Yli 300 miljoonaa matkaa vuodessa, satojatuhansia maksusuorituksia kuukaudessa, noin 25 000 lähtöä joka arkipäivä ja tuhansia reittihakuja joka tunti. Helsingin seudun liikenteen eli HSL:n palveluissa ja verkossa liikkuu valtavasti dataa. Niiden avulla kuntayhtymä pitää huolen, että kymmenien tuhansien ihmisten päivittäiset matkat sujuvat niin arkena kuin pyhänä. HSL:n tietoturvapäällikkö Petri Kukko kertoo, että digitalisaation myötä palvelut ovat parantuneet, mutta samalla myös kyberhyökkäysten pinta-ala on kasvanut. HSL onkin päättänyt satsata kyberturvallisuuteen ja pitää huolta siitä, että sen järjestelmät ja palvelut on rakennettu niin, että niitä on sekä helppoa, sujuvaa että turvallista käyttää.
Petri Kukko myöntää, että HSL on kohdannut palvelunestohyökkäyksiä. Yhtymä seuraa jatkuvasti omaa kyvykkyyttään, peilaa sitä maailman tilanteeseen ja turvallisuuden tilannekuvaan.
– Riskitaso palvelunestohyökkäyksiin on kasvanut. Tähän liittyy esimerkiksi Suomen muuttunut rooli kansallisella tasolla. Riskitason kasvuun meidän pitää julkisia palveluja tuottavana laitoksena tietysti varautua. Tällä hetkellä tilanne on se, että kyberhyökkäyksillä halutaan haitata palveluiden tarjoamista ja mitä suurempaan massaan voidaan vaikuttaa, sen mielenkiintoisempi kohde on.
HSL:ssä nähdään, että valmistautuminen kyberturvallisuuteen ja osaamisen vahvistaminen on tärkeää yksinkertaisesti siksi, että yhtymän on varmistettava asiakkaiden mahdollisuus käyttää palveluja vuorokauden kaikkina aikoina.
– Asiat digitalisoituvat ja sen myötä hyökkäyspinta-ala kasvaa. Riskit kasvavat siinä ohessa ja tämä luo vaatimukset suojautumiselle.
”Turvallisuuden ja asiakaspalvelun balanssi on pidettävä sellaisena, että palveluja on sekä mukava että turvallinen käyttää.”
-Petri Kukko
Haastava toimintaympäristö ja miljoona tuomaria
HSL:n toimintaympäristö tarjoaa omat haasteensa tietoturvalle. HSL:n tuhannet liikennevälineissä ja asemalle sijaitsevat lippulukijat muodostavat oman iot-järjestelmänsä, joka kommunikoi jatkuvasti.
– Laitteidemme pitää toimia pakkasessa, tärinässä ja helteessä. Ne ovat tuolla asemilla ja kaduilla kaikkien käytettävissä. Ne ovat näkyvillä ja framilla, Petri Kukko muistuttaa.
HSL:n asiakkaat odottavat sekä laitteilta että palveluilta sujuvaa käyttökokemusta. Petri Kukon mukaan tämä asettaakin tietoturvan kehittämiselle oman vaatimuksensa.
– Meidän on oltava asiakkaidemme luottamuksen arvoisia. Se tarkoittaa, että tuotamme turvallisia ja joustavia palveluja, joita tietoturva ei kuitenkaan saa sotkea. Turvallisuuden ja asiakaspalvelun balanssi on pidettävä sellaisena, että palveluja on sekä mukava että turvallinen käyttää. Tämä vaikuttaa meidän riskienhallinnan työhön ja meidän pitää se ymmärtää. Meillä on noin miljoona ”tuomaria” eli asiakasta arvostelemassa työtämme, hän selvittää.
Kyberturvallisuus otetaan HSL:ssä tosissaan ja Petri Kukon mukaan myös HSL:n johto on hyvin kyberorientoitunutta.
– Saamme tukea tekemisellemme ja meillä on kaikki eväät toteuttaa turvallisia palveluja, hän summaa.
HSL on mukana sekä kansallisessa julkisen liikenteen ja palvelutoimittajien verkostossa että globaalissa organisaatiossa, joissa molemmissa seurataan ja kehitetään yhdessä myös tietoturvaa. Lisäksi Petri Kukko seuraa omaa asiantuntijuusalaansa kansainvälisesti.
– Olemme ajan hermolla ja seuraamme alaa jatkuvasti. Kyberturvallisuuden kehittäminen on kilpajuoksua, jossa puolustavan puolen pitää olla jatkuvasti hereillä.
Syvää yhteistyötä yhdessä tehden
Petri Kukko muistuttaa, että HSL:n palvelut kattavat kaikki matkustajan tarvitseman palvelukokonaisuuden osat: liikkumiseen liittyvät palvelut, matkustusoikeudenostot, liikenteen suunnittelun, matkaketjuun liittyvät palvelut ja liikennevälineet, joita operaattori hoitaa.
