Tag Archive for: kyberriski

Kommentoi 16.8.2019 mennessä: Rakennuksen digitaalinen turvallisuus

Rakennuksen digitaalinen turvallisuus, tilaajan ohjeessa käsitellään tilaajan (rakennuksen omistajan, haltijan tai muun rakennushankkeeseen ryhtyvän) näkökulmasta talotekniikan
tieto- ja kyberturvallisuuteen liittyviä tekijöitä, jotka on huomioitava rakennuksen elinkaaren aikana, sekä keinoja talotekniikan tietoja kyberturvallisuusriskien hallintaan. Tähän ohjekorttisarjaan sisältyvät vastaavat ohjeet myös suunnittelijoille sekä kiinteistönpidosta vastaaville tahoille.

Kommentoi rakennuksen digitaalisen turvallisuuden tilaajan ohje-ehdotusta tällä lomakkeella 16.8.2019 mennessä. Koostamme kommenteista yhteisen lausunnon Rakennustiedolle.

Ohjekorttiehdotukseen on muun muassa koottu:

  • Lait, säädökset ja direktiivit
  • tärkeimmät niistä standardeista ja ohjeista, joita rakennusten talotekniikan digiturvallisuuteen liittyy.

Ohje-ehdotus: Rakennusten digitaalinen turvallisuus. Tilaajan ohje (Pdf)

Koska riskejä voidaan käsitellä eri tavoin ja eri organisaatioilla on erilaisia riskinsietokykyjä, luvussa on esitetty neljä yleisesti käytettävissä olevaa digiturvallisuuden tasoa (DT1–4) helpottamaan tavoiteasettelua ja suojaustason ilmoittamista. Ohjeen sähköisen version liitteenä on taulukko, josta eri osa-alueiden DT1–4 vaatimukset käyvät ilmi.

Liite: taulukko Rakennuksen digitaalinen turvallisuus (Excel)

Yleisesti rakennuksen digiturvallisuudesta

Talotekniikkaan liittyvien eri palvelujen, toimintojen sekä tietojen suhteen noudatetaan digiturvallisuudesta annettua lainsäädäntöä sekä ohjeistusta ja niissä käytetään asianmukaisia turvamekanismeja. Osa tiedoista on yksityisyyden suojaan kuuluvia ja osa järjestelmistä on turvallisuuden ja omaisuuden suojan kannalta jopa kriittisiä.

Talotekniikan digiturvallisuuden laiminlyönnit voivat myös lisätä kiinteistöjen omistajien ja niiden hallinnosta vastaavien riskiä joutua taloudellisesti vastuuseen.

Talotekniikan digiturvallisuus voidaan jakaa kolmeen osa-alueeseen, tietoturvaan, tietosuojaan ja kyberturvallisuuteen. Näiden asianmukainen hoitaminen voi olla myös positiivinen riski ja parantaa kiinteistön arvoa ja arvostusta sekä tuottoa.

Keskeisimmät riskit

Tietosuojaan ja -turvaan kohdistuvien riskien lisäksi rakennuksen sisäolosuhteisiin, energiankulutukseen ja moniin toimintoihin voidaan kohdistaa kybervaikutus, jolla voidaan pyrkiä vaikuttamaan hyvinkin monipuolisesti ja laajasti rakennuksen käytettävyyteen, käyttäjiin ja kustannuksiin.

Rakennuksen käyttäjiin voidaan kohdistaa toimintakykyyn ja jopa terveyteen kohdistuvia vaikutuspyrkimyksiä ilmastoinnin ja valaistuksen ohjauksen kautta ja näin aiheuttaa käyttäjälle merkittäviä taloudellisia vahinkoja.

 

Alkuperäinen lausuntopyyntö Rakennustiedon sivuilla.

Artikkelia tarkennettu 31.7.2019.

Vastauksia SuLVIn suunnittelijapäivässä esitettyihin kysymyksiin

SuLVIn suunnittelijapäivässä keskitytään jokaista LVI-suunnittelijaa koskeviin ajankohtaisiin asioihin, käytännön kautta. Aamupäivän aikana Ari Järvinen (HVK/Digipooli), kertoi työn alla olevasta rakennusten digiturvallisuusohjeistosta, LVI-tekniikan professori Risto Kosonen käsitteli puheenvuorossaan nZEB- talotekniikan mahdollisuuksia kustannusoptimoinnissa ja energiatuotannon päästöjen vähentämisessä, ja Mirja Tiitinen (Energiateollisuus ry) kertoi kiinteistön hukkalämmön myynnistä energiayhtiölle.

