Kriittisessä infrastruktuurissa etäkäyttö on samalla välttämätön ja riskialtis. Näkyvyyttä tarvitaan nopeasti, mutta väärin toteutettuna juuri etäkäyttö voi avata järjestelmään liian laajan hyökkäys- tai väärinkäyttöpinnan. Kriittinen infrastruktuuri — energia, vesi, liikenne, terveydenhuolto — edellyttää jatkuvaa tilannetietoisuutta myös silloin, kun päivystäjä ei ole fyysisesti paikalla. Samaan aikaan tällainen ympäristö on kyberhyökkäysten aktiivinen kohde, joten jokainen hallitsematon etäyhteys on potentiaalinen haavoittuvuus. Etäkäytön hyödyt realisoituvat vain, jos toteutus on rakennettu hallitusti alusta alkaen.
Mobiili on nopea, mutta ei saa olla huoleton
Kenttätilanteessa, valmiudessa tai päivystysroolissa mobiilikäyttö voi olla ainoa realistinen tapa muodostaa tilannekuva nopeasti. Siksi sen pitää toimia varmasti, mutta tarkasti rajattuna.
Tyypillinen kenttätilanne: vartija tai päivystäjä saa hälytyksen klo 3 yöllä. Hän tarkistaa puhelimella, onko kyseessä todellinen tapahtuma vai tekninen vika, ja päättää sen perusteella, lähettääkö kohteelle henkilöstöä. Tämä edellyttää, että mobiiliyhteys toimii välittömästi ja näyttää oikeat kamerat — mutta ei enempää kuin tarvitaan.
Suojaamaton mobiiliyhteys kriittiseen ympäristöön on suora turvallisuusriski. Jos puhelin katoaa, käyttäjä vaihtuu tai tunnistautuminen on heikko, ulkopuolinen voi saada näkymän järjestelmään ilman, että kukaan huomaa. Kriittisessä infrassa tämä ei ole teoreettinen uhka — se on konkreettinen hyökkäyspinta, johon kohdistuu tiedusteluliikennettä säännöllisesti.
Valmiustilassa toimivalle henkilöstölle mobiilikäyttö pitää rakentaa niin, että kirjautuminen on vahva, näkymä on rajattu roolin mukaan ja jokainen kirjautuminen tallentuu lokiin. Pelkkä salasanasuojattu sovellus ei riitä.
Työasema on audit trailin ja syväselvityksen väline
Usean kameran rinnakkainen näkymä, lokien vertailu, tallenteiden vienti ja integraatioiden tarkempi tarkastelu kuuluvat työasemaan, eivät kevyeseen peruskäyttöön.
Audit trail tarkoittaa käytännössä sitä, että järjestelmä tallentaa jokaisen etäkäyttötapahtuman: kuka kirjautui sisään, milloin, mistä laitteesta, mitä kameranäkymiä avattiin ja mitä toimenpiteitä tehtiin. Tämä ei ole vain tekninen ominaisuus — se on edellytys sille, että poikkeamatilanteet voidaan selvittää jälkikäteen ja vastuut voidaan osoittaa luotettavasti.
Rinnakkainen usean kameran näkymä on kriittisessä ympäristössä välttämätön esimerkiksi silloin, kun tapahtuma ulottuu useammalle alueelle samanaikaisesti. Energialaitoksella voi olla tilanne, jossa sisäänkäyntiä, laitehalleja ja teknistä tilaa pitää seurata yhtä aikaa — mobiililla tämä ei onnistu hallitusti. Työasemakäyttö on silloin oikea väline.
NIS2-direktiivi edellyttää kriittisen infrastruktuurin toimijoilta dokumentoitua lokitusta osana kyberturvallisuuden hallintatoimenpiteitä. Tämä tarkoittaa, että etäkäyttö ei voi perustua pelkkään sovellukseen ilman lokitusrakennetta — auditointivalmius on osoitettava sekä sisäisesti että mahdolliselle valvovalle viranomaiselle.
Etäkäyttö on valvottava osa järjestelmää
Kun lokitus näyttää, kuka teki mitä ja milloin, etäkäyttö muuttuu hallituksi toiminnoksi eikä hallitsemattomaksi näkyvyydeksi. Tämä on kriittisessä ympäristössä vähimmäisvaatimus, ei lisäominaisuus.
Pelkkä tallentaminen ja lokitus eivät ole sama asia. Tallennus tarkoittaa, että kamerakuva tallennetaan myöhempää katselua varten. Lokitus tarkoittaa, että järjestelmä kirjaa, kuka etäkäyttäjistä katsoi mitäkin tallennetta, milloin ja millä laitteella. Ilman lokitusta tallenteita voidaan katsella tai viedä ulos niin, ettei siitä jää mitään jälkeä — tämä on kriittisessä ympäristössä suora haavoittuvuus.
Käytännön esimerkki: energialaitoksella havaitaan poikkeama, jossa prosessitilojen kameraa on käytetty etänä klo 23 ilman kirjattua päivystysajankohtaa. Jos lokitusta ei ole, tapahtumaa ei voida selvittää. Jos lokitus on kunnossa, voidaan jäljittää käytetty laite, käyttäjätili ja yhteyden muodostamistapa — ja arvioida, oliko kyseessä inhimillinen virhe vai tietoturvapoikkeama.
Lokituksen rakentaminen osaksi etäkäyttöä tarkoittaa teknistä toteutusta, mutta myös vastuunjakoa: kenen tehtävä on seurata lokeja, kuinka usein ja mitä merkintä “epäilyttävästä kirjautumisesta” laukaisee. Kriittisessä infrastruktuurissa tämä prosessi pitää suunnitella etukäteen, ei vasta jälkeenpäin.
Etäkäyttö kriittisessä kohteessa – dokumentoitu ja auditoitava
Roolipohjainen pääsy, NIS2-yhteensopiva lokitus ja suljettu yhteys.
Pyydä infrakartoitusMilloin kriittisen kohteen etäkäyttö vaatii erityissuunnittelua?
Erityissuunnittelu on tarpeen silloin, kun kohde toimii 24/7 ilman jatkuvaa paikallista valvontaa, etäkäyttäjillä on eri roolit ja pääsyoikeudet, tai NIS2 (Kyberturvallisuuskeskus – NIS2) edellyttää dokumentoitua ja auditoitavaa etäkäyttömallia. Suunnittelematon etäkäyttö on jo itsessään riski: se kasvattaa hyökkäyspintaa, hankaloittaa poikkeamien selvitystyötä ja voi estää NIS2-vaatimusten täyttämisen kokonaan.
