Pisaroita-Logo

Kuopion veden asiakaslehti

2/2021

Huom! Sinulla on käytössäsi Internet Explorerin vanha versio. Tämä nettilehti on optimoitu Explorerin uudemmille versioille. Suosittelemme selaimen päivitystä myös tietoturvasyistä.
Vedentuotanto turvassa kyberuhilta

Kyberuhkiin varautuminen on arkipäiväinen osa vesilaitosten IT-puolen työtä. Kuopion Veden IT-asiantuntija Harri Ryhänen pitää yhdessä järjestelmätoimittajien ja ICT-palveluntarjoajien kanssa asiakastiedot turvassa ja huolehtii, etteivät ulkopuoliset pääse käsiksi vesilaitoksen toimintaan.

Kuopion Vesi etsi keväällä 2021 IT-asiantuntijaa. Työpaikka herätti Harri Ryhäsen kiinnostuksen, koska työ sisälsi monipuolisesti koko yrityksen tietohallintoon liittyviä tehtäviä. Vesilaitostoiminnan tietoturvasta ja kyberturvallisuudesta huolehtiminen olisi myös yhteiskunnallisesti tärkeää työtä.

– Kiinnostuin vesilaitosalasta ja monipuolisesta työnkuvasta. Vedentuotannon turvaaminen on yhteiskunnan toimimisen kannalta olennaista ja tietoturva-asiat kietoutuvat nykyään osaksi kaikkea IT-asiantuntijan työtä. Tietoturva huomioidaan niin uusien järjestelmien hankinnassa ja niiden ylläpidossa kuin vaikkapa laitehankinnoissa, Ryhänen kertoo.

Asiakkaiden tiedot tallessa

Kuopion Veden asiakastietojärjestelmä uusittiin noin kaksi vuotta sitten. Se on auttanut asiakkaiden sähköisten palveluiden kehittämisessä ja luonut hyvän perustan uusien digitaalisten palveluiden kehittämiseen tietoturvallisesti.

Asiakastietojen turvassa pysymistä säätelee yleinen tietosuoja-asetus, GDPR. Ryhänen kertoo, että esimerkiksi uusien järjestelmien hankinnassa ehdoton vaatimus on, että henkilötiedot pysyvät EU-alueen sisäpuolella.

– Käymme tarkkaan läpi järjestelmiä tarjoavien yritysten referenssit. Jos yrityksellä on asiakkaana kaltaisiamme toimijoita ja tietoturva-asioiden kannalta meitä vaativampia asiakkaita, uskottavuus vahvistuu.

Tietoturvan kannalta heikointa lenkkiä eli työntekijöiden inhimillisiä virheitä ehkäistäkseen Kuopion Vesi on hankkimassa henkilöstölleen uuden tietoturvakoulutussovelluksen.

Vedentuotannon turvaaminen on yhteiskunnan toimimisen kannalta olennaista.

– Palomuurit ja järjestelmät eivät auta, jos työntekijältä kalastellaan huijausviestillä käyttäjätunnuksia, joilla saisi esimerkiksi työntekijän sähköpostin käyttöönsä, Ryhänen toteaa.

Tietoturvakoulutussovelluksessa on valmiina peruskoulutus tietoturvasta. Kuopion Vesi lisää itse sovellukseen vesilaitosalaan liittyvää tietoturva-asiaa. Työntekijät käyvät kerran vuodessa tietoturvakoulutuksen, ja lisäksi heitä ohjeistetaan sovelluksen kautta ajankohtaisilla kampanjoilla.

– Tietojen kalastelijoiden kanssa käydään jatkuvaa kilpajuoksua. Tärkein viestimme työntekijöille on, että on oltava tarkkana.

Kyberturvallisuutta yhteistyössä

Arkaluontoisten asioiden, niin sisäisten kuin asiakkaisiin liittyvien, kalastelu on arkipäivää ja todellinen uhka myös vesilaitoksille.

Valtakunnallinen KYBER-VESI-hanke on tuottanut vesilaitoksille kyberturvallisuuteen liittyviä ohjeita. Yleisen tason ohjeet on suunnattu vesilaitosten johdolle ja päälliköille, teknisemmät ohjeet vesihuoltolaitosten automaatio-, IT- ja kybervastaaville. Näiden ohjeiden avulla turvataan esimerkiksi laitosten etäyhteysratkaisuja sekä mobiili- ja ICT-laitteita.

Ryhänen kertoo, että kyberturvallisuus näkyy automaatio- ja tietojärjestelmien koko elinkaaressa. Se otetaan huomioon jo hankintavaiheessa ja ylläpitoa jatketaan kaiken aikaa. Kun järjestelmä vaihdetaan uuteen, huolehditaan vielä vanhan järjestelmän hallitusta alasajosta ja datan poistamisesta.

KYBER-VESI-hankkeen myötä myös laitosten välinen yhteistyö on lisääntynyt.

– Keskustelemme ja jaamme vesilaitosväen kanssa kokemuksia ja hyväksi havaittuja käytäntöjä sekä tietoa uudesta teknologiasta säännöllisesti. Yhteistyö on tervetullut lisä vesilaitosalalla. ­Nautin itsenäisestä työnkuvastani, mutta yhteistyö saman alan toimijoiden kanssa on erittäin tärkeää, Ryhänen toteaa.

iso tietotuva 2

Kyberharjoitus auttaa varautumaan

Vesihuolto on osa yhteiskunnan kriittistä infraa ja on tärkeä suojata laitosten järjestelmät hyvin.

– Valvontamme täytyy toimia kaiken aikaa, Kuopion Veden IT-asiantuntija Harri Ryhänen kertoo.

Kyberuhkia on syytä harjoitella myös konkreettisesti. Kuopion Vesi osallistuu aktiivisesti erilaisiin harjoituksiin, joissa simuloidaan kyberhyökkäystilanteita vesilaitosympäristössä. Harjoituksissa voidaan käydä nopeutetusti läpi tapahtumia, jotka kestäisivät todellisuudessa useita viikkoja.

– Harjoituksiin voidaan osallistua itse tai olla mukana tapahtumia tarkkailemassa, sekin on erittäin hyödyllistä.

Harjoitusten aikana toteutetaan simuloidusti kaikki vastaavat toimenpiteet, joita myös todellinen tilanne edellyttäisi, kuten tiedottaminen sisäisesti ja ulospäin. Harjoitusten aikana tehdään myös ilmoitukset viranomaisille ja muille yhteistyötahoille, kuten todellisessakin tilanteessa.

Harjoitusten jälkeen pidetään yhteinen purkutilaisuus, johon osallistuvat sekä harjoitukseen osallistuneet ja harjoitusta seuranneet tahot.

– Olin edellisessä työpaikassani mukana samankaltaisissa harjoituksissa. Näissä simuloinneissa pääsee hyvin kiinni siihen, onko toiminnassa tai varautumisessa jotakin kehitettävää. Voi olla, että esimerkiksi viestinnässä ei ole osattu ­huomioida jotakin yksityiskohtaa. Konkreettinen harjoittelu auttaa, Ryhänen toteaa.

Teksti: Marjaana Tunturi
Kuvat: Mikko Käkelä

TK mediatalo - Asiakaslehti verkossa