Teksti Annika Luhtanen (Lexia Asianajotoimisto)
Alati kehittyvän digitalisaation johdosta puhutaan paljon tietoturvasta taloyhtiöiden talotekniikan ja järjestelmien välillä, sekä näiden järjestelmien tietosuojasta ja suojaamisesta. Digitalisaation myötä taloyhtiön järjestelmiin ja laitteisiin vaikutetaan aiempaa enemmän myös yhtiön ulkopuolelta. Lukuisat erilliset taloyhtiöjärjestelmät ja niihin liittyvät älyratkaisut yhdessä eri palveluntarjoajien ratkaisuilla luovat kuitenkin myös haasteita käyttää ja suojata kiinteistön toimintoja ja laitteita tietoturvallisesti.
Kyberturvallisuuden merkitys taloyhtiöissä
Kyberturvallisuus määritellään turvallisuuden osa-alueeksi, jonka avulla pyritään sähköisten ja verkotettujen järjestelmien turvallisuuteen. Kyberturvallisuudessa tarkoituksena on tunnistaa, ehkäistä ja varautua sähköisten ja verkotettujen järjestelmien häiriöihin ja niiden vaikutuksiin.
Kyberympäristö tarkoittaa toimintaympäristöä, joka muodostuu yhdestä tai useammasta sähköisessä muodossa olevan datan tai informaation käsittelyyn tarkoitetusta tietojärjestelmästä. Taloyhtiöissä kyberjärjestelmiä ovat esimerkiksi kiinteistöautomaation ohjausjärjestelmät, kuten lämmitykseen, käyttöveteen ja ilmastointiin liittyvät erilaiset laitteet ja ohjelmat tai taloyhtiöiden käyttämät digitaaliset turvajärjestelmät kuten hälytykset ja sähköiset lukitusjärjestelmät.
Myös erilaiset sähköiset tiedonjakelu- ja varausjärjestelmät, kuten saunavuorojen tai pesutuvan varausjärjestelmät, asukkaiden omat digitaaliset laitteet ja järjestelmät ja esimerkiksi älykaiuttimet, älytelevisiot sekä digiohjatut valaisinjärjestelemät ovat kyberjärjestelmiä. Kaikkien näiden järjestelmien ja laitteiden käyttöönotto ja huolimaton käyttö voi vaarantaa koko taloyhtiön turvallisuuden.
Hallitus ja isännöitsijä voivat joutua vastuuseen
Useilla taloyhtiöiden toiminnoilla on yhteys ja ne ovat riippuvaisia tietojärjestelmien ja verkkojen toimivuudesta. Näitä toimintoja tukeviin järjestelmiin ja verkkoihin kohdistuvien häiriöiden syy voi olla esimerkiksi tietoturvakysymyksissä, kuten haittaohjelmissa tai laitteissa. Häiriön vaikutus taloyhtiön näkökulmasta muodostaa kyberturvallisuusuhkan.
Kun taloyhtiön laitteet ja toiminnot ovat etäseurannassa tai -hallinnassa, tärkeintä on järjestelmien hallinnan ja ylläpidon selkeä vastuuttaminen. Järjestelmiin liittyviä yhteistyökumppaneita ja palveluntarjoajia on usein lukuisia, mutta turvallisuusuhkia ei ole usein riittävästi huomioitu ja koordinoitu, jolloin vastuu jää järjestelmän omistajan eli taloyhtiön vastuulle.
Mahdollisesta vahingosta vastuuseen voivat joutua hallituksen jäsenet ja isännöitsijä, jos taloyhtiön tietoturva katsottaisiin olleen laiminlyöty huolellisuusvelvoitteen vastaisesti.
Taloyhtiöihin voi kohdistua tietoturvallisuuteen liittyviä uhkia niin sisältä- kuin ulkoapäin. Siitä huolimatta, että esimerkiksi ulkoiset verkkohyökkäykset taloyhtiön toimintoihin ovat edelleen harvinaisia, on tällainenkin tilanne todettu muutama vuosi sitten lappeenrantalaisissa kiinteistöissä, joissa verkkohyökkäyksellä onnistuttiin lamauttamaan talojen lämmitysjärjestelmä. Verkkohyökkäys käytännössä sammutti laitteet ja esti niiden hallinnan etäyhteydellä. Vaikka kiinteistöt eivät olleet varsinaisen hyökkäyksen kohteena, niiden laitteet oli kytketty internetiin suojaamattomana ja kyberuhka konkretisoitui.
