Suojaamattomia automaatiolaitteita suomalaisissa verkoissa



Samankaltaiset tiedostot
Suojaamattomien automaatiolaitteiden kartoitus 2016

Suojaamattomia automaatiojärjestelmiä

Suojaamattomia automaatiojärjestelmiä

Miten varmistat taloteknisten järjestelmien tietoturvallisuuden?

Kyberturvallisuuskeskuksen palvelut ja vuosittainen automaatiokartoitus RAKLI Käyttö- ja ylläpitotoimikunta. Erika Suortti-Myyry

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Avoimet laitteet - riski verkossa Antti Kiuru@KiuruAntti Kyberturvallisuuskeskus, Viestintävirasto. Antti Kiuru, Tilannekeskuksen päällikkö

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Esineiden internet on jo totta teollisuudessa. Tietosuoja-lehti 1/2015. Teksti: Antti J. Lagus

Tietoturvavinkkejä pilvitallennuspalveluiden

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Varmaa ja vaivatonta viestintää

Luottamusta lisäämässä

Luottamusta lisäämässä. Toimintasuunnitelma

2) Sisäverkon RJ45-portit kamerakäytössä (alk. S. 7) - kamera ei näy jossain modeemin takaseinän portissa tai se saa oudon näköisen IP-numeron

Liittymän vikadiagnosointi

Kohdekiinteistöjen RAU-järjestelmien analyysi verrattuna AU-luokitukseen

- ai miten niin?

IoT-järjestelmien parhaat turvallisuuskäytännöt mitä niissä on sairaaloille?

Kyberturvallisuus terveydenhuollossa. Perttu Halonen Helsinki,

PROBYTE CONTROL GSM. GSM/SMS-hälytys- ja ohjauslaite. GSM Control 7/11/01 sivu 1/5

Yliopiston IoT-laboratorio esineiden tietoturvaa Tuomas Tenkanen tutkimusavustaja Jyväskylän yliopisto

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Suomen automaatioverkkojen haavoittuvuus

Kyberturvallisuus kiinteistöautomaatiossa

Sähkö- ja teleyritysten yhteistoiminnasta. Veli-Pekka Kuparinen, valmiuspäällikkö

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Turvallinen etäkäyttö Aaltoyliopistossa

Automaatiojärjestelmät Rakennusautomaatiotason valinta Laatija: Sakari Uusitalo, TAMK

Mobiililaitteiden tietoturva

Vesihuolto päivät #vesihuolto2018

TUTKIMUS OSOITTAA, ETTÄ TOIMISTOLAITTEET JÄ- TETÄÄN USEIN ALTTIIKSI KYBERHYÖKKÄYKSILLE

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Radiolaitteet. Ostajan opas. Opas myyjille ja maahantuojille

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Salausmenetelmät (ei käsitellä tällä kurssilla)

Abuse-seminaari

Hans Aalto/Neste Jacobs Oy

VERKKOTIEDUSTELUN KOHTEET JA TEKNISET TIEDUSTELUMENETELMÄT

XEROXIN TURVATIEDOTE XRX Versio 1.0 Muutettu viimeksi: 10/08/05

Tietokannan tietoturva. Heli Helskyaho Tietoturva-aamupäivä, Oracle House

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Enemmän voitonriemua. Vähemmän tylsiä hetkiä. Pelien ja sovellusten jakaminen Sonera Viihde -palvelussa

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Mac OS X

Kytkentäohje KYTKENTÄOHJE. Kuitupääte Alcatel-Lucent I-040G-R. WLAN-reititin TP-Link Archer C7.

Käyttöjärjestelmät(CT50A2602)

Ensto Intro -kodinohjain Aina kotona.

#kybersää maaliskuu 2018

Verkkoasetusten ohjeet

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Sähköisen viestinnän tietosuojalain muutos

CEM DT-3353 Pihtimittari

TIETOTURVALLISUUDESTA

Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö

GSRELE ohjeet. Yleistä

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

TIETOTURVAKATSAUS 1/

Enemmän turvaa. Vähemmän huolia. Sonera Vahdin avulla tiedät, mitä kotonasi tapahtuu.

N300 WiFi-reititin (N300R)

WELHO ADSL -LAAJAKAISTAPALVELUIDEN PALVELUKUVAUS KULUTTAJA-ASIAKKAILLE (alkaen )

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tervetuloa Avoimeen Kuituun!

