Turvallisuusympäristömme on muuttunut voimakkaasti niin digitalisoituvan yhteiskuntamme kuin Venäjän hyökkäyksen Ukrainaan myötä. Yritysten hallitusten ja johdon agendalla ja vastuulla on huolehtia yrityksen digi- ja kyberturvallisuuden riskien hallinnasta ja siihen liittyvien käytäntöjen luomisesta. Kyberturvallisuus on osa vastuullisuutta ja liiketoiminnan johtamista. Kyberriskien toteutuminen voi tuoda merkittäviä kustannuksia, mainehaittaa ja jopa viedä pohjan liiketoiminnalta.
Mitä kiinteistö- ja rakentamisalan kestävä digitalisoituminen kyberturvallisuuden näkökulmasta vaatii? Tätä pohdittiin KIRAHubin, Rakennustietosäätiö RTSn, Rakennustieto Oy:n, Kiinteistöalan koulutuskeskus Kiinkon ja Rakennusteollisuus RT / Rakennuspoolin järjestämässä KIRA-alan yritysten ja julkisten organisaatioiden hallitusten jäsenille ja ylimmälle johdolle suunnatussa kutsuvierastilaisuudessa 2.12.2022. Keskustelutilaisuuden tavoitteena oli muodostaa näkemystä siitä, miten KIRA-alalla kyberriskeihin tulisi varautua, mitä alalla voidaan tehdä yhteisesti ja mitkä ovat yritysten ja organisaatioiden omalla vastuulla olevia asioita. Paikalle Rakennustiedon Rakennustietosaliin oli saapunut 20 kutsuvierasta.
2.12. Kutsuvierastilaisuuden ohjelma koostui kyberturvallisuuden ajankohtaiskatsauksesta sekä osallistujien kanssa teemoittain käydystä keskustelusta.
Täysin uusi toimintaympäristö KIRA-alalla
Tilaisuuden avauspuheenvuorossa Rakennustietosäätiö RTS:n yliasiamies Markku Hedman totesi kyberturvallisuusympäristön olevan vielä monille toimialan toimijoille täysin uusi alue, jolla meidän kaikkien on kuitenkin pakko oppia toimimaan. “Kyberympäristö ei koske vain kriittistä infrastruktuuria, vaan kaikkea rakennettua ympäristöä ja yhteisiä toimenpiteitä ja yhteistyötä tarvitaan” hän painotti.
Olemme jo joutuneet todistamaan myös rakennetun ympäristön toimialalla useita hälyttäviä esimerkkejä siitä, mitä voi tapahtua, jos kyberturvallisuutta ei oteta riittävässä määrin huomioon, toi esiin ympäristöministeriön erityisasiantuntija Juhana Rautiainen omassa puheenvuorossaan. “Toisaalta kotimaisen toimintaympäristömme erityispiirteet – julkisen ja yksityisen välinen yhteistyö, hyvät verkkoyhteydet, korruptioasteen alhaisuus ja positiivinen suhtautuminen toimialan yhteistyöhön voisivat toimia ratkaisuna, että KIRA-alasta voitaisiin saada kansainvälinen esimerkki, mitä yhteistyössä voimme saavuttaa” toteaa Juhana Rautiainen. Ympäristöministeriön asettamat strategiset tavoitteet kiinteistö- ja rakennusalan tuottavuuden parantamiseksi ja vähähiilisten ja materiaalitehokkaiden rakennusten elinkaarien toteuttamiseksi edellyttyvät ympäristötiedon ja digitalisaation hyödyntämistä päätöksenteossa – tieto ohjaa vihreää siirtymää ja kulutusvalintoja. Rautiainen päätti puheenvuoronsa rakennetun ympäristön digivisioon: Suomi on vuonna 2030 maailman parhaaseen tietoon perustuva, hyvinvointia luova ja kestävä elinympäristö.
