Kiinteistöt täyttyvät tekniikasta, ja niitä rakentavien yritysten suunnittelu- ja tuotantoprosessit hyödyntävät kasvavissa määrin digitaalista ulottuvuutta. Panostuksia digiturvallisuuteen on lisättävä, sillä EU:n ja rahoittajien vaatimukset kasvavat.

Digiturvallisuus koostuu tietoturvasta,­ tietosuojasta ja kyberturvallisuudesta, joihin kaikkiin sisältyy omia erityispiirteitään ja vaatimuksiaan. Tietosuojan tarkoituksena on varmistaa, että­ henkilö­tietoja käsitellään lainmukaisesti. Kyberturvallisuudessa tunnistetaan, ehkäistään ja varaudutaan sähköisten ja verkotettujen järjestelmien häiriöiden aiheuttamiin fyysisiin vaikutuksiin. Tietoturvassa on kyse puhtaasti datan ja bittien suojaamisesta.

”KIRA-alalla digiturvallisuus jakaantuu kahteen pääkohderyhmään, jotka ovat rakentajat ja rakennet­ta­vat kohteet. Rakentajiin luetaan muun muassa suunnittelijat ja konsultit, rakennustuoteteollisuus ja -kauppa, urakoitsijat sekä käytön aikaisen kiinteistönpidon toimijat. Rakennettavat kohteet ovat esimerkiksi taloja sekä väyliä ja muuta infraa”, kertoo rakennetun ympäristön digiturvallisuuden asiantuntija Ari Järvinen Rakennusteollisuus RT:stä.

“Viranomainen huolehtii enemmän paloportaiden puolavälin sopivuudesta kuin taloautomaation huolellisesta toteutuksesta”, digiturvallisuuden asiantuntija­ Ari Järvinen Rakennusteollisuus RT:stä kuvailee nykytilannetta.

Kyberhyökkäys on riski aikataululle

Yhteiskunta ei ole asettanut tähän asti juuri mitään vaatimuksia KIRA-alan digiturvallisuudelle. Tilanne­ on kuitenkin muuttumassa. Tulevat EU-säännökset­ tuovat mukanaan välillisiä vaatimuksia, ja myös rahoittajat ovat ryhtyneet vaatimaan rakennettavilta­ kohteilta ja niiden tekijöiltä entistä parempaa digi­turvallisuutta. Esimerkiksi vastuullisen sijoittami­sen ESG-kriteereihin (Environment, Social and ­Governance) on tullut lisää kyberturvallisuuteen ­liittyviä kohtia.

”Digiturvalliseen lopputuotteeseen on vaikea päästä, jos tekijöillä ei ole digiturva kohdallaan. Myös tuotannon aikataulu voi venyä ja heikentää investoinnin tuottoa, jos rakentajiin kohdistetaan heidän suorituskykyynsä kohdistuvaa digivaikuttamista. Käytännössä tämä voi tarkoittaa kiristystä, haittaohjelmia tai toimintoja lamaannuttavia palvelunestohyökkäyksiä”, Järvinen sanoo.

Enemmän tekniikkaa, enemmän suojattavaa

Varautumisen kannalta merkitystä on sillä, mitä ollaan rakentamassa. Paritalon, 50 asukkaan kerrostalon tai yhden ja saman talotekniikkajärjestelmän varassa toimivan 100 yrityksen liikekeskuksen rakennus- ja käytönaikaiset digiturvallisuusriskit ja niiden realisoitumisen vaikutukset ovat hyvin erilaisia.

Mitä enemmän talotekniikassa on automaatiota­ esimerkiksi energian kulutusjouston myötä, sitä enemmän rajapintaa sillä on digitaalisen turvallisuuden kanssa.

”Rakennuksen automaatiota pyörittävän ja verkko­yhteydessä olevan prosessorin suorituskyky on haluttua tavaraa käytettäväksi apuna muun muassa palvelunestohyökkäyksissä. Haavoittuvuuden löytyminen yhdestä laitteesta altistaa myös muiden rakennusten vastaavat automaatiojärjestelmät kyberhyökkäykselle”, Järvinen muistuttaa.

Ympäristöministeriön ohjaus jäänyt vähäiseksi

KIRA-alan digiturvallisuuden edistämisessä rakennusohjauksesta vastaa ympäristöministeriö. Järvinen harmittelee ministeriön ottamaa roolia ja ohjauksen vähäisyyttä. Sen seurauksena vastuu asioista on kaatunut pitkälti toisten hallinnonalojen, rakentajien ja rakennettujen kohteiden käyttäjien harteille.

”Viranomainen huolehtii enemmän paloportaiden puolavälin sopivuudesta kuin taloautomaation huolellisesta toteutuksesta. Hyvä esimerkki on SRI eli rakennusten älyindikaattori. Pisteitä saa, jos hienolla automaatiolla sovittautuu energian kulutusjoustoon, mutta toteutuksen turvallisuudelle ei ole asetettu mitään vaatimuksia”, toteaa Järvinen.

Teksti Ari Rytsy Kuvat Adobe ja RT

Muutoksen tuulet -sarja käsittelee rakennussektorin ­uudistumista ja teknologian kehittymistä.