Viime päivinä Suomessa uutisoitu verkkohyökkäys on ollut osa laajempaa kokonaisuutta. Maanantaina uutisoitiin, että kahden kiinteistön lämmönjakelun häiriintyi Lappeenrannassa, kun järjestelmät sammuttivat itsensä tai niitä ei pystynyt etähallitsemaan verkkohyökkäyksen vuoksi.
– Tämänpäiväisen tiedon mukaan näitä on käytetty niin, että näillä laitteilla on saatu vahvistettua hyökkäysliikennettä ja pystytty pienemmällä liikennemäärällä generoimaan enemmän liikennettä, joka on saatu suunnattua kohteeseen, tietoturva-asiantuntija Sami Orasaari Viestintävirastosta selittää.
Viestintäviraston mukaan kyseessä on eurooppalaiseen tahoon kohdistuva laajempi palvelunestohyökkäys, jossa kiinteistöautomaatiojärjestelmiä on käytetty hyökkäyksen vahvistamiseen muun hyökkäyksen osana. Tarkkaan ei tiedetä, kuinka paljon hyökkäykseen osallistuneita laitteita Suomessa oli.
Kyse ei viraston tietojen mukaan ole Mirai-haittaohjelmasta, jonka saastuttama laitejoukko on ollut vastuussa muun muassa yhdysvaltalaiseen nimipalveluyhtiöön Dyniin kohdistuneesta palvelunestohyökkäyksestä. Pari viikkoa sitten Dyniin kohdistunut hyökkäys häiritsi useiden suosittujen nettipalveluiden, kuten Spotifyn ja Netflixin käyttöä.
Sen sijaan kyseessä on erilainen hyökkäys, joka näyttäisi olevan laantumaan päin.
Orasaaren arvion mukaan kaikkien laitteiden, jotka hyökkäykseen ovat olleet osallisina, toiminnassa ei myöskään välttämättä ole ollut samalla tavalla havaittavia häiriöitä, kuin Lappeenrannan lämmitysjärjestelmissä.
– Tällaisissa IoT- ja automaatiolaitteissa on suorituskykyä ja muistia vähemmän, jolloin on voinut käydä näin, että laite on ylikuormittunut, Orasaari selittää.
– Luulen, että tässä on laajalla skaalalla hyödynnetty erilaisia laitteita, jotka vastaavat tähän web-porttiin, ja jostain syystä nämä rakennusautomaatiolaitteet ovat reagoineet siten, että niiden toiminta on lamautunut.
Järjestelmä halutaan pakettina
Etenkin etäohjattavien automaatiojärjestelmien suojaamisesta on puhuttu jo pitkään. Esimerkiksi viime vuonna Viestintävirasto varoitti tuhansista huonosti suojatuista automaatiojärjestelmistä pelkästään Suomessa. Siitä huolimatta osa säästää nimenomaan tietoturvasta.
Julkisuuteen tulleet tapaukset on Suomessa yhdistetty talotekniikan ratkaisuja toimittavaan Fidelixiin, mutta niitä voi olla muitakin. Toimitusjohtaja Jussi Rantasen mukaan nyt ilmi tulleet tapaukset, joissa järjestelmä on valjastettu rikollisten tarkoitusperien avuksi, ovat olleet suojaamattomia laitteita.
Jos ostat kaupasta tietokoneen, niin voit liittää sen suojaamatta verkkoon, vaikka on ohjeistettu, että niin ei kannata tehdä. Jussi Rantanen
Rantasen mukaan heilläkin on jo pitkään ollut valikoimassaan myös paremmin suojattuja laitteita, mutta osa asiakkaista haluaa kevyemmän – ja halvemman – ratkaisun. Tällöin asiakkaan pitäisi hoitaa myös järjestelmän suojaus.
– Vähän sama juttu kuin, jos ostat kaupasta tietokoneen, niin voit liittää sen suojaamatta verkkoon, vaikka on ohjeistettu, että niin ei kannata tehdä, Rantanen huokaa.
– Ja näidenkin laitteiden mukana tulee ilmainen palomuurisofta, mutta siinäkin on tietysti se, että se pitäisi ottaa käyttöön, hän lisää.
"Ihmishenget voisivat olla vaarassa"
Huoltovarmuuskeskuksessa uutisiin lämmönjakelun häiriintymisestä suhtautudutaan huolestuneina. Keskuksessa on jo pitkään panostettu teollisuusautomaation suojaamiseen, ja myös kiinteistö- ja yhdyskunta-automaatioon on kiinnitetty huomiota ja kiinnitetään jatkossa entistä enemmän.
