Uutinen
Ajankohtaista

Onko tietoturvallista rakennusautomaatiota olemassa?

22.09.2015 17:37

Kaikissa rakennusautomaatiojärjestelmissä on ohjelmistovirheitä. Tänään turvallinen järjestelmä voi huomenna olla seula. Hakkeroinnissa vain mielikuvitus on rajana.

Automaation tietoturva-asiantuntija Jari Seppälä Tampereen teknillisestä yliopistosta vastaa kysymyksiin rakennusautomaation tietoturvasta.

Onko turvallista rakennusautomaatiojärjestelmää olemassa?
Tietoturvaongelmat ovat ohjelmistovirheitä, joita voidaan käyttää tietoturvan vaarantamiseen, ja niitä on aina. Esimerkiksi Windows-käyttöjärjestelmän tietoturvaan on panostettu merkittävästi viimeisen 10 vuoden ajan, ja silti siitä löytyy edelleen tietoturva-aukkoja. Tietoturva muuttuu päivittäin. Tänään tietoturvallinen järjestelmä voi huomenna olla turvaton.

Mistä tunnistaa luotettavan rakennusautomaatiojärjestelmätoimittajan?
Tekniikka on aina toteutettavissa. Luotettavuus koostuu tekijöistä, jotka eivät ratkea sillä, että laitetaan insinöörit miettimään teknisiä ratkaisuja.
Ensinnäkin etäyhteyden hallinnasta on oltava selkeä dokumentointi, josta ilmenee, miten järjestelmä on rakennettu ja mikä taho sen toiminnasta vastaa. Luotettava toimijan tunnistaa siitä, että kun tietoturvaongelmia ilmenee, asiasta tiedotetaan asiakkaille heti.
Järjestelmän elinkaarta pitää miettiä. Jos niin sanottuna mustana laatikkona toimitetun järjestelmän toimittaja menee konkurssiin, mikä taho vastaa järjestelmän toiminnasta seuraavat 20 vuotta?

Onko tietoturva isompi ongelma aikakaudella, jolloin talojakin voi etähallita?
Etäyhteydet ovat tulleet jäädäkseen. Aina kun järjestelmä tuodaan julkisesti saataville, eikä mietitä tietoturvaa, todennäköisyys haitantekoon tahallaan tai vahingossa kasvaa. Mutta tietoturvaongelman suuruus riippuu siitä, onko sen hyödyntämiseen motivaatiota.
Internet Of Things (IoT) tuo kaikki laitteet verkkoon. On arvioitu, että vuonna 2020 verkossa on jo 50 miljardia laitetta, mikä on sata kertaa enemmän kuin nyt. IoT:n myötä laitteiden muodostama kokonaisuus muuttuu niin monimutkaiseksi, että sen hallinta on mahdotonta. Jos taloautomaation tietoturva on hoidettu huonosti, voivat esimerkiksi jääkaappi tai ilmalämpöpumppu osallistua omistajiensa tietämättä palvelunestohyökkäykseen.

Voiko etähallinnasta tehdä täysin tietoturvallista?
Tietotekniikassa on helppo kuljettaa eri bittejä samoja putkia pitkin, mutta se ei ole aina turvallista. Siksi rakennusautomaatiojärjestelmän ei pidä jakaa samaa verkkoa kotitalouksien Internet-yhteyksien kanssa.
Joskus on turvallisinta tyytyä monitoroimaan järjestelmää ilman, että asioihin voi vaikuttaa etäyhteydellä. Onko esimerkiksi aivan välttämätöntä, että kone- tai leikkaussalista voi kytkeä ilmanvaihdon ja jäähdytyksen pois etäyhteydellä?

Kuka haluaa hakkeroitua taloyhtiön automaatiojärjestelmään?
Yksittäisen taloyhtiön tapauksessa motivaatio hakkeroitua järjestelmään lähtee varmaankin halusta tehdä kiusaa. Isommassa mittakaavassa skenaario voi olla esimerkiksi, että joku pääsee kontrolloimaan sähköverkon kuormaa ja näin aiheuttaa vaikeuksia energiayhtiölle, kaupungille tai valtiolle.
Todennäköisin skenaario ovat ammattirikolliset, joille turvaton taloautomaatiojärjestelmä tarjoaa oivan työkalun tarkkailla tulevia kohteitaan vaikka omalta kotisohvaltaan. Esimerkiksi sähkönkulutusta seuraamalla perheen päivärytmistä ja poissaoloista piirtyy selkeä kuva. Kun kulutukset ovat nollilla ja peruslämpöä on pudotettu, on varkaan helppo lähteä keikalle.
Nykyään rikollisorganisaatioiden hakkerit eivät yritä suoraan murtautua järjestelmiin, vaan ostavat halutun laitteen itselleen ja tutkivat sen haavoittuvuudet kodin rauhassa.

