Suojaamattomien automaatiolaitteiden kartoitus 2016



Samankaltaiset tiedostot
Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Suojaamattomia automaatiojärjestelmiä

Suojaamattomia automaatiojärjestelmiä

Avoimet laitteet - riski verkossa Antti Kiuru@KiuruAntti Kyberturvallisuuskeskus, Viestintävirasto. Antti Kiuru, Tilannekeskuksen päällikkö

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Kyberturvallisuuskeskuksen palvelut ja vuosittainen automaatiokartoitus RAKLI Käyttö- ja ylläpitotoimikunta. Erika Suortti-Myyry

VERKKOKÄYTTÄJÄN OPAS. Tulostuslokin tallennus verkkoon. Versio 0 FIN

TIETOTURVAOHJE ANDROID-LAITTEILLE

Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Google Cloud Print -opas

2) Sisäverkon RJ45-portit kamerakäytössä (alk. S. 7) - kamera ei näy jossain modeemin takaseinän portissa tai se saa oudon näköisen IP-numeron

- ai miten niin?

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Tietoturvavinkkejä pilvitallennuspalveluiden

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Tulostimen hallintaohjelmisto MarkVision

Industrial Fire Protection Handbook

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

Kyberturvallisuus kiinteistöautomaatiossa

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

Tietokannan tietoturva. Heli Helskyaho Tietoturva-aamupäivä, Oracle House

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Skannaaminen RightFaxiin. Pääkäyttäjän opas

Sisällönhallinta, esteettämyys, henkilötiedot,

Miten varmistat taloteknisten järjestelmien tietoturvallisuuden?

Salaus ja tietoturva teollisen internetin ratkaisuissa

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

DNA Prepaid WLAN Mokkula

Gree Smart -sovelluksen (WiFi) asennus- ja käyttöohje: Hansol-sarjan ilmalämpöpumput WiFi-ominaisuuksilla

Google Cloud Print -opas

Valtion yhteisen viestintäratkaisun (Vyvi) Työtila- ja Ryhmä-palvelun kirjautumisohje

WELHO ADSL -LAAJAKAISTAPALVELUIDEN PALVELUKUVAUS KULUTTAJA-ASIAKKAILLE (alkaen )

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Tikon ostolaskujen käsittely

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

PK-yrityksen tietoturvasuunnitelman laatiminen

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Lomarengas Oy: henkilötietolain (523/1999) mukainen rekisteriseloste Päivitetty

Tuotetta koskeva ilmoitus

Storage IT Automaattinen Tiedonvarmennuspalvelu. Palvelukuvaus 1 (5)

TEEMME KYBERTURVASTA TOTTA

Langattoman kotiverkon mahdollisuudet

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

TIETOTURVAKATSAUS 1/

F-Secure Mobile Security. Android

AirPrint-opas. Versio 0 FIN

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

VISMA ECONET PRO ASP SOVELLUSVUOKRAUS. Page 1

TIETOTURVALLISUUDESTA

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

Tikon ostolaskujen käsittely

Google Cloud Print -opas

Maatalouden Laskentakeskus Oy Minun Maatilani - ohjelmiston palvelusopimus

Fennian tietoturvavakuutus

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

HUOLTAJAN OHJE TIETOJEN PÄIVITTÄMINEN HUOLTAJAKSI ILMOITTAUTUMINEN REKISTERÖITYMINEN

AirPrint-opas. Tämä käyttöopas koskee seuraavia malleja: MFC-J6520DW/J6720DW/J6920DW/J6925DW. Versio A FIN

Kyberuhat tavoittavat automaation

Lokitietojen käsittelystä

Lääkinnällisten ja taloteknisten tietoverkkojen eriyttäminen Sairaalatekniikan päivät Hämeenlinnassa

Vaivattomasti parasta tietoturvaa

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

Tapahtumat.infon käyttöehdot

Hallintatyökaluja Fujitsu-työasemille

Turvallinen etäkäyttö Aaltoyliopistossa

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

JOVISION IP-KAMERA Käyttöohje

Vesihuolto päivät #vesihuolto2018

AirPrint-opas DCP-J562DW MFC-J480DW MFC-J680DW MFC-J880DW

AirPrint-opas. Tämä käyttöopas koskee seuraavia malleja:

Omahallinta.fi itsepalvelusivusto

Liittymän vikadiagnosointi

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Automaatiojärjestelmät Rakennusautomaatiotason valinta Laatija: Sakari Uusitalo, TAMK

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Järjestelmäarkkitehtuuri (TK081702)

AirPrint-opas. Tämä käyttöopas koskee seuraavia malleja: DCP-J4120DW/MFC-J4420DW/J4620DW/ J4625DW/J5320DW/J5620DW/J5625DW/J5720DW/J5920DW.

