Vesihuoltolaitosten kyberturvallisuus

Ramboll kartoitti Suomen vesihuoltolaitosten kyberturvallisuustilannetta Satakunnassa ja Varsinais-Suomessa Kyberturvallisuuskeskuksen Kyberturvallisuusmittari-työkalulla.
Modern urban wastewater treatment plant.

Kyberturvallisuus on olennaista yhteiskunnan välttämättömien toimintojen kannalta, jotta ihmisten perustarpeista voidaan huolehtia turvallisissa elinoloissa. Toimintaympäristön muutokset ja uudistuva EU-lainsäädäntö, kuten NIS2- ja CER-direktiivit, asettavat uusia vaatimuksia myös vesihuoltolaitosten toiminnalle. Kyberhäiriöt voivat vaikuttaa esimerkiksi veden laatuun, ja vesilaitosten toiminnan kannalta keskeiset tiedot voivat vaarantua.

Ramboll tarkasteli kyberturvallisuuden tilaa suomalaisilla vesihuoltolaitoksilla ja pyrki selvittämään, miten kyberturvallisuudesta huolehtiminen saadaan osaksi alan päivittäistä toimintaa. Projektissa hyödynnettiin Kyberturvallisuuskeskuksen laatimaa Kybermittari-työkalua, jonka avulla organisaatiot voivat arvioida ja kehittää kyberturvallisuuttaan.

Kybermittari todettiin toimivaksi apuvälineeksi kyberturvallisuuden tilannekuvan muodostamisessa, mutta sen käyttö vaati vesihuoltolaitoksilta perehtymistä ja riittävien resurssien varaamista. Hankkeen aikana huomattiin, että Kybermittarin käyttäminen onnistui parhaiten silloin, kun kartoitukseen osallistui niin vesihuollon kuin kunnan IT:n osaajia. Ramboll laati vesihuoltolaitoksille aiheeseen liittyvän sanaston ja esitti konkreettisia esimerkkejä Kybermittarin käytön tukemiseksi.

Selvityksen perusteella vesihuollossa on toteutettu kyberturvallisuutta koskevia toimenpiteitä, mutta kyberturvallisuuden kehittämiseksi tarvitaan myös lisää toimia. Toimenpidetarpeissa tunnistettiin muuan muassa dokumentoinnin parantaminen, yhteistyön lisääminen eri tahojen välillä sekä kyberturvallisuuteen liittyvän tietoisuuden ja koulutuksen lisääminen. Kyberturvallisuuden hallinta tulee liittää vahvemmin osaksi vesihuoltolaitoksen omaisuudenhallintaa ja kuntien riskienhallintaa riskien minimoimiseksi.

Projekti sai rahoitusta Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030-ohjelmasta. Työn tilaajana toimi Etelä-Savon ELY-keskus, joka tekee vesihuoltolain mukaista valvontaa ja hoitaa vesihuollon viranomaistehtäviä Suomessa. Työn ohjausryhmään kuului edustajia ELY-keskuksista, Huoltovarmuuskeskuksesta, Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta, vesihuoltolaitoksilta sekä Huoltovarmuusorganisaation Vesihuoltopoolista.