Kriittisen infran (energia, vesi, sähkönsiirto, viestintä, terveydenhuolto, NIS2-säännelty teollisuus) etäkäyttö poikkeaa muista toimialoista yhdellä keskeisellä tavalla: jokainen kirjautuminen, jokainen avattu kamera ja jokainen viety tallenne pitää olla jäljitettävissä jälkikäteen viranomaiselle, auditoijalle ja sisäiselle tutkijalle. Tämä audit-trail-vaatimus muuttaa etäkäytön suunnittelua perusteellisesti: kysymys ei ole vain “kuka näkee mitä”, vaan “miten pystymme todistamaan kuka teki mitä jälkikäteen”.
Miksi audit trail rakennetaan etäkäytön pohjarakenteeksi?
NIS2-direktiivin (Kyberturvallisuuskeskus – NIS2) artikla 21 edellyttää, että toimijoilla on toimenpiteet kyberturvallisuusriskien hallintaan. Käytännössä tämä tarkoittaa, että etäkäyttö pitää olla rakennettu niin, että jokainen tapahtuma jättää jälkensä:
Audit-trail-tason lokitiedot:
- Kuka kirjautui (käyttäjätunnus + laitteen tunniste)
- Milloin (UTC-aikaleima millisekunneilla)
- Mistä (IP-osoite, sijainti, verkkoarkkitehtuurin segmentti)
- Mitä kameroita avattiin (kanavalista aikaleimoilla)
- Mitä tallenteita haettiin (haut, suodattimet, aikajaksot)
- Mitä vietiin järjestelmästä ulos (tiedostokoot, vastaanottaja, perustelu)
- Kuka hyväksyi mahdollisen viennin (kahden hengen kuittaus)
Tämä on enemmän kuin pelkkä kirjautumistilasto: se on jäljitettävyysketju, joka kestää oikeudellisen tarkastelun. Energialaitoksen poikkeama yöllä klo 23:18 voi olla joko inhimillinen virhe tai aktiivinen tunkeutuminen – pelkkä tallennusketju ilman audit trailia ei erota näitä toisistaan.
Miten kahden hengen vahvistus rakennetaan etäkäyttöön?
Tallenteen viemiseen pitää vaatia kahden eri käyttäjän hyväksyntä (4-eyes principle). Tämä koskee erityisesti tilanteita, joissa tallenne sisältää operatiivisesti arkaluonteista tietoa: laitoksen verkkokartoitusta, henkilökunnan reittejä, valvontavälinpiteitä tai infrastruktuurin haavoittuvuuksia.
Käytännön työnkulku: päivystäjä avaa tallenteen ja merkitsee “valmis vientiin” + perustelu (esim. “Pyydetty viranomaisselvitys, dnro 2026-1234”). Toinen valtuutettu käyttäjä (esim. turvallisuusvastaava) saa hälytyksen ja joko hyväksyy tai hylkää. Vienti tapahtuu vasta kahden kuittauksen jälkeen, ja molemmat identiteetit + perustelut tallentuvat tallennetiedostoon ja audit trailiin.
Tämä rakenne ehkäisee sisäpiiriuhkaa: yksittäinen käyttäjä, jolla on lailliset oikeudet mutta haitalliset aikeet, ei voi viedä tallenteita huomaamatta. Se myös ehkäisee inhimillisiä virheitä, joissa väärä tallenne menee väärälle vastaanottajalle.
Valmiustilassa toimivalle henkilöstölle mobiilikäyttö pitää rakentaa niin, että kirjautuminen on vahva, näkymä on rajattu roolin mukaan ja jokainen kirjautuminen tallentuu lokiin. Pelkkä salasanasuojattu sovellus ei riitä.
Miten viranomaisyhteistyö rakentuu etäkäytön kautta?
Kriittisessä infrassa viranomaisyhteistyö (poliisi.fi, Suojelupoliisi, Kyberturvallisuuskeskus) ei voi perustua “lähetän tallenteen sähköpostilla” -menettelyyn. Sen sijaan rakennetaan tapauskohtaisia, väliaikaisia ja tarkasti lokitettuja pääsyjä.
