Verkossa edelleen suojaamattomia automaatiojärjestelmiä

Viestintävirasto kartoitti keväällä 2016 suomalaisista verkoista löytyviä suojaamattomia automaatiolaitteita. Tulokset vastaavat suurilta osin edellisten vuosien havaintoja vaikka parannustakin on havaittavissa.

Automaatiolaitteiksi tunnistettavia laitteita on suojaamattomana verkossa edelleen paljon, selviää Viestintäviraston uusimmasta automaatiolaitteiden tietoturvakartoituksesta.

Viestintävirasto on jatkanut viime vuonna aloitettua suojaamattomien automaatiojärjestelmien kartoitusta, jonka tarkoituksena on havaita suomalaisista verkoista etenkin teollisuusautomaatioon, rakennusautomaatioon ja kriittiseen infrastruktuuriin liittyviä suojaamattomia järjestelmiä.

viestintavirastoAutomaatio2016Kartoitus on osa Viestintäviraston tilannekuvan muodostamista ja yhteiskunnan kyberturvallisuutta parannetaan ilmoittamalla havainnoista järjestelmien ylläpitäjille.

Suurimman yhtenäisen ryhmän muodostavat yhä rakennusautomaatioon liittyvät järjestelmät, joita havaittiin suojaamattomina noin 2000. Määrät eivät kuitenkaan ole kasvaneet edellisten vuosien tuloksiin verrattuna ja on nähtävissä, että aiempina vuosina ilmoitettuja laitteistoja on myös suojattu edellisen kartoituksen jälkeen.

Viestintävirasto on kuluneen vuoden aikana tavannut paljon rakennusautomaatioon liittyviä osapuolia valmistajista käyttäjäorganisaatoihin. Tapaamisissa on parannettu yhteistä ymmärrystä kokonaistilanteesta ja pyritty löytämään ratkaisuja rakennusautomaatiolaitteiden suojaamiseksi.

Kaikilla tapaamillamme valmistajilla on järjestelmien suojaamiseen ratkaisuja, näyttää kuitenkin, että kaikki kustannuksia kohottavat lisäykset jätetään helposti toteuttamatta, vaikka kustannukset olisivatkin kokonaisuuteen nähden pieniä.

Yhtenä suurena kokonaisuutena erottuvat yhä myös kaupanalaan liittyvät järjestelmät. Kaupanalalta havaittiin rakennusautomaatiojärjestelmien lisäksi muun muassa kaupan kylmäautomatiikkaan liittyviä järjestelmiä. Kaupanalan järjestelmiä on toisaalta myös suojattu hyvin viime vuoden ilmoitusten jälkeen.

Kriittisimpiä kartoituksessa havaittuja yksittäisiä järjestelmiä olivat sähköverkon ohjaukseen käytettävät laitteet, joita havaittiin 2 kappaletta.

Kokonaisuutena teollisuusautomaatioon ja kriittiseen infrastruktuuriin liittyviä laitteita havaittiin hieman vähemmän kuin edellisissä kartoituksissa. Esimerkiksi vuonna 2015 ilmoitetuista noin kolmestakymmenestä valmistajan ohjelmoitavien PLC-logiikoissa (Programmable Logic Controller) tehtiin nyt vain muutama havainto.

Viestintävirasto on aloittanut tiedottamisen havaittujen laitteiden ylläpitäjille, jotta he suojaisivat laitteet asianmukaisesti.

LISÄÄ:  Suojaamattomia automaatiolaitteita suomalaisissa verkoissa 2016 (LINKKI, pdf, 616 kt) ja edellinen 2015 tehty selvitys (LINKKI, uutinen).

LUE – UUTTA  – LUE – UUTTA – LUE – UUTTA

Uusi ammattilehti huipputekniikan kehittäjille -Lue ilmaiseksi verkossa