CyberWatch Finlandin toimitusjohtaja Aapo Cederberg avasi aihepiiriä yritysjohdon näkökulmasta, todeten että ymmärrys siitä, mikä on luotettavaa tietoa ja mihin meidän tulee reagoida, on tällä hetkellä yritysjohdon suurimpia huolia. “Kyberuhkaympäristö on sodan kautta aktiivisesti monipuolistunut. Ukrainan hyvä kybervarautuminen ja huippuosaajat ja tämän vaikutus, on meille hyvä uutinen siitä, että varautumisella voimme vaikuttaa. Nykyinen tilanne ei ole seurausta Venäjän huonoudesta vaan Ukrainan osaamisesta teemaan liittyen. Kyberturvallisuus yritysten johdossa ei ole enää aihepiiri, että voisi päättää halutaanko tehdä vai ei”. Cederbergin omassa alustuksessa korostui näkökulma siitä, miten yritysjohdolla tulisi olla nykyistä tilannetta useammin laaja-alainen näkökulma siihen, mitä omat liiketoiminnan haavoittuvuudet ovat, jotta riskianalyysin kautta voidaan muodostaa strategiaa. Cederberg painotti, että KIRA-ala tulee Ukraina-esimerkistä oppineena olemaan tulevaisuudessa kyberhyökkäyksien suurin kohde toimialana, joka vaikuttaa välillisesti kaikkeen yhteiskunnassamme. Myös Cederberg toi esille digin haittoja suuremmat hyödyt: on tärkeää avata yhteiskuntaa ja mahdollistaa datapohjainen liiketoiminnan kasvu ja tässä olennaista on riskien hallinta.
Keskitettyä vai hajautettua tiedonhallintaa?
Yleistä keskustelua osallistujien parissa herätti Rautiaisen esittämä ajatus siitä, että voisimme parantaa kuntien ja organisaatioiden tiedonhallintaa keskittämällä rakennetun ympäristön kyberturvallisuutta. “Resurssointi kunnissa ja organisaatioissa on hyvin vaihtelevaa – keskitetysti ja varmemmilla ratkaisuilla tekeminen on järkevämpää. Kyberturvallisuus pitää olla ammattilaisten käsissä”, Rautiainen korosti. Ryhti-hankkeessa toteutettavassa rakennetun ympäristön valtakunnallisessa tietojärjestelmästä tähdätään tiedon hallinnan turvallisuuteen ja datan yhteentoimivuuden varmistamiseen. “Yleisenä eetoksena on datan avaamisen kautta liiketoiminnan ja yhteiskunnan kehittäminen, mutta muuttuneessa turvallisuusilmapiirissä on tunnistettu eetokseen liittyen riskejä – datan pitää liikkua turvallisesti.”
Cederberg totesi haavoittuvuuksien lähteiksi ihmiset, prosessit ja teknologian. Hän kiteytti keskustelua esittämällä kommentin, että jos turvallinen järjestelmä pystytään rakentamaan keskitetysti, on se paljon järkevämpi kuin, että tieto on hajautetusti kaikkialla. Tällöin myös sitä, kuka tietoa käyttää ja miten sitä käytetään, voidaan yhteisesti ja avoimesti säädellä. “Tietoturvallisuus on mahdollistava, ei estävä teknologia. Meidän on voitava arvioida, onko vaarallista, jos tietty taho pääsee kaikkeen tietoon käsiksi. Tietoon kohdistuvien hakujen keskitetyissä järjestelmissä tulee olla kohdennettua”, Cederberg painotti. ”Meillä pitää olla hyvä yhteiskunta ja elämä, eli tietoa pitää olla saatavilla, mutta kysymys on siitä, että mitä ei pidä olla saatavilla.”