– Tämä vahvistaa meidän tilannearviotamme, ikävä kyllä, sanoo infrastruktuuriosaston johtaja Sauli Savisalo, jonka vastuulla ovat myös kyberturvallisuuteen liittyvät asiat.
Hänen mukaansa kyseessä on vakava asia, vaikka tässä yksittäisessä tapauksessa suuremmilta vahingoilta ilmeisesti vältyttiin.
– Jos joku onnistuisi hyökkäämään tietyn merkkisien hissien valvontajärjestelmiin ja pysäyttämään useita tuhansia hissejä, niin kyllä siinä pelastustoimi olisi melkoisissa ongelmissa ja ihmishenget voisivat yhtä hyvin olla vaarassa. Sama koskee sitä, jos lämmitykset menevät taloista pois kovalla pakkasella, niin siinä ollaan todennäköisesti aika nopeasti siinä tilanteessa, että talot kylmenevät ja jäätyvät, ja siinä on hyvin laajat vauriot ja ihmisten evakuointitilanteet kyseessä, Savisalo muistuttaa.
Sama pätee vaikkapa vedenjakeluun.
Huoltovarmuuskeskus osallistuu kyberturvallisuuden kehittämiseen muun muassa laatimalla suosituksia liittyen huoltovarmuuden järjestämiseen ja tekemällä tutkimusta näistä aiheista yhdessä viranomaisten ja elinkeinoelämän kanssa.
Savisalon mukaan järjestelmien suojaus on yhtälailla järjestelmän toimittajan, ostajan, ylläpitäjän kuin omistajankin vastuulla.
– Eli viimekädessä taloyhtiö tai kiinteistöyhtiö on myöskin osallinen tässä, Savisalo muistuttaa.
– Siellä pitäisi olla myöskin valmiita maksamaan tämän riskin kumoamisesta, koska ilmaiseksi sitä ei kukaan pysty kumoamaan, hän lisää.
Suojaus pakolliseksi?
Fidelixin toimitusjohtajan Jussi Rantasen mukaan ammattimaiset toimijat tiedostavat jo riskit, mutta tuorein tapaus on ennen kaikkea selkeä muistutus myös pienemmille toimijoille laitteiden ja yhteyksien suojaamisen tärkeydestä.
Rantanen näkeekin, että kiinteistöautomaation tietoturvan kanssa pitäisi totuttautua samaan ajatukseen kuin vaikkapa tietoliikenneyhteyksien tai sähköliittymien kanssa: kertamaksun sijaan kyse on jatkuvasta panostuksesta.
Rantanen olisi myös valmis harkitsemaan jonkinlaista sääntelyä tai pakkoa alalle, jos tietoturvan tasoa ei kiinteistöjen päässä muuten saada kuntoon.
– Jos mikään muu ei auta, niin miksei. Sitten se vastuu ainakin tulisi ketjuun, eikä se jäisi roikkumaan.
Hyökkäys voi kaataa järjestelmän vahingossakin
Myös Viestintäviraston tietoturva-asiantuntija Orasaari ja Huoltovarmuuskeskuksen Savisalo muistuttavat, että järjestelmien ylläpitäjien olisi viimeistään nyt korkea aika pohtia sitä, miten omat automaatiojärjestelmät ja laitteet on suojattu.
– Varsinkin kriittisissä paikoissa, joissa suoritetaan vaikkapa tällaisten lämpökeskusten ohjaustoimenpiteitä. Niiden ei tulisi olla avoimena verkossa, jotta niitä ei pystytä hyväksikäyttämään, tai etteivät ne lamaannu siihen, jos sinne suuntautuu tällaista internetistä tulevaa epämääräistä liikennettä, Orasaari muistuttaa.
– Vaikka nämä laitteet eivät olleet [tässä hyökkäyksessä] varsinaisia kohteita, niiden suorituskykyä hyödynnettiin ja ne lamautuivat sen seurauksena, hän huomauttaa myös.
Orasaaren mukaan valmistajat pystyvät suojaamaan uudet laitteet jo kohtuullisesti, mutta hänen mukaansa on paljon vanhoja laitteita, joiden tietoturvapuutteista käyttäjät eivät välttämättä edes tiedä. Lisäksi suojaustoimenpiteet saatetaan mieltää kalliiksi suhteessa riskeihin.