Viranomaispääsyn dokumentaatiomalli sisältää: pyytäjän nimen ja virka-aseman, pyynnön diaarinumeron, tarvittavan tallenneajan tarkasti rajattuna (esim. 12.4.2026 klo 02:00–04:30), niiden kameroiden listan jotka liittyvät tutkintaan, pääsyn aikarajan (yleensä 48–72 h), sisäisen hyväksyjän (yleensä turvallisuusjohtaja tai vastaava), ja lopullisen kuittauksen tallenteen luovutuksesta. Jokainen näistä kentistä on pakollinen, ja niiden täyttyminen on edellytys pääsylle.
Tämä rakenne kestää myös oikeudellisen tarkastelun (jos tallenne nousee oikeudenkäyntiin), ja se erottaa luvallisen viranomaisluovutuksen luvattomasta tiedonkäsittelystä. Sen avulla yritys voi myös todistaa, että se on tehnyt yhteistyötä viranomaisten kanssa NIS2-poikkeamatilanteen jälkeen.
NIS2-direktiivi edellyttää kriittisen infrastruktuurin toimijoilta dokumentoitua lokitusta osana kyberturvallisuuden hallintatoimenpiteitä. Tämä tarkoittaa, että etäkäyttö ei voi perustua pelkkään sovellukseen ilman lokitusrakennetta — auditointivalmius on osoitettava sekä sisäisesti että mahdolliselle valvovalle viranomaiselle.
Miten sisäpiiriuhka huomioidaan etäkäytön valvonnassa?
Kriittisessä infrassa suurin yksittäinen tietoturvariski on usein sisäinen käyttäjä, jolla on lailliset oikeudet mutta jonka käyttäytyminen poikkeaa normaalista. Esimerkki: päivystäjällä on lailliset oikeudet katsoa kaikkia kameroita, mutta jos hän kirjautuu järjestelmään klo 03:00 vapaapäivänään ja avaa muuntamotilan kameran tunnin ajaksi, kyseessä on selkeä poikkeama tavanomaisesta toiminnasta.
UEBA-tason analytiikka (User and Entity Behavior Analytics) etäkäytön päällä havaitsee tällaiset poikkeamat automaattisesti:
- Kirjautuminen tunnista, jolloin käyttäjän ei pitäisi olla työvuorossa
- Tavallista suurempi määrä tallenteita avattu lyhyessä ajassa
- Vienti ulkomaiseen IP-osoitteeseen tai tuntemattomaan laitteeseen
- Kirjautuminen kahdesta eri sijainnista samaan aikaan (impossible travel)
- Pääsy kameroihin, joita käyttäjä ei ole koskaan aiemmin katsonut
Hälytys ohjataan suoraan tietoturvavastaavalle, ei vain lokirivinä. Tämä on yhdistettävissä SIEM-järjestelmään, jolloin kameravalvonta on osa kokonaiskyberturvallisuusarkkitehtuuria – ei erillinen siilo. NIS2:n riskienhallintavelvoite täyttyy vain tällä tasolla.
Etäkäyttö kriittisessä kohteessa – dokumentoitu ja auditoitava
Roolipohjainen pääsy, NIS2-yhteensopiva lokitus ja suljettu yhteys.
Pyydä infrakartoitusMilloin kriittisen kohteen etäkäyttö vaatii erityissuunnittelua?
Kriittisen infran etäkäyttö rakennetaan kolmen periaatteen päälle: audit trail kestää oikeudellisen tarkastelun (jokainen tapahtuma jäljitettävissä), kahden hengen vahvistus tallenteiden viennissä (sisäpiiriuhka hallinnassa) ja viranomaisyhteistyö dokumentoituna prosessina (aikarajatut väliaikaiset pääsyt). UEBA-analytiikka päällä tunnistaa poikkeavat käyttäytymismallit automaattisesti. NIS2-vaatimukset täyttyvät vain tällä tasolla. Suunnittele kriittisen infran etäkäyttö.
