”Tieto siirtyy samalla tavalla fyysisessä kaapelissa kuin langattomasti, mutta langattomaan verkkoon voidaan päästä käsiksi eri tavalla. Ykkösvaatimus on, että langattoman tietoliikenteen täytyy olla salattua. Kun langaton valaistuksenohjaus suunnitellaan huolella, rakennetaan oikein ja pidetään ajan tasalla, ei tietoturvasta tarvitse huolestua”, kertoo Orasaari, joka toimii yrittäjänä sähkösuunnittelua ja konsultointipalveluita tarjoavassa SSVP Finlandissa.
Käyttöympäristö asettaa raamit myös tietoturvalle
Valaistusta ja sen ohjausta määrittävät aina tilan luonne ja käyttötavat. Sama pätee tietoturvaan: ostoskeskuksella, tehtaalla ja asuintalolla on erilaiset tarpeet turvallisuuden suhteen, ja ne on otettava suunnittelussa huomioon.
”Erilaiset tilat käyttötarkoituksineen vaativat erilaista tietoturvan tasoa. Lisäksi eroja on esimerkiksi siinä, onko ulkopuolisilla pääsy tilaan. Tehdasympäristöön verkkojen ulottuville eivät sivulliset yleensä pääse, mutta kauppakeskuksissa ja lentoasemilla on paljon ihmisiä, joilla voi olla aikaa tutkia asioita. Eri ympäristöissä on siis tärkeää huomioida erilaiset uhat.”, pohtii Orasaari.
Vastuu tietoturvasta on jokaisella ketjun lenkillä
Langattoman valaistuksenohjauksen tietoturva ei ole yksittäisen tahon tai henkilön vastuulla, vaan se on ketju, joka jatkuu laitevalmistajasta aina tilaajaan ja tilan käyttäjään. Kun jokaisella on ammattitaito tai tarvittava osaaminen oman osansa hoitamiseen, vältytään yllätyksiltä sekä turhalta huolelta ja työltä.
Valmistaja
Laitteen valmistaja on vastuussa siitä, että lähtökohdat ja käytetty teknologia ovat turvallisia. Tiedon langattomaan siirtämiseen on käytettävä tietoturvallisia protokollia, ja salauksen on oltava riittävän vahvalla tasolla. Valmistajan vastuulla on lisäksi elinkaaren hallinta: laitteille on tarjottava päivityksiä myös tulevaisuudessa.
”Luotettava laitetoimittaja edustaa vain laitteita, joiden toiminnallisuudet on tunnistettu turvallisiksi ja joihin on saatavilla säännölliset päivitykset. Airamilla on osaamista huolehtia edustamisensa laitteiden tietoturvasta ja vastata asiakkaan kysymyksiin. Yksi hyvä esimerkki on myös Cozify, jonka laitteilla on Traficomin myöntämä tietoturvamerkki. Se itsessään edellyttää päivityksiä ja elinkaaren hallintaa”, Orasaari sanoo.
Suunnittelija ja urakoitsija
Turvallinen teknologia on tärkeää, mutta tietoturvan ketju ei saa katketa vääränlaiseen suunnitteluun tai toteutukseen. Langaton valaistuksen ohjaus tuleekin rakentaa ympäristön varsinaisesta toiminnasta eriytettyyn verkkoon. Tällä tavoin yhden verkon haavoittuvuus ei uhkaa muuta toimintaa. Tietoturvakriittisissä kohteissa valaistuksenohjaus kannattaa lisäksi hajauttaa tilakohtaisesti eri verkkoihin.
”Itse valaisin ei ole hakkerille niinkään mielenkiintoinen kohde, mutta jos suunnittelussa hutiloidaan ja valaisimen kautta on pääsy vaikkapa yrityksen verkkoon, on siinä isommat riskit.”
Kun uutta järjestelmää otetaan käyttöön, on myös varmistettava, ettei tyydytä valmistajan määrittelemiin oletusasetuksiin ja -salasanoihin. Suunnittelijan on hyvä ohjata tilaaja vaihtamaan salasanat ja määrittämään verkon suojausavain. Käyttöönotossa pitäisi käydä läpi lisäksi se, miten järjestelmää ylläpidetään.
Tilaaja ja käyttäjä
Lopullinen vastuu valaistuksen ohjausjärjestelmän ylläpidosta on tilaajalla. Avainasia on säännöllisyys: tarvitaan selkeät prosessit siihen, että järjestelmän tila, korjaustarpeet ja ajantasaisuus tarkistetaan esimerkiksi vuosittain.
”Samalla tavalla kuin huoltoyhtiö puhdistaa säännöllisesti rännit, tulisi tietoturvankin ylläpidossa huolehtia tasaisin väliajoin siitä, että kaikki on kunnossa ja ajan tasalla. Se vain on helppo unohtaa ja vaikea perustella, sillä tietoturva on vuosihuollon kohteena näkymätön”, Orasaari naurahtaa.
Ketjun päässä voi olla vielä esimerkiksi vuokralainen, joka säätää valaistusta päivittäin. Orasaari näkee, että loppukäyttäjästä voidaan tehdä tietoturvan vahvin lenkki.
”Ajattelen, että usein käyttäjää torutaan turhaan. Tietoturvakoulutuksella voidaan tuoda kaikille tarvittavaa osaamista ja ymmärrystä siitä, miten on hyvä toimia. Ennen kaikkea on tärkeää luoda kulttuuri, jossa vahingoista tai epänormaalista toiminnasta on helppo ilmoittaa eteenpäin ja poikkeamat saadaan tutkittua nopeasti”, Orasaari päättää.