Kyberturvallisuus on tänä päivänä käytännössä jokaiselle organisaatiolle olennainen toiminnassa huomioitava kysymys. Yhä useammassa taloyhtiössä on myös internetiin yhteydessä olevaa talotekniikkaa. Digitalisaation lisääntyessä, kyberuhkat koskettavat uusien teknologioiden myötä lisääntyvässä määrin myös asunto-osakeyhtiöitä. Esineiden internet (Internet of Things, IoT) tuo mukanaan verkkoon kytketyt laitteet, joiden tarkoituksena on parantaa asukkaiden turvallisuutta ja elämisen laatua sekä tuoda taloyhtiölle kustannus- ja energiasäästöjä. Asennetut sensorit voivat esimerkiksi mitata lämpötiloja ja siirtää syntyneen datan huoltoyhtiölle, joka toteuttaa tarvittavat toimenpiteet.
Yksittäiset älysensorit, kuten valvontakamerat tai varashälyttimet, ovat yhtä lailla alttiita kyberhyökkäyksille kuin kokonaiset rakennusautomaatiojärjestelmät, joilla voidaan hallinnoida esimerkiksi taloyhtiön lämmitystä ja ilmastointia. Kyberhyökkäyksellä voidaan aikaansaada fyysistä vahinkoa, mutta hyökkäys voi aiheuttaa vahinkoa myös esimerkiksi jakamalla laitteiden keräämiä henkilötietoja ulkopuolisille. Onkin hyvä miettiä seurauksia etukäteen. Mitä esimerkiksi tapahtuisi, jos sosiaalisessa mediassa levinneet kiristyskampanjat siirtyvät taloyhtiön toiminnan kannalta keskeisiin ominaisuuksiin? Jo nyt kaapattuja laitteita on käytetty massiivisiin palvelunestohyökkäyksiin. Taloyhtiön hallitus ja isännöitsijät vastaavat siitä, että asukkaiden ja osakkaiden henkilötietojen käsittely on järjestetty vaatimusten mukaisesti. Asunto-osakeyhtiölaki sääntelee taloyhtiön johdolle asetettavat vaatimukset. Lisäksi johdolle voidaan asettaa velvoitteita yhtiöjärjestyksen kautta. Hallitus huolehtii yhtiön hallinnosta sekä kiinteistön, rakennusten pidon sekä muun toiminnan asianmukaisesta järjestämisestä ja tämä antaa hallitukselle eräänlaisen yleisen toimintavelvoitteen. Isännöitsijän lainmukaisena velvollisuutena puolestaan on hoitaa yhtiön päivittäistä hallintoa hallituksen antamien ohjeiden ja määräysten mukaisesti. Lakisääteisiä velvoitteita voidaan tarkentaa isännöitsijäsopimuksella ja liittämällä sopimukseen esimerkiksi isännöintipalvelujen yleiset sopimusehdot (ISE 2007). Lakisääteisiä velvoitteita ei voida kuitenkaan poistaa tai rajoittaa isännöitsijäsopimuksen avulla.
Sopimukset syyniin taloyhtiössä
Verkkoon kytkettävien laitteiden tietoturvan varmistamista koskeva vastuu on heikosti hahmotettavissa ja toimijat eivät aina ole varmoja, kenelle vastuu kulloinkin kuuluu. Osa rakennusautomaatioratkaisuja tarjoavista yrityksistä ei tästä syystä huolehdi riittävällä tasolla laitteiden tietoturvasta. Sopimusten merkitys onkin tässä asetelmassa erityisen korostunut ja taloyhtiön edustajien tulee huolehtia riittävästä ymmärryksestä jo sopimusneuvotteluvaiheessa. Käytännössä laitteen omistaja on usein vastuussa laitteen tietoturvasta, ellei sopimuksessa laitetoimittajan kanssa ole tietoturvasta erikseen sovittu. Taloyhtiön edustajien tulisikin kiinnittää laitteiden tietoturvaan erityistä huomiota rakennusautomaatioratkaisuja koskevissa sopimuksissa. Toisin kuin monet muut kiinteistöurakat, rakennusautomaatioratkaisut eivät ole kertainvestointeja. Tietoturvan ylläpito ja kehittäminen vaativat jatkuvaa palvelua, mikä tulee huomioida jo sopimusneuvotteluissa ja sopimusta laatiessa.
Tarkkuutta toimittajan valintaan
Hankkiessaan verkkoon yhteydessä olevia laitteita taloyhtiön ei kannata valita automaattisesti halvinta hintaa vaan tulisi myös selvittää, minkälaisen tietoturvan tason laitetoimittaja takaa ja miten toimittaja sitoutuu ylläpitämään riittävää tietoturvaa. On tärkeää selvittää, että toimittaja pystyy tarjoamaan yhtiön kannalta riittävän palvelun koko sopimuskauden ajan. Laitteiden hankkiminen luotettavilta ja tunnetuilta valmistajilta edesauttaa tietoturvan toteuttamista. Sopimuksissa tulisi kiinnittää huomiota ainakin käyttöliittymän suojaukseen ja tietosuojan toteutumiseen. Käyttöliittymien tulisi aina olla suojattuja, sillä kirjautuminen laitteen hallinnointiasetuksiin suoraan internetin välityksellä on usein riittämätön suojakeino. Monet toimittajat tarjoavatkin pääsyä laitteeseen vain toimittajan oman internet-portaalin kautta. Pilvipalveluiden osalta on tärkeää jo EU:n yleisen tietosuoja-asetuksen noudattamisen kannalta, että kerätyn datan sijaintipaikka tiedetään. Laitteiden ylläpitoa helpottaa, mikäli laitteen ohjelmisto päivittyy automaattisesti. Suosimalla automaattisia ohjelmistopäivityksiä tukevia laitteita varmistetaan se, että loppukäyttäjältä vaadittavien erillisten toimenpiteiden laiminlyönti ei aiheuta välitöntä tietoturvariskiä.
Vaikka yksittäinen asukas voikin hallinnoida oman langattoman verkkonsa tietoturvaa, taloyhtiöiden tulisi kiinnittää tietoturvaan huomiota myös tältä osin. Hallituksen jäsenten ja isännöitsijän tulee huomioida tietoturvan riittävä suojaaminen kaikessa toiminnassa. Tietoturvallisuusvaatimukset tulisi huomioida jo rakentamis- tai peruskorjaushankkeen määrittelyvaiheessa. Tietotekniikkaan kuuluvien tilojen, kuten talojakamoiden kunnollinen lukitus on ensimmäinen askel kohti parempaa tietoturvaa. Nykyään talojakamo voi olla murtokohteena perinteistä kellarivarastoa kiinnostavampi, sillä luvatta jakamoon pääsevä henkilö voi päästä käsiksi koko taloyhtiön tietoliikenteeseen. Elektromekaanisella lukitusjärjestelmän avulla saattaakin olla mahdollista helpottaa kulkuoikeuksien jakamista huoltomiehille ja muille urakoitsijoille.
Samuli Lehtonen,
Lexia Asianajotoimiston teknologia- ja IT-sopimusoikeudellinen asiantuntija.
Asianajaja Aleksi Lundén
Lexia Asianajotoimiston rakentamiseen ja asumiseen liittyvien oikeudellisten kysymysten asiantuntija.