakeskuksissa ja muissa yhteiskunnan kannalta kriittisissä kohteissa.

Useita haavoittuvuuksille alttiita osa-alueita

Rakennusten automaatio- ja turvallisuusjärjestelmät otetaan käyttöön aina voimassa olevien standardien mukaisesti. Laite- ja järjestelmävalmistajat kehittävät ja tarjoavat jatkuvasti päivityksiä, jotka pitävät muun muassa kyberturvallisuuden ajan tasalla ja uusien standardien ja vaatimusten mukaisena. Käytännössä nämä päivitykset jäävät usein tekemättä, sillä lainsäädäntö ei niitä edellytä.

– Suomessa vain paloilmoitinjärjestelmiä koskee lakiin perustuva velvollisuus ylläpitää ja päivittää niitä säännöllisesti. Monien muiden järjestelmien kuten LVI-automaation ja kulunvalvonnan päivitykset jäävät rakennuksen omistajan vastuulle ilman selkeää ohjeistusta, sanoo Schneider Electric Suomen Digital Energy -liiketoiminnan johtaja Sampsa Niemelä.

Kun lisäksi yhä useammat järjestelmät ovat nykyisin yhteydessä pilvipalveluihin ja toisiinsa, syntyy uusia haavoittuvuuksia ja mahdollisia hyökkäysreittejä.

– Ensimmäinen askel olisi ottaa käyttöön säännölliset päivitykset valmistajan ohjeiden mukaisesti. Monille kiinteistönomistajille ei ole selvää, että nämä järjestelmät ovat aivan yhtä haavoittuvia kuin perinteiset IT-järjestelmät. Kyse ei ole välinpitämättömyydestä, vaan usein tietämättömyydestä, Niemelä korostaa.

Vakavia haavoittuvuuksia syntyy myös eri järjestelmien integraatiosta.

– Rakennuksiin asennetaan useiden eri valmistajien tuotteita, joiden yhdistäminen voi synnyttää uusia haavoittuvuuksia. Tällä hetkellä Suomessa ei ole viranomaisohjausta, joka selkeästi opastaisi rakennusten omistajia hallitsemaan tätä riskiä, Niemelä kertoo.

Suomessa rakennusten digitaalisen turvallisuuden ohjeistuksia on jo laadittu useita, mutta niiden noudattaminen perustuu tällä hetkellä vapaaehtoisuuteen. Rakennustietosäätiön (RT 103206–103208) ja Sähköinfon (ST 70.40, ST 70.41 ja ST 95.12) ohjeet tarjoavat perustan rakennusten digiturvallisuuden kehittämiselle, mutta ne eivät ole sitovia eikä niiden noudattamista valvota viranomaistasolla.

Viranomaisvalvonta on vasta kehittymässä. Uudet EU-säädökset – kuten CER-asetus, NIS2-direktiivi, Cyber Resilience Act (CRA), Data Act (DA) ja rakennusten energiatehokkuusdirektiivi EPBD – tuovat nyt ensimmäistä kertaa konkreettisia velvoitteita digitaalisen turvallisuuden ja tiedonvaihdon varmistamiseksi. Suomessa kyberturvaa ohjaavat lisäksi tietosuojalaki ja uusi tietoturvalaki. On kuitenkin epäselvää, miten nämä säädökset vaikuttavat käytännössä rakennusten automaatio- ja turvallisuusjärjestelmien ylläpitoon ja päivittämiseen.

Tilanne viranomaisvalvonnassa on vielä kehittymässä, eikä ole selkeää yksittäistä valvojaelintä, joka kattaisi rakennusten digiturvallisuuden kokonaisuutena. Traficom ja sen alainen Kyberturvallisuuskeskus julkaisevat ohjeita, mutta niiden rooli ei ulotu rakennustason järjestelmien aktiiviseen valvontaan. Automaatiosuunnittelijoille ei myöskään ole asetettu pätevyysvaatimuksia, jotka sisältäisivät digiturvallisuuden osaamista – mikä muodostaa merkittävän aukon alan osaamisessa ja riskienhallinnassa.

– Rakennusalan digiturvallisuuden ohjeistusta on jo kehitetty ansiokkaasti, mutta seuraava tärkeä askel olisi tehdä ohjeistuksesta nykyistä sitovampaa ja vahvistaa viranomaisten ja alan toimijoiden yhteistyötä sen toimeenpanossa, Niemelä arvioi.

Julkisen ja yksityisen sektorin yhteistyö suositeltavaa

Niemelän mielestä Suomeen pitäisi luoda vähimmäisvaatimukset järjestelmien tietoturvapäivityksille erityisesti kriittisissä rakennuksissa kuten sairaaloissa, datakeskuksissa ja logistiikkakeskuksissa. Lisäksi tarvitaan viranomaisen antamaa selkeää ohjeistusta ja aktiivista yhteistyötä alan asiantuntijoiden kanssa eli julkisen ja yksityisen sektorin yhteistyötä.

– Tietokeskusalalla tämä on hoidettu jo pitkään esimerkillisesti. Siellä kyberturvallisuutta ohjaavat liiketoiminnan kriittisyys, asiakasvaatimukset ja sertifioinnit. Sama asenne ja käytännöt tulisi ottaa käyttöön myös älykkäiden rakennusten kohdalla, Niemelä kiteyttää.

Lisätietoja:

Susanna Niemelä, Brand, PR and Communication Manager, Schneider Electric Finland

050 3545 666, susanna.niemela@se.com