Etusivu: Traficom
Etusivu: Traficom
Siirry hakuun

Kohti raideliikenteen kyberturvallisuusohjelman rakentamista

Kyberturvallisuus ei ole uutta raideliikenteessä, ja työtä turvallisuuden eteen on tehty jo pitkään. Traficomillakin on tärkeä rooli raideliikenteen kyberturvallisuuden kokonaisuudessa. Meillä Suomessa ei kuitenkaan vielä ole raideliikenteen kyberturvallisuusohjelmaa. Tämän blogitekstin tarkoituksena on hahmotella, mistä se voisi keskipitkällä aikavälillä koostua. Tarkastelen raideliikenteen kyberturvallisuustyötä hallinnoinnin, kansainvälisen yhteistyön, kokonaisturvallisuuden, sääntelyn, tiedon jakamisen, tapahtumien hallinnan sekä osaamisen, koulutuksen ja kulttuurin näkökulmista.

Raideliikenteen kyberturvallisuuden hallinnointi

Raideliikennejärjestelmä on periaatteessa yksinkertainen: joku omistaa aina kiskot, joilla toiset liikennöivät ja kaikki tapahtuu riittävien pelisääntöjen mukaisesti. Poikkeuksia kuitenkin on ja pintaa syvemmällä Suomen raideliikennejärjestelmä on kompleksinen kokonaisuus, jonka osa-alueita hallinnoidaan ja ohjataan useista eri järjestelmistä. Näistä järjestelmistä osa on digitaalisia ja toiset luotu ennen kyberturvallisuuden keksimistä (ks. huhtikuun oiva blogikirjoitus museotoimijoista).

Järjestelmiin kytkeytyy useita toimittajia, joiden toimitusketjut tulisi tuntea. Lisäksi raideliikenne on osa kriittistä infrastruktuuria eli huoltovarmuuden ja varautumisen intressit korostuvat. Nyt kaikkiin näkökulmiin voidaan liittää etuliite kyber ja pohtia kuinka kokonaisuutta hallinnoidaan.

Traficomilla on tärkeä rooli raideliikenteen kyberturvallisuuden kokonaisuudessa, mutta Traficom on vain yksi toimija muiden joukossa. Traficom kuitenkin edistää raideliikenteen kyberturvallisuuden hallintomallin kuvaamista ja tätä kautta toiminnan, vastuiden ja roolien selkeyttämiseksi sekä tiedon jakamiseksi oikeille tahoille.

Raideliikenteen kyberturvallisuuden kansainvälinen yhteistyö

Raideliikenteen kyberturvallisuutta niin sääntelyn, järjestelmien kuin komponenttien tasolla kehitetään ja käsitellään useilla eri kansainvälisillä foorumeilla, mutta osaammeko Suomessa hyödyntää kansainvälisen yhteistyön mahdollisuudet tehokkaasti? Traficomin lisäksi esimerkiksi Väylävirasto osallistuu rataverkon kyberturvallisuuden kansainväliseen yhteistyöhön omasta tulokulmasta ja liikenteenharjoittajien verkostoissa VR on Suomen näkökulmasta tärkeä toimija ulkomailla. Toivottavasti tulevaisuudessa myös muut toimijat käyttävät resursseja kansainväliseen yhteistyöhön ja tuovat Suomeen parhaita käytäntöjä.

Traficom osallistuu muun muassa Euroopan Kyberturvallisuusvirasto ENISA:n Transsec Rail, EU komission Railsec ja Landsec ryhmiin sekä EU:n rautatievirasto ERA:n toimintaan. Raideliikenteen kyberturvallisuusstandardien kehittämiseen Traficom vaikuttaa SESKO ry:n jäsenenä. Lisäksi Traficomin Kyberturvallisuuskeskus on tärkeä toimija kansainvälisillä foorumeilla, mutta ei raideliikenteeseen erikoistunut. Raideliikenteen kyberturvallisuus ei myöskään kehity omassa kuplassaan, vaan esimerkiksi EU:n tietoturvallisuussääntely ulottuu myös raiteille ja tietoturvallisuuden kansainväliset standardit ovat kyberturvallisuustyön lähtökohtana.

Raideliikennesektorin kyberturvallisuuden kansainvälisen yhteistyön edellytyksenä kansallisella tasolla on oikea-aikaisen ja analysoidun tiedon jakamisen lisääminen kaikkien toimijoiden kesken. Toimiala kehittyy Suomesta riippumatta, joten vaikuttamisen on oltava oikea-aikaista Suomen edun varmistamiseksi ja parhaiden käytäntöjen jalkauttamiseksi.

