Tietoturva ulkoistetaan yhä useammin palveluksi

28.9.2017

Helsingissä 26. – 27.9. järjestettyjen Finnsec-messujen tarjonnasta oli selvästi havaittavissa, että turvajärjestelmät halutaan myydä entistä useammin kokonaispalveluna, johon myös tietoturvavastuut on yhdistetty.

Finnsec-messuilla oli tänä vuonna lukuisia suurten yritysten näyttäviä osastoja, missä keskityttiin turvallisuusalan kokonaisratkaisupakettien esittelyyn asiakkaille. Alan suurimpiin toimijoihin kuuluvan Stanley Security Oy:n Senior IT Business Analyst Jyrki Ojalan mukaan valvontaratkaisujen hankinta kokonaispalveluna on asiakkaalle aina helpoin ja luotettavin ratkaisu.

– Me takaamme asiakkaalle palveluiden saatavuuden ja toimivuuden. Laajimpaan palvelupakettiimme kuuluvilla kahdennetuilla yhteyksillä me takaamme asiakkaillemme, että palvelumme toimivat 99,99 prosenttisella varmuudella, Ojala kertoi.

Monet yrityksen asiakkaista vaativat, että järjestelmät testataan perusteellisesti ennen käyttöönottoa, ja että palveluiden toimivuutta seurataan jatkuvasti sertifioidulla tavalla.
 

Järjestelmät vaativat aktiivista ylläpitoa

Finnsecin-messujen yhteydessä järjestetyssä Cyber Security Nordic -konferenssissa puhuneen Viestintäviraston Kyberturvallisuuskeskuksen erikoisasiantuntija Antti Kurittun mukaan kaikki verkkoon liitetyt automaatiojärjestelmät vaativat aktiivista ylläpitoa.

– Virustorjunta ja verkon reunalla oleva palomuuri ovat hyviä työkaluja, mutta yritysten pitää osata nähdä myös verkkojensa sisälle. Kaikki yritykset eivät tarvitse IDS:ää (tunkeilijoiden havaitsemisjärjestelmä, Intrusion Detection System), mutta laitteiden ja ohjelmistojen on oltava jatkuvasti ajan tasalla, Kurittu sanoi.
 

Kentältä löytyy yhä puutteita

Asan Security Technologies Oy:n toimitusjohtaja Antti Laineen mukaan erityisesti edullisten videovalvontajärjestelmien kameroiden tietoturva on ollut pitkään täysin retuperällä. Ongelma ei koske pelkästään kuluttajien itse hankkimia laitteita.

– Osa yrityksistä asentaa laitteita edelleen varsin edesvastuuttomasti. Suurimmat uhkat tulevat välinpitämättömyydestä, mutta onneksi tilanne on kuitenkin korjaantumassa, Laine sanoi.

Asan Securitylla on hyvä kosketuspinta kentältä löytyviin laitteisiin, sillä yrityksen eri valmistajien kamerat yhdistävään videoalustaan on liitetty paljon myös asiakkaiden vanhempia kameroita lukuisissa eri yrityksissä. Laineen mukaan kohtalaisen suuri osa Suomeen asennetuista valvontakameroista on mahdollista pimentää verkkohyökkäyksillä, jos todella halutaan.

– Kameroiden laskentavoima on hyvin rajallinen. Kameran saa helposti blokattua häirinnällä tai pelkästään nostamalla kameran striimausta, jos laitetta ei ole suojattu asianmukaisesti. Tästä syystä kameroiden toimintaa pitää myös seurata jatkuvasti.

Laineen mukaan kentällä törmätään kohtalaisen usein suhteellisen vakaviinkin tietoturvauhkiin, mutta näistä harvoin puhutaan julkisuudessa.

 – Yleensä yritykset, jotka hoitavat tietoturvakysymykset parhaiten, kertovat tekemisistään kaikkein vähiten.

 

Tietoturvaohjeet ST-kortistossa

Rakennusautomaatiojärjestelmien tietoturvan varmistamista ohjeistetaan Sähkötieto ry:n kesällä julkaisemissa ST-korteissa ”Rakennusautomaation tietoturva” sekä ”Rakennusautomaatiojärjestelmän tietoturva-asioiden tarkastuspöytäkirja”.

Tarkastuslista-tyyppiseen korttiin on listattu kaikki olennaisimmat tietoturva-asiat, mitä rakennusautomaatiojärjestelmän suunnittelussa, rakentamisessa sekä luovutus- ja ylläpitovaiheessa tulee ottaa huomioon pahimpien riskien minimoimiseksi.

Talotekniikan ICT-palveluihin ja kiinteistönhallintaan erikoistuneen Integrio Oy:n kehitysjohtaja Timo Silverin laatimiin ohjeisiin on koottu myös esimerkkimalleja tietoturvasta huolehtimisen vastuunjakomalleista ja sopimuksista.