Kriittinen infrastruktuuri — energiantuotanto, vesihuolto, tietoliikenne, liikenne ja terveydenhuolto — muodostaa yhteiskunnan toimintakyvyn perustan. Suomen CER-laki (laki kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta), joka tuli voimaan 1.7.2025, velvoittaa nimetyt kriittiset toimijat toteuttamaan riskienarvioinnin ja toimenpiteet fyysisten uhkien varalle. Kameravalvonta on näissä kohteissa osa lakisääteistä häiriönsietokykykokonaisuutta, ei itsenäinen turvatekniikkaprojekti. Samanaikaisesti NIS2-direktiivin kansallinen toimeenpano (kyberturvallisuuslaki) edellyttää, että kamerajärjestelmän verkkoarkkitehtuuri, etäkäyttöprotokollat ja ohjelmistopäivitykset kuuluvat organisaation kyberturvallisuuden riskienhallintaan.

Audit trail on kriittisen infrastruktuurin valvonnassa yhtä tärkeä kuin itse videokuva. Viranomaisten ja valvontaelimien — kuten Energiaviraston, Traficomin tai aluehallintovirastojen — on pystyttävä todentamaan, kuka käytti järjestelmää, milloin tallenteita katsottiin ja miten poikkeamat kirjattiin. Lokitietojen tulee olla muuttumattomia ja säilyä vähintään 12 kuukautta. Ilman kattavaa audit trailia kameravalvonta ei täytä CER-lain eikä NIS2-direktiivin todennettavuusvaatimuksia, vaikka itse kamerat ja tallentimet olisivat teknisesti huipputasoa.

Verkkoarkkitehtuurissa kriittisen infrastruktuurin kamerajärjestelmä tulee segmentoida omaan VLAN-verkkoonsa, joka on eriytetty sekä toimisto- että OT-verkoista (operatiiviset teknologiaverkot). IEEE 802.1X -porttikohtainen autentikointi, TLS-salattu videosiirto ja keskitetty SIEM-integraatio muodostavat tietoturvan peruskerroksen. Redundantti tallennus — paikallinen NVR ja etävarmuuskopiointi — varmistaa, että videomateriaali säilyy myös verkkokatkoksen tai fyysisen hyökkäyksen aikana. Tämä kokonaisuus on se, mitä CER ja NIS2 yhdessä vaativat: fyysinen turvallisuus, kyberturvallisuus ja todennettavuus yhdistettynä yhdeksi hallituksi järjestelmäksi.

Energialaitoksen valvomossa tarkistetaan hälytysloki aamulla — ja havaitaan, että yöllä alueella käynyt huoltomies ei kirjaudu mihinkään järjestelmään. Kamera tallentaa, mutta ilman audit trailia ei tiedetä, kuka katsoi tallenteen, kirjattiinko poikkeama vai katosivatko tiedot ennen kuin kukaan ehti reagoida. Juuri tähän CER-laki ja NIS2-direktiivi vastaavat: kameravalvontaa ei enää käsitellä irrallisena turvatekniikkana, vaan osana resilienssiä, varautumista ja todennettavuutta — kokonaisuutena, jossa jokainen lenkki on kirjattava.

Miksi näkyvyys on kriittisessä infrastruktuurissa osa jatkuvuutta?

Teollisuushalli kameravalvonnassa – suuren teollisuustilan kattava valvontajärjestelmä

Jos kohde on yhteiskunnan kannalta kriittinen, valvonnan pitää tukea häiriönsietokykyä, ei vain tallentaa poikkeamaa jälkikäteen. Tämä tarkoittaa fyysisen turvallisuuden, valvottavien alueiden, kulun, lokien ja etäkäytön yhteensovittamista.

Kriittisen infrastruktuurin kameravalvonnan pääominaisuudet:

NIS2-direktiivi (EU 2022/2555) edellyttää turvallisuustoimenpiteitä
Fyysinen turvallisuus: perimetri, kulunvalvonta, kameravalvonta
Kybersoveltuvuus: suljettu verkko, salattu tietoliikenne
Audit trail: kaikki tapahtumat lokiin viranomaisvaatimuksiin
Redundanssi: varmennettu tallennus ja 24/7-valvonta

Miksi audit trail on yhtä tärkeä kuin itse videokuva?

Kriittisessä ympäristössä ei riitä, että tapahtuma näkyi kameralle. Olennaista on myös, kuka katsoi tallenteen, milloin järjestelmään kirjauduttiin, mitä integraatioita käytettiin ja miten poikkeama kirjautui jälkikäteen.

Tietoturvan valvontanäytöt – kameravalvonnan kyberturvallisuus ja verkon suojaus

Miksi verkkoarkkitehtuuri ei ole vain taustatekniikkaa?

Kun kameravalvonta liittyy kriittiseen toimintaan, verkko, etäkäyttö, lokitus ja segmentointi muuttuvat suoraan liiketoiminnan, varautumisen ja sääntelyn kysymykseksi.