Lypsykone, ilmalämpöpumppu ja taloyhtiön lämmitysjärjestelmä – kaikkia näitä voidaan käyttää nettihyökkäykseen

Suojaamattomat talojen lämmitysjärjestelmät tarjoavat lisäapua esimerkiksi palvelunestohyökkäyksille. Usein niitä voidaan käyttää kenenkään huomaamatta.

Palvelunestohyökkäys
Verkkojohtoja.
Viestintäviraston Kyberturvallisuuskeskus löysi keväällä 2017 verkosta parituhatta suojaamatonta rakennusautomaatiolaitetta.Yle Uutisgrafiikka

Vajaa vuosi sitten lappeenrantalaisessa taloyhtiössä herättiin viileään aamuun. Talon lämmönjakojärjestelmä oli mennyt pois päältä. Syy löytyi melko nopeasti: lämmönjakelun automaatiojärjestelmään oli kohdistunut palvelunestohyökkäys. Taloyhtiö ei kuitenkaan ollut kohde.

– Palvelunestohyökkäyksen varsinainen kohde oli yritys Englannissa. Taloyhtiön suojaamatonta järjestelmää käytettiin apukeinona hyökkäysliikenteen järjestämiseen, sanoo tietoturva-asiantuntija Sami Orasaari Viestintäviraston Kyberturvallisuuskeskuksesta.

Järjestelmä ei kestänyt ja kaatui

Kyberhyökkäys paljastui, koska taloyhtiön lämmitysjärjestelmä kaatui. Hyökkäyksessä taloyhtiön laitteet lähettivät viestejä ympäri verkkoa. Taloyhtiön palvelimelle tulleet vastaukset ohjattiin varsinaiseen kohteeseen, englantilaiseen yritykseen. Tällaisella palvelunestohyökkäyksellä yrityksen nettisivuille saadaan niin paljon liikennettä, että sivut eivät toimi, kuten niiden pitäisi.

– Taloyhtiön järjestelmä kaatui. Hyökkääjän kannalta olisi ollut parempi, että se olisi kestänyt, jotta haluttua haittaa olisi saatu tehtyä paremmin, sanoo Orasaari.

Lappeenrantalaiseen kerrostaloon ei siis ollut tarkoitus kohdistaa minkäänlaista haittaa, mutta talon järjestelmä petti ja näin päästiin hyökkäyksen jäljille.

Lypsykone.
Ilmalämpöpumppu ja lypsykone saadaan myös hyökkäyksen käyttöön, jos niissä on suojaamaton yhteys verkkoon.Jyrki Lyytikkä / Yle

Kyberturvallisuuskeskus on kolmen vuoden ajan etsinyt verkosta suojaamattomia teollisuusautomaatiolaitteita, kuten lämmitysjärjestelmiä. Keväällä 2017 näitä suojaamattomia kerrostalojen järjestelmiä löytyi parituhatta.

– Hyökkäyksessä käytettävä kone voi olla oikeastaan mikä vain, mikä on yhteydessä nettiin. Suomessa kyberhyökkäyksissä on käytetty muun muassa lypsykonetta, ilmalämpöpumppuja ja kitaran vahvistimia, sanoo Orasaari.

Taloyhtiön järjestelmä suojaan muutamilla sadoilla euroilla

Kyberhyökkäystä ei taloyhtiön verkoissa juuri huomaa, jos se ei aiheuta taloyhtiölle mitään ongelmia. Riskit voivat olla kuitenkin isot.

– Lappeenrannan tapaus sattui marraskuussa. Kylmempään aikaan talo olisi viilentynyt enemmän. Ja jos syytä ei olisi löydetty, olisi pakkanen voinut jäädyttää putkia ja taloyhtiössä olisi voinut tapahtua vesivahinko, pohtii Orasaari.

Aikaisemmilta vuosilta tietoturva-asiantuntija Sami Orasaari muistaa tapauksia, joissa lämmitysjärjestelmiä on kytketty matkapuhelinyhteydellä 3G-verkkoon.

Lämmön talteenottolaitteisto Pohjolankadun kiinteistössä
Lämmön talteenottoyksikkö on otettavissa kyberhyökkäyksen käyttöön, jos se on suojaamattomana verkossa.Kai Pohjanen / Yle

– Hyökkääjä on näin päässyt laitteeseen kiinni ja pystynyt lähettämään esimerkiksi maksullisia tekstiviestejä maailmalle. Siitä on koitunut konkreettisia kuluja taloyhtiölle, kertoo Sami Orasaari.

Suojaamattomat rakennusautomaatiojärjestelmät, kuten lämmitysjärjestelmät, on melko helppo suojata. Helpoin keino on ottaa yhteyttä valmistajiin.

– Heillä on keinot suojata järjestelmät. Ne eivät nykypäivänä maksa paljon. Muuttamalla sadalla eurolla järjestelmä saadaan suojattua esimerkiksi niin, että niihin päästään kiinni vain isännöitsijän ja päivystävän talonmiehen laitteilta, neuvoo Sami Orasaari.