Suomessa on noin 1 100 vesihuoltolaitosta, joista 400 on kunnallisia laitoksia. Ne tarjoavat kriittisiä vesihuoltopalveluja ympäri maata, joten niiden fyysisen ja digitaalisen turvallisuuden varmistaminen on ensiarvoisen tärkeää.
ELY-keskuksen vuoden 2023 Kyberturvallisuus vesihuollossa -tutkimuksen mukaan digitalisaation myötä Suomen vesihuoltolaitosten toimintaympäristöön kohdistuu uudenlaisia uhkia, kuten kybervakoilua ja kyberhyökkäyksiä.
Kiristyneen geopoliittisen tilanteen seurauksena Suomen vesihuolto ja muu kriittinen infrastruktuuri on aiempaa suuremman kiinnostuksen kohteena, ja esimerkiksi kesällä 2024 moni suomalainen vesihuoltolaitos joutui fyysisen murron kohteeksi.
Kyberturvallisuusyritys Fortinet on julkaissut Cybersecurity in Water Management Facilities -raportin, joka tarkastelee vesihuollon kyberturvallisuutta Yhdysvalloissa.
Raportin mukaan maan vesihuoltojärjestelmiin kohdistettujen raportoitujen kyberhyökkäysten määrä on kasvanut kymmenen prosenttia vuodesta 2021.
Kyselyyn vastanneista vesihuoltolaitoksista 33 prosenttia kertoi joutuneensa vähintään yhden kyberhyökkäyksen kohteeksi viimeisen 12 kuukauden aikana. Samaan aikaan 21 prosenttia vastaajista sanoi, ettei heidän organisaationsa ole suunnitellut investoivansa kyberturvallisuuteen.
Suurimpia haasteita resurssipula ja osaamisvaje
Fortinetin raportti korostaa, että kansainvälisesti tarkasteltuna monilla vesihuollon toimijoilla ei ole riittävästi resursseja investoida tarvittaviin järjestelmäpäivityksiin eikä siten parantaa vanhojen IT-järjestelmien sekä tuotannon OT-järjestelmien kyberresilienssiä. Tilannetta vaikeuttavat erityisesti pula IT-osaajista ja puutteet laitosten henkilöstön kyberturvavalmiuksissa.
Nämä haasteet nousivat esiin myös ELY-keskuksen tutkimusraportissa, jonka mukaan suomalaisissa vesihuoltolaitoksissa on paikoin jopa huutava resurssipula, mikä hankaloittaa myös kyberturvallisuuden kehittämistä.
ELY-keskuksen raportti painottaakin tarvetta lisätä kyberturvatietoisuutta, kehittää kyberturvallisuuden hallintaa sekä lisätä ja kehittää IT-hallinnon ja vesihuoltolaitoksen välistä yhteistyötä kunnissa.
Helsingin seudun ympäristöpalvelut -kuntayhtymä HSY:n tietoturvapäällikkö Joonas Väyrysen mukaan suomalaisessa vesihuollossa on tunnistettu selkeä pula etenkin vesihuollon erityispiirteitä ymmärtävistä tietoturvaosaajista.
– Erityisesti tiedon ja osaamisen jakamisella tulee olemaan lähitulevaisuudessa erittäin keskeinen rooli vesihuollossa, sillä Suomen vesihuollon sekä muun kriittisen infrastruktuurin suurimpana vahvuutena on aina ollut pitkä varautumisen historia ja yhteisöllisyys, hän sanoo.
– Tämän vuoksi onkin tärkeää, että jokainen vesihuollon organisaatio pyrkii tunnistamaan ja kouluttamaan ne omat työntekijät, joilla on kiinnostusta ja potentiaalia kyberosaamiseen, sillä tiivis yhteistyö on ainoa tapa, jolla voimme tehokkaasti varautua tulevaisuuden uhkiin ja haasteisiin, Väyrynen jatkaa.
Kybervalmiuden parantaminen vaatii yhteisiä toimia
Suomessa on jo käynnistetty toimia vesihuollon kyberturvallisuuden parantamiseksi. Esimerkiksi Maa- ja metsätalousministeriö ja Etelä-Savon ELY-keskus ovat myöntäneet HSY:lle ja seitsemälle muulle suomalaiselle vesilaitokselle rahoitusta VESKY-hankkeeseen, jossa kehitetään vesihuollon toimintavarmuutta ja kyberturvallisuutta.
Vesilaitosten ensisijaisena tavoitteena on kehittää omia konkreettisia kyberturvallisuutta koskevia kyvykkyyksiään. Lisäksi hankkeessa pyritään laatimaan kaikkia Suomen vesihuoltolaitoksia hyödyttävät malliprosessit ja -dokumentit.
– Yhteisen hankkeen tarkoituksena on parantaa koko kansallisen vesihuollon kykyä kehittää kyberturvallisuutta. Tällä tavoin edistämme sitä, että maamme vesihuoltolaitokset voivat tehokkaammin vastata jatkuvasti kehittyvän kyberuhkaympäristön haasteisiin, Väyrynen kertoo.
Fortinet Finlandin teknologiajohtaja Jani Ekman toteaa, että vesihuollon kyberturvallisuushaasteet ovat samankaltaisia eri puolella maailmaa, ja vesilaitoksiin ja muuhun kriittiseen infrastruktuuriin kohdistuvat uhkatekijät lisääntyvät kansallisen kyberturvallisuusstrategian mukaan Suomessakin.
– Vaikka kyberuhkia ei voida estää, niihin varautumista voidaan parantaa. Työntekijöiden kyberturvaosaamisen parantaminen sekä oppien ja hyvien käytäntöjen jakaminen vesilaitosten kesken ovat tässä tärkeä askel, hän korostaa.
LUE MYÖS:
Jättimäinen riski – huonokuntoiset vesijohdot ovat rahareikä kunnille (VU 5.4.2025)
