Miten tietoturva liittyy rakennusautomaatioon?

Viime aikoina on ollut paljon puhetta tietoturvasta liittyen sekä yksityisen ihmisen että valtion suojautumiseen ulkoisilta uhilta. Uhkakuvia on maalailtu erilaisilla skenaarioilla verkossa käytävään sotaan, yksityisyyden menettämiseen ja koneen tietojen kryptaamiseen kiristyksen uhrina.

Miten tietoturva sitten liittyy rakennusautomaatioon?

Tänä päivänä kiinteistöjen ohjaus ja valvonta tapahtuu paljon myös ulkoisten toimijoiden suorittamana, eikä enää pelkästään paikan päällä. Tällöin yhteys kohteen rakennusautomaatiojärjestelmään otetaan yleensä internetin yli. Kohteessa olevat säätimet käyttävät aina niin sanottuja sulautettuja järjestelmiä, mutta järjestelmän käyttöpääte on yleensä PC, jossa käyttöjärjestelmänä on todennäköisesti jokin Windows- versio.

Tietoturva

Rakennusautomaation tietoturva koostuu oikeastaan useasta eri osa-alueesta, eikä pelkästään verkossa olevasta uhasta, kuten usein ajatellaan.

Oikeastaan tietoturvan voisi jaotella seuraavasti:

  1. Valvomo PC:n liitäntä verkon yli tietoturvallisesti
  2. Valvomo PC:n tietoturva, Windows-päivitykset ja virusturva
  3. Rakennusautomaatiojärjestelmän valvomo-ohjelmiston tietoturva
  4. Rakennusautomaatiojärjestelmän valvomo-ohjelmiston käyttäjäpolitiikka

PC:n liittäminen verkkoon turvallisesti on helposti ratkaistavissa useallakin erilaisella ratkaisulla, aina operaattorien tarjoamista suljetuista/suojatuista verkoista joko salattuihin tai laitetasolla tehtäviin suojattuihin verkkoihin, kuten VPN-tunneleihin. Tämä vain valitettavasti puuttuu useista kohteista ja PC:t on liitetty julkiseen Internetiin jopa ilman palomuuria.

Jos järjestelmän valvomokone on Windows -pohjainen, tulisi jonkun myös huolehtia koneen Windows –päivityksistä, samoin kuin mahdollisesta virusturvasta. Valitettavasti valvomo PC:t jäävät usein rakennuksen luovutuksen jälkeen oman onnensa nojaan, ilman minkäänlaista ylläpitoa. Ne kun eivät ole osana rakennuksessa mahdollisesti toimivan yrityksen IT -infraa.

Rakennusautomaatiojärjestelmän ohjelmisto on myös alttiina mahdollisille hyökkäyksille, mikäli siitä löytyy tietoturva-aukko. Tällaisia esimerkkejä löytyy aivan lähivuosilta, joissa ohjelmistossa oleva turva-aukko on mahdollistanut järjestelmän käytön luvatta. Ongelman korjaaminen ei ole yksinkertaista, koska järjestelmän toimittaja ei välttämättä edes tiedä, että heidän ohjelmistostaansaattaa löytyä tietoturva-aukko. Mikäli tällainen ongelma ilmenee, järjestelmän toimittaja ei voi päivittää kohteen ohjelmistoa ilman, että saa siihen kiinteistön omistajan luvan ja omistaja on halukas maksamaan asiasta takuuajan umpeuduttua.

Heikoimpana lenkkinä tietoturvan osalta pitäisin kuitenkin rakennusautomaatiojärjestelmien käyttäjätunnuksiin liittyvä toimintatapaa, joka on jäänyt samalle tasolle kun ensimmäiset PC-pohjaiset järjestelmät otettiin käyttöön.

Lähes kaikissa kohteissa, toimittajasta riippumatta, on käytössä toimittajan järjestelmänvalvojan käyttäjätunnukset samoilla salasanoilla kuin kaikissa muissakin kohteissa. Siis tunnukset, joilla on täydet oikeudet tehdä muutoksia täysin ilman rajoituksia. Nämä tunnukset, jotka usein ovat olleet vuosia samoja, ovat lukuisten henkilöiden tiedossa, jopa sellaisten, joilla ei ole oikeuksia kyseiseen kohteeseen. Kun tunnukset ovat samoja kohteesta toiseen, tulee tästä ongelma varsinkin silloin, kun kohde on käytettävissä julkisessa Internet-verkossa. Tällaisia tiloja on Suomessa paljon.

hursti_rami
Kirjoittaja on Granlundin Rakennusautomaatio-osaston johtava asiantuntija

Kuinka tämä ongelma sitten voidaan ratkaista? Vaikka ratkaisut tuntuvat työläiltä ja vaativat ylimääräisiä ponnisteluja, pitää näiden järjestelmän PC-koneiden tietoturvassa ottaa oppia IT-alan ratkaisuista. PC:n ylläpito niin Windows- kuin virusturvapäivitysten osalta tulee olla jonkun vastuulla. Järjestelmänvalvojan tasoiset tunnukset pitää olla kohdekohtaisia, vaikka se vaatiikin hieman ylimääräistä työtä kun jonkun pitää nuo tunnukset dokumentoida ja hallita jatkossa.

Tietoturva-asioissa yleinen ilmapiiri näyttää valitettavasti olevan se, ettei tähänkään mennessä ole mitään tapahtunut tai etteivät nämä järjestelmän tiedot kuitenkaan ketään kiinnosta.

Valitettavasti maailma muuttuu ja parempi varautua asioihin etukäteen kuin vasta vahingon jo satuttua. Silloin ei ole enää aikaa miettiä, vaan on jo tulenpalava kiire.

Teksti: Rami Hursti, Granlund Oy

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s