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

Foscam kameran asennus ilman kytkintä/reititintä

Yritysturvallisuuden perusteet

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Google Cloud Print -opas

Ohjeet vastaamiseen SFTP:llä. Yleistä Kirjautuminen Varmistus/sormenjälki Tiedostojen kopiointi Yhteystietojen antaminen

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

2. Miksi keräämme käyttäjien tietoja? Fernando kerää ja käsittelee tiettyjä sivustonsa käyttäjien henkilötietoja, jotta:

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

,QWHUQHWVHODLPHQNl\WWlPLQHQ±,QWHUQHW([SORUHU

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa

KUSTANNUSTEHOKAS, TURVALLINEN JA VERKOTTUNUT VESIHUOLLON TIETOTEKNIIKKA MYYTTI VAI MAHDOLLISUUS

AirPrint-opas. Tämä käyttöopas soveltuu seuraaville malleille:

Kohdekiinteistöjen RAU-järjestelmien analyysi verrattuna AU-luokitukseen

Transkriptio:

Suojaamattomien automaatiolaitteiden kartoitus 2016 22.6.2016

Sisällysluettelo Suojaamattomia automaatiolaitteita suomalaisissa verkoissa... 3 1 Keskeisiä tuloksia ja havaintoja... 4 2 Muita kartoituksessa tehtyjä havaintoja... 5 3 Mahdollisia uhkia... 5 4 Miksi hyvä salasana ja laitteen uusin ohjelmistoversio eivät riitä?... 6 5 Uhat teollisuudessa... 7 6 Vinkkejä teollisuuden tietoturvan parantamiseksi... 7 7 Uhat rakennusautomaatiossa... 7 8 Vinkkejä rakennusautomaation tietoturvan parantamiseksi... 8 9 Kartoituksen toteutus... 9 10 Avoimesta laitteesta ilmoittaminen laitteiden ylläpitäjille... 9 11 Miten toimia ylläpitäjänä?... 10

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa Viestintävirasto on keväällä 2016 tehnyt kartoituksen suomalaisiin verkkoalueisiin kuuluvista suojaamattomista automaatiolaitteista. Työ on jatkoa vuoden 2015 vastaavalle kartoitukselle. Tuoreen kartoituksen tarkoituksena on sekä opastaa laitteiden omistajia suojaamaan laitteensa paremmin että luoda tilannekuvaa erilaisista internetiin liitetyistä automaatiojärjestelmistä. Suojaamattomien automaatiolaitteiden kartoituksen aloitti Aalto-yliopisto vuonna 2013. Viestintävirastolla on ollut käytössään tuon tutkimuksen tulokset, mutta ensisijaisesti vuonna 2016 vertailukohteena olivat vuoden 2015 tulokset. Vuoden 2016 kartoituksessa on pyritty myös laajentamaan näkemystä edellisvuoteen verrattuna. Kartoitukseen on esimerkiksi otettu mukaan useampia protokollia ja kriittisen infrastruktuurin toimijoiden laitteita on pyritty havaitsemaan, vaikka itse laite ei varsinaisesti kuuluisikaan automaatiolaitteiden joukkoon. Tällaisia ovat esimerkiksi verkkokamerat, joita havaitaan paljon. Jos kamera on kriittisen infrastruktuurin omistuksessa, sen merkitys kasvaa. Tulokset vastaavat suurusluokaltaan vuoden 2015 tuloksia. Automaatioon liittyviä laitteita havaitaan yhä paljon, mutta havaintomäärät eivät ole kasvaneet viime vuoteen verrattuna. Tuloksista nähtiin myös, että edellisten vuosien kartoituksilla on ollut hyvä vaikutus, sillä järjestelmien ylläpitäjät ovat suojanneet laitteitaan saatuaan ilmoituksen avoimesta automaatiolaitteestaan. Laite on tulkittu suojaamattomaksi, jos siihen tai sen kirjautumissivulle on pääsy internetistä. Automaatiolaitteita ei useinkaan ole suunniteltu liitettäväksi suoraan internetiin; esimerkiksi laitteeseen kirjautumisia ei kirjata lokiin. Avoimien laitteiden kartoituksessa koko Suomen tiettyjen porttien osoiteavaruus on käyty läpi ja näin saadusta materiaalista on pyritty löytämään automaatioon liittyvät laitteet. 3

