Rakennusautomaation tietoturvan koulutus ammattikorkeakoulussa

Abstract

Opinnäytetyön tarkoituksena oli luoda katsaus rakennusautomaation tietoturvan koulutukseen ammattikorkeakoulun tasolla ja selvittää, onko tietoturvan koulutuksen taso riittävä nykyiseen digitaaliseen toimintaympäristöön sekä lopuksi muodostaa mahdollinen mallirakenne tämän tyyppiselle koulutukselle. Työssä keskityttiin sähkö- ja automaatiotekniikan tutkinto-ohjelmiin, sillä näistä tutkinto-ohjelmista tulee valtaosa rakennusautomaation tulevista ammattilaisista.

Työn selvitysosuus toteutettiin käymällä läpi tarjolla olevien tutkinto-ohjelmien sisältöjä, selvittämällä, mikä on saatavilla olevien standardien, ohjeistuksien ja säädösten tilanne, sekä kartoittamalla haastattelujen avulla erilaisia näkökulmia rakennusautomaation tietoturvakoulutuksen tilanteeseen.

Selvityksen pohjalta suunniteltiin mahdollisen rakennusautomaation tietoturvakoulutuksen rakenne. Tarkoitus ei siis ollut rakentaa valmista kurssia tai opetuskokonaisuutta vaan pelkästään käydä läpi aihealueet, joita tämän tyyppiseen koulutukseen olisi tärkeää sisältyä.

Selvitystyön tuloksena voidaan sanoa, että koulutus ei tällä hetkellä ole riittävällä tasolla. Lisäksi standardien, ohjeistusten ja säädösten tilanne on haastava, positiivisena erotuksena Sähkötieto ry:n materiaali. Haastattelut toivat esiin eri toimijoiden näkökulmat. Haastattelut toteutettiin Rakennusteollisuuden, Siemensin ja Tampereen ammattikorkeakoulun edustajien kanssa. Kaikilta haastateltavilta viesti oli sama: tarvetta koulutukselle on, mutta tällä hetkellä sitä ei ole tarjolla, ja tarjolla oleva materiaali standardien, ohjeiden ja säädösten osalta on haastava. Tilanne tulee paranemaan säädösten osalta NIS2-direktiivin implementoinnin myötä syksyllä 2024. Osaltaan tilannetta parantaa myös maaliskuussa 2024 Euroopan parlamentin hyväksynnän saanut kyberresilienssisäädös, CRA.

Opinnäytetyössä suunniteltu rakennusautomaation tietoturvan koulutuksen rakenne oli mahdollista suunnitella hyvin vapaasti, sillä oikeastaan mitään, minkä päälle rakentaa, ei ollut. Tärkeää oli myös ymmärtää, että mahdollisuudet tällaisen koulutuksen liittämiseen jo valmiiksi täyteen opintosuunnitelmaan on vaikeaa, sillä kun jotain uutta lisätään, jostakin muusta on luovuttava. Tämän takia mitään järin suurta tai syvälle menevää on turha suunnitella. Sisällössä täytyy vahvasti priorisoida rakennusautomaation tietoturvan vaikuttavimpiin toimiin ja oppeihin.

The purpose of the thesis was to conduct a review of building automation data security education at the level of universities of applied sciences and to determine whether the level of data security education is adequate for the current digital operating environment, and finally to develop a possible model structure for this type of education. The work focused on electrical and automation engineering degree programs.

The research portion of the work was implemented by: 1) reviewing the contents of available degree programs, 2) determining the status of available standards, guidelines, and regulations, 3) conducting interviews to gain various perspectives on the state of building automation data security education.

Based on these, the structure of a possible building automation data security education was planned. The intention was not to create a ready-made course or teaching package, but simply to go through the main areas that would be important in this type of education.

As a result of the research, it can be stated that the education is currently not at a sufficient level, and the situation regarding standards, guidelines, and regulations is challenging, although there is some good material found from Sähkötieto. Interviews provided valuable insights from various stakeholders, including Rakennusteollisuus, Siemens, and Tampere University of Applied Sciences. The message from all interviewees was the same: there is a need for more and better education, also the available material regarding standards, guidelines, and regulations is inadequate. There are some regulatory changes coming, through the implementation of NIS2 and the CRA.

Finally, the planned structure for building automation data security education was designed quite freely because there is currently nothing substantial to build upon. Also integrating such education into an already full curriculum is difficult. Therefore, planning a large comprehensive structure or anything too deeply involved is futile. The content must strongly prioritize the most impactful actions and lessons in building automations data security.