alkuun

Kyberuhat kotona ja toimistolla

Kiinteistöjen etäohjattavien järjestelmien tietoturvaan ei kiinnitetä tarpeeksi huomiota. Kyberuhat ovat nykyään mahdollisia kotona ja työpaikalla.
kansalaisturvallisuus kyberuhka turvallisuus

Aalto-yliopiston tietoverkkotekniikan professori Jukka Manner sai kokea kyberhyökkäyksen omalla kohdallaan, kun hänen kesämökkinsä valvontakameraan murtauduttiin verkon yli.

”Huomasin sattumalta, että kameralle perustettu oma sähköpostiosoite, josta sen oli määrä tarvittaessa lähettää murtohälytyksiä, oli joutunut spämmiestolistalle. Hyökkääjä oli murtautunut kameraan saadakseen sähköpostiosoitteen ja salasanan roskapostin lähettämistä varten”, Manner kertoo.

”Se oli halpa IP-kamera, jonka murtamiseen oli löydettävissä ohjeet verkosta. Kohdallani ainoa toteutunut haitta oli, että minun piti ajaa mökille asentamaan ohjelmistopäivitys.”

Vaikka sijaintitietoa ei oltu kirjattu mihinkään, kyberrikolliset olisivat periaatteessa voineet yrittää selvittää mökin sijainnin kameran näkymän perusteella.

”Mikäli tunkeutuja saisi selville, missä osoitteessa turvakamera on, hän näkisi sen avulla, milloin mökissä ollaan paikalla ja milloin ei. Kameran sektorissa ei siten kannattaisi näyttää mitään yleisemmin tunnistettavaa kohdetta. Ja muutenkin tällaisen turvakameran kohdalla on hyvä miettiä, millaisia riskejä sen tietoturvaan liittyy”, Manner pohtii.

”Mitä enemmän suojattavalla asialla on väliä, sitä enemmän kannattaa panostaa turvalaitteen laatuun, varmistaa että tietoturva on kunnossa ja käyttää asennuksessa tarvittaessa myös ammattiapua. Toisaalta jos kameraa ei käytetä varsinaiseen valvontaan, perussuojaus riittää. Itselläni on tuolla samalla mökillä muutaman kympin hintainen turvakamera rannassa, josta katson ainoastaan, ovatko jäät jo sulaneet.”

Kiinteistöautomaatio on tietoturvahaaste

Aalto-yliopiston tietoverkkotekniikan professori Jukka Manner.
Aalto-yliopiston Jukka Manner on huolissaan kiinteistöautomaatioon kohdistuvista kyberuhista. Kuva: Aalto-yliopisto

Verkottuneita ja etäohjattavia kiinteistöautomaation ja -valvonnan järjestelmiä on nykyään valtavia määriä avoimessa internetissä jatkuvien murtoyritysten kohteena. Kyberhyökkäyksissä – kuten kaikissa tietomurroissa – on lisäksi se hankala piirre, ettei niitä välttämättä huomata, ennen kuin riskit toteutuvat muodossa tai toisessa.

”Yksittäisen rakennuksen valaistuksen, ilmastoinnin tai lämmityksen katkeaminen ei paikallisuutensa takia vielä ylitä uutiskynnystä. Tilanne on kuitenkin toinen, jos rikolliset kytkisivät esimerkiksi jonkin kauppaketjun kaikkien myymälöiden vastaavat järjestelmät samanaikaisesti pois päältä tai jos pystytään yhtä aikaa vaikuttamaan suureen määrään omakotitalouksia”, Manner selittää.

”Jos esimerkiksi samalla hetkellä saataisiin kytkettyä päälle satoja tuhansia sähkökiukaita tai muita lämmönlähteitä, se vaikuttaisi suomalaiseen sähköverkkoon kuin bottiverkon palvelunestohyökkäys johonkin verkkopalveluun. Yksityishenkilöiden automaatiojärjestelmillä voisi silloin olla kansallistakin merkitystä.”

Tuhansia kohteita avoimina

Aalto-yliopiston viime vuosina tekemissä suomalaisen verkko-osoiteavaruuden skannauksissa löytyi tuhansia avoimia tai muuten puutteellisesti tietoturvasuojattuja automaatiojärjestelmiä sairaaloista tuulimyllyihin.

”Suurimpaan osaan niistä löytyi myös tiedossa oleva haavoittuvuus. Ja me olemme kohteiden etsimisessä pelkkiä amatöörejä todellisiin kyberrikollisiin verrattuna”, Manner muistuttaa.

Suomalainen kiinteistöautomaation tietoturvan taso on Aallon tutkimuksissa todettu väkilukuun suhteutettuna huonoksi. Hankinnoissa katsotaan vain hintaa, eikä laitteiden päivityksistä aina huolehdita riittävän hyvin.