Kyberturvallisuus on kaikkien asia
Vaikka KIRA-alalla onkin jo olemassa erilaista ohjeistusta ja perusteita paremmille kyberturvallisuuden käytännöille erilaisten ohjeiden ja oppaiden kautta, esimerkiksi alan koulutuksessa teema ei vielä juuri näy ja se pitäisi ottaa paremmin huomioon. Myös uudistuva EU-lainsäädäntö tulee muokkaamaan yrityksiin kohdistuvia vaatimuksia lähitulevaisuudessa. Rakennusteollisuuden alustuksen pitänyt Ari Järvinen muistutti alalla jo saatavissa olevasta RT-ohjekorttisarjasta, joka tarjoaa kättä pidempää digitaalisen turvallisuuden huomioon ottamiseksi niin tilaamisessa, suunnittelussa kuin kiinteistöjen ylläpidossakin. Järvinen korosti digiturvaohjeiden integroimisen tärkeyttä tehtäväluetteloihin, alan yhteisiin sopimusasiakirjoihin ja RYLhin, jotta näissä huomioidaan digiturvallisuuden vaatimukset siinä missä muutkin rakentamisen laatukriteerit. Järvinen muistutti asiasta tehdystä päivitystyötä palvelevasta selvityksestä. Rakennustiedon liiketoimintajohtaja Pia Rämö nosti esille merkittävän rahoitus- ja resurssitarpeen digiturvaohjeiden intregroimiseksi tehtäväluetteloihin, sopimuspohjiin, RYLhin ja eri ohjekortteihin.
Yhteinen kyberturvallisuuden verkosto ja yhteisen ymmärryksen muodostaminen ovat esiin nousseita tarpeita alallamme, summasi Rakennustietosäätiö RTS:n tutkimusjohtaja Tommi Arola yhteen aamupäivän keskustelua. Tätä sekä selkeiden yritysesimerkkien avaamista ja yhteisten toimenpiteiden suunnittelua toivottiin. Järvisen aloitetta alan yhteisestä ISAC-tiedonvaihtoryhmästä (ISAC=Information Sharing and Analysis Centre) pidettiin hyvänä ja tervetulleena tavoitteena ja nähtiin tärkeäksi kokonaisuudeksi rahoittaa seuraavalla hallituskaudella. “Tarvitsemme ensin KIRA-alan kyberturvallisuuden ymmärryksen perustan tutkimuksen keinoin ja Rakennustietosäätiö RTS voi toimia tässä alustana. Tutkimuksen kautta voi avautua tiet esimerkiksi kiinteistöjen kyberturvapalveluiden uudeksi liiketoiminnaksi’’, Arola jatkoi keskustelun tiivistämistä.
Koska toimimme suurella ja dataintensiivisellä toimialalla, jossa käydään myös isoja taloudellisia transaktioita, nähtiin KIRA-alan kiinnostavan tulevaisuudessa yhä enemmän kyberrikollisia. “Isojen toimijoiden tietomassat ovat niin suuria, että johdon on vaikea ennustaa, mihin iskut kohdistuvat. Iskut vaikuttavat vielä enemmän sabotaaseilta, kuin selkeältä tavoitteelta saada tiettyä tietoa”, kommentoi keskustelua Ahti Rantonen AFRYltä. Nykyisin AFRYyn kuuluva Vahanen-yhtiöt joutui kyberiskun kohteeksi kuluvan vuoden aikana.
Toimintaympäristöä tulisi siirtyä myös KIRA-alan yrityksissä katsomaan kokonaisvaltaisemmin ja useammasta näkökulmasta. Yritysjohdon ja hyvän hallinnon rooli on tässä keskeinen. Keskusteluissa painotettiin, että kriittinen osaaminen ja yhteiset käytännöt olisi tärkeä saada koko toimialalle ja osaksi myös pienten toimijoiden arkea. “Pienillä toimijoilla resurssit ovat usein vaatimattomat – tarvittaisiin koko alalle ohjeistusta siitä, miten kaikkien, myös pienten, tulisi varautua”, kommentoi Tyvene Oy:n toimitusjohtaja Marja Kokko. “Ongelma on, että alan toimijat eivät osaa edes tunnistaa, mitä riskit voivat olla. Herättelyä ja yhteistyötä alan sisällä tarvitaan, jotta näihin riskeihin voidaan edes herätä. Yleistä mediakeskustelua myös tarvittaisiin”, Kokko jatkoi keskustelua. Pienten yritysten ei koettu olevan hyökkäysten kohteena, mutta ne voivat olla kiinteistö- ja rakentamisalan alihankinta- ja logistiikkaketjuissa reitti päästä käsiksi suurempiin yrityksiin. Tästä syystä myös isommillakin toimijoilla koettiin olevan intressinä saada koko alan kyberturvallisuus kuntoon.