1 Keskeisiä tuloksia ja havaintoja Kartoituksessa löytyneet laitteet on jaoteltu seuraaviin luokkiin: Kriittiseen teollisuusautomaatioon kuuluvat automaation hallintajärjestelmät (SCADA), näyttöpaneelit (HMI), logiikat (PLC). Teollisuusautomaatioon kuuluvat laitteet, joiden takana olevia yksittäisiä järjestelmiä ei pystytä selvittämään. Pääsääntöisesti nämä laitteet ovat erilaisia protokollamuuntimia. Rakennusautomaatioon kuuluvat, kiinteistöjen ohjaukseen liittyvät laitteet ja järjestelmät, esimerkiksi ilmanvaihdon ja lämmityksen ohjaukset. Kriittiseen infrastruktuuriin kuuluvien toimialojen laitteet ilmoitetaan harkinnan mukaan, vaikka ne eivät automaatiolaitteita olisikaan. Kartoituksessa havaitut järjestelmät ja laitemäärät vastaavat suuruusluokaltaan vuoden 2015 havaintoja. Kasvua vuoden 2015 havaintoihin ei näytä tapahtuneen, päinvastoin joillakin osa-alueilla havainnot ovat pienentyneet edellisvuoteen verrattuna. Suurimman yhtenäisen ryhmän muodostavat yhä rakennusautomaatioon liittyvät järjestelmät, joita tunnistettiin noin 2000. Vaikka suojaamattomien järjestelmien kokonaismäärä on yhä suuri, havaittiin tiettyjen laitteiden määrän vähentyneen. Ilmeisesti vuonna 2015 suurina kokonaisuuksina tehdyt ilmoitukset järjestelmien omistajille ovat tehonneet. Ilmoituksia ja rakennusautomaatio-alan seuraamista jatketaan osallistumalla alan seminaareihin ja työpajoihin myös kuluvan vuoden aikana. Kaupanalan järjestelmistä, muun muassa kaupan rakennusautomaatioon ja kylmäautomatiikkaan liittyvistä järjestelmistä, tehtiin yhä havaintoja. Tilanne viimevuoteen verrattuna on kuitenkin parantunut. Järjestelmien ylläpitäjien kontaktointi on aloitettu suoraan kaupanalan toimijoille. Teollisuusautomaatioon ja teollisuuden hallintajärjestelmiin liittyviä laitteita löytyi useita kymmeniä, kuten aiempinakin vuosina. Havaintojen perusteella laitteita on myös suojattu edellisen kartoituksen jälkeen. Esimerkiksi vuonna 2015 ilmoitetuista noin 30:stä tietyn valmistajan PLC-laitteesta tehtiin nyt vain kolme havaintoa. Erilaisia protokollamuuntimia ja yksittäisten laitteiden ohjaamiseen käytettäviä laitteita havaittiin yhä satoja. Viestintävirasto korostaa, että laitetta joka on tarkoitettu pelkästään paikallisesti operoitavaksi, ei ole järkevää kytkeä suoraan ja suojaamatta internetiin. Kriittisimmät havainnot koskivat kahta sähköverkon ohjaukseen tarkoitettua laitetta, joihin oli pääsy jopa selaimella. Runsaasti havaintoja tehtiin yhä myös turvattomien protokollien käyttämisestä ja kytkemisestä suoraan internetiin. Esimerkiksi automaatiossa hyvin yleisesti käytetyn Modbus-protokollan (TCP/502) kautta tunnistettiin yli sata laitetta. Modbus-protokolla on tarkoitettu käytettäväksi esimerkiksi ohjauksiin eikä sisällä mitään menetelmiä viestinnän osapuolten tunnistamiseen tai sisällön suojaamiseen. Tällaisen portin ollessa auki internetiin siihen voidaan luvattomasti kohdistaa komentoja, jotka laite suorittaa. 4

2 Muita kartoituksessa tehtyjä havaintoja Kartoituksen yhteydessä tehtiin havaintoja noin 6000 laitteesta, joista vastasi avoinna oleva snmp-palvelu (UDP/161). Laitetyypeistä erottuivat määrällisesti etenkin tulostimet ja laajakaistamodeemit. SNMP (Simple Network Management Protocol) on laitteiden hallintaan tarkoitettu protokolla, jonka ei normaalisti ole syytä olla avoinna internetiin. On todennäköistä, että useissa laitteissa SNMP on avoinna laitteen oletusasetusten vuoksi. Jos SNMP-palvelu on oletuksena avoinna, todennäköistä on myös, että palvelussa käytetään yleisessä tiedossa olevia oletussalasanoja. Näillä tiedoilla hyökkääjän on mahdollista saada laite täydellisesti hallintaansa ja hyödyntää laitetta esimerkiksi päästäkseen yrityksen verkkoon. Onkin tärkeää poistaa käytöstä kaikki käyttämättömät laitteen palvelut. 3 Mahdollisia uhkia Suojaamattomana internetissä oleva laite on houkutteleva kohde murtautujille. Laitteen voi valjastaa esimerkiksi osallistumaan palvelunestohyökkäyksiin tai laite voi tarjota helpon pääsyn yrityksen verkkoon. Automaatiolaitteet eivät useinkaan kirjaa lokiin kirjautumisyrityksiä tai laitteeseen kohdistuvaa liikennettä, ja näin murtautumiset tai niiden yritykset jäävät havaitsematta. Vaikka hakukoneella ei löytyisikään haavoittuvuustietoja tietylle laitteelle, ei se tarkoita, ettei laite olisi haavoittuva. Onