Uutiset

Terroristi voi yrittää hakkeroida vesilaitoksenkin – Huoltovarmuuskeskus ohjeistaa vesihuoltoa kyberturvallisuudessa

Inhimillinen tekijä on edelleen suurin riski talousvesi- ja jätevesijärjestelmille, mutta kyberriskien uhka kasvaa. Usein nämä kaksi ovat myös tekemisissä keskenään.
Mielikuva vesilaitoksen järjestelmiin hakkeroituvasta ja yhteiskunnan vahingoittamista suunnittelevasta tahosta on sellainen, joka jo yksinään selittää kyberturvallisuuden tarpeen myös vesihuoltoalalla.

On monta tapaa saada digitalisoituva yhteiskunta polvilleen. Tietoverkkojen ja automatisaation laajeneminen lisää jatkuvasti kyberuhkia myös paikoissa, jotka eivät välttämättä tule heti mieleen,

Sotilaallisten kohteiden ja esimerkiksi voimalaitosten lisäksi polttopisteeseen voi joutua vesihuolto. Sen merkitys on helppo ymmärtää: jos ison kaupungin vesijohtoverkosto on täynnä juomakelvotonta vettä tai viemäriverkosto vuotaa valtoimenaan kaduille, syntyy nopeasti sekasortoa.

– Vesilaitokset ovat varautuneet kohtuullisen hyvin. Kyberuhkien paine on kuitenkin kasvussa koko yhteiskunnassa, joten niihin tulee varautua kaikilla alueilla, sanoo Huoltovarmuuskeskuksen valmiusasiamies Riku Juhola.

Kahden vuoden työstä ohjeistus laitoksille

Talousveden valmistus ja jakelu on pitkälle automatisoitu, ja sama tilanne on jätevedenkäsittelyssä.

Automaatiojärjestelmät ja niihin liittyvät tietoverkot avaavat väistämättä ovia myös riskeille, jotka voisivat häiritä tai estää järjestelmien toimintaa. Pahimmillaan hakkeri voisi ainakin teoriassa ottaa kokonaisen laitoksen haltuunsa.

Tahallisen vahingoittamisen lisäksi ongelmia voi aiheutua tahattomasta toiminnasta, jos esimerkiksi tietokonevirus pääsee huolimattoman tietoturvan takia laitokselle.

Huoltovarmuuskeskus, VTT sekä Vesi- ja viemärillaitosyhdistys pohtivat vesihuoltolaitosten kyberturvalllisuutta juuri päättyneessä yhteishankkeessaan. Kaksivuotinen työ tuotti laitoksille ohjeistukset riskien hallitsemiseksi.

Turvallisuussyistä yksityiskohtaiset ohjeet eivät ole julkisia.

Pitkän elinkaaren vuoksi turvallisuus voi jäädä jälkeen

Automaatiolaitteistojen käyttöikä on alasta riippumatta pitkä, jopa 20-30 vuotta.

– Tämä tuo omat haasteensa juuri kyberturvallisuuteen, sanoo KYBER-VESI -hankkeen projektipäällikkö Heimo Pentikäinen VTT:ltä

Pitkän elinkaaren vuoksi vesihuoltolaitosten automaatio on kyberturvallisuuden kehittämisen suhteen jäljessä esimerkiksi toimistojärjestelmistä. Tässä ala ei kuitenkaan ole yksin, vaan sama tilanne on kaikessa teollisuusautomaatiossa.

Käytännössä riskit ja siksi myös niiltä suojaava ohjeistus on hyvin samantapainen kuin muillakin aloilla – tai tavallisissa kotitalouksissa. Palomuurien ja muiden teknisten suojauksien ohella oleellinen osa riskien hallintaa on työntekijöiden oma toiminta aina alkuperältään epämääräisistä usb-muisteista epäilyttäviin sähköposteihin ja salasanojen turvallisuuteen.

Hajautunut verkosto lisää tarvetta fyysisiin suojauksiin

Pentikäinen huomauttaa, että vesihuoltoa yhdistää yksi oleellinen, myös energiapuolelta tuttu ominaisuus: toiminta on levittäytynyt verkostoksi laajalle alueelle eikä esimerkiksi yksittäiselle aidatulle teollisuusalueelle.

– Siksi automaatiota täytyy suojata muutenkin kuin ”puhtaalta” verkkohyökkäykseltä, hän sanoo.

Asiantuntijat puhuvat kyberfyysisestä suojauksesta, joka käytännössä tarkoittaa ulkopuolisten henkilöiden pääsyn estämistä verkoston eri osiin. Lisäksi on huomioitava se, miten toiminta varmistetaan, jos jokin järjestelmän osa vikaantuu.

Painavimmassa roolissa ovat Suomen mittakaavassa kriittisimmät vesihuoltolaitokset. Tästä johtuu, että vesihuoltolaitosten kyberturvallisuudesta on huolehtimassa myös Huoltovarmuuskeskus.

Myös sosiaalinen painostus on huomioitava

Laittomuuksia suunnittelevan tahon ei kuitenkaan tarvitse päästä itse paikan päälle tai saada haittaohjelmaa itse vesilaitoksen tietoverkkoon tai laitteisiin. Siksi turvallisuusohjeissa on huomioitu myös sosiaalinen manipulointi eli ulkopuolisten tahojen pyrkimys vaikuttaa laitoksen työntekijän toimintaan.

Ohjeistus korostaa, että manipuloinnin estämiseen ei ole teknisiä keinoja. Niinpä inhimillisten tekijöiden merkitys painaa, vaikka tämäkin ala jatka digitalisoitumistaan.

– Kyberturvallisuus on osa kokonaisturvallisuutta. Sen ylläpito on jatkuva prosessi ja jokaisen työntekijän asia, Juhola korostaa.