Totuttuun tapaan yleisön oli mahdollista esittää luennoitsijoille kysymyksiä viestiseinän kautta. Julkaisemme nyt Ari Järviselle, Risto Kososelle ja Mirja Tiitiselle yleisön esittämät kysymykset ja heidän antamansa vastaukset niihin. Katso myös SuLVIn suunnittelijapäivän esitykset. Seuraava SuLVIn suunnittelijapäivä järjestetään 12.2.2020!

Rakennusten digiturvallisuusohjeisto, Ari Järvinen, HVK/Digipooli

Ottaako ohjeisto kantaa datan omistajuus kysymykseen? Eli kuka omistaa (tai kenen pitäisi omistaa) kiinteistöistä kerättävän datan?

Ari Järvinen, Huoltovarmuuskeskus ja Digipooli: Digiturvallisuus on huomioitava kaikissa järjestelmissä.

Jos missään muualla tai muussa hankkeessa ei ole määritetty datan omistajuutta, niin asiaa tultaneen lähestymään niistä lähtökohdista, joiden mukaan kiinteistönpidossa tarpeelliseksi katsottavan tiedon tallentaminen perustuu kiinteistön omistajan oikeutettuun etuun, ja että muodostuva rekisteri on henkilörekisteri. Rekisteröidyn oikeudet tai niiden osittainen rajoittaminen (nk. unohdetuksi tuleminen) ovat tekijöitä, jotka on käsiteltävä huolella. Juridisesti haastava asia.

Rakennuksen digiturvallisuuden tasot 1-4, missä määritellään? Ei vielä julkaistu? muutama sana mitä voisi olla?

Tässä hieman siitä, minkälaiset ylätason määritelmät voisivat olla:
Perussuojaus (DT1) matalille riskeille
Tähän tasoon kuuluvien kiinteistöjen ja rakennushankkeiden digiturvallisuuden toimenpiteet ovat yksinkertaisia ja niillä pyritään saamaan aikaan riittäväksi arvioitava turvallisuus kohteissa, joiden turvallisuuden suhteen ei erityisiä vaatimuksia ole esitetty.
Perussuojaus on alkuinvestoinneiltaan edullinen.

Tehostettu perussuojaus (DT2) kohtalaisille riskeille
Tähän tasoon kuuluvien kohteiden digiturvallisuutta on tehostettu perussuojausta vahvistamalla. Turvanäkökohdat huomioidaan perusteellisemmin. Tämän tason kohteissa digiturvateknisten ratkaisujen alkuinvestointikustannus on suurempi kuin perussuojauksessa, mutta tehostettu perussuojaus antaa kustannussäästöjä kohonneen turvatason, muunneltavuuden ja luotettavuuden osalta.

Erityissuojaus (DT3) korkeille riskeille
Tämän tason hankkeille on ominaista digiturvallisuuden olennainen osuus kohteen toteutuksessa. Toimenpiteet vaativat digiturvallisuuden erityistä huomiointia jo hankesuunnitteluvaiheessa. Kustannusvaikutukset sekä tekniikan aiheuttamat välilliset vaikutukset on hyväksytty hankeohjelmavaiheessa. Sovellettuna tämä taso toimii vaihtoehtona sellaisissa hankkeissa, joissa täyssuojaukseen ei kiinteistön erityisominaisuuksien tai muiden syiden vuoksi voida päästä.

Täyssuojaus (DT4) kriittisille riskeille
Täyssuojausta edellyttäviin hankkeisiin sisältyy laajamittaisia digiturvallisuusvaatimuksia ja ne kuuluvat hankkeeseen olennaisesti.

Tämän luokan toimenpiteet edellyttävät digiturvallisuuden ja sen eri elementtien korostettua huomioon ottamista ja digiturvallisuuden osuus hankkeesta on merkittävä. Suojaustoimien alkuinvestointikustannukset ovat merkittävät: tilaajalle on voitava tarjota riittävästi ratkaisuvaihtoehtoja kustannustietoineen lopullista toteutustavan valintaa varten.

