”Pitää varautua ennen kuin rapa lentää roottoriin” – Monet tärkeät rakennukset on suojattu kyberhyökkäysten varalta huonosti

Suomalaisen rakennetun ympäristön turvallisuus on retuperällä, sanoo suunnittelu- ja konsulttiyhtiö Sitowisen turvallisuuskriittisten palveluiden asiakkuusjohtaja Sami Linnermo.

”Tämä johtuu siitä, että rakennusten käyttäjät eivät ajattele, miksi heidän toimintansa kiinnostaisi jotakuta”, Linnermo jatkaa.

Linnermon mukaan kriittisen infran, puolustukseen ja turvallisuuteen liittyvien rakennusten sekä niiden toimijoiden rakennusten, joiden pitää huomioida toiminnassaan globaali turvallisuus, suojaus on osattu ottaa huomioon ja on kunnossa.

”Mutta monet yhteiskunnan toimintojen kannalta tärkeät rakennukset, kuten yritysten toimitilat, virastot ja koulut, ovat yllättävän lepsusti suojattuja.”

Raklin digipäällikkö Klaus Vesama asettelee sanansa Linnermoa varovaisemmin.

”Sellaista viestiä ei ole kuulunut, että se olisi retuperällä. Mutta alalla jaetaan kyllä näkemys, että kyberturvallisuus on osa-alue, jonka osaamista pitää kasvattaa. Pitää varautua ennen kuin rapa lentää roottoriin”, hän sanoo.

Haalareissa pääsee sisään helposti

Linnermo aloitti nykyisessä tehtävässään viime vuoden lokakuussa. Sitowiselle hän siirtyi yrityksen ostettua hänen aiemman työnantajansa Rakennuttajakaaren. Koulutukseltaan hän on talotekniikkainsinööri, joka aloitti uransa puolustushallinnon rakennuslaitoksella. 17 vuotta hän toimi yrittäjänä omaa nimeään kantavassa insinööritoimistossa, jonka Rakennuttajakaari osti vuonna 2015.

”Se oli tavallisten kiinteistöjen suunnittelua. Siinä yhteydessä näin myös niiden haavoittuvuuden, kun oli ensin kokemusta puolustushallinnosta, jossa turvallisuus huomioitiin hyvin.”

Linnermo antaa klassisen esimerkin haalareihin pukeutuneesta ja tikkaita kantavasta tunkeutujasta, joka ilmestyy rakennukseen kysymään lämmönjakohuoneen sijaintia.

”Se on kohtuullisen helppoa, eikä kukaan tule nykimään hihasta ja kysymään, millä asioilla liikkuu.”

Jos henkilö pääsee lämmönjakohuoneeseen, hän pääsee käsiksi kiinteistön automaatioon.

”Siellä on pahimmassa tapauksessa post-it-lapulla käyttäjätunnus ja salasana vaihtuvaa huoltomiestä varten.”

Kun häiriö huomataan, vahinko on jo tapahtunut

Kun häirikön pääseminen sisään järjestelmiin huomataan, on usein jo liian myöhäistä.

”Vahinko on päässyt jo tapahtumaan”, Linnermo sanoo.

Talotekniikan avulla rakennuksille on mahdollista tehdä monenlaista hallaa. Rakennuksen lukituksen voi tehdä toimimattomaksi tai ilmastoinnin voi sammuttaa, jolloin rakennuksen ilmanvaihto ei enää toimi. Jos rakennus jää pitkäksi ajaksi ilman lämpöä, mahdollinen pakkasvaurio voi johtaa putkirikkoon ja vesivahinkoon.

”Vesivahinkotapauksessa toimitilat ovat poissa käytöstä viikkoja ellei kuukausia. Miten toimintaa sillä aikaa jatketaan?”

Tietoturvaongelmat uudehko ilmiö

Yksi syy suojaamattomuuteen on myös siinä, että aihe ei ole ollut aiemmin kovin näkyvästi esillä.

Turvallisuuteen panostaminen ei ole ollut etusijalla, koska ajat ovat olleet rauhallisia.

”Usein turvallisuus on myös ensimmäinen kohde, jossa säästetään, kun hankkeessa lähdetään etsimään säästöjä”, Linnermo sanoo.

Toisaalta kiinteistöjen tietoturvaongelmat eivät myöskään ole järin vanha ilmiö. Ne ovat syntyneet sitä mukaa, kun rakennukset ovat alkaneet teknistyä ja talotekniikkaa on alettu yhdistää internetiin etäkäytön mahdollistamiseksi.

”Kun rakennettu ja digitaalinen ympäristö yhdistyvät, se pakottaa miettimään, mitä rakennusten ja kiinteistönhallinnan järjestelmiä on käytössä, kuka niitä hallinnoi ja johtaa samalla kyber- ja tietoturvallisuuden kokonaisuutta yhä verkostomaisemmassa toiminnassa”, Vesama sanoo.

Taustalla pidempi kehitys

Sekä Vesama että Linnermo sanovat, että kiinnostus rakennetun ympäristön turvallisuutta kohtaan on viimeisen parin vuoden aikana kasvanut.

Syitä ovat muun muassa Venäjän hyökkäys Ukrainaan sekä Suomen Nato-jäsenyyden myötä syntyneet huolet siitä, että Venäjä kohdistaisi häirintää Suomeen.

”Meidän tehtävämme on myös herättää ihmisiä tajuamaan se, että kiinteistöt ovat liian haavoittuvia”, Linnermo sanoo.

Vesama sanoo, että taustalla on pidempi kehitys. Turvallisuusympäristön muutos alkoi jo ennen Venäjän hyökkäystä. Korona-aika pakotti kaikki etätöihin, jolloin organisaatiot joutuivat miettimään, miten virtuaaliympäristöissä toimitaan tietoturvallisesti.

Vesaman mukaan kira-alalla on viimeisen parin vuoden aikana nähty useampia isoja nostoja ja tapahtumia aiheeseen liittyen. Kaiken taustalla on kymmenisen vuotta jatkunut voimakas digitalisaatio. Kaikki tieto on nykyisin digitaalista.

”Organisaatiot ovat sen myötä joutuneet heräämään tietoturva-asioihin ihan eri tavalla kuin ennen.”

Tärkeintä tunnistaa riskit ajoissa

Linnermon mukaan rakennusten turvallisuuden parempi huomioiminen ei tulisi välttämättä hirveän kalliiksi. Valtavien tekojen sijaan kyseessä on pikemminkin ajattelutavan muutos.

”Sellaisesta hällä väliä -asenteesta, ettei tämä ketään kiinnosta, pitäisi päästä eroon.”

Tärkeää olisi kuitenkin kiinnittää huomiota kiinteistöön tai infraan kohdistuviin riskeihin jo suunnitteluvaiheessa. Tässä yhteydessä pitäisi pohtia, millaisia riskejä rakennukseen voi sen elinkaaren aikana kohdistua ja miten niitä voidaan hallita.

”Kaikista tärkeintä on tunnistaa ne riskit ajoissa. Jos niihin kiinnitetään huomiota vasta, kun kohde on valmis, turvallisuus on päälleliimattua.”

Rakennusten turvallisuus on myös aina kokonaisuus, joka koostuu useammasta palasta.

”Ne ovat pieniä ne purot, mutta jos jossain on vuoto, niin se, joka etsii sitä, kyllä löytää sen.”