HSL kilpailutti keväällä 2023 kyberturvallisuuden asiantuntijapalvelut ja hankki näin laajasti lisää asiantuntijaosaamista. Consultor solmi puitesopimukset kilpailutuksen kaikilla neljällä kilpailutetulla osa-alueella. Niinpä vuonna 2019 alkanut yhteistyö jatkuu nyt entistä tiiviimpänä, kun Consultor toimittaa HSL:lle laajasti kyberturvallisuuden asiantuntijapalveluja esimerkiksi valmiussuunnittelussa ja tietoturva-auditoinneissa.
Consultorin asiantuntijan Pekka Ryhäsen mielestä juuri HSL:n palvelujen laajuus tekee HSL:n ja Consultorin yhteistyöstä mielenkiintoisen.
– HSL:n palvelut jakautuvat laaja-alaisesti eri sektoreille, niiden kyberturvallisuuden hallintaan tarvitaan monenlaista osaajaa. On ymmärrettävä esimerkiksi tietoturvaa niin hallinnolliselta, tekniseltä tai vaikkapa maksamiseen liittyvästä kulmasta, hän sanoo.
Pekka Ryhäsen mukaan HSL:n kyberturvallisuuden kehittämien ja riskien hallinnointi on merkityksellistä työtä myös Consultorin asiantuntijoiden näkökulmasta.
– HSL on tunnettu organisaatio ja moni myös asiantuntijoista käyttää päivittäin sen tarjoamia palveluja. Oma työ tuntuu merkitykselliseltä, kun se kantaa oman arjen kokemuksiin asti, hän summaa.
HSL:n Petri Kukon mukaan Consultorin asiantuntijoilta odotetaan nimenomaan erilaisten osa-alueiden syväosaamista ja perehtymistä. Osa Consultorin asiantuntijoista työskentelee HSL:n toimistolla, osa etänä. Pääasia on, että töitä tehdään yhdessä.
– Tietoturvaa johdetaan ihmisten keskellä. Vältän yhteistyössä jäykkää protokollaa. Haemme todellista kumppanuutta, jossa kaikki ovat osa tiimiä – olivatpa työssä Consultorilla tai HSL:llä. Pääasia on, että saamme tuloksia aikaan. Se onnistuu, kun työ motivoi eteenpäin ja ihmiset ovat innostuneita työstään. Haemme yhteistyöhön pitkiä kumppanuuksia ja ”luotopakki”-konsultteja.
Petri Kukon mukaan hyvän konsultin merkki on, jos hän osaa kysyä kuinka tärkeä työn alla oleva asia on.
– Se osoittaa, että konsultti ajattelee ja haluaa vuoropuhelun avulla löytää ne oikeat ratkaisut. Mielestäni tämä vaikuttaa suoraan palveluiden käytettävyyteen ja myös kustannuksiin.
Pekka Ryhänen allekirjoittaa saman näkemyksen.
– Meille on mielekästä tehdä työtä, kun pääsemme organisaation sisälle. Consultor tunnetaan helposti lähestyttävänä ja ketteränä kumppanina. Meillä ei tarvitse ottaa yhteyttä help-deskiin ja täyttää tilauskaavakkeita. Toimintatapamme on nopeus ja laatu. Uskomme, että luottamus syntyy työtä yhdessä tekemällä.
Lue lisää tietoturvasta ja ota yhteyttä, niin keskustellaan yrityksenne tietoturvaan liittyen.
Hyödynnämme evästeitä varmistaaksemme Sinulle parhaan mahdollisen palvelun. Voit hallinnoida itse, mitä evästeitä palvelussa otetaan käyttöön ja muuttaa asetuksiasi helposti milloin tahansa.
Välttämättömät
Välttämättömät evästeet auttavat tekemään verkkosivustosta käyttökelpoisen sallimalla perustoimintoja kuten sivulla siirtymisen ja sivuston suojattujen alueiden käytön. Verkkosivusto ei toimi kunnolla ilman näitä evästeitä
Jos poistat nämä evästeet käytöstä, emme voi tallentaa asetuksiasi. Tämä tarkoittaa, että joka kerta kun vierailet tällä verkkosivustolla, sinun on otettava evästeet uudelleen käyttöön tai poistettava käytöstä.
Kolmannen osapuolen evästeet
Sivustomme käyttää Google Analyticsia anonyymien tietojen, kuten sivuston kävijämäärän ja suosituimpien sivujen keräämiseen. Tämän evästeen pitäminen käytössä auttaa meitä parantamaan verkkosivustoamme.
Ota ensin käyttöön välttämättömät evästeet, jotta voimme tallentaa asetukset!