Kuinka tekeillä olevassa ohjeistuksessa otetaan huomioon olemassa oleviin rakennukseen tarjottaviin palveluihin ja ratkaisuihin liittyvä digiturvallisuusvaatimus? Esim. lämmityksen etähallintapalvelut taloyhtiöille.

Uudis- ja korjausrakentamisen suhteen ei tehdä eroa, koska erona ovat lähinnä kaapelireitit yms., jotka uudiskohteessa voidaan suunnitella vapaammin. Muuten digiturvallisuuteen liittyvät riskit ja niiden hallintamahdollisuudet ovat hyvinkin yhteneviä.

Moottoriventtiilistä johto irti ja käsin ajaa auki jos rau alkaa vallattomasti ajaa venttiiliä.

Käsiohjaukselle siirtyminen on yksi keino ottaa tilanne hallintaan. Jos häiriötilanne kestää pidempään, niin esim. ao. kohteen historian perusteella luotu taulukko ulkolämpötila vs. asetusarvo helpottaa pienellä ylilämmöllä patteripiiriin ajoa.

nZEB- talotekniikan mahdollisuudet kustannusoptimoinnissa ja energiatuotannon päästöjen vähentämisessä, Risto Kosonen, LVI-tekniikan professori, Aalto-yliopisto

Mielipidettä suolaliuoksen tms. lämmön varastointi sovellutuksissa?

Risto Kosonen, LVI-tekniikan professori, Aalto-yliopisto: talotekniikalla on merkittävä rooli energiatuotannon päästöjen vähentämisessä.

Teknologioita on kehitetty viime vuosina mm. faasimuutos ja kemiallisia varastoja. Kuitenkin niiden kustannushyöty ei ole ollut vielä riittävä verrattuna vesivarastoon.
Lämmön varastointi maaperään / pohjaveden virtaukset.

Lämmitämmekö Itämerta?

Maaperän ominaisuudet vaikuttavat luonnollisesti varastoinnin hyötysuhteeseen. Maaperän ominaisuudet tulee ottaa huomioon, kun varastointiratkaisuja suunnitellaan.

Kiinteistön hukkalämmön myynti energiayhtiölle sekä kytkennät, Mirja Tiitinen, Energiateollisuus ry

Voitaisiinko kaukolämpöverkkojen avaamista edistää hallinnolliselta kannalta tekemällä lämmöntuotannon liittämiseen samanlaiset prosessit ja suunnitteluohjeistukset kuten K1 on tehty kaukolämpöön liittymiseksi?

Mirja Tiitisen (Energiateollisuus ry) puheenvuoro kirvoitti runsaasti kysymyksiä.

Keräämme ET:ssä kokemuksia toteutetuista kohteista. Kun olemme saaneet koottua tietoja ja malleja hyvistä ja toimivista käytännöistä, niitä tullaan julkaisemaan esimerkkeinä. Kaikki lisätieto on meille erittäin hyödyllistä.

Onko selvitystöitä tehty millaisia edellytyksiä kaukolämpöverkkojen lämpötilatasoja olisi nykyisellään mahdollista alentaa ilman merkittäviä muutoksia asiakkaan tai verkkojen osalta?

Suomessa ei ole tehty (tiettävästi) laajempaa selvitystä aiheesta. Etenkin Ruotsissa asiaa tutkitaan laajemmin, vaikkakin suurin tutkimuspanos on kohdistettu uusien alueiden matalalämpöjärjestelmiin. Seuraamme ruotsalaisten tutkimuksia ja hyödynnämme niitä. Asiaa toki pohditaan myös täällä meillä. Tavoitteena on pudottaa kaukolämpöverkon lämpötiloja hallitusti niin, että asiakkaille ei aiheuteta äkkinäisiä lisäkustannuksia.

Verkon avaaminen ja lämpötilatason lasku mahdollistaisi verkkojen käytön energiavarastona.

