Rakennusautomaation ja turvallisuusjärjestelmien päivitysten laiminlyönti ja lisääntyvät integraatiot voivat altistaa Schneider Electricin mukaan älykiinteistöt kyberhyökkäyksille. Tilanteen parantamiseksi tarvitaan yhtiön mukaan selkeitä vähimmäisvaatimuksia sekä viranomainen, joka seuraa ja ohjaa kokonaisuutta. 

Rakennusten automaatio- ja turvallisuusjärjestelmät otetaan käyttöön aina voimassa olevien standardien mukaisesti. Niihin tarjotaan myös jatkuvasti päivityksiä, jotka pitävät muun muassa kyberturvallisuuden ajan tasalla ja uusien standardien ja vaatimusten mukaisena.  Käytännössä nämä päivitykset jäävät usein tekemättä, sillä lainsäädäntö ei niitä edellytä.

’’Suomessa vain paloilmoitinjärjestelmiä koskee lakiin perustuva velvollisuus ylläpitää ja päivittää niitä säännöllisesti. Monien muiden järjestelmien kuten LVI-automaation ja kulunvalvonnan päivitykset jäävät rakennuksen omistajan vastuulle ilman selkeää ohjeistusta’’, sanoo Schneider Electric Suomen Digital Energy -liiketoiminnan johtaja Sampsa Niemelä.

Kääntöpuolena ovat lisääntyneet kyberturvallisuusriskit: tietoturvakatkot tai -hyökkäykset voivat aiheuttaa vakavia ongelmia esimerkiksi sairaaloissa, energiantuotantolaitoksissa, datakeskuksissa ja muissa yhteiskunnan kannalta kriittisissä kohteissa. Kun lisäksi yhä useammat järjestelmät ovat nykyisin yhteydessä pilvipalveluihin ja toisiinsa, syntyy uusia haavoittuvuuksia ja mahdollisia hyökkäysreittejä.

’’Ensimmäinen askel olisi ottaa käyttöön säännölliset päivitykset valmistajan ohjeiden mukaisesti. Monille kiinteistönomistajille ei ole selvää, että nämä järjestelmät ovat aivan yhtä haavoittuvia kuin perinteiset IT-järjestelmät. Kyse ei ole välinpitämättömyydestä, vaan usein tietämättömyydestä’’, Schneiderin Niemelä korostaa.

Vakavia haavoittuvuuksia syntyy myös eri järjestelmien integraatiosta. Niemelän mukaan rakennuksiin asennetaan useiden eri valmistajien tuotteita, joiden yhdistäminen voi synnyttää uusia haavoittuvuuksia. Tällä hetkellä Niemelän mukaan  Suomessa ei ole viranomaisohjausta, joka selkeästi opastaisi rakennusten omistajia hallitsemaan tätä riskiä.

Niemelä suosittelee rakennusten omistajia hyödyntämään Kyberturvallisuuskeskuksen perustason ohjeistuksia sekä kansainvälisiä IEC 62443 -standardeja, jotka on alun perin kehitetty teollisuusautomaation kyberturvallisuuden varmistamiseen, mutta joita sovelletaan yhä laajemmin myös rakennusautomaatioon.

Kyberturvaa ohjaavat Suomessa tietosuojalaki, uusi tietoturvalaki sekä EU:n NIS2-direktiivin toimeenpano. On kuitenkin epäselvää, miten nämä säädökset vaikuttavat käytännössä rakennusten automaatio- ja turvallisuusjärjestelmien ylläpitoon ja päivittämiseen. EU:n tuleva Cyber Resilience Act (CRA) edellyttää tuotetason kyberturvallisuuden varmistamista valmistajilta, mutta säädös ei koske suoraan rakennusten omistajia tai heidän vastuitaan järjestelmien ylläpidosta.

Suomessa ei ole tällä hetkellä nimettyä viranomaista, joka valvoisi rakennusten kyberturvallisuuden kokonaisuutta. Liikenne- ja viestintävirasto Traficom ja sen alainen Kyberturvallisuuskeskus julkaisevat ohjeistuksia, mutta niiden rooli ei ulotu rakennustason järjestelmien aktiiviseen valvontaan tai seurantaan.

’’Olisi erittäin hyödyllistä, jos jokin viranomainen kuten Traficom yhteistyössä Kyberturvallisuuskeskuksen sekä ympäristöministeriön ja työ- ja elinkeinoministeriön kanssa ottaisi aktiivisemman roolin rakennusalan ohjaamisessa kyberturvallisuuden osalta’’, Schneidern Niemelä ehdottaa.

Niemelän mielestä Suomeen pitäisi luoda vähimmäisvaatimukset järjestelmien tietoturvapäivityksille erityisesti kriittisissä rakennuksissa kuten sairaaloissa, datakeskuksissa ja logistiikkakeskuksissa. Lisäksi tarvitaan viranomaisen antamaa selkeää ohjeistusta ja aktiivista yhteistyötä alan asiantuntijoiden kanssa eli julkisen ja yksityisen sektorin yhteistyötä.

’’Tietokeskusalalla tämä on hoidettu jo pitkään esimerkillisesti. Siellä kyberturvallisuutta ohjaavat liiketoiminnan kriittisyys, asiakasvaatimukset ja sertifioinnit. Sama asenne ja käytännöt tulisi ottaa käyttöön myös älykkäiden rakennusten kohdalla’’, Schneiderin Niemelä kiteyttää.

Kuvituskuva: Schneider Electric