Kuka sammutti valot? Puutteellinen rakennusautomaatiolaitteiden suojaus verkossa altistaa kyberuhille

Rakennusautomaatiolaitteiden ja -järjestelmien vanhoissa päivittämättömissä versioissa on usein tunnettuja tietoturvahaavoittuvuuksia ja niiden suojauksissa voi olla puutteita. Automaatiojärjestelmille olisi hyvä olla huoltosopimus asiantuntevan tahon kanssa. Näissä sopimuksissa olisi syytä ottaa kantaa myös järjestelmän suojaamiseen ja tietoturvaan.

Suojaamattomat laitteet näkyvät tietoturvaskannauksessa

Viime vuosina Viestintäviraston Kyberturvallisuuskeskus on kartoittanut suomalaisissa verkkoalueissa toimivia suojaamattomia automaatiolaitteita vuosittain. Kartoituksissamme on käynyt ilmi, että suomalaisissa tietoverkoissa on useita satoja internetiin julkisesti näkyviä rakennusautomaatiolaitteita. Automaatiojärjestelmien keskuslaitteita ja niin sanottuja ala-asemia on yhdistetty suojaamattomasti verkkoon. Laitteet on saatettu yhdistää suojaamattomasti Internetiin, jotta niiden käyttäminen olisi mahdollisimman helppoa eri sidosryhmille (isännöitsijä, kiinteistön omistaja tai huoltoliike).

Havainnoista on ilmoitettu laitteistojen ja järjestelmien omistajille ja ylläpitäjille. Samoja suojaamattomia laitteita löytyy edelleen ja mukaan on ilmestynyt myös uusia laitteita. Tietoturva-aukkoja on löytynyt esimerkiksi lämmityksen ja ilmastoinnin ohjausjärjestelmistä, aurinkosähköjärjestelmien vaihtosuuntaajista, vedenmittausjärjestelmistä ja kiinteistöjen lukitusjärjestelmistä.

Suosittelemme, että rakennusautomaatiosta vastaavat tahot päivittävät internetiin kytketyt laitteet uusimpiin versioihin. Mikäli olet laitteiden omistaja, mutta et voi tehdä päivitystä itse, suosittelemme ottamaan yhteyttä ensisijaisesti järjestelmän toimittaneeseen yritykseen tai järjestelmän ylläpidosta vastaavaan yritykseen.

Mikä on rakennusautomaatiojärjestelmä?

Rakennusautomaatiojärjestelmällä tarkoitetaan rakennuksen laitteita ohjaavaa tietotekniikkaa. Tyypillisesti tällaiset järjestelmät ohjaavat rakennuksen ilmanvaihtoa, lämmitystä, valaistusta tai automaattista kulunvalvontaa. Perinteisen tietoverkkoihin kytkemättömän rakennusautomaation tietoturvallisuudesta voi huolehtia pelkällä tilaturvallisuudella. Kun järjestelmä kytketään verkkoon erilaisten keskuslaitteiden tai ala-asemien kautta, syntyy kyberuhkille altista pintaa. Rakennusautomaatiolaitteita käytetään erilaisissa rakennuksissa omakotitaloista suuriin liikekiinteistöihin.

Suojaamattomat rakennusautomaatiolaitteet houkuttelevat kyberrikollisia

Suojaamattomana internetissä oleva laite on houkutteleva kohde verkkorikollisille. Laitteen voi valjastaa esimerkiksi osallistumaan palvelunestohyökkäyksiin, lähettämään roskapostia tai laite voi tarjota helpon pääsyn rakennusautomaatiojärjestelmään sekä rakennuksen sisäverkkoon.

Kyberturvallisuuskeskus pyytää ottamaan rakennusautomaation suojauksiin liittyvät asiat esille esimerkiksi asunto-osakeyhtiöiden vuosikokouksissa. Isännöitsijät ja muut kiinteistöjen ylläpidon ammattilaiset ovat avainasemassa tiedottamaan myös tietoturvauhista asiakkaitaan. Laitteistojen suojaamiseen saa apua esimerkiksi laitevalmistajien tai laitteen jälleenmyyjien kautta.

Rikolliset etsivät verkosta pääsyä automaatiojärjestelmiin automaattisilla menetelmillä ja myös manuaalisesti. Heidän käytettävissään on sekä valmiita automatisoituja työkaluja että omia ohjelmiaan, koneille asennettavia haavoittuvuusskannereita ja julkisia skannauspalveluita kuin perinteisiä hakukoneita. He saattavat käyttää löytämiään järjestelmiä väärin joko itse tai myymällä tiedot eteenpäin. Murrettu laite voi toimia myös porttina yrityksen tai taloyhtiön sisäverkkoon. Automaatiojärjestelmistä saatavan tiedon perusteella rikolliset voivat myös ajoittaa asuntomurrot ajankohtiin, jolloin kukaan ei ole asunnoissa kotona.