Lämmön varastointia tutkitaan ja pilotoidaan yhtiöissä. Vuorokausitason varastointi on jo monilla yhtiöillä käytössä, pitkäaikaisvarastointi odottaa vielä uutta teknologiaa. Verkon lämpötilatason lasku on pitkän aikavälin tavoite. Kaukolämpöverkon voi sanoa jo nyt olevan avoin: kolmasosa kaukolämpöyhtiöiden myymästä lämmöstä on kolmannen osapuolen tuottamaa. Kaukolämpöyhtiöt ovat sitoutuneet kartoittamaan ja mahdollisuuksien mukaan, taloudelliset, tekniset reunaehdot huomioiden, hyödyntämään kaukolämpöverkkonsa alueella tarjolla olevia ylijäämälämpöjä.

Uudet verkostokokonaisuudet (siis ensiö) kannattanee tehdä matalammalla lämpötilalla, onko arviota mikä se voisi olla?

Taloudellista kannattavuutta matalalämpöverkoille ei ole vielä löytynyt. Uudet ratkaisut ovat toistaiseksi useimmiten valitettavasti osoittautuneet sekä asiakkaalle että kaukolämpöyhtiöille perinteistä tapaa kalliimmiksi. Hukkalämpöjen hyödyntämismahdollisuus voi muuttaa tilannetta.

Miksi tämän muiden vastaavien hankkeiden markkinointi ja vaatimus asiantuntevuudesta siirretään usein LVI-suunnittelijalle? Riittääkö LVI-suunnittelijan resurssit?

Kaksisuuntaisen kaukolämpökytkennän suunnittelu rakennuksessa on LVI-suunnittelijan työtä. Rakennuttajien pitää olla valmiita maksamaan LVI-suunnittelijalle tästä lisätyöstä. Suunnittelija toki tehdään yhteistyössä kaukolämpöyhtiön kanssa, jotta ratkaisu ottaa huomioon molempien osapuolien tekniset ja taloudelliset reunaehdot.

Hiilidioksidipäästöjen vähentämiseksi ja muutenkin energiatehokkuuden parantamiseksi olisi merkittävä vaihtoehto ydinvoimaloiden hukkalämmön hyödyntäminen kaukolämmössä. Joskus yli 10 v. sitten tätä selvitettiin, pitäisikö selvittää uudelleen?

Aiheesta (pienydinvoima) on valistumassa ”state-of-the art” selvitys, raportin julkaisu on maaliskuun lopussa.

Matalalämpöverkkoon syötettävä energia hajautetusti vähentää tuotantolaitoksen roolia, minkä verran, tutkittu?

Selvitetty varmasti paikallisesti kaukolämpöyhtiöissä, mutta ei koko maan kattavasti. Jokainen verkko on erilainen, joten vaikutukset ovat aina paikallisia.

Onko nettomittarointi mahdollista?

Lämpöenergiamittari tarvitaan sekä ostetulle että myydylle lämmölle erikseen: lämpöenergiamittari ei pysty mittaamaan kuin yhteen suuntaan virtaavan veden virtausta. Mahdollinen nettolaskutus on kaukolämpöyhtiöissä päätettävä asia.

Mihin Vesi tai Maa-lämpöpumppu olisi suositeltavaa liittää kaukolämpökohteessa? Paluupuoli on energiatehokkain.

Kaukolämpöjärjestelmän näkökulmasta energiatehokkainta on kytkeä asiakkaan ylijäämälämpö kaukolämmön menopuolelle. Paluupuolelle lämpöä syötettäessä ylijäämälämpö nostaaa tuotantolaitokselle palaavan kaukolämpöveden lämpötilaa, joka heikentää kaukolämpöjärjestelmän tehokkuutta: savukaasupesurin lämmöntalteenoton hyötysuhde heikkenee, yhteistuotantovoimalaitoksen sähkön tuotannon määrä pienenee, paluuputken lämpötilahäviöt kasvavat. Vaikutukset ovat kuitenkin kaukolämpöverkkokohtaisia, joten mahdollisesta kytkennästä kannattaa aina keskustella paikallisen kaukolämpöyhtiön kanssa.

Ovatko paikalliset energiayhtiöt sitoutuneet tuleviin kytkentämalleihin?

ET voi ainoastaan suositella kytkentämalleja ja toimintatapoja, jokainen kaukolämpöyhtiö tekee omat päätöksensä. Olosuhteet ovat erilaisia eri verkoissa, joten välttämättä ET:n esittämät mallit eivät kaikille ole toimivimpia. Tavoitteena on, että ET:n mallit ovat toimivia, kustannustehokkaita ja eri osapuolten hyödyt tasapuolisesti huomioivia. Tällä pyritään varmistamaan se, että mahdollisimman moni kaukolämpöyhtiö niitä hyödyntäisi.

