Vedentuotanto turvassa kyberuhilta

Kyberuhkiin varautuminen on arkipäiväinen osa vesilaitosten IT-puolen työtä. Kuopion Veden IT-asiantuntija Harri Ryhänen pitää yhdessä järjestelmätoimittajien ja ICT-palveluntarjoajien kanssa asiakastiedot turvassa ja huolehtii, etteivät ulkopuoliset pääse käsiksi vesilaitoksen toimintaan.

Kuopion Vesi etsi keväällä 2021 IT-asiantuntijaa. Työpaikka herätti Harri Ryhäsen kiinnostuksen, koska työ sisälsi monipuolisesti koko yrityksen tietohallintoon liittyviä tehtäviä. Vesilaitostoiminnan tietoturvasta ja kyberturvallisuudesta huolehtiminen olisi myös yhteiskunnallisesti tärkeää työtä.

– Kiinnostuin vesilaitosalasta ja monipuolisesta työnkuvasta. Vedentuotannon turvaaminen on yhteiskunnan toimimisen kannalta olennaista ja tietoturva-asiat kietoutuvat nykyään osaksi kaikkea IT-asiantuntijan työtä. Tietoturva huomioidaan niin uusien järjestelmien hankinnassa ja niiden ylläpidossa kuin vaikkapa laitehankinnoissa, Ryhänen kertoo.

Asiakkaiden tiedot tallessa

Kuopion Veden asiakastietojärjestelmä uusittiin noin kaksi vuotta sitten. Se on auttanut asiakkaiden sähköisten palveluiden kehittämisessä ja luonut hyvän perustan uusien digitaalisten palveluiden kehittämiseen tietoturvallisesti.

Asiakastietojen turvassa pysymistä säätelee yleinen tietosuoja-asetus, GDPR. Ryhänen kertoo, että esimerkiksi uusien järjestelmien hankinnassa ehdoton vaatimus on, että henkilötiedot pysyvät EU-alueen sisäpuolella.

– Käymme tarkkaan läpi järjestelmiä tarjoavien yritysten referenssit. Jos yrityksellä on asiakkaana kaltaisiamme toimijoita ja tietoturva-asioiden kannalta meitä vaativampia asiakkaita, uskottavuus vahvistuu.

Tietoturvan kannalta heikointa lenkkiä eli työntekijöiden inhimillisiä virheitä ehkäistäkseen Kuopion Vesi on hankkimassa henkilöstölleen uuden tietoturvakoulutussovelluksen.

Vedentuotannon turvaaminen on yhteiskunnan toimimisen kannalta olennaista.

– Palomuurit ja järjestelmät eivät auta, jos työntekijältä kalastellaan huijausviestillä käyttäjätunnuksia, joilla saisi esimerkiksi työntekijän sähköpostin käyttöönsä, Ryhänen toteaa.

Tietoturvakoulutussovelluksessa on valmiina peruskoulutus tietoturvasta. Kuopion Vesi lisää itse sovellukseen vesilaitosalaan liittyvää tietoturva-asiaa. Työntekijät käyvät kerran vuodessa tietoturvakoulutuksen, ja lisäksi heitä ohjeistetaan sovelluksen kautta ajankohtaisilla kampanjoilla.

– Tietojen kalastelijoiden kanssa käydään jatkuvaa kilpajuoksua. Tärkein viestimme työntekijöille on, että on oltava tarkkana.

Kyberturvallisuutta yhteistyössä

Arkaluontoisten asioiden, niin sisäisten kuin asiakkaisiin liittyvien, kalastelu on arkipäivää ja todellinen uhka myös vesilaitoksille.

Valtakunnallinen KYBER-VESI-hanke on tuottanut vesilaitoksille kyberturvallisuuteen liittyviä ohjeita. Yleisen tason ohjeet on suunnattu vesilaitosten johdolle ja päälliköille, teknisemmät ohjeet vesihuoltolaitosten automaatio-, IT- ja kybervastaaville. Näiden ohjeiden avulla turvataan esimerkiksi laitosten etäyhteysratkaisuja sekä mobiili- ja ICT-laitteita.

Ryhänen kertoo, että kyberturvallisuus näkyy automaatio- ja tietojärjestelmien koko elinkaaressa. Se otetaan huomioon jo hankintavaiheessa ja ylläpitoa jatketaan kaiken aikaa. Kun järjestelmä vaihdetaan uuteen, huolehditaan vielä vanhan järjestelmän hallitusta alasajosta ja datan poistamisesta.

KYBER-VESI-hankkeen myötä myös laitosten välinen yhteistyö on lisääntynyt.

– Keskustelemme ja jaamme vesilaitosväen kanssa kokemuksia ja hyväksi havaittuja käytäntöjä sekä tietoa uudesta teknologiasta säännöllisesti. Yhteistyö on tervetullut lisä vesilaitosalalla. ­Nautin itsenäisestä työnkuvastani, mutta yhteistyö saman alan toimijoiden kanssa on erittäin tärkeää, Ryhänen toteaa.