Yleisiä vinkkejä rakennusautomaation tietoturvan parantamiseksi

Seuraavat tietoturvavinkit ovat huomion arvoisia:

1. Tietoturvallinen toteutus rakennusprojektin alussa tulee usein paljon edullisemmaksi kuin vastaavan tason saavuttaminen jälkikäteen.
2. Laitevalmistajien ja palveluntarjoajien keskitettyjen hallintaratkaisujen käyttö voi olla hyvä ratkaisu toimijoille, joilla ei ole omia tietoturvaresursseja.
3. Myös mobiililiittymillä yhdistetyt automaatiolaitteet on syytä suojata ja muun muassa poistaa liittymistä mahdollisuus käyttää maksullisia palveluja.

Onko kiinteistössäni suojaamaton rakennusautomaatiolaite?

Rakennusautomaatiolaitteen tunnistaminen suojatuksi tai suojaamattomaksi voi osoittautua vaikeaksi tehtäväksi. Seuraavista vinkeistä on apua tilanteen selvittämisessä.

1. Onko rakennusautomaatiolaite kytketty verkkoon verkkokaapelilla tai langattomasti? Jos laite ei ole verkossa ja vain paikallisesti operoitavissa, sitä ei voi hyväksikäyttää muualta. Huolehdi kuitenkin laitteen fyysisestä suojaamisesta, muun muassa lukituksesta.
2. Jos laite on kytketty verkkoon, ota selvää esimerkiksi isännöitsijän tai kiinteistöhuollon kautta, kuka pääsee käyttämään laitetta ja miten verkkoyhteys on suojattu. Ota tarvittaessa yhteyttä valmistajaan tai laitteen myyjään ja tiedustele sieltä erilaisia ratkaisuita laitteen suojaamiseksi.

Miten toimia rakennusautomaatiojärjestelmien omistajana tai ylläpitäjänä?

Onko käytössäsi automaatiolaitteita, joita pääset käyttämään etäyhteyden avulla?

• Asenna palomuuri tai palomuurin sisältävä reititin tai kytkin laitteen ja internetin väliin: Palomuurissa hyväksytään yhteydenotot tiettyyn porttiin vain tietyistä hyväksytyistä IP-osoitteista ja edelleenohjataan kyseiseen porttiin tulevat hyväksytyt paketit halutulle rakennusautomaatiolaitteelle.
• Asenna VPN-yhteyden sisältävä palomuuri/reititin laitteen ja internetin väliin: Palomuurin takana oleviin laitteisiin saa yhteyden vain ottamalla ensin VPN-yhteyden palomuuriin/reitittimeen.
• Ota käyttöön laitteen sisäinen palomuuri: Säädä laitteen sisäisen käyttöjärjestelmän (esim. Windows) palomuurin asetuksen sellaisiksi, että laitteeseen pääsee käsiksi vain hyväksytyistä IP-osoitteista. Yksittäisen laitteen suojaaminen palomuurilla voi olla kuitenkin ylläpidollisesti hankala toteuttaa.
• Poista käytöstä turvattomat palvelut, esimerkiksi telnet, jos mahdollista.
• Kysy valmistajalta tai laitteen myyjältä, onko laitteelle olemassa keskitettyä ylläpito- ja pääsynhallintaratkaisua.
• Kysy myös palveluoperaattoriltasi, onko yksittäiseen laitteeseen pääsyä mahdollista rajoittaa operaattorin pääsylistoilla. Muista, että tällöin menetät keskitetyn ratkaisun suomat edut.
• Skannaa säännöllisesti omaa verkkoa niin julkisesta internetistä kuin sisäverkostakin. Omaa verkkoa saa ja tulee tutkia säännöllisesti. Huomioi kuitenkin, että ympäristön käytönaikainen skannaaminen rakennusautomaatioverkossa ei ole järkevää vaan on tehtävä suunnitelmallisesti esimerkiksi huoltokatkosten yhteydessä. Tällöin esimerkiksi laiteasetuksissa tehdyt virheet tulevat ylläpidon tietoon, toivottavasti ennen ulkopuolisia. Internetin suunnasta tapahtuvan omien laitteiden ja järjestelmien porttien skannaamisen sen sijaan voi tehdä koska tahansa, koska sitä tapahtuu koko ajan joka tapauksessa. Voit myös hyödyntää muiden tekemien skannausten valmiita tuloksia.

Jos sinulla on rakennusautomaatiolaite kytkettynä suojaamattomana internetiin tai saat ilmoituksen sellaisesta, arvioi mitkä ovat riittävät suojaustoimenpiteet laitteen turvallisen käytön mahdollistamiseksi. Lisätietoa laitteiden suojaamisesta saa valmistajalta tai laitetoimittajalta.

Jos et saa ilmoitusta suojaamattomasta laitteesta, älä silti tuudittaudu turvallisuuden tunteeseen. Kyberturvallisuuskeskus ei ole ehkä vielä havainnut käyttämääsi laitetta tai ilmoitus ei ole saapunut oikeaan paikkaan. Mieti, mitä järjestelmiä sinulla on hallussasi ja miten ne on suojattu. Testaa mitä tietoa löydät omista järjestelmistäsi käyttäen eri työkaluja. Ota tarvittaessa yhteyttä laitteen valmistajaan tai myyjään tarkempien ohjeiden saamiseksi.