Viestintäviraston tilannekuvahanke TIKU2012+ Pertti Hölttä

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Kyberturvallisuus yritysten arkipäivää

Abuse-toiminnan ajankohtaiset ilmiöt

VAHTI Sähköisen asioinnin tietoturvaohjeen esittely (VM 25/2017)

Avain palveluiden toimintavarmuuteen

sivu 1 Verkkopäätteen muuttaminen Anvian uuteen tekniikkaan Ohje käy seuraaviin verkkopäätteisiin

1. Tietokonejärjestelmien turvauhat

Kyberturvallisuus vuosi 2018, 2019 & #kybersää? VAHTI-päivä Tilannekuvapalveluiden ja yhteistyöverkostojen päällikkö Jarna Hartikainen

KIINTEISTÖN TELETILOJEN LUKITUS

Kiinteistöautomaatio- ja turvallisuusjärjestelmä - palveluiden suojaaminen

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

TIETOPAKETTI EI -KYBERIHMISILLE

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

AUTOMAATIOASENTAJAN AT 2013 AINEISTOLUETTELO

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet Timo Lehtimäki Johtaja Viestintävirasto

OpenSSL Heartbleed-haavoittuvuus

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Varmaa ja vaivatonta viestintää kaikille Suomessa Viestintätoimialan muutostekijät 2010-luvulla

TEEMME KYBERTURVASTA TOTTA

Palvelun toteuttaminen hajautetussa palvelualustassa

P-870HN-51b pikaopas. Oletusasetukset LAN-portti: LAN1~LAN4 IP-osoite: Salasana: 1234

Vastuullinen haavoittuvuuksien käsittely

JOVISION IP-KAMERA Käyttöohje

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows XP

Quality Agent Internet-kysely

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

Web sovelluksen kehittäminen sähkönjakeluverkon suojareleisiin

Langattomien verkkojen tietosuojapalvelut

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Käyttöoppaasi. F-SECURE MOBILE SECURITY 6 FOR ANDROID

Transkriptio:

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa 29.6.2015

Sisällysluettelo Suojaamattomia automaatiolaitteita suomalaisissa verkoissa... 3 Keskeisiä tuloksia ja havaintoja... 3 Mahdollisia uhkia... 4 Kartoituksen toteutus... 5 Ilmoittaminen laitteiden ylläpitäjille... 5 Miten toimia ylläpitäjänä... 5

Kyberturvallisuuskeskus - Suojaamattomia automaatiolaitteita suomalaisissa verkoissa Suojaamattomia automaatiolaitteita suomalaisissa verkoissa Viestintäviraston Kyberturvallisuuskeskus on keväällä 2015 kartoittanut internetistä suojaamattomina löytyneitä automaatiolaitteita. Kartoituksen avulla Viestintävirasto opastaa laitteiden omistajia suojaamaan laitteet paremmin sekä muodostaa tilannekuvaa erilaisten internetiin liitettyjen automaatiojärjestelmien osalta. Samalla virasto kerää pohja-aineistoa tulevia vastaavia kartoituksia silmällä pitäen. Viestintävirastolla on käytössään Aalto-yliopiston vuonna 2013 suorittaman vastaavan kartoituksen tulokset. Aineistoja pyritään vertaamaan keskenään. Kartoituksessa suojaamattomaksi laitteeksi on tulkittu laite johon tai jonka kirjautumissivulle on pääsy internetistä. Automaatiolaitteita ei useinkaan ole suunniteltu liitettäväksi suoraan internetiin. Avoimien laitteiden kartoituksessa koko Suomen osoiteavaruus on käyty läpi tiettyjen porttien osalta ja näin saadusta materiaalista on pyritty löytämään automaatioon liittyvät laitteet. Keskeisiä tuloksia ja havaintoja Kyberturvallisuuskeskus on jaotellut löytyneet laitteet seuraaviin luokkiin: Kriittiseen teollisuusautomaatioon kuuluvat automaation hallintajärjestelmät (SCADA), näyttöpaneelit (HMI), logiikat (PLC) kiinteistöautomaatioon kuuluvat, kiinteistöjen ohjaukseen liittyvät laitteet ja järjestelmät, kuten esimerkiksi ilmanvaihdon ja lämmityksen ohjaukset. Näiden lisäksi on joukko laitteita joiden takana olevia yksittäisiä järjestelmiä ei pystytä selvittämään. Kartoituksessa löydetyt laitteet ja laitemäärät vastaavat aiemmissa vastaavissa tutkimuksissa havaittuja laitemääriä. Suurimman yhtenäisen ryhmän muodostavat kiinteistöautomaatioon liittyvät laitteet, joita tässäkin kartoituksessa havaittiin tuhansia. Varsinaisia teollisuusautomaatioon ja teollisuuden hallintajärjestelmiin viittaavia laitteita löytyi joitakin kymmeniä. Näiden lisäksi on joukko erilaisia automaatiolaitteita, joita käytetään todennäköisesti yksittäisten laitteiden ohjaamiseen. Suuri osa näistä on erilaisia protokollamuuntimia, joiden avulla pelkästään sarjaportin tai muun paikalliseen ohjaukseen tarkoitetun portin sisältävä laite on saatu etäohjaukseen. Sopiikin miettiä, onko järkevää kytkeä laite joka on tarkoitettu pelkästään paikallisesti operoitavaksi, suoraan ja suojaamatta internetiin. Runsaasti havaintoja tehtiin myös turvattomien protokollien käyttämisestä ja kytkemisestä suoraan internetiin. Esimerkiksi automaatiossa hyvin yleisesti käytetty Modbus-protokollan TCP/502 -portti oli auki sadoissa laitteissa. Modbus-protokolla on tarkoitettu käytettäväksi esimerkiksi ohjauksiin, eikä sisällä mitään menetelmiä viestinnän osapuolten tunnistamiseen tai sisällön suojaamiseen. Tällaisen portin ollessa auki internetiin siihen voidaan luvattomasti kohdistaa komentoja, jotka laite suorittaa. 3

