Asiantuntija: Älykiinteistöjen tietoturvassa vakavia puutteita – julkisen ja yksityisen sektorin yhteistyö avainasemassa

Rakennuksissa käytetään yhä enemmän erilaisia järjestelmiä muun muassa kulunvalvontaan, turvallisuuteen, rakennusautomaatioon ja kiinteistönhallintaan. Teknologian verkottuminen ja tekoälyn yleistyminen tehostavat järjestelmiä ja niiden hyödyntämistä.

Kääntöpuolena ovat lisääntyneet kyberturvallisuusriskit: tietoturvakatkot tai -hyökkäykset voivat aiheuttaa vakavia ongelmia esimerkiksi sairaaloissa, energiantuotantolaitoksissa, datakeskuksissa ja muissa yhteiskunnan kannalta kriittisissä kohteissa.

Useita haavoittuvuuksille alttiita osa-alueita

Rakennusten automaatio- ja turvallisuusjärjestelmät otetaan käyttöön aina voimassa olevien standardien mukaisesti. Laite- ja järjestelmävalmistajat kehittävät ja tarjoavat jatkuvasti päivityksiä, jotka pitävät muun muassa kyberturvallisuuden ajan tasalla ja uusien standardien ja vaatimusten mukaisena. Käytännössä nämä päivitykset jäävät usein tekemättä, sillä lainsäädäntö ei niitä edellytä.

– Suomessa vain paloilmoitinjärjestelmiä koskee lakiin perustuva velvollisuus ylläpitää ja päivittää niitä säännöllisesti. Monien muiden järjestelmien kuten LVI-automaation ja kulunvalvonnan päivitykset jäävät rakennuksen omistajan vastuulle ilman selkeää ohjeistusta, sanoo Schneider Electric Suomen Digital Energy -liiketoiminnan johtaja Sampsa Niemelä.

Kun lisäksi yhä useammat järjestelmät ovat nykyisin yhteydessä pilvipalveluihin ja toisiinsa, syntyy uusia haavoittuvuuksia ja mahdollisia hyökkäysreittejä.

– Ensimmäinen askel olisi ottaa käyttöön säännölliset päivitykset valmistajan ohjeiden mukaisesti. Monille kiinteistönomistajille ei ole selvää, että nämä järjestelmät ovat aivan yhtä haavoittuvia kuin perinteiset IT-järjestelmät. Kyse ei ole välinpitämättömyydestä, vaan usein tietämättömyydestä, Niemelä korostaa.

Vakavia haavoittuvuuksia syntyy myös eri järjestelmien integraatiosta.

– Rakennuksiin asennetaan useiden eri valmistajien tuotteita, joiden yhdistäminen voi synnyttää uusia haavoittuvuuksia. Tällä hetkellä Suomessa ei ole viranomaisohjausta, joka selkeästi opastaisi rakennusten omistajia hallitsemaan tätä riskiä, Niemelä kertoo.

Niemelä suosittelee rakennusten omistajia hyödyntämään Kyberturvallisuuskeskuksen perustason ohjeistuksia sekä kansainvälisiä IEC 62443 -standardeja, jotka on alun perin kehitetty teollisuusautomaation kyberturvallisuuden varmistamiseen, mutta joita sovelletaan yhä laajemmin myös rakennusautomaatioon.

Kuka valvoo vaatimuksia, ja onko niitä?

Kyberturvaa ohjaavat Suomessa tietosuojalaki, uusi tietoturvalaki sekä EU:n NIS2-direktiivin toimeenpano. On kuitenkin epäselvää, miten nämä säädökset vaikuttavat käytännössä rakennusten automaatio- ja turvallisuusjärjestelmien ylläpitoon ja päivittämiseen. EU:n tuleva Cyber Resilience Act (CRA) edellyttää tuotetason kyberturvallisuuden varmistamista valmistajilta, mutta säädös ei koske suoraan rakennusten omistajia tai heidän vastuitaan järjestelmien ylläpidosta.

Suomessa ei ole tällä hetkellä nimettyä viranomaista, joka valvoisi rakennusten kyberturvallisuuden kokonaisuutta. Liikenne- ja viestintävirasto Traficom ja sen alainen Kyberturvallisuuskeskus julkaisevat ohjeistuksia, mutta niiden rooli ei ulotu rakennustason järjestelmien aktiiviseen valvontaan tai seurantaan.

– Olisi erittäin hyödyllistä, jos jokin viranomainen kuten Traficom yhteistyössä Kyberturvallisuuskeskuksen sekä ympäristöministeriön ja työ- ja elinkeinoministeriön kanssa ottaisi aktiivisemman roolin rakennusalan ohjaamisessa kyberturvallisuuden osalta, Niemelä ehdottaa.

Julkisen ja yksityisen sektorin yhteistyö suositeltavaa

Niemelän mielestä Suomeen pitäisi luoda vähimmäisvaatimukset järjestelmien tietoturvapäivityksille erityisesti kriittisissä rakennuksissa kuten sairaaloissa, datakeskuksissa ja logistiikkakeskuksissa. Lisäksi tarvitaan viranomaisen antamaa selkeää ohjeistusta ja aktiivista yhteistyötä alan asiantuntijoiden kanssa eli julkisen ja yksityisen sektorin yhteistyötä.

– Tietokeskusalalla tämä on hoidettu jo pitkään esimerkillisesti. Siellä kyberturvallisuutta ohjaavat liiketoiminnan kriittisyys, asiakasvaatimukset ja sertifioinnit. Sama asenne ja käytännöt tulisi ottaa käyttöön myös älykkäiden rakennusten kohdalla, Niemelä kiteyttää.

Lisätietoja:

Susanna Niemelä, Brand, PR and Communication Manager, Schneider Electric Finland

050 3545 666, susanna.niemela@se.com