Rakennuksen digitaalisesta turvallisuudesta RT-ohjekortit työn alla

Rakennuksen tietosuojaan ja –turvaan sekä kyberturvallisuuteen liittyvien RT-ohjekorttien laatiminen on aloitettu Rakennustietosäätiö RTS sr:n perustamassa toimikunnassa.

Digitalisaation tarjoamia mahdollisuuksia on jo pitkään hyödynnetty hyvinkin monipuolisesti rakentamisessa sekä kiinteistöjen ylläpidossa ja omistamisessa.
Tavoiteltaessa kustannustehokkuutta ja alhaisia ilmastovaikutuksia koko rakennuksen elinkaaren aikana digitaalisten järjestelmien ja digitaalisen turvallisuuden hallinta korostuvat entisestään. Digitalisaatioon liittyvien uhkien ja riskien hallinnassa on kuitenkin parantamisen varaa.

Tavoitteena on laatia rakennusten digiturvallisuuden hallintaan ja parantamiseksi seuraavat RT-ohjekortit:
• Tilaajan ohje rakennushankkeeseen ryhtyvälle tavoiteasettelun tueksi
• Suunnittelijan ohje eri suunnittelualueiden ja -vaiheiden tueksi
• Kiinteistönpidon ohje kiinteistöhallinnon, -liiketoiminnan ja ylläpidon tueksi.

Ohjekorttiehdotukset lähetetään ennen julkaisua kattavalle lausuntokierrokselle.
Ohjekortit tullaan julkaisemaan Rakennustiedon kortistoissa ja Sähköinfon ST-kortistossa kuluvan vuoden 2019 aikana.

Toimikunnassa ovat mukana HVK Digipooli (Teknologiateollisuus), Sähköinfo Oy, Integrio Oy, Eou-palvelut Oy, Senaatti-kiinteistöt, Rakennusteollisuus RT ry, ISS-palvelut Oy, Rakli, Suomen kiinteistöliitto ry ja Rakennustieto.

Lisätietoja antavat:
Ilkka Friman, tuotepäällikkö, Rakennustieto Oy
ilkka.friman(at)rakennustieto.fi 0207 476 424

Antti Nyqvist, valmiuspäällikkö, Digipooli, Teknologiateollisuus ry
antti.nyqvist(at)teknologiateollisuus.fi 040 861 9446

Ari Järvinen, KyberGuide
ari.jarvinen(at)eou-palvelut.fi 040 736 4253

 

Uutista muokattu 21.2. lisätty toimikuntaan Suomen kiinteistöliitto ry.

SuLVIn suunnittelijapäivän ilmoittautuminen 10.2.2019 saakka

SuLVIn suunnittelijapäivän ohjelmaan on lisätty kaksi huikeaa puheenvuoroa. Johtuen viime hetken puhujalisäyksistä, jatkamme myös ilmoittautumisaikaa 10.2. saakka!

“Mixed Reality in the Real World”, Kim Nyberg, Trimble
VR-laseilla suunnittelija näkee lisätyn todellisuuden, eli hologrammeja tosimaailman päällä. VR-lasien avulla rakennuksen tietomallia voi katsella hologrammina ja esimerkiksi verrata todellisuutta malliin. Trimble julkaisi juuri uuden version Trimble Connect for HoloLensistä. Aiheesta lisää kertoo teknologiajohtaja Kim Nyberg.

Rakennusten digiturvallisuusohjeisto, Ari Järvinen, HVK/Digipooli
Ari Järvinen käsittelee SuLVIn suunnittelijapäivän puheenvuorossa talotekniikkaan kohdistuvia kyberuhkia, kybervaikuttamisen eri tapoja sekä niihin varautumisen mahdollisuuksia. Hän on mukana Rakennusten digiturvallisuusohjeistoa laativassa työryhmässä.

Katso koko SuLVIn suunnittelijapäivän ohjelma ja ilmoittaudu mukaan.

