Tietoturva nyt!

Automaatiolaitteiden suojaaminen on tärkeää

08.11.2016 klo 13:38 - Päivitetty 08.11.2016 klo 15:21

Teollisuus- ja kiinteistöautomaation laitteita ei ole suunniteltu ja valmistettu kestämään raakaa internetliikennettä vaan ne tarvitsevat suojausta. Internetin haitalliselle liikenteelle alttiit suojaamattomat etähallintatoiminnot joutuvat aina ennen pitkää hyökkäyksen kohteeksi. Etähallinnan kaatuminen ei kuitenkaan saisi vaikuttaa varsinaisen automaatiolaitteen toimintaan.

Automaatiolaitteen kestokyky

Yksinkertaista automaatiolaitetta ei yleensä ole suunniteltu ja valmistettu kestämään esimerkiksi palvelunestohyökkäyksen myötä laitteeseen kohdistuvaa liikennetulvaa. Laitteista voi myös löytyä haavoittuvuuksia tai suunnitteluvirheitä, joiden vuoksi ne saadaan kaatumaan tietyntyyppisellä liikenteellä. Laitteita voidaan lisäksi hyväksikäyttää palvelunestohyökkäysten välikäsinä, kuten taannoiset Mirai-bottiverkon hyökkäykset osoittivat. Laitteen varsinaisen toiminnan tulisi kuitenkin jatkua häiriöttä, vaikka etähallintaominaisuus olisi menetetty esimerkiksi palvelunestohyökkäyksen seurauksena.

Uhkakuvasta todeksi

Viime päivinä on uutisoitu tapauksista, joissa kahden taloyhtiön lämmitys on mennyt pois päältä ja jäähallin jää sulanut. Näistä tapauksista ainakin taloyhtiöiden kohdalla on automaatiojärjestelmää ilmeisesti käytetty juuri palvelunestohyökkäyksen välikappaleena. Liikennemäärä on kuitenkin vaikuttanut laitteen normaaliin toimintaan, mikä on johtanut ongelmiin lämmönsyötössä.

Päivitys 8.11.2016 - 15:30: Rauman jäähallin jään sulamisen on varmistettu johtuneen laiteviasta. Jäähallin automaatiojärjestelmä on suojattu asianmukaisesti.

Laitteiden suojaaminen

Internetiin kytketyt automaatiolaitteet on syytä suojata siten, että ne ovat saavutettavissa vain rajatulle, halutulle käyttäjäjoukolle. Rajaus voidaan tehdä esimerkiksi palomuuri- tai edustapalvelinratkaisulla. Uusia mahdollisuuksia tarjoavat myös laitteiden hallinnan mahdollistavat pilvipalvelut. Palveluissa laite keskustelee valmistajan keskitettyyn pilvipalveluun, johon myös laitetta käyttävät tahot ovat yhteydessä.

Keskitetty ratkaisu tarjoaa monia etuja erillisiin ratkaisuihin verrattuna. Jokaiselle käyttäjälle muodostetaan oma yksilöllinen tunnus ja salasana. Ylläpitäjä voi esimerkiksi päästä yhden palvelun kautta hallitsemaan kaikkia laitteita, joihin hänellä on pääsyoikeus. Järjestelmään kirjautumiset tallennetaan lokiin ja järjestelmien tiedoista otetaan varmuuskopiot säännöllisesti. Varmuuskopioita voidaan hyödyntää esimerkiksi laiterikon yhteydessä. Esimerkiksi lämmönsäädön optimoinnilla vuosien aikana saavutettu energiatehokkuus voidaan menettää asetusten hävitessä laiterikon yhteydessä, mikäli asetuksista ei ole varmuuskopioita.

Suojaamattomiin internetiin kytkettyihin laitteisiin kohdistuu jatkuvasti erilaisia hyökkäyksiä. Valtaosa hyökkäyksistä on torjuttavissa melko yksinkertaisella suojauksella. Viestintävirasto suosittelee olemaan yhteydessä laitteen valmistajiin ja pyrkiä löytämään heidän kanssaan keinoja automaatiolaitteen suojaamiseksi.