Onko hakkerin mahdollista päästä turvattoman taloautomaatiojärjestelmän kautta esimerkiksi kunnallisen energiayhtiön verkkoon?
Kyllä, mutta onnistuminen vaatii monen asian olevan pielessä. Jos esimerkiksi älymittareiden ja niistä rakennetun tietoliikenneyhteyden tietoturva ei ole kohdallaan, voi kuka tahansa, joka pääsee fyysisesti mittariin kiinni päästä myös eteenpäin verkkoihin. Ei muuta kun oma tietokone kiinni mittariin ja liikennöimään. Mutta kuinka pitkälle reitti johtaa, riippuu monesta tekijästä. Hakkerointi on puuhaa, jossa vain mielikuvitus on rajana.

Mitä pitäisi tapahtua, että rakennusautomaatio olisi nykyistä tietoturvallisempaa?
Rakennusautomaation toimittajia on paljon maailmalla, ja joukkoon mahtuu hyviä ja huonoja esimerkkejä. On paljon järjestelmän ostajasta kiinni, mitä hän vaatii ja mistä on valmis maksamaan.
Rakennusautomaatioala voisi ottaa mallia teollisuusautomaatioalan yhteistyöstä. Siellä asioita mietitään kimpassa, rakennetaan hyviä käytäntöjä ja välitetään tietoa. Toisten ongelmista on helppo oppia. Kaikki yhteistyöhön osallistuneet ovat hyötyneet ja tietoturvan taso on tasaisesti parantunut kaikkialla teollisuusautomaatiossa.
Kyräily ja oman laatikon turvaaminen kaupallisessa mielessä voi olla lyhytnäköisesti kannattavaa, mutta ongelmat eivät sillä ratkea. Positiivista kehitystä on ollut myös rakennusautomaatiopuolella, kun kolme vuotta sitten taloautomaatioalan ihmiset toivat ensimmäistä kertaa esiin tietoturvaongelmiaan positiivisessa hengessä. Näitä ongelmia yritämme parhaillaankin ratkoa.

Onko rakennusautomaation tietoturvaongelmista puhuminen uutta?
Asia on ollut esillä ammattipiireissä jo pitkään. Isommassa mittakaavassa puhe lähti liikkeelle Aalto-yliopiston skannauksesta, joka tehtiin vuonna 2013. Skannauksessa löytyi paljon rakennusautomaation tietoturvaongelmia ja asia uutisoitiin isosti.

Miten tietoturvallisuutta voi valvoa?
Viestintävirasto toisti keväällä Aalto-yliopiston skannauksen, jossa löytyi edelleen turvattomia rakennusautomaatiojärjestelmiä. Virasto on yrittänyt löytää tahot, jotka vastaavat palvelusta ja ilmoittaneet havainnoistaan. Mutta rakennusautomaatiopuolella vastaavan tahon löytäminen voi olla salapoliisityötä.
Verkko-osoite kertoo vain, kenen operaattorin verkossa kyseinen palvelu on. Onkin eri asia, kuka vastaa järjestelmän päivityksestä. Alihankintaketjut ovat pitkiä. Voi olla että isännöitsijätoimisto on ostanut taloyhtiölle järjestelmän, joka on ostettu palveluntarjoajalta, joka puolestaan on ostanut järjestelmän muualta ja vain myy sitä on brändinsä alla. Viime kädessä taloyhtiön hallitus vastaa järjestelmän luotettavuudesta, mutta harvassa hallituksessa on riittävää osaamista punnitsemaan automaation tietoturvan laatua. Sama pätee myös liikekiinteistöjen osalta: vastaako tietoturvasta vuokralainen, taloa vuokraava taho, isännöintitoimisto vai rakennuksen omistaja?
teksti Minna Kärkkäinen
kuva Shutterstock

Lue lisää

Katso kaikki
Ajankohtaista 20.03.2025

Lvi-alan opiskelijakilpailun voitti Xamk
Lehden artikkelit 17.03.2025

Talotekniikan kiertotalous kaipaa kysynnän ja tarjonnan kohtaamista
Tilaajille 17.03.2025

12 pientä ilmanvaihtokonetta – Oulun kaupungintalolla estetiikka kohtaa tekniikan