Suojaamattomien automaatiolaitteiden kartoitus 2016

Viestintävirasto on keväällä 2016 kartoittanut suomalaisista verkoista löytyviä suojaamattomia automaatiolaitteita. Tulokset vastaavat suurilta osin edellisten vuosien havaintoja. Automaatiolaitteiksi tunnistettavia laitteita on suojaamattomana verkossa edelleen paljon, mutta parannustakin on havaittu.

Viestintävirasto on jatkanut viime vuonna aloitettua suojaamattomien automaatiojärjestelmien kartoitusta, jonka tarkoituksena on havaita suomalaisista verkoista etenkin teollisuusautomaatioon, rakennusautomaatioon ja kriittiseen infrastruktuuriin liittyviä suojaamattomia järjestelmiä. Kartoitus on osa Viestintäviraston tilannekuvan muodostamista ja yhteiskunnan kyberturvallisuutta parannetaan ilmoittamalla havainnoista järjestelmien ylläpitäjille.

Suurimman yhtenäisen ryhmän muodostavat yhä rakennusautomaatioon liittyvät järjestelmät, joita havaittiin suojaamattomina noin 2000. Määrät eivät kuitenkaan ole kasvaneet edellisten vuosien tuloksiin verrattuna ja on nähtävissä, että aiempina vuosina ilmoitettuja laitteistoja on myös suojattu edellisen kartoituksen jälkeen.

Viestintävirasto on kuluneen vuoden aikana tavannut paljon rakennusautomaatioon liittyviä osapuolia valmistajista käyttäjäorganisaatoihin. Tapaamisissa on parannettu yhteistä ymmärrystä kokonaistilanteesta ja pyritty löytämään ratkaisuja rakennusautomaatiolaitteiden suojaamiseksi. Kaikilla tapaamillamme valmistajilla on järjestelmien suojaamiseen ratkaisuja, näyttää kuitenkin, että kaikki kustannuksia kohottavat lisäykset jätetään helposti toteuttamatta, vaikka kustannukset olisivatkin kokonaisuuteen nähden pieniä.

Yhtenä suurena kokonaisuutena erottuvat yhä myös kaupanalaan liittyvät järjestelmät. Kaupanalalta havaittiin rakennusautomaatiojärjestelmien lisäksi muun muassa kaupan kylmäautomatiikkaan liittyviä järjestelmiä. Kaupanalan järjestelmiä on toisaalta myös suojattu hyvin viime vuoden ilmoitusten jälkeen.

Kriittisimpiä kartoituksessa havaittuja yksittäisiä järjestelmiä olivat sähköverkon ohjaukseen käytettävät laitteet, joita havaittiin 2 kappaletta.

Kokonaisuutena teollisuusautomaatioon ja kriittiseen infrastruktuuriin liittyviä laitteita havaittiin hieman vähemmän kuin edellisissä kartoituksissa. Esimerkiksi vuonna 2015 ilmoitetuista noin kolmestakymmenestä tietyn valmistajan PLC-laitteesta (Programmable Logic Controller) tehtiin nyt vain muutama havainto.

Viestintävirasto on aloittanut tiedottamisen havaittujen laitteiden ylläpitäjille, jotta he suojaisivat laitteet asianmukaisesti.

Liitteenä olevasta raportista löytyy tarkempia tietoja kartoituksen tuloksista ja havainnoista, sekä ohjeita järjestelmien ylläpitäjille.

Liite: Suojaamattomia automaatiolaitteita suomalaisissa verkoissa 2016 [pdf, 617 KB]

Päivityshistoria

Asiasanat: Tietoturva , Automaatiojärjestelmä , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248