Suojaamattomat laitteet houkuttelevat väärinkäyttäjiä
Ensimmäinen ohje taloyhtiöille siis on, että internetiin ei missään tapauksessa tule liittää mitään taloyhtiön laitteita ilman kunnollista suojausta, sillä laitteita voidaan väärinkäyttää sijainnista tai kohteesta riippumatta.
Todennäköisempää kuitenkin edelleen on, että ammattirikollisten sijaan taloyhtiön verkko kiinnostaa enemmän yksittäisiä ilkivallan harjoittajia. Hakkerit ovat kuitenkin taitavia löytämään laitteita, joiden tietoturva on puutteellista ja nämä hyökkäykset voivat saada merkittävää vahinkoa aikaan. Suojaamaton laite internetissä on houkutteleva kohde väärinkäyttäjille. Tällainen laite voi tarjota esimerkiksi pääsyn rakennuksen automaatiojärjestelmään tai sisäverkkoon.
Rikollisten käytettävissä on valmiita automatisoituja työkaluja ja muita ohjelmia, joilla järjestelmiin on mahdollista murtautua. Murrettuja järjestelmiä voi käyttää väärin joko itse tai luovuttamalla tiedot eteenpäin. Automaatiojärjestelmistä saatavan tiedon avulla rikollisen on mahdollista esimerkiksi ajoittaa asuntomurto ajankohtaan, jolloin kukaan ei ole kotona. Mahdollisuudet ovat rajattomat.
Mitä taloyhtiö voi tehdä parantaakseen kyberturvallisuutta?
Jotta digitekniikan hyödyistä saadaan taloyhtiössä kaikki hyöty irti turvallisesti, tulee varmistaa, että laitteet toimivat oikein, niitä huolletaan jatkuvasti, niiden ylläpidosta vastataan ja niitä käytetään asianmukaisesti.
Käytännössä tämä tarkoittaa esimerkiksi sitä, että kiinteistön automaatioverkon suunnittelu hoidetaan asianmukaisesti ja verkko suojataan palomuurilla siten, että järjestelmään ei ole pääsyä muista, kuin sallituista IP-osoitteista. Tärkeintä kyberturvallisuuden kannalta lienee kuitenkin se, että rakennuksen perustoiminnot, kuten lämmitys, sähkön- ja vedenjakelu toimivat myös mahdollisen kyberuhan sattuessa manuaalisesti.
Viestinnän merkitys korostuu
Kyberasioista ja taloyhtiön tietoturvasta tiedottaminen osakkaille ja asukkaille on ensiarvoisen tärkeää, sillä taloyhtiön tietoturvasta huolehtiminen ei ole ainoastaan hallituksen ja isännöitsijän asia. Myös taloyhtiön asukkaiden tulee sisäistää vastuunsa ja huomioida turvallisuus omien laitteiden ja järjestelmien käytössä. Asukkaiden laitteet on aina pidettävä erillään taloyhtiön verkosta. Taloyhtiön tietoturvaan ja rakennusautomaation suojaukseen liittyvät asiat on myös syytä ottaa yhtiössä esille säännöllisin väliajoin esimerkiksi taloyhtiön vuosikokouksissa.
Digitaalinen turvallisuus ei ole pelkkää tekniikkaa, vaan ennen kaikkea aktiivista tietojen päivittämistä ja huolehtimista siitä, että ymmärretään, mistä kyberturvallisuudessa on kyse ja miksi varautuminen siihen liittyviin turvallisuusuhkiin on tärkeää. Kyberturvallisen rakennuksen käyttö on aktiivista toimintaa, jossa ylläpitoa ja päivitystä hoidetaan tarvittaessa ammattilaisten tuella. Taloyhtiön tietoturva-aukot ovat saatavissa helposti tietoon ammattilaisten avulla. Järjestelmille hyvä vaihtoehto voisi olla esimerkiksi jatkuva huoltosopimus asiantuntevan tahon kanssa.
Muista ainakin nämä:
Kyberturvallisuuden voidaan katsoa edellyttävän vähintään seuraavia toimenpiteitä:
- turvalliset ja salatut etäyhteydet
- turvalliset käyttäjätunnukset ja salasanat
- eri tunnukset ja salasanat eri palveluille
- laitteet eivät näy avoimesti internetissä
- ajantasainen dokumentointi
- huolto- ja ylläpito-ohjeiden käyttö ja säilytys
- varmista järjestelmien tietoturva säännöllisesti asiantuntijan avulla
- tiedota ja ohjeista asukkaita tietoturvaan liittyvistä asioista