”Kyberturvassa pitäisi ottaa mallia siitä, miten liikennettä säädellään: käyttäjillä pitää olla ajokortti ja todistus annetusta ajo-opetuksesta, valmistajien pitää tyyppihyväksyttää tuotteensa ja heillä on tuotevastuu, ja laitteet myös katsastetaan määräajoin. Automaatiojärjestelmillä ei ole mitään näistä.”

Täydellistä tietoturvasuojaa ei ole

Tietoturva on jatkuvaa kissa–hiiri-leikkiä, jossa rikollisilla on yleensä jonkinasteinen etumatka, sillä uusia tietoturva-aukkoja löytyy sitä mukaa, kun vanhoja tukitaan. Tietoturvapäivityksistä huolehtiminen on sen takia tärkeää. Siitä pitää yleensä kuitenkin huolehtia itse, sillä varsinkin edullisissa toimilaitteissa laitteen valmistaja tai myyjä eivät yleensä tiedä, kuka laitetta käyttää, eivätkä siten voi varoittaa käyttäjää laitteesta löytyneistä tietoturva-aukoista. Isojen ammattimaisesti ylläpidettyjen kiinteistöjen kohdalla tilanne on toki parempi.

”Laadukas tietoturva maksaa, mutta kalliskaan laite ei välttämättä takaa hyvää tietoturvaa. Valmistajan tietoturvapäivitysten saatavuudesta voi päätellä jotain heidän tietoturvansa yleisestä laadusta. Nykyisin laitteille julkaistaan jo päivityksiä, mutta pidemmän aikavälin tavoitteena pitäisi olla niiden automaattinen päivittäminen vähän samaan tapaan kuin monien tietokone-ohjelmien kohdalla tapahtuu”, Manner sanoo.

”Joka tapauksessa kannattaa tiedostaa, että täydellistä tietoturvaa ei ole: kaikki, mikä on internetissä, on korkattavissa. Eikä tilanne todennäköisesti tule paranemaan, sillä vaikka laitteet ja tietoturvaratkaisut paranevat, niitä tulee jatkuvasti lisää yhä uusille elämän alueille. Alttiina olevien järjestelmien määrä ei siten todennäköisesti pienene.”

Konesalit tulilinjalla

”Erillisverkkojen konesalit, joissa käsitellään ja säilytetään yhteiskunnalle kriittistä tietoa, ovat itsestään selvästi kyberrikollisten kiinnostuksen kohteena”, sanoo Erillisverkkojen tekninen kiinteistöpäällikkö Esa Wörlin.

Wörlin muistuttaa, että konesaleissa sijaitsevien palvelinten tietoturva on niitä ylläpitävien Erillisverkkojen asiakkaiden – kuten teleoperaattorien – vastuulla. Erillisverkkojen tehtävä on huolehtia turvallisesta ja toimintavarmasta ympäristöstä: laitetilojen ja palvelinten fyysisestä turvallisuudesta, verkkoyhteyksistä, virransaannista ja muusta infrastruktuurista – ja niihin kohdistuvien kyberuhkien torjunnasta.

”Täydellistä varmuutta laitetilojemme kyberturvallisuudesta on mahdotonta luvata. Teemme kuitenkin jatkuvaa työtä sen varmistamiseksi.”

Erillisverkkojen tekninen kiinteistöpäällikkö Esa Wörlin.
”Otamme kiinteistöjemme automaatioon kohdistuvat kyberuhat erittäin vakavasti”, Erillisverkkojen Esa Wörlin sanoo.

Palvelimiin kohdistuvien suorien kyberhyökkäysten ohella on mahdollista, että kyberrikolliset pyrkivät lamauttamaan ne häiritsemällä datakeskusten infrastruktuuria kiinteistöautomaatiota ohjaavien järjestelmien kautta.

”Otamme kiinteistöjemme automaatiojärjestelmiin kohdistuvat kyberuhat äärimmäisen vakavasti, ja olemme muun muassa eristäneet järjestelmämme kaikin tavoin avoimesta internetistä. Emme myöskään mahdollista niiden etäohjausta tai niiden säätöarvojen muuttelua verkon yli. Meillä työskenteleville henkilöille, myös alihankkijoiden työntekijöille, tehdään säännölliset turvaselvitykset”, Wörlin sanoo.

”Laitetilojen ylläpitäjältä vaaditaan jatkuvaa paneutumista, jotta vältettäisiin mahdollisten takaporttien syntyminen, sillä laitteistojen verkkotekniikka ja automaatio lisääntyvät sitä mukaa kun niitä uusitaan.”