Helsingin seudun ympäristöpalvelut valitsi Microsoftin tietoturvaratkaisut turvaamaan pääkaupunkiseudun vesi- ja jätehuollon järjestelmiä. Tuloksena on huippuluokan tietoturvainfrastruktuuri, joka tukee kokonaisvaltaisesti HSY:n monitahoista toimintaympäristöä.
Helsingin seudun ympäristöpalvelut HSY on kuntayhtymä, joka tuottaa alueen noin 1,1 miljoonalle asukkaalle vesihuollon ja jätehuollon palveluja sekä tietoa pääkaupunkiseudusta ja ympäristöstä.
Vesi on ihmisten perusoikeus, ja yhtenä HSY:n tärkeimmistä tehtävistä onkin turvata vesihuollon huoltovarmuus. Kriittisissä toimintaympäristöissä, joiden haavoittuvuudet koronapandemia ja Ukrainan sota ovat nostaneet kaikkien tietoisuuteen, myös tietoturvan merkitys on kasvanut entisestään.
”Nykyään uhkia on monenlaisia, sekä fyysisiä että kyberuhkia. HSY toimii huoltovarmuuskriittisissä tehtävissä, joten kehitämme uhkiin varautumista jatkuvasti. Meillä on paljon liiketoimintaa eri toimialoilla ja siten monenlaisia toimintaympäristöjä – prosessiteollisuusmaista toimintaa laitoksissa ja tämän lisäksi yleistä hallinnollista toimintaa. Kaikissa näissä on omat erityispiirteensä, joissa uhat tulee huomioida ja suhtautua niihin asianmukaisin varokeinoin”, kuvailee HSY:n CIO Tero Laitinen.
HSY on tunnistanut tietoturvan strategisen roolin toiminnassaan. Lukuisten laitosten, yli 800 työntekijän, tuhannen työaseman ja tuki- ja pilvipalveluiden muodostaman ympäristön turvaaminen ei ole helppo tehtävä. HSY tiedosti tarvitsevansa tulevaisuuden tarpeisiin mukautuvan tietoturvainfrastruktuurin, joka pystyy vastaamaan moderneihin uhkiin ja kehittyy jatkuvasti.
”Eri liiketoiminnoissamme on käytössä paljon erilaisia ja eri-ikäisiä järjestelmiä sekä kriittistä infrastruktuuria. Tämä vaatii tietoturvan valvontaan ja hallintaan laajamittaiset ratkaisut”, sanoo HSY:n CISO Joonas Väyrynen. ”Meille tärkeää on myös, että tietoturvadata ja -toiminta säilyvät HSY:n omassa ympäristössä ja omassa hallinnassa.”
HSY päätyi toteuttamaan kokonaisturvallisuusjärjestelmän Microsoftin tietoturvaratkaisujen avulla. Kokonaisratkaisu mahdollistaa infrastruktuurin valvonnan laitoksista tuki- ja pilvipalveluihin, laajan näkyvyyden ja reaaliaikaisen tilannekuvan koko ympäristöön. Tietoturvan valvonnasta HSY:n oman ympäristön sisällä vastaa sen valitsema Security Operations Center-toimija.
”Microsoftin kokonaisratkaisun avulla olemme saaneet näkyvyyden alueisiin, joita ei normaalisti perustietoturvatuotteilla olisi kyetty saamaan. Muut toimijat eivät tällä hetkellä pysty tarjoamaan yhtä laajaa ratkaisua”, Väyrynen lisää.
”Tietoturvahankkeen keskeisenä oppina on ollut, että mitä enemmän ympäristöä tarkkailee, sitä enemmän sieltä löytyy myös havaittavaa,” HSY:n CISO Joonas Väyrynen kertoo videolla.
Tietoturvan kehitys on jatkuva prosessi
Tietoturvaratkaisun käyttöönotto onnistui hyvin siitä huolimatta, että käyttöönotto laajan organisaation kaikissa ympäristöissä vaati paljon suunnittelua. Projektin suurimmat haasteet liittyivät siihen, että ICT-toimittajat, kaupungit ja muut HSY:n yhteistyökumppanit saatiin keskustelemaan keskenään ja taipumaan yhteisiin toimintamalleihin. Väyrynen korostaa, että tietoturvainfrastruktuurin rakentaminen ei ole kertaluontoinen projekti, vaan järjestelmän kehitys, laajentaminen ja ylläpito on aina jatkuva prosessi. Tähän pitää organisaation varautua ja varata työhön riittävästi resursseja.
HSY:n työ tietoturvan kehittämiseksi ei rajoitu sen järjestelmiin. Organisaatio on myös panostanut sisäisen tietoturvakulttuurinsa ja henkilöstön tietoturvatietoisuuden kehittämiseen. Lisäksi HSY tekee tiiviisti yhteistyötä muun muassa Kyberturvallisuuskeskuksen kanssa ja on aktiivisesti mukana toimialan tiedonvaihtojärjestöissä, kuten VESI-ISACissa. HSY:llä on toimialojen rajojen ylittävia vaikutuksia ja merkittävä rooli koko Suomen valtakunnallisen kybeturvallisuuden varautumisen ja valmiuden tason nostossa. Organisaatio on toiminnallaan on vaikuttanut monen yksityisen sekorinkin yrityksen tarjoaman palvelun kehitämiseen.
”HSY on ollut Suomessa julkisen sektorin edelläkävijä digitalisaatiossa. Se on toiminnallaan osoittanut, että julkinen organisaatio voi huoltovarmuuskriittisen roolin tuomien laillisten velvoitteidenkin keskellä toteuttaa huippuluokan tietoturvaratkaisun, josta muut alan toimijat ja myös yksityinen sektori voi ottaa oppia”, sanoo Microsoftin tietoturva-asiantuntija Juha Tschokkinen.