Kyberturvallisuus osana raideliikenteen kokonaisturvallisuutta

Kyberturvallisuutta kehitetään useilla sektoreilla riskiperusteisesti eikä raideliikenne muodosta tästä poikkeusta. Alan toimijoiden kokoluokat vaihtelevat merkittävästi, joten riskiperusteisuuden rinnalla suorituskykyperusteisuus voidaan myös huomioida. Traficom on luonut raideliikenteen turvallisuusohjelman, jolla se osaltaan pyrkii edistämään raideliikenteen kokonaisturvallisuutta.

Traficom on sisällyttänyt kyberturvallisuuselementtejä osaksi raideliikenteen turvallisuusohjelmaa, antanut suosituksen kyberturvallisuuden edistämisestä raideliikenteessä ja suunnitellut valvonnan toteuttamisen. Kuitenkaan raideliikennesektorilla ei ole määritelty yhteisiä kyberturvallisuustavoitteita. Olisiko tällaiselle yhteiselle työlle tarvetta keskinäisen luottamuksen edistämiseksi sekä tavoitetilan määrittämiseksi?

Kyberturvallisuuden sääntely raideliikenteessä

Suomen raideliikenteen kyberturvallisuuden sääntely kytkeytyy voimakkaasti osaksi EU:n sääntelyä sekä kansainvälisiä standardeja. Puhtaasti raideliikennettä koskevan sääntelyn lisäksi yhteiskunnan läpileikkaavia säännöksiä, kuten EU:n verkko- ja tietoturvadirektiiviä (NIS-direktiivi), sovelletaan myös raideliikennesektorilla. Kansallisella tasolla rautatieliikenteen kyberturvallisuuden sääntelyssä liikkumavara on vähäinen, mutta kaupunkiraideliikenteessä tilaa on enemmän.

Traficom osallistuu aktiivisesti raideliikenteen kyberturvallisuussääntelyn kehittämiseen niin kansallisella kuin kansainväliselläkin tasolla. Esimerkiksi NIS-direktiiviä (ns. NIS2 direktiiviluonnos) uudistetaan parhaillaan ja Traficom on pyrkinyt vaikuttamaan direktiiviluonnokseen. Sääntely ei kuitenkaan voi olla toimivaa ilman kaikkien alan toimijoiden kuulemista ja kokemusten jakamista.

Tiedon jakaminen

Tiedon jakaminen on turvallisuuden kehittämisen keskeisiä elementtejä. Tahtotila Suomessa on selkeä –  kaikki korostavat tiedon jakamisen tärkeyttä. Toisaalta raideliikennesektorilla liikenteenharjoittajat myös kilpailevat markkinoilla keskenään eli toimijat voivat jättää myös osan raideliikenteen kyberturvallisuuden tuntemuksestaan jakamatta.

Traficomin edistää kyberturvallisuutta koskevan tiedon jakamista kaikkien toimijoiden kesken, koska kyberturvallisuuden tason nostaminen koko sektorilla on kaikkien etu. Traficomin raideliikenteen ja kyberturvallisuuden asiantuntijoiden yhteistyö vahvistaa tiedon jakamista.

Konkreettisia esimerkkejä tiedon jakamisesta ovat Raideliikenteen kyberturvallisuuden yhteistoimintaryhmä sekä logistiikan ja liikenteen yhteinen L-ISAC ryhmä. Näiden Lisäksi tämän Traficom järjestää vuosittain muutamia raideliikenteen kyberturvallisuuden työpajoja, joista seuraavaa järjestetään perjantaina 4.6.2021, ja ilmoittautumislinkki löytyy tämän blogikirjoituksen lopusta.

Tapahtumien hallinta

Tapahtumien hallinnalla tarkoitetaan kyberturvallisuuteen vaikuttavien tapahtumien havaitsemista, vaikutusten rajaamista sekä toimintojen palauttamista. Asiaa voi tarkastella esimerkiksi toimintamallien ja roolien näkökulmasta eli kuinka tulisimme toimimaan raidejärjestelmän toiminnan jatkuvuuden varmistamiseksi vakavan tietoturvatapahtuman aiheuttaman häiriön aikana.