Talotekniikan kyberturvallisuus on myös LVI-suunnittelijan vastuualuetta

Ari Järvinen opiskeli Tampereen ammattikorkeakoulussa, ensimmäisessä ja toistaiseksi ainoassa talotekniikan monimuoto-opetuksessa. Hänen opinnäytetyönsä käsitteli talotekniikkaan kohdistuvia kyberuhkia, kybervaikuttamisen eri tapoja sekä niihin varautumisen mahdollisuuksia.

Ari Järvinen

”Talotekniikan kyberturvallisuuteen on alettu kiinnittämään selvästi enemmän huomiota, mutta vastuu tuntuu rajautuvan yhä rakennusautomaation reviirille. Talotekniikka-alan ammattilaiset eivät tunnu kokevan, että kyberriskien havainnointi ja estäminen kuuluisi heidän vastuualueeseensa. Kyseessä on kuitenkin kaikkia koskettava aihe, jossa jokaisen tulisi tehdä voitavansa ja vähintäänkin hahmottaa kokonaisuus, jossa työskentelee. Jokainen meistä pitää ulko-ovensa lukittuna ja vara-avaimen turvassa, miksi emme siis suojaa talotekniikkaa ja varaudu sen ongelmiin”, Järvinen kyseenalaistaa.

Kybervaikuttamisessa saadaan pienistäkin muutoksista suuri hyöty

Käytännössä kaikki talotekniikkaan kohdistuva kybervaikuttaminen tapahtuu rakennusautomaation kautta ja lähes aina vaikuttimena on taloudellinen intressi. Yleisesti käytössä olevia rakennusautomaatioita on rajallinen määrä. Niiden heikkouksien ja vaikuttamisen mahdollistavien aukkojen selvittämisellä ja löydöksien hyödyntämisellä kybervaikutus voidaan kohdistaa isoon joukkoon kohteita.
Kyberrikoksessa harvoin hyötyy itse tekijä, mutta teon toimeksiantajalle hyöty on suuri.

Kybervaikuttamisessa kohteena voi olla mikä tahansa toimielin ja -laite, jonka toiminta-asetuksia muutetaan epäsuotuiseen suuntaan. Energian kulutuksen tahallisesta kasvattamisesta hyötyy energian myyjätaho ja kulutuksen kasvu voidaan rakentaa pienistä kuormista. Esimerkiksi sulanapitovastusten päällä oloa ei huomata helposti, koska ne eivät yleensä ole suuritehoisia, mutta kun vaikutus kohdistuu satoihin tai tuhansiin kiinteistöihin, niin yhteenlaskettu energiakulutuksen taloudellinen merkitys on jo suuri. Tätä huomattavasti järeämpi yksittäinen vaikutus saadaan esimerkiksi ohjaamalla sekä lämmitys että jäähdytys yhtä aikaa päälle, mutta tällaisen huomaa jo paljon helpommin. Kybervaikuttamisella voidaan aiheuttaa myös laitevaurioita, joiden korjaamisesta joku voi hyötyä huomattavan helpolla.

Myös osa hybridiuhkaa

Kybervaikuttaminen voi olla myös osa hybridiuhkia, joilla joku vaikkapa valtiollinen organisaatio pyrkii vaikuttamaan ihmisen toimintaan. Kohdistamalla samanaikaisesti satoihin tai tuhansiin kohteisiin kybervaikutus voidaan aiheuttaa huomattavan suurelle joukolle ihmisiä erilaisia harmeja, jotka vaikuttavat normaaliin elämään niin kotona kuin työssä. Kybervaikutukset voivat myös muokata yhteiskunnalliseen turvallisuuteen ja sen päätöksentekijöihin kohdistuvia asenteita. Luottamus yhteiskunnallisesta turvallisuudesta huolehtivia toimijoita kohtaan on vaarassa heiketä, kun kyberriskeihin varautumisen puutteet resursseissa heijastuvat normaaliin elämään.

Kiinteistöhuollon resurssit eivät nekään ole yleensä mitoitettu laajaan häiriö- ja poikkeustilanteiden hallintaan, joten palauttavia toimia tarvittaessa apuun voi mennä pitkäkin aika, varsinkin, jos poikkeus- ja häiriötilanteiden hallintaan ei ole minkäänlaista varautumissuunnitelmaa.

