Porin Vesi hankkii, käsittelee ja jakelee talousvettä 85 000 asiakkaalleen. Kaupungin liikelaitos vastaa toiminta-alueellaan myös viemäröinnistä ja jäteveden käsittelystä.

Porin Veden laitospäällikkö Teppo Tapiainen luonnehtii, että vesilaitoksen on pystyttävä toimittamaan asiakkailleen hyvälaatuista vettä kaikissa olosuhteissa 24/7.

”Vesilaitokset ovat aina panostaneet toimintansa turvallisuuteen ja jatkuvuuteen. Viime aikoina turvallisuutta on jouduttu kuitenkin miettimään entistä enemmän ja myös uusista näkökulmista.”

Tapiainen mainitsee, että taustalla ovat muun muassa vesilaitosten tekninen ja toiminnallinen kehitys sekä viranomaisten ja asiakkaiden kiristyneet vaatimukset.

”Vesilaitosten järjestelmiin voi kohdistua myös ulkopuolista vaikuttamista. Yksittäisen hakkerin sijasta taustalla voi olla esimerkiksi valtiollinen toimija. Muutama vesilaitos on raportoinut myös epämääräisistä murtoyrityksistä.”

Jatkoa pitkälle yhteistyölle

Porin Vesi toteutti kesällä 2024 osana VESKY-yhteishanketta kyberturvan kartoitusprojektin. Projektin toteuttivat Siemens sekä tietoverkkoihin ja tietoturvallisuuteen erikoistunut Mintly Oy.

Siemensin projektivastaava Sampsa Kotilainen kertoo, että Siemens on toimittanut Porin Vedelle aiemmin muun muassa erilaisia automaatioratkaisuja ja toimijat ovat tehneet pitkään yhteistyötä huolto- ja ylläpitosopimusten kautta.

”Otimme projektiin avuksemme partnerimme Mintlyn, koska heillä on omaa osaamistamme täydentävää huippuasiantuntemusta tietoverkoista ja tietoturvallisuudesta”, Kotilainen mainitsee.

VESKY-hankkeen tavoitteena on parantaa vesihuollon toimintavarmuutta ja kyberturvallisuutta Suomessa. Sen päätoteuttajana toimi Helsingin seudun ympäristöpalvelut ja mukana oli joukko suuria suomalaisia vesilaitoksia.

Yksityiskohtainen selvitys

Mintlyn myyntipäällikkö Joonas Kyytsönen kertoo, että projektissa selvitettiin aluksi tietoturvaa ohjaavat yleiset periaatteet. Tämän jälkeen tutkittiin, miten esimerkiksi tietojärjestelmät, tietoverkot sekä järjestelmätoimittajien ratkaisut ja ohjelmistot ja niiden keskinäiset integraatiot täyttivät tietoturvakriteerit.

”Kartoitimme myös esimerkiksi kirjautumiskäytännöt ja datan säilytystavat. Lisäksi olennaista oli selvittää, kuka mitäkin asiaa hallinnoi ja kuka vastaa vikojen korjauksista ja päivityksistä. Kartoitukseen sisältyi myös henkilökunnan haastatteluja”, Kyytsönen kertoo.

Tapiainen kuvailee, että Porin Vedessä, kuten muissakin vesilaitoksissa, on käytössä lukuisia eri aikaan käyttöön otettuja järjestelmiä ja ohjelmistoja.

”Tämän lisäksi tulevat vielä vesilaitoksen järjestelmiin integroidut ulkopuolisten sidosryhmäläisten ohjelmat, joita tarvitaan vaikkapa etäluettavien vesimittarien lukemiseen ja kun tietoja siirretään laskutukseen. Kokonaisuus ei ole ihan yksinkertainen”, Tapiainen huomauttaa.

Konkreettisia ehdotuksia jatkoa varten

Tapiainen kertoo, että kartoituksen lopputuloksena syntyi raportti konkreettisine toimenpide-ehdotuksineen. Turvallisuussyistä tuloksia ei voi avata yksityiskohtaisesti.

”Se voidaan sanoa, että saimme hyviä lähtökohtia jatkoa varten. Käynnistimme niiden perusteella omat riskiarviointimme ja toimenpiteemme. Hihat on kääritty rullalle.”

Raportin tuloksia on käsitelty soveltuvin osin VESKY-hankkeen työpajoissa, joihin osallistuivat myös Siemens ja Mintly.

”On erittäin tärkeää, että hyviä käytäntöjä esitellään muillekin vesilaitoksille ja kyberturvallisuutta edistävä tieto laitetaan kiertämään. Näin koko yhteiskunta hyötyy hankkeen tuloksista.”

Kotilainen mainitsee kartoituksesta yhden hyvin konkreettisen tuloksen:

”Kartoituksen myötä kävi selväksi, että hankinnoissa kannattaa kiinnittää entistä enemmän huomiota laitteiden ja ohjelmistojen elinkaareen – siihen, että niihin saa varaosia ja päivityksiä myös vaikkapa kymmenen vuoden päästä”, hän huomauttaa.

Hallitus ja toimitusjohtaja vastuussa

Myös huhtikuussa 2025 voimaan tullut EU:n kyberturvallisuusdirektiivi eli NIS2-direktiivi ohjaa vesilaitoksia kiinnittämään entistä enemmän huomiota kyberturvallisuuteen. Sama koskee myös muita kriittisen infran toimijoita, muun muassa ruoantuottajia ja sähköyhtiöitä.

Vesilaitoksissa on tunnistettu yleisiksi kehityskohteiksi muun muassa dokumentaatio, järjestelmällinen riskienhallinta, kumppanuusverkoston parempi hallinta sekä kyberturvallisuuskoulutuksen ja -tietoisuuden kehittäminen.

”Direktiivi velvoittaa vesilaitoksia muun muassa raportoimaan mahdollisista poikkeamista kyberturvallisuuskeskukselle. Mutta jos vesilaitoksella ei esimerkiksi ole näkyvyyttä omaan verkkoonsa, se ei pysty tähän”, Kyytsönen huomauttaa ja lisää, että pienemmille vesilaitoksille direktiivi lupaa poikkeuksia.

Direktiivin painoarvoa nostaa se, että yrityksen hallitus ja toimitusjohtaja ovat vastuussa laiminlyönneistä henkilökohtaisella tasolla ja niistä voidaan määrätä isot sakot.

Matka jatkuu

Tapiainen miettii, että vesilaitosten on huolehdittava siitä, että niiden laitteistot ja järjestelmät ovat mahdollisimman turvallisia, ja niitä käytetään sovitulla tavalla.

”On myös ymmärrettävä, että koskaan ei tule sellaista hetkeä, jolloin voidaan huokaista, että no niin, nyt kyberturvallisuus on kunnossa. Kyberturvallisuus on huomioitava kaikessa toiminnassa, koko ajan ja erityisesti silloin, kun toiminta muuttuu tai käyttöön otetaan uutta tekniikkaan. Maaliin ei päästä koskaan.”