RAPORTTI: Suomessa tuhansia suojaamattomia automaatiojärjestelmiä

Viestintäviraston Kyberturvallisuuskeskus on huolissaan suojaamattomien automaatiolaitteiden suuresta määrästä. Viimeksi kevään 2015 aikana tekemässä suomalaisten verkkojen kartoituksessa löytyi tuhansia suojaamattomia automaatiolaitteita.

Kyberturvallisuuskeskus kartoitti viime keväänä Suomessa kriittiseen teollisuusautomaatioon kuuluvia Scada-automaatiojäjestelmiä, kiinteistöautomaation ohjausjärjestelmiä, kuten esimerkiksi ilmanvaihdon ja lämmitykset ohjauksia. Kartoituksen tulokset vastaavat suurelta osin Aalto yliopiston tutkijoiden vuonna 2013 tekemän tutkimuksen tuloksia, joten mitään merkittävää parannusta tilanteeseen ei ole tapahtunut. Nyt

Viestintävirasto on aloittanut tiedottamisen havaittujen laitteiden ylläpitäjille, jotta he suojaisivat laitteet asianmukaisesti. Suurimman yhtenäisen ryhmän suojaamattomissa automaatiojärjestelmistä muodostavat kiinteistöautomaatioon liittyvät laitteet, joita tässäkin kartoituksessa havaittiin tuhansia. Automaatiolaitteet vaikuttavat fyysiseen maailmaan, mikä voi tehdä niihin liittyvistä tietoturvaloukkauksista erityisen vakavia.

Suojaamaton automaatolaite voi olla uhka muille internetin käyttäjille esimerkiksi silloin, jos hyökkääjä valjastaa helposti murrettavia laitteita palvelunestohyökkäyksiin. Järjestelmän omistaja ei välttämättä huomaa aiheuttavansa oman haavoittuvuuden lisäksi haittaa myös muille.

Kyberturvallisuuskeskus teki myös runsaasti havaintoja ohjauksiin tarkoitetuista laitteista, jotka eivät sisällä mitään menetelmiä viestinnän osapuolten tunnistamiseen tai sisällön suojaamiseen. Kartoituksessa löytyi myös joukko kotiautomaatiolaitteita joissa ei ollut lainkaan pääsynhallintaa.

Tulevaisuudessa yleistyvät teollisen internetin järjestelmät tulevat lisäämään verkkoon kytkettyjen automaatiolaitteiden määriä. Toivottasti järjestelmien suojaaminen otetaan todesta ennen kuin kyberhyökkäykset yleistyvät nykyistä laajemmin.

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa voi lukea verkossa olevasta raportista (pdf, 294 kt).