Kyberriskeistä huolimatta digitalisaation edut ovat kiistattomat

Ennen digitalisaatiota ja rakennusautomaatiota kyberuhkia ei luonnollisesti ollutkaan. Varhaisemmat rakennusautomaatiotkaan eivät olleet vielä niitä, jotka laajemmin altistuivat kybervaikuttamiselle, jos yhteyksiä valvomoihin tai vastaaviin ei ollut tai ne olivat dedikoituja vuokrayhteyksiä. Vasta Internetverkon hyödyntäminen valvomoyhteyksiin, laitteisiin, koneisiin, eri osien ohjelmistopäivityksiin ja niin edelleen toi mukanaan kybervaikuttamisen laajemmat mahdollisuudet. Ilman tätä esineiden internettiä (IoT) talotekniikkaa uhkaisi vain rakennusautomaatioon tavalla tai toisella kätketyt logiikkapommit, jotka ovat riippumattomia ulkoisista yhteyksistä. Ohjaamattomuutensa vuoksi ne eivät ole myöskään ulkopuolisen tahon hallittavissa ja tekevät vain sen, mikä logiikkapommin haittakoodiin on ohjelmoitu. Monet muut vaikutusmekanismit ovat dynaamisempia ja ulkoisesti ohjattavissa, jolloin kybervaikuttamisesta voi tehdä vaikeammin havaittavan, mutta silti tulosten kannalta tehokkaamman, kuin mihin logiikkapommilla pystytään. Myös melko brutaali ja varmasti näkyvä DDoS (hajautettu palvelunestohyökkäys) voi aiheuttaa suojaamattomalle tai huonosti suojatulle rakennusautomaatiolle vakavia ongelmia, vaikkakaan ei palautumattomia vahinkoja.

Kyberriskeistä huolimatta rakennusautomaation ja digitalisaation edut ovat kuitenkin niin kiistattomat, että niiden käytöstä ei kannata luopua. Jos esimerkiksi tarkastellaan sisäolosuhteiden hallittavuutta tai saavutettavissa olevia säästöjä energiakuluissa, niin muita vaihtoehtoja ei juurikaan ole, kuin digitaalisen ja verkotetun rakennusautomaation käyttö. Riskienhallinnan kannalta on kuitenkin todettava, että jos ennen tultiin toimeen ilman rakennusautomaatiota, niin miksipä ei nytkin, ainakin auttavasti, jos vaihtoehtoina ovat totaalinen kaaos tai käytännössä mahdottomat työskentelyolosuhteet rakennusautomaation toimiessa väärin. Tällöin omavoimaisilla säätimillä, vakionopeuksellisilla puhaltimilla ja pumpuilla sekä kiinteällä, auttavan tasoisella valaistuksella luoduissa olosuhteissa voisi kuitenkin ylläpitää toimintaa lähes normaalisti ainakin ne muutamat tunnit tai päivät, joita tilanteen normaaliksi palauttaminen laajemmasta talotekniikkaan kohdistuvasta kyberiskusta voi kestää.

IoT edellyttää kyberriskienhallintaa ja selkeitä ohjeita

Talotekniikkaa suunniteltaessa voidaan rakennusautomaation ohjaamien toimielinten rinnalle suunnitella vastaavan toiminnallisuuden omaavat omavoimaiset säätimet tai ainakin huomioida niiden lisäämisen varaumat. Toimielimiä, esimerkiksi patterikierron veden lämpötilaan vaikuttavaa kolmitieventtiiliä, voidaan
ohjata ulkoisen olosuhdetiedon perusteella ilman sähköistä säätöä. Vastaavalla tavalla myös lämpimän käyttöveden lämpötilasäätö voidaan tehdä omavoimaisella säätimellä. Mikäli pumppuja ja puhaltimia käyttävät pienjännitteiset sähkömoottorit voidaan liittää sähköverkkoon ilman kybervaikuttamiselle alttiina olevia taajuusmuuttajia, niin lämmitys, jäähdytys ja ilmanvaihto saadaan toimimaan ainakin auttavasti rakennusautomaation häiriötilanteessa.

