Automaatiolaitteiden suojaaminen on tärkeää

Teollisuus- ja kiinteistöautomaation laitteita ei ole suunniteltu ja valmistettu kestämään raakaa internetliikennettä vaan ne tarvitsevat suojausta. Internetin haitalliselle liikenteelle alttiit suojaamattomat etähallintatoiminnot joutuvat aina ennen pitkää hyökkäyksen kohteeksi. Etähallinnan kaatuminen ei kuitenkaan saisi vaikuttaa varsinaisen automaatiolaitteen toimintaan.

Automaatiolaitteen kestokyky

Yksinkertaista automaatiolaitetta ei yleensä ole suunniteltu ja valmistettu kestämään esimerkiksi palvelunestohyökkäyksen myötä laitteeseen kohdistuvaa liikennetulvaa. Laitteista voi myös löytyä haavoittuvuuksia tai suunnitteluvirheitä, joiden vuoksi ne saadaan kaatumaan tietyntyyppisellä liikenteellä. Laitteita voidaan lisäksi hyväksikäyttää palvelunestohyökkäysten välikäsinä, kuten taannoiset Mirai-bottiverkon hyökkäykset osoittivat. Laitteen varsinaisen toiminnan tulisi kuitenkin jatkua häiriöttä, vaikka etähallintaominaisuus olisi menetetty esimerkiksi palvelunestohyökkäyksen seurauksena.

Uhkakuvasta todeksi

Viime päivinä on uutisoitu tapauksista, joissa kahden taloyhtiön lämmitys on mennyt pois päältä ja jäähallin jää sulanut. Näistä tapauksista ainakin taloyhtiöiden kohdalla on automaatiojärjestelmää ilmeisesti käytetty juuri palvelunestohyökkäyksen välikappaleena. Liikennemäärä on kuitenkin vaikuttanut laitteen normaaliin toimintaan, mikä on johtanut ongelmiin lämmönsyötössä.

Päivitys 8.11.2016 - 15:30: Rauman jäähallin jään sulamisen on varmistettu johtuneen laiteviasta. Jäähallin automaatiojärjestelmä on suojattu asianmukaisesti.

Laitteiden suojaaminen

Internetiin kytketyt automaatiolaitteet on syytä suojata siten, että ne ovat saavutettavissa vain rajatulle, halutulle käyttäjäjoukolle. Rajaus voidaan tehdä esimerkiksi palomuuri- tai edustapalvelinratkaisulla. Uusia mahdollisuuksia tarjoavat myös laitteiden hallinnan mahdollistavat pilvipalvelut. Palveluissa laite keskustelee valmistajan keskitettyyn pilvipalveluun, johon myös laitetta käyttävät tahot ovat yhteydessä.

Keskitetty ratkaisu tarjoaa monia etuja erillisiin ratkaisuihin verrattuna. Jokaiselle käyttäjälle muodostetaan oma yksilöllinen tunnus ja salasana. Ylläpitäjä voi esimerkiksi päästä yhden palvelun kautta hallitsemaan kaikkia laitteita, joihin hänellä on pääsyoikeus. Järjestelmään kirjautumiset tallennetaan lokiin ja järjestelmien tiedoista otetaan varmuuskopiot säännöllisesti. Varmuuskopioita voidaan hyödyntää esimerkiksi laiterikon yhteydessä. Esimerkiksi lämmönsäädön optimoinnilla vuosien aikana saavutettu energiatehokkuus voidaan menettää asetusten hävitessä laiterikon yhteydessä, mikäli asetuksista ei ole varmuuskopioita.

Suojaamattomiin internetiin kytkettyihin laitteisiin kohdistuu jatkuvasti erilaisia hyökkäyksiä. Valtaosa hyökkäyksistä on torjuttavissa melko yksinkertaisella suojauksella. Viestintävirasto suosittelee olemaan yhteydessä laitteen valmistajiin ja pyrkiä löytämään heidän kanssaan keinoja automaatiolaitteen suojaamiseksi.

Lisätietoja:

[Teema] Asenna ja unohda - laiminlyöty esineiden internet

[Teema] Ota esineiden internetin suojauskeinot haltuun

[Teema] Tiedätkö mitkä älykotisi esineet viestivät internetissä?

Suojaamattomien automaatiolaitteiden kartoitus 2016

IoT-bottiverkot etsivät aktiivisesti internetiin kytkettyjä laitteita

Viestintävirasto: Taloautomaatiojärjestelmiä kaataneen verkkohyökkäyksen takana oli rikollisia


Päivityshistoria

Asiasanat: Tietoturva , Automaatiojärjestelmä , Esineiden internet IoT , Kyberturvallisuus , Palvelunestohyökkäys , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248