Arola ehdotti osallistujille yhteistyönä toteutettavaa TKI-hanketta, jonka kautta kaiken pohjaksi tarvittava tilannekuva alan kyberturvallisuudesta voitaisiin synnyttää. Myös yleissivistävän ja edellytykset koko alamme yleisen kyberturvallisuuden osaamistason nostamiselle mahdollistavan verkkokurssin idea tuotiin keskustelussa esiin KIRAHubin toimitusjohtajan Teemu Lehtisen nostamana.
Alan avoimen tiedon ja esimerkkien, sekä tulevaisuuden skenaarioiden jakamisen ja yhteisen oppimisen kautta kyberturvallisuuden kansainvälinen edelläkävijäasema nähtiin tavoiteltavana ja mahdollisena tulevaisuuden visiona. Rämö totesi, että ‘’rakentamisen työturvallisuudessa työmailla on edistytty alan yhteistyön ja teeman laajan esiin nostamisen kautta huimasti, minkä kautta kuolemaan johtavia tapaturmia on saatu vähennettyä merkittävästi – ehkä voisimme ottaa oppia tästä kyberturvallisuuskulttuurin kehittämiseen?’’
Konkretiaa alan yhteistyölle
Moni tilaisuuteen osallistunut piti keskustelussa syntyneitä aloitteita tarpeellisina. RAKLI ry:n digipäällikkö Klaus Vesama kiteytti keskustelua: ‘’toimialan luotettavien tahojen esiintuominen, digi- ja kyberturvallisuus asiantuntijoiden kokoaminen yhteen ongelmien tunnistamiseksi, parhaiden käytäntöjen jakamiseksi sekä viemiseksi käytäntöön pienin mutta proaktiivisin askelin, on tärkeää’’.
Tilaisuuden jälkeen Arto Möttönen, A-Insinöörit nosti esille Kyberturvallisuuskeskuksen 1.12.2022 julkaiseman Tietoturvasetelin, jota on mahdollista hakea ”yhteiskunnan toiminnan kannalta kriittisille toimialoille” ja yhdeksi tällaiseksi toimialaksi on määritelty ”Rakennusteollisuus”: https://www.kyberturvallisuuskeskus.fi/fi/hae-tietoturvan-kehittamisen-tukea. Tukea on jo nyt haettu yli kiintiön, mutta tukitarpeen tilannekuvan kannalta on erittäin suositeltavaa tehdä hakemuksia edelleen.
Tilaisuuden järjestäneet organisaatiot lupasivat työstää keskustelussa syntyneitä aloitteita eteenpäin. Uusia tilaisuuksia, koulutuksia ja mahdollisuuksia osallistua alan yhteiseen avoimeen keskusteluun KIRA-alan kyberturvallisuuden kehittämisestä tullaan järjestämään lähitulevaisuudessa lisää.
Osallistujien toiveiden mukaisesti yhteinen keskustelu jatkuu tiistaina 7.2.2023 klo 8.30 – 11.00 avoimella keskustelutilaisuudella yritysten ja julkisten organisaatioiden johdolle: Kyberturvallisuus osana KIRA-alan vastuullista liiketoimintaa. Tilaisuus järjestetään Rakennustiedossa, osoite Malminkatu 16 A (8.krs), Helsinki.
Lisätietoja antavat
L