Kriittisessä infrastruktuurissa heikoin lenkki ei useinkaan ole kamera vaan tapa, jolla kamera on liitetty verkkoon. Kun järjestelmä kytkeytyy kriittiseen toimintaympäristöön, tietoturva ja verkkoarkkitehtuuri eivät ole taustatöitä vaan näkyvä osa riskienhallintaa.
Miten NIS2 vaikuttaa kameravalvonnan verkkoarkkitehtuuriin?
Kyberturvallisuuskeskuksen mukaan NIS2-direktiivissä säädetään kyberturvallisuuden riskienhallinnasta ja hallintatoimenpiteiden perustason velvoitteista. Jos kameravalvonta on osa kriittisen toimijan verkkoa tai toiminnan kannalta olennaista järjestelmäkokonaisuutta, myös sen arkkitehtuuri pitää suunnitella tämän logiikan mukaan.
Tietoturva ja verkkoarkkitehtuuri kriittisessä infran valvonnassa:
- Eristetty verkkosegmentti kameroille ja tallentimille
- Salattu tietoliikenne TLS 1.3 tai IPSec
- Firmware-päivitykset etänä tietoturvallisesti
- Kiinteistöautomaatiosta erotettu: ei yhteistä verkkoa
- Säännöllinen penetraatiotestaus (pentest) suositeltavaa
Miksi segmentointi on käytännön turvallisuutta?
Kameraverkkoa ei pidä ajatella vain lisälaitteina samassa verkossa kuin kaikkea muutakin. Segmentointi, hallitut yhteydet, rajatut integraatiot, tunnistautuminen ja lokitus vähentävät hyökkäyspintaa ja tekevät poikkeamien hallinnasta realistisempaa.
Miksi etäkäyttö on verkkoarkkitehtuurin testi?
Jos etäkäyttö, integraatiot ja päivitykset on rakennettu huolimattomasti, kriittinen järjestelmä muuttuu helposti riskiksi juuri siitä kohdasta, jonka piti lisätä turvallisuutta.
Suomalaisen kriittisen infran verkkoturvallisuusvaatimukset
Traficomin Kyberturvallisuuskeskus suosittelee kriittisen infrastruktuurin kameraverkoille vähintään IEEE 802.1X -porttikohtaista tunnistautumista ja VLAN-segmentointia. Suomessa vesilaitokset, energiantuotanto ja tietoliikenne kuuluvat NIS2-direktiivin soveltamisalaan, jolloin kameraverkon tietoturva-auditointi on osa lakisääteistä riskienhallintaa. IEC 62443 -standardin mukaisessa arkkitehtuurissa kamerat ja tallentimet sijoitetaan omaan vyöhykkeeseensä, jossa liikenne suodatetaan palomuurilla ja etäkäyttö toteutetaan VPN-tunnelilla ilman julkisia IP-osoitteita. Firmware-päivitysten hallinta on erityisen tärkeää, koska päivittämättömät IP-kamerat ovat yksi yleisimmistä hyökkäysvektoreista teollisuuden IoT-ympäristöissä.
Kameraverkko segmentoituna ja NIS2-yhteensopivana
Tietoturva-arvio: etäkäyttö, integraatiot ja firmware-hallinta kunnossa.
Pyydä infrakartoitusMilloin kameraverkon tietoturva-arvio on kriittisessä kohteessa pakollinen?
Tietoturva-arvio on pakollinen silloin, kun kameraverkko on yhteydessä kriittiseen operatiiviseen verkkoon, etäkäyttöä toteutetaan ulkoverkon kautta tai NIS2:n soveltamisala kattaa kyseisen toimijan.
