Kybervesimittari : itsearviointityökalu vesihuoltolaitosten kyberturvallisuuden kehittämiseen
Koskinen, Henri; Varis, Veikka (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025060420176
https://urn.fi/URN:NBN:fi:amk-2025060420176
Tiivistelmä
Nykyisessä maailmantilanteessa kyberturvallisuus on noussut keskeiseen rooliin jokaisen organisaation toiminnan turvaamisessa. Tämä luo painetta erityisesti kriittiselle infrastruktuurille varmistaa kyberturvallisuuden riittävä taso ja sen jatkuva kehittäminen. Vesilaitosten haavoittuvuus kyberuhkia kohtaan on lisääntynyt järjestelmien digitalisoitumisen myötä, minkä vuoksi järjestelmällinen riskienhallinta ja omatoiminen arviointi ovat entistä tärkeämpiä.
Opinnäytetyö toteutettiin osana Järvi-Suomen vesihuoltolaitosten Toverit-hanketta. Tavoitteena oli luoda erityisesti pienille vesihuoltolaitoksille soveltuva haastattelupohjainen itsearviointityökalu, jonka käyttö ei vaadi ulkopuolista asiantuntija-apua. Työkalu mahdollistaa kyberturvallisuuden nykytilan arvioinnin ja tukee laitosten riskienhallintaa.
Teoriaosuudessa käsitellään yleisellä tasolla tietoturvaa, standardeja, sekä viitekehyksiä. Opinnäytetyön alkuvaiheessa apuna käytettiin aiemmassa hankkeessa syntynyttä kysymyspatteristoa, jonka avulla suoritettiin pilottivaihe ja tutkittiin, minkälaisia huomioitavia asioita uuden mittarin luominen vaatii.
Opinnäytetyön perusteella saatiin muodostettua standardeihin ja direktiiveihin perustuva uusi Kybervesimittari. Sen käyttö onnistuu niin kyselylomakkeena ammattilaisen kanssa, kuin yksin tai organisaation sisäisesti käytettävänä itsearviointilomakkeenakin.
Toteutetun kybervesimittarin avulla vesihuoltolaitokset voivat tunnistaa omia kyberturvallisuuden vahvuuksiaan ja kehittämiskohteitaan konkreettisesti. Lisäksi mittari tarjoaa vertailupohjan, jonka avulla laitokset voivat seurata oman turvallisuustasonsa kehittymistä ajan myötä. Kybervesimittari toimii siten paitsi arviointityökaluna, myös kehityksen tukivälineenä, joka edistää vesihuoltolaitosten resilienssiä muuttuvassa uhkaympäristössä. In today's global environment, cybersecurity has become a key element in securing the operations of every organization. This puts pressure on critical infrastructure to ensure an adequate level of cybersecurity and its continuous improvement. The vulnerability of water utilities to cyber threats has increased with the digitalization of systems, making systematic risk management and self-assessment more important than ever.
The thesis was carried out as part of the Toverit -project for water utilities in Järvi-Suomi. The aim was to create an interview-based self-assessment tool, especially suitable for small water utilities, which does not require external expert assistance. The tool enables the assessment of the current state of cyber security and supports the risk management of utilities.
The theoretical part covers general information security, standards and frameworks. The thesis also used a battery of questions generated in a previous project, which was used to carry out a pilot study and investigate what kind of considerations are required to create a new metric.
The thesis resulted in a new Kybervesimittari based on standards and directives. It can be used as an interview tool with a professional, as a self-assessment form for use alone or within an organization.
The implemented Kybervesimittari will enable water utilities to identify their own cyber security strengths and areas for improvement in a concrete way. The meter also provides a benchmark that allows utilities to monitor the development of their own security level over time. In this way, the Kybervesimittari will not only serve as an assessment tool, but also as a development support tool to help water utilities build resilience in a changing threat environment.
Opinnäytetyö toteutettiin osana Järvi-Suomen vesihuoltolaitosten Toverit-hanketta. Tavoitteena oli luoda erityisesti pienille vesihuoltolaitoksille soveltuva haastattelupohjainen itsearviointityökalu, jonka käyttö ei vaadi ulkopuolista asiantuntija-apua. Työkalu mahdollistaa kyberturvallisuuden nykytilan arvioinnin ja tukee laitosten riskienhallintaa.
Teoriaosuudessa käsitellään yleisellä tasolla tietoturvaa, standardeja, sekä viitekehyksiä. Opinnäytetyön alkuvaiheessa apuna käytettiin aiemmassa hankkeessa syntynyttä kysymyspatteristoa, jonka avulla suoritettiin pilottivaihe ja tutkittiin, minkälaisia huomioitavia asioita uuden mittarin luominen vaatii.
Opinnäytetyön perusteella saatiin muodostettua standardeihin ja direktiiveihin perustuva uusi Kybervesimittari. Sen käyttö onnistuu niin kyselylomakkeena ammattilaisen kanssa, kuin yksin tai organisaation sisäisesti käytettävänä itsearviointilomakkeenakin.
Toteutetun kybervesimittarin avulla vesihuoltolaitokset voivat tunnistaa omia kyberturvallisuuden vahvuuksiaan ja kehittämiskohteitaan konkreettisesti. Lisäksi mittari tarjoaa vertailupohjan, jonka avulla laitokset voivat seurata oman turvallisuustasonsa kehittymistä ajan myötä. Kybervesimittari toimii siten paitsi arviointityökaluna, myös kehityksen tukivälineenä, joka edistää vesihuoltolaitosten resilienssiä muuttuvassa uhkaympäristössä.
The thesis was carried out as part of the Toverit -project for water utilities in Järvi-Suomi. The aim was to create an interview-based self-assessment tool, especially suitable for small water utilities, which does not require external expert assistance. The tool enables the assessment of the current state of cyber security and supports the risk management of utilities.
The theoretical part covers general information security, standards and frameworks. The thesis also used a battery of questions generated in a previous project, which was used to carry out a pilot study and investigate what kind of considerations are required to create a new metric.
The thesis resulted in a new Kybervesimittari based on standards and directives. It can be used as an interview tool with a professional, as a self-assessment form for use alone or within an organization.
The implemented Kybervesimittari will enable water utilities to identify their own cyber security strengths and areas for improvement in a concrete way. The meter also provides a benchmark that allows utilities to monitor the development of their own security level over time. In this way, the Kybervesimittari will not only serve as an assessment tool, but also as a development support tool to help water utilities build resilience in a changing threat environment.