Poikkeus- ja häiriötilanteet vaativat ohjeita, jotta korjaus- ja huoltotoimenpiteet sujuisivat ongelmitta. Hyvät ja selkeät ohjeet sekä laitemerkinnät mahdollistavat oikeiden toimenpiteiden teon niin kokeneelle toimijalle kuin vasta-alkajallekin. Tavoitteena tulisikin olla, että tarvittaessa asuinkiinteistöissä toimet voisi tehdä asiaan perehtynyt, asiasta kiinnostunut talon asukas ilman kiinteistöhuollon tai merkkihuollon asiakaskäyntiä. Kiinteistöhuollolle jäisi silti lukuisa joukko pienempiä liikekiinteistöjä huolehdittavaksi, vaikka osa asuinkiinteistöistä sekä suuremmat liiketilat ja julkiset rakennukset tulisikin hoidettua talon sisäisillä resursseilla.

Ohjeita ja opastusta on tarjolla – muttei vielä RT- tai LVI-korteista

Talotekniikan kyberturvallisuuden huomioivia ohjeita on nykyään jo melko hyvin tarjolla. Tosin niitä ei löydy RT- tai LVI-korteista, mutta ST-julkaisujen rakennusautomaatiota käsittelevissä dokumenteissa tietoa on melko hyvin tarjolla. Olisi erinomaisen hyvä asia, jos ainakin osa ST-julkaisujen materiaalista lisättäisiin myös RT-kortistoon ja jo siellä olevia, esimerkiksi kuntotarkastuksiin liittyviä ohjeita päivitettäisiin rakennusautomaatiota paremmin huomioivaksi. LVI-ohjekortti asuintalojen poikkeus- ja häiriötilanteisiin varautumiseksi on niinkin tuore kuin vuodelta 1996, joten päivittämiselle on ehkä enemmänkin tarvetta.

Hyvää ohjemateriaalia on myös esimerkiksi Huoltovarmuuskeskuksen teettämissä tutkimuksissa, mm. KYBER-TEO 2014 raporteissa. Teollisuuden automaatiolla on paljon yhteistä rakennusautomaation kanssa, joten kyseiseen materiaaliin kannattaa myös talotekniikan ammattilaisen tutustua. Luonnonvarakeskus LuKe on julkaissut maatalouden kyberturvallisuutta käsittelevän tutkimuksen, josta myös talotekniikan ammattilainen voi löytää lisää oppia.

Suomalaisissa korkeakouluissa on tuotettu myös paljon tutkimusraportteja sekä erilaisia pro gradu -tutkielmia ja ammattikorkeakoulun opinnäytetöitä. Niissä käsitellään rakennusautomaatioon liittyviä uhkamekanismeja ja niiden vaikutusten rajoittamista, mutta ei juurikaan talotekniikan suunnittelijaa käytännössä auttavia asioita. Yksi hyvä pro gradu on Tuomas Tenkasen Jyväskylän yliopistossa laatima tutkielma ”Kiinteistöautomaatiojärjestelmän tietoturvakatsaus”, jonka kimmokkeena oli erään merkittävän kiinteistöjä omistavan toimijan havahtuminen kyberriskien realisoitumisesta aiheutuviin taloudellisiin menetyksiin. Ulkomaisia, lähinnä englanniksi julkaistuja tutkimuksia ja konferenssipapereita löytää hakusanoilla IoT, cyber ja BSES.

Syksystä 2018 alkaen on kaikille ammattikorkeakoulujen insinööriopiskelijoille käytettävissä kyberturvallisuuden peruskurssiksi STEK ry:n rahoituksella laadittu kurssiaineisto. Pilottikurssi toteutetaan Tampereen ammattikorkeakoulu TAMK:ssa, ja materiaalia on tarkoitus laajentaa ammatillisessa koulutuksessa ja tekniikan alan täydennyskoulutuksessa hyödynnettäväksi.

Tietoa ja osaamista on siis tarjolla, kunhan kiinteistöjen omistajat, hallitukset ja isännöitsijät vain huomaavat, että heidän vastuullaan olevien kiinteistöjen kyberriskien tilanne tulee kartoittaa ja ryhtyä tarvittaviin ja tarkoituksenmukaisiin toimiin tilanteen korjaamiseksi. Ja sitä työtä kyllä nykypäivänä riittää.

A. Juhani Järvisen opinnäytetyö

Jos haluat lisätietoja, niin ota yhteys sähköpostitse ari.jarvinen59(at)gmail.com

A. Juhani Järvinen
Toimittanut Anne Valkama, Suomen LVI-liitto