Yle testasi: Näin helposti hakkeri pystyy pistämään taloyhtiön lämmityksen ja ilmastoinnin sekaisin

Hakkerit testasivat automaatiojärjestelmää omistajien luvalla. Suomessa on yhä suuri määrä suojaamattomia rakennusautomaatiolaitteita.

Rakennusten automaatio
kiinteistöautomaatio, työntekijä lämmönjakohuoneessa
Kiinteistöjen lämmitystä, ilmastointia ja monia muita toimintoja voidaan ohjata joko käsin paikan päältä tai etänä verkon kautta.Berislav Jurišić / Yle

Monissa taloyhtiöissä eletään onnellisen tietämättöminä verkon kautta uhkaavista vaaroista. Kyberturvallisuuskeskuksen selvityksen mukaan avoimessa internetissä on edelleen parisen tuhatta suojaamatonta rakennusautomaatiolaitetta, joihin hakkerit pääsevät helposti käsiksi.

Kyberturvallisuuskeskus on kartoittanut suojaamattomien laitteiden määrää useita vuosia. Keskus on varoittanut haavoittuvuuksista laitteistojen ylläpitäjiä mutta suojaamattomia laitteita löytyy edelleen ja mukaan on tullut uusiakin.

Automaatiolaitteilla huoltoyhtiöt ohjaavat etänä muun muassa kiinteistöjen lämmitystä, ilmanvaihtoa, valaistusta ja lukitusta.

Etähallinta helpottaa huoltoyhtiön työtä, koska tällöin huoltomiehen ei tarvitse läheskään aina mennä paikan päälle kiinteistöön. Hallinta tapahtuu siis tietokoneella verkon kautta.

Heikot salasanat ja huonot palomuurit

Suojaamattomana internetissä oleva järjestelmä on houkutteleva kohde murtautujille. Laitteen voi valjastaa esimerkiksi osallistumaan palvelunestohyökkäyksiin tai laite voi tarjota helpon pääsyn rakennusautomaatiojärjestelmään sekä rakennuksen sisäverkkoon.

Kyberturvallisuuskeskuksen mukaan haavoittuvuus voi johtua monesta eri syystä.

Jussi Eronen
Kyberturvallisuuskeskuksen johtava asiantuntija Jussi Eronen pitää etähallinnan suurimpana heikkoutena huonoja salasanoja. Jussi Koivunoro / Yle

– Tyypillisiä ovat esimerkiksi heikot salasanat tai oletussalasanat. Hyökkääjä pystyy helposti arvaamaan, miten sinne järjestelmään kirjaudutaan sisään ja miten siellä päästään tekemään toimenpiteitä, sanoo johtava asiantuntija Jussi Eronen Traficomin kyberturvallisuuskeskuksesta.

Erosen mukaan toinen vaihtoehto on, että järjestelmässä on huonot asetukset, jotka esimerkiksi sallivat toimenpiteiden tekemisen ilman mitään kirjautumisia. Kolmas heikko kohta ovat laitteissa olevat haavoittuvuudet.

Myös rakennusautomaatio- ja turvajärjestelmiä valmistavan Fidelix Oy:n liiketoiminnan kehityspäällikkö Antti Koskinen arvioi, että järjestelmien käyttäminen avoimessa internetissä on järjestelmän heikko kohta.

– Kyllä se aika turvaton on. Se altistaa heti tietoturvaloukkauksille ja madaltaa sitä, että kokeillaan käyttäjätunnusta ja salasanaa.

Etähallinta yleistyy

Nykyään uudet tai saneerattavat isot kiinteistöt liitetään yleensä etähallintajärjestelmään. Järjestelmiä hoitaa pääasiallisesti huoltoyhtiö, sanoo kehityspäällikkö Antti Koskinen.

– Lisäksi rakennusten tai kiinteistön omistajilla saattaa olla omaa henkilöstöä, joka haluaa päästä käsiksi järjestelmään ja hallita sitä.

Kyberturvallisuuskeskus kehottaa ottamaan rakennusautomaation suojauksiin liittyvät asiat esille esimerkiksi asunto-osakeyhtiöiden vuosikokouksissa. Isännöitsijät ja muut kiinteistöjen ylläpidon ammattilaiset ovat avainasemassa tiedottamaan myös tietoturvauhista asiakkaitaan.

Antti Koskinen
Liiketoiminnan kehityspäällikkö Antti Koskinen esittelee käyttöpaneelia, jolla kiinteistön toimintoja ohjataan joko paikan päällä tai etänä verkon kautta.Jussi Koivunoro / Yle

Näin tietoturvan voi varmistaa

Tietoturva on kohtalaisen helppo korjata. Antti Koskinen sanoo, että ensimmäinen askel on tiedostaa tilanne ja vastuuttaa tietoturva osaksi kiinteistöhuollon kokonaisuutta.

– Suojaamistapoja on hyvin yksinkertaisia ja niitä on markkinoilla erityyppisiä.

Kyberturvallisuuskeskuksen ohjeissa ylläpitäjiä kehotetaan muun muassa huolehtimaan palomuurista, käyttämään VPN-yhteyttä, valikoimaan laitteet, joista järjestelmään pääsee käsiksi ja poistamaan turvattomat palvelut kuten telnetin.

Omaa laitettaan tai verkkoaan voi skannata julkisesta internetistä selvittääkseen onko siellä tarpeettomia avoimia palveluita.

Ylen testiryhmä pääsi helposti läpi

Kyberturvallisuuskeskuksen tiedossa ei ole tapauksia, joissa taloyhtiöiden automaatiojärjestelmiä olisi tietoisesti sotkettu. Sen sijaan Lappeenrannassa taloautomaatiojärjestelmä meni sekaisin reilut pari vuotta sitten, kun sitä käytettiin ulkomaiseen toimijaan kohdistuneen verkkohyökkäyksen välineenä.

Ylen Docstop aloittaa maanantaina Yle Areenassa kuusiosaisen sarjan, jossa kolme hakkeria testaa muun muassa asuntojen ja autojen tietoturvaa. Ensimmäisessä osassa hakkeroidaan taloyhtiön etähallintayksikkö.

”Isku taloyhtiöön” -nimisessä jaksossa nähdään, kuinka taloyhtiön lämmitys- ja vedenjakelujärjestelmät saadaan hallintaan. Jaksossa hakkerit etsivät taloyhtiön järjestelmän internetistä, ryhtyvät hakemaan oikeaa salasanaa ja lopulta näyttävät, kuinka talon valaistus sammutetaan.

Hakkerit testasivat etähallintajärjestelmää taloyhtiön, laitteen valmistajan ja kyberturvallisuuskeskuksen luvalla.

Jakso 1: Team Whack iskee taloyhtiöön

Katso:

Yle Docstop: Team Whack – Kaikki on hakkeroitavissa

Kuuntele:

Vieraana Team Whack -hakkerit