• fi
  • en
  • Juho Kess: Tuhannet rakennukset alttiina tietomurroille

    Viestintävirasto on vuodesta 2015 alkaen julkaisut vuosittain selvityksen suojaamattomista automaatiojärjestelmistä suomalaisissa verkoissa. Viraston selvityksessä automaatiolaite tulkitaan suojaamattomaksi, mikäli siihen tai sen kirjautumissivulle on pääsy internetistä. Suojaamattomia rakennusautomaatioon liittyviä laitteita tämän vuoden kartoituksessa löytyi noin 2000 kappaletta.

    Rakennusautomaation järjestelmät liittyvät esimerkiksi lämmitykseen, ilmastointiin, aurinkosähköjärjestelmiin, lukituksiin ja vedenkulutuksen mittaukseen. Näiden lisäksi havaittiin noin 6000 kappaletta erilaisia IoT-laitteita, kuten reitittimiä, modeemeja, tulostimia ja kameroita.

    Suojaamattomiin rakennusautomaatiojärjestelmiin murtautuminen on helppoa. IP-osoitteita voi hakea alueittain ja avoimien porttien skannaukseen löytyy ilmaisia ohjelmia ja jopa hakukoneita, kuten shodan.io ja zoomeye.org. Myös kirjautumissivujen käyttäjätunnusten ja salasanojen hakemiseen löytyy monenlaisia ohjelmia. Suojaamattomuuden aiheuttama uhka on siis todellinen.

    Pääasiassa rakennusautomaatioon kohdistuneiden hyökkäysten tarkoituksena ei ole ollut haitata rakennusten toimintaa, vaan käyttää järjestelmää hyväksi palvelunestohyökkäyksessä muita kohteita vastaan. Palvelunestohyökkäyksessä tyypillisesti tuhannet kaapatut laitteet valjastetaan lähettämään palvelupyyntöjä varsinaiseen hyökättävään kohteeseen. Kohde voi olla esimerkiksi pankin verkkopalvelu, jonka toiminta halutaan estää tietoliikennetulvalla. Tällaisesta luvattomasta käytöstä aiheutuu usein haittaa myös kaapatun laitteen toiminnalle. Voi olla, että järjestelmän säädöt ja ohjaus häviävät, olosuhteet heikkenevät ja energiankulutus kasvaa.

    On myös tapauksia, joissa hyökkäys on tehty tarkoituksella ja suunnitellusti juuri rakennusautomaatiojärjestelmään. Esimerkiksi viime tammikuussa hakkerit saivat itävaltalaisen alppihotellin maksamaan 1500 euron lunnaat hyökkäämällä hotellin lukitusjärjestelmään ja lukitsemalla asiakkaat huoneidensa ulkopuolelle. Murettua rakennusautomaatiojärjestelmää voidaan käyttää myös pääsyreittinä yrityksen verkkoon ja salaisiin tietoihin. Huomattavia kustannuksia voi aiheuttaa lisäksi se, jos automaatiojärjestelmää käytetään maksullisten tekstiviestien lähettämiseen.

    Murtautumiselta suojautuminen on yksinkertaista, jos tietoturva huomioidaan jo laitteita asennettaessa. Tietoturva rakentuu kerroksittain. Ensinnäkin päätelaitteiden ja tietokoneiden ohjelmistot, erityisesti tietoturvaohjelmistot, on pidettävä ajan tasalla. Lähiverkon ja internetin välinen yhteys on syytä suojata palomuurilla, eikä rakennusautomaatiolaitteita tule kytkeä suoraan internetiin.

    Useimmat kytkimet ja reitittimet mahdollistavat IP- tai MAC-osoitteeseen perustuvan tunnistuksen, eli järjestelmään voidaan määritellä tietyt verkko-osoitteet ja laitteet, joille kirjautuminen on mahdollista. Etäyhteyksissä tietoliikenteen tunnelointi on turvallisin ratkaisu.

    Järjestelmien oletuskäyttäjätunnukset ja -salasanat kannattaa vaihtaa. Yleensä hakkerit kokeilevat ensimmäisenä oletussalasanoja ja sen jälkeen hakevat käyttäjätunnuksia ja salasanoja sanalistojen avulla. Salasanan ei siis tulisi koskaan olla selkokielinen. Kokeilemiseen perustuvaa murtautumista voidaan torjua myös järjestelmällä, joka sallii vain jonkin tietyn määrän epäonnistuneita kirjautumisyrityksiä.

    Pitää kuitenkin muistaa, että rakennusautomaation ja IoT:n vielä osin tunnistamattomat mahdollisuudet ovat kuitenkin suuremmat kuin niihin liittyvät uhat. Hyödyntämällä rakennuksissa jo olemassa olevaa tietotekniikkaa tehokkaammin voitaisiin huomattavasti parantaa rakennusten olosuhteita ja säästää muun muassa huollon ja energiankäytön kustannuksissa.

    Omien kiinteistöjen hakkerointi on siis erittäin suositeltavaa. Parhaiten tähän pääsee sisään liittymällä mukaan RAKLIn IoT-pilottihankkeisiin, joissa syvennytään tiedon hyödyntämiseen ja analysointiin.