Vesihuoltojärjestelmän kybertuvallisuus

Abstract

Tässä opinnäytetyössä tarkastellaan tieto- sekä kyberturvallisuutta vesilaitoksen näkökulmasta ja haetaan tehostuskeinoja turvallisuuskäytäntöihin. Vesilaitoskohtaiset osuudet opinnäytetyöstä on määritelty salassa pidettäviksi ja jäävät näin ollen julkaisematta aineistosta. Opinnäytetyössä käydään läpi tieto- sekä kyberturvallisuuden termistöä ja ympäristöjen perusteita.

Vedentuotanto ja -jakelu kuuluvat kriittisiin yhdyskuntapalveluihin. Siksi myös huoltovarmuusnäkökulmasta kyberturvallisuuden tehostamista onkin viime aikoina pyritty varmentamaan erilaisin tavoin mm. Huoltovarmuuskeskuksen vuosiseminaarein, vesihuoltoalalle laadituin tarkistuslistoin sekä kaupallisesti koordinoiduin yhteisharjoituksin, joiden pohjalta on aikaansaatu toimijakohtaisia tarkempia toimenpidelistoja kyberturvallisuuden jatkuvaan parantamiseen. Jotta kyberturvallisuus strategioineen vakiintuisi yrityksen pysyväksi ja kehittyväksi toimintamalliksi, edellyttää se yrityksen johdolta turvallisuusasioihin sitoutumista, myös budjetoinnin osalta.

Kyberturvallisuuden tärkeitä varautumiskohteita vesihuollossa ovat mm. kypsyystason arviot, nykytilanne, mikä on palautumiskyky, toiminta palautumisen aikana sekä miten palvelut turvataan. Tieto- ja viestintätekniikka sisältää myös joukon omia haasteita, joissa sidosryhmäyhteistyön merkitys korostuu tilanteissa, missä oman liikelaitoksen henkilöstön toiminta on rajoittunutta tai esim. verkko-, konesali- ja helpdesk palvelut on ulkoistettu tai niitä hoitavat kunnan muut yksiköt. Yhteisen tilannekuvan nopea hahmottaminen on myös oleellista, koska pelkkä strategia ei vastaa kysymykseen siitä, miten nyt pitäisi varautua. Myös pitkittyneisiin häiriöihin tulisi varautua, varmistaa toimitusketjujen turvallisuus sekä varautua hyvissä ajoin uusiin laitehankintoihin elinkaaripalveluineen.

In this thesis information and cyber security was examined from the perspective of water distribution to improve current security practices. The parts of the thesis which contains the company data are excluded from the final delivery due to confidentiality aspects. The thesis examined the terminology of information and cyber security and the environment basics.

Water production and distribution are critical community services. That is why efforts have been recently made to verify the enhancement of cyber security from a service security perspective e.g. with the Huoltovarmuuskeskus annual seminars, checklists prepared for the industry, and commercially coordinated joint exercises, on the basis of which more detailed operator specific action lists have been created to continuously improve company’s own security. In order for cyber security and its strategies to become established as a company's permanent and standard operating model, the company's management is required to commit to security issues, including budgeting.

Important cyber security preparedness targets in water delivery companies include e.g. assessments of maturity level, current situation, what is the ability to recover, operations during recovery and how services are secured. Information and communication technology contains also a number of its own challenges, where the importance of cooperation with co-op units is emphasized in situations where the operations of the company's own personnel are limited in know how or e.g. the network, hardware and helpdesk services are outsourced or handled by other units. A quick overview of the common situation is also essential, because a strategy alone does not answer the question of what steps to take to be prepared. One should also prepare for prolonged disruptions, ensure the safety of supply chains, and prepare well in advance for new equipment purchases with life cycle services.