Tapahtumien hallinnassa toimijat eli infran, kaluston ja järjestelmien omistajat ja haltijat ovat avainroolissa. Heidän toimintaa tukee Traficomin Kyberturvallisuuskeskus. Vaikutusten rajaamisessa ja toimintojen palauttamisessa tiedonvaihtoverkostojen rooli kasvaa, minkä lisäksi merkittävistä tapahtumista tulee nopeasti saada tieto kulkemaan myös liikenne- ja viestintäministeriölle sekä tarvittaessa myös ERA:lle.

Tapahtumien hallinnassa ja yhteistoiminnassa tositilanteessa on aina varaa kehittyä. Yhteistoiminnan lähtökohtana on, että kyberturvallisuuden hallinnoinnin ja roolien tunteminen. Yksi tapa kehittää yhteistoimintaa olisi raidesektorin kyberturvallisuuden harjoitustoiminnan kehittäminen. Harjoitustoiminnan vakiinnuttamisessa Kyberturvallisuuskeskuksen asiantuntija-apu sekä heidän luomansa oppaat (ks. Kyberharjoitusopas (Ulkoinen linkki)) ovat varmasti tulevaisuudessa tarpeen.

Osaaminen, koulutus ja kulttuuri

Kuinka varmistaa, että osaavaa henkilöstöä löydetään raideliikenteen ja kyberturvallisuuden pariin? Raidesektorin kyberturvallisuuden osaaminen vaatii erinomaista perehtyneisyyttä tietoturvan eri osa-alueisiin, minkä lisäksi tiimeistä on hyvä löytyä niin infrastruktuurin kuin kalustonkin erityispiirteiden tuntemus. Haasteena on, että selkeästi raideliikenteen kyberturvallisuuteen perehdyttävää erikoistumiskoulutusta Suomesta ei löydy. Turvallisuutta alan kaikkien toimijoiden kesken edistetään, mutta kyberturvallisuuskulttuurin mieltäminen turvallisuuden osa-alueeksi on vielä lähtökuopissa.

Traficom edistää raidesektorin kyberturvallisuusosaamista jakamalla tietoa kansainvälisistä konferensseista, järjestämällä työpajoja ja keräämällä alan asiantuntijat yhteen. Yksi tapa lähestyä aihetta olisi houkutella tieto ja kyberturvallisuuskoulutusta tarjoavia ammattikorkeakouluja ja yliopistoja tutkimaan raideliikennettä.

Raideliikenteen kyberturvallisuusohjelma – järkevää resurssien kohdentamista?

Työtä kyberturvallisuuden eteen raideliikenteessä on tehty jo pitkään. Kaikki toimijat yhteen keräävää raideliikenteen kyberturvallisuusohjelmaa Suomessa ei kuitenkaan ole. Toisaalta niukkojen resurssien käyttämisen näkökulmasta on aiheellista kyseenalaistaa, että onko sellaiselle tarvetta. Tämän blogikirjoituksen alaotsikot eivät ole sattumalta valittuja vaan mukailevat peruspilareita, minkä päällä Suomessa ilmailun kyberturvallisuusohjelmaa on luonnosteltu. Olisiko Suomessa syytä kopioida muiden liikennesektoreiden parhaita käytäntöjä ja ottaa askeleita kohti raideliikenteen kyberturvallisuusohjelman rakentamista?

Traficom järjestää perjantaina 4.6.2021 klo 12–16 raideliikenteen kyberturvallisuuden työpajan alan toimijoille. Katso tarkempi ohjelma ja ilmoittaudu mukaan (Ulkoinen linkki)!

 

Kirjoittaja Ville Lahti on poliisitaustainen juristi, joka viimeistelee kyberturvallisuuden maisteriohjelman opintoja Jyväskylän yliopistossa ja aloitti helmikuussa raideliikennesektorin kyberturvallisuuden asiantuntijana Traficomissa.

 

EU:n rautatieliikenteen teemavuosi

Traficom on mukana toteuttamassa EU:n rautatieliikenteen teemavuotta muun muassa viestimällä aktiivisesti raideliikenteen ajankohtaisista asioista ja työstään raideliikenteen parissa. EU:n rautatieliikenteen teemavuosi kannustaa rautatieliikenteen käyttämiseen kestävänä, innovatiivisena ja turvallisena liikennemuotona. Lue lisää Traficomin toiminnasta teemavuonna Eurooppalainen rautateiden vuosi -sivulta (Ulkoinen linkki) (Ulkoinen linkki).

Lue lisää teemavuodesta komission sivuilta (Ulkoinen linkki) (Ulkoinen linkki) #EUYearOfRail.