Liikenne- ja viestintävirasto Traficomin vuosien 2020–2022 raideliikenteen turvallisuusohjelman tärkeimpiä päämääriä ovat turvallisuuden ja toimintavarmuuden parantaminen. Osana turvallisuusohjelman toteuttamista Traficom on antanut suosituksen kyberturvallisuuden edistämisestä raideliikenteessä. Suositus sisältää perustietoa kyberturvallisuudesta raideliikenteessä ja tuo esiin keinoja kyberturvallisuusuhkiin varautumiseksi.

Traficomin suositus jakautuu kahteen osaan, joista ensimmäinen sisältää keskeistä tietoa kyberturvallisuuden käsitteistä, kyberturvallisuusuhkista ja niiden hallinnoinnista sekä kyberturvallisuustyöstä raideliikenteessä. Suosituksen toiseen osaan on koottu viraston suositukset, joita raideliikenteen toimijat voivat hyödyntää kyberturvallisuuden kokonaisvaltaisessa kehittämisessään.

- Suosituksen keskeisenä tavoitteena on korostaa, etteivät kyberturvallisuusuhat ja -haavoittuvuudet ole vain monimutkaisten tietojärjestelmien haasteita. Päinvastoin kyberturvallisuus on jo pitkään käytettyihin raideliikenteen operatiivisiin järjestelmiin kohdistuva turvallisuuden osa-alue, jota tulee kehittää monipuolisesti ja kattavasti, liikennejärjestelmäpalvelut-osaamisalueen johtaja Pietari Pentinsaari sanoo.

Sekä raideliikenteen operatiiviset että informaatiojärjestelmät sisältävät haavoittuvuuksia, joihin kirjoltaan laajat kyberturvallisuusuhat ja -hyökkäykset voivat kohdistua.

- Koska monet raideliikenteen järjestelmät ovat eri toimijoiden yhteiskäytössä, kyberturvallisuuden kehittämiseksi on tehtävä työtä yhdessä ja kokonaisvaltaisesti.

Traficom esittää suosituksessa, että raideliikenteen toimijoiden tulisi mahdollisuuksien mukaan yhdistää kyberturvallisuuden kehittäminen turvallisuusjohtamisjärjestelmän tai kansallisen turvallisuuden hallintajärjestelmän parissa tehtävään kokonaisvaltaiseen turvallisuuden kehittämiseen ja johtamiseen.

Traficom suosittelee lisäksi, että raideliikenteen toimijat huomioisivat suosituksen toimenpiteet 1.6. 2021 mennessä selvittämällä toimintansa kyberturvallisuuden kehityskohteet ja määrittäisivät tarvittavat toimenpiteet oman kyberturvallisuustahonsa kehittämiseksi.

Kyberturvallisuutta osin koskeva Traficomin uusi määräys valmiussuunnittelun järjestämisestä liikennejärjestelmässä (TRAFICOM/308489/03.04.04.00/2019) tulee sovellettavaksi 1.6. 2021.

Traficomin Kyberturvallisuuskeskus julkaisee syksyllä 2020 kansallisen, suomenkielisen riskienhallinnan arviointikehyksen ja työkalun, Kybermittarin. Kybermittari mahdollistaa organisaation kyberturvallisuuden itsearvioinnin, joka tuottaa organisaatiolle välittömiä havaintoja omista kyberturvallisuuden kehityskohteistaan. Kybermittari perustuu mm. kansainvälisiin C2M2 ja NIST-kybermaturiteettimalleihin. Kybermittarista on saatavilla lisää tietoa https://www.kyberturvallisuuskeskus.fi/fi/kybermittari..

Euroopan unionin verkko- ja tietoturvaviraston (ENISA) odotetaan julkaisevan lähiaikoina rautatiesektoria koskevan kyberturvallisuussuosituksen. ENISA:n julkaisut ovat saatavilla https://www.enisa.europa.eu/publications.

Traficomin suositus on työstetty yhteistyössä raideliikenteen toimijoiden kanssa ja Traficomin tarkoituksena on jatkaa yhteistyötä tulevana syksynä järjestettävän 3. kyberturvallisuustyöpajan merkeissä. Työpajassa on tarkoitus keskustella mm. konkreettisista tavoista suosituksen toimenpiteiden toteuttamiseksi sekä raideliikenteen toimijoiden kyberturvallisuusyhteistyön kehittämisestä sekä kertoa lisää mm. Kybermittarista.