Kyberturvallisuuskeskus - Suojaamattomia automaatiolaitteita suomalaisissa verkoissa Kartoituksessa löytyi myös joukko kotiautomaatiolaitteita joissa ei ollut lainkaan pääsynhallintaa. Niistä saatavien tietojen avulla rikolliset voivat esimerkiksi ajoittaa asuntomurron niin, ettei ketään ole murron aikana kotona. Mahdollisia uhkia Suojaamattomana internetissä oleva laite on alttiina erilaisille uhille. Myös laitteen käyttötarkoitus vaikuttaa siihen, millaisia uhkia siihen kohdistuu tai muodostavatko avoimet laitteet potentiaalisen uhan muille internetin käyttäjille. Suojaamaton automaatiolaite voi olla uhka muille internetin käyttäjille esimerkiksi silloin, jos hyökkääjä valjastaa helposti murrettavia laitteita palvelunestohyökkäyksiin. Mikäli murretun laitteen havaitaan osallistuvan esimerkiksi palvelunestohyökkäyksiin tai aiheuttavan tietoturvauhan on teleoperaattorin mahdollista katkaista tietoliikenneyhteys tietoturvasyistä. Pelkkä salasanasuojaus ei suojaa automaatiolaitetta riittävästi, sillä laitteiden haavoittuvuuksia voidaan käyttää hyväksi murtautumisissa. Salasanan murtaminen ei useinkaan ole nopein keino laitteeseen murtautumisessa. Haavoittuvuuden hyväksikäyttäminen automatisoidusti mahdollistaa hyökkääjälle pääsyn yhdellä kertaa lukuisiin saman haavoittuvuuden sisältäviin laitteisiin. Toki esimerkiksi oletussalasanat tulee muuttaa hyvälaatuisiin salasanoihin murtautumisten vaikeuttamiseksi. Teollisuuden automaatiolaitteissa laitteeseen murtautuminen tai siihen vaikuttaminen esimerkiksi palvelunestohyökkäyksellä kohdistuu pääasiassa kyseisen yrityksen tuotantoon. Tuotantokatkoksilla on usein välittömiä vaikutuksia, jotka on helposti mitattavissa rahassa tai maineen menetyksenä. Tämän vuoksi teollisuusyrityksen intresseissä on kiinnittää huomiota kuinka laitteet on internetiin kytketty ja millaisia suojaustoimenpiteitä on tarpeen käyttää. Kiinteistöautomaatioon liittyvässä laitteessa vaikutukset kohdistuvat usein yksittäiseen rakennukseen tai ympäristöön, jossa laitteeseen vaikuttaminen ei näy selvästi tai nopeasti kustannuksina toimijalle. Hyökkääjä voi silti aiheuttaa kohteelleen mittavia seurannaisvahinkoja. Esimerkiksi kauppakeskuksen toimintoja ohjaavaan laitteeseen päässyt murtautuja voi aiheuttaa kauppakeskuksen tyhjentämisen valaistusta ohjaamalla. Tällöin laitteen väärinkäytöllä voidaan aiheuttaa mittaviakin kustannuksia. Laitteen käyttötarkoitus vaikuttaa siis siihen kohdistuviin ja sen aiheuttamiin uhkiin hyvin voimakkaasti. Uhkakuvia on kuvattu laajemmin automaatioon keskittyneen teemakuukauden aikana julkaistuissa Tietoturva nyt! -artikkeleissa Kodin ja teollisuuden älykkäät järjestelmät tulilinjalla (julk. 2.4.2015) Huonot etäyhteydet ovat myrkkyä automaatiojärjestelmille (julk. 20.4.2015) 4

Kyberturvallisuuskeskus - Suojaamattomia automaatiolaitteita suomalaisissa verkoissa Kartoituksen toteutus Kartoituksessa Suomen IP-osoiteavaruus on skannattu tiettyjen yleiskäyttöisten ja yleisesti tunnettujen automaation käytössä olevien porttien osalta. Näin saadusta materiaalista on erikseen pyritty tunnistamaan automaatioon liittyviä laitteita esimerkiksi etsimällä viitteitä tuotenimiin tai käyttöpaikkoihin. Automaatiojärjestelmien käyttämistä porteista löytyneet laitteet ovat suurella todennäköisyydellä automaatiolaitteita ja tulosten koostaminen siltä osin on nopeaa. Haasteen etsinnälle asettavat laitteet, joiden hallintaan käytetään yleisessä käytössä olevia portteja kuten esimerkiksi www-selailussa käytettävät portit TCP/80 ja TCP/443. Automaatioon liittyviä laitteita etsitään niiden vastauspaketeissa palauttamien tietojen perusteella. Eri laitteet palauttavat laitteisiin liittyvät tiedot hieman eri tavoin, joten laitteiden löytäminen vaatii useita eri tunnistustapoja. Peruskartoituksen yhteydessä kuvataan menetelmät laitteiden löytymiseksi ja luodaan prosessi, joka helpottaa saman kartoituksen tekemistä tulevaisuudessa uudestaan. Ilmoittaminen laitteiden ylläpitäjille Kyberturvallisuuskeskus ilmoittaa havaituista järjestelmistä niiden ylläpitäjille. Suurin osa havaittujen järjestelmien ylläpitäjistä on saavutettavissa vain laitteen käyttämän IP-osoitteen perusteella. Tieto IP-osoitteen haltijasta on teleyrityksillä, joten valtaosa yhteydenotoista tuleekin tapahtumaan teleyritysten kautta, teleyritysten välittäminä. Joitakin suuria käyttäjätahoja on pystytty tunnistamaan laitteiden palauttaman tiedon perusteella ja yhteydenotot näihin toimijoihin voidaan tehdä suoraan. Viestintäviraston periaatteena on ilmoittaa välittömästi ja toistuvasti, mikäli havaitaan kriittiseen infrastruktuuriin tai teollisuusautomaatioon liittyvä laite avoimena verkossa. Kiinteistöautomaatioon liittyvien yksittäisten laitteiden ilmoittaminen on suunniteltu tehtäväksi harvemmin, esimerkiksi kerran vuodessa. Miten toimia ylläpitäjänä Onko käytössäsi automaatiolaitteita, joita pääset käyttämään etäyhteyden avulla? Jos pääsyä ei ole rajoitettu esimerkiksi vpn-tekniikalla tai pääsylistalla, on syytä miettiä keinoja yhteyden suojaamiseksi. Poista käytöstä turvattomat palvelut, esimerkiksi telnet, jos mahdollista. Rikolliset etsivät verkosta pääsyä automaatiojärjestelmiin automaattisilla menetelmillä ja saattavat käyttää löytämiään järjestelmiä väärin joko itse tai myymällä tiedot eteenpäin. Murrettu laite voi toimia myös porttina yrityksen sisäverkkoon. Mikäli sinulla on automaatiolaite kytkettynä suojaamattomana internetiin tai saat ilmoituksen sellaisesta, arvioi mitkä ovat riittävät suojaustoimenpiteet laitteen turvallisen käytön mahdollistamiseksi. Lisätietoa laitteiden suojaamisesta saa valmistajalta tai laitetoimittajalta. 5

Yhteystiedot Viestintävirasto PL 313 Itämerenkatu 3 A 00181 Helsinki Puh: 0295 390 100 (vaihde) kyberturvallisuuskeskus.fi viestintävirasto.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute