Oletussalasanoja, arvattavia tunnuksia ja näkyvyys internetiin – voisiko automaatiojärjestelmiin murtautumisesta tehdä enää helpompaa?

Tuhannet automaatiojärjestelmät ovat Suomessa edelleen avoinna verkkoon. Kotien ja tehtaiden järjestelmiin tunkeutuminen voi pahimmillaan uhata ihmisten henkeä ja terveyttä.

internet
Sormet tietokoneen näppäimistöllä.
Milla Takala / Lehtikuva

Tieteisjännärissä hakkeri tunkeutuu kohteena olevan rakennuksen järjestelmiin, sammuttaa valot, sekoittaa ilmanvaihdon ja avaa lukot. Kotisohvalla naureskellaan, että kylläpä se käy elokuvissa kätevästi, mutta toista se on tosielämässä.

Todellisuudessa se voi olla jopa helpompaa.

Viestintäviraston Kyberturvallisuuskeskuksen selvityksessä (siirryt toiseen palveluun) paljastui, että jo pelkästään Suomessa tuhannet automaatiojärjestelmät on jätetty suojaamatta – siis alttiiksi kyberhyökkäyksille.

Kun hakkeri pääsee tunkeutumaan kiinteistöautomaatiojärjestelmään, voi hän lievässä tapauksessa esimerkiksi vaikuttaa valojen toimintaan.

– Sitä kautta voi päästä käsiksi kiinteistön valoihin, sähköihin, jossain tilanteissa aiheuttaa haittaa kolmansille osapuolille esimerkiksi palvelunestohyökkäyksen muodossa ja niin edelleen, listaa tietoturva-asiantuntija Erika Suortti-Myyry Viestintäviraston Kyberturvallisuuskeskuksesta.

Vaaraksi ihmisille

Murtautuja voi kuitenkin myös päästä käsiksi järjestelmiin, joilla voidaan aiheuttaa vakavaa vaaraa ihmisille ja ympäristölle. Avoimien järjestelmien joukossa oli kymmeniä niin sanottuja SCADA-järjestelmiä, eli valvomo-ohjelmistoja, jotka voivat olla kriittisiä esimerkiksi sähkö- ja vesivoimaloiden ja tehtaiden ohjaamisessa.

Pahimmillaan tämä voi tarkoittaa sitä, että myös ihmisten vahingoittaminen turvallisesti omalta kotisohvalta käsin on täysin mahdollista.

– Riippuu tilanteesta, mutta sellainen riski on kyllä olemassa. Jos sellaisiin laitteisiin päästään käsiksi, niin pahin uhkakuva tietysti on, että aiheutetaan vaaraa ihmisten terveydelle, Suortti-Myyry myöntää.

Hän kuitenkin rauhoittelee, että tämä ei ole uhkakuvista todennäköisin.

– Kun menee tekemään asioita näissä järjestelmissä, niin pitää tietää, mitä tekee, jos haluaa oikeasti tehdä vahinkoa. Lisäksi on myös fyysinen turvallisuuspuoli, joka voi myös estää sen, ettei mitään tapahdu.

Suortti-Myyry myös muistuttaa, että on myös mahdollista, että kyseiset järjestelmät on tarkoituksella jätetty näkymään verkkoon, jos ne ovat esimerkiksi opetuskäytössä.

Helpot ja oletussalasanat ongelmana

Suojaamattomiksi tulkittiin laitteet, johon tai jonka kirjautumissivulle oli pääsy internetistä. Kartoituksessa käytiin läpi kaikki suomalaiset verkko-osoitteet yleisesti automaatiojärjestelmien kohdalla käytössä olevien tietoliikenneväylien (porttien) osalta.

Avoimesti verkossa näkyvät laitteet ovat Kyberturvallisuuskeskuksen mukaan ongelmallisia, koska se helpottaa niitä vastaan hyökkäämistä merkittävästi. Kyberturvallisuuskeskus suosittelee, että laitteet eivät näkyisi suoraan internetiin, vaan niitä käytettäisiin suojatun VPN-yhteyden kautta, mikä jo yksistään vähentäisi riskiä merkittävästi.

Iso ongelma on kuitenkin Suortti-Myyryn mukaan myös se, että ne laitteet, jotka ovat verkossa, suojataan huonosti.

– Suurimmassa osassa olivat kyllä käytössä salasanat ja käyttäjätunnukset, mutta ne olivat usein sellaisia, että pääsee arvaamalla sisään tai sitten käytössä oli oletussalasanoja, Suortti-Myyrykuvailee.

Vastuukysymykset epäselviä

Automaatiolaitteisiin tunkeutumiseen perustuvia hyökkäyksiä ei ole julkisuudessa toistaiseksi juuri nähty. Juuri tämä saa Suortti-Myyryn mukaan ihmiset viittaamaan kintaalla automaatiolaitteiden tietoturvasta huolehtimiselle.

– Varmasti siinä on myös tietämättömyyttä, mutta myös varmasti kustannustekijät. Julkisuudessa ei ole ollut tapauksia kovinkaan paljoa. Ihmiset voivat tuudittautua siihen, että toteutuvia riskejä ei kohdistuisi näihin järjestelmiin. Eli ajatellaan, että tulee ylimääräisiä kustannuksia, mutta ei saada merkittävää parannusta aikaan.

Osa ongelmaa on hänen mukaansa se, että automaatiolaitteiden käyttäjät ja ylläpitäjät ovat usein sellaisia ihmisiä ja yrityksiä, jotka eivät ole it- tai kyberturvallisuusasiantuntijoita. Myös vastuukysymykset aiheuttavat päänvaivaa: maksaako kulut kiinteistön omistaja, huoltoyhtiö, kiinteistön haltija vai kuka?

Toisaalta voidaan myös pohtia, huomattaisiinko automaatiolaitteisiin kohdistuva kyberhyökkäys edes.

– Perinteisesti näissä on vähän huonommalla tolalla ollut lokitietojen kerääminen tai niitä seurataan huonommin, Suortti-Myyry toteaa.

Päivitys 30.7.2015: SCADA-ohjelmistojen määritelmää korjattu valvomo-ohjelmistoksi kriittisen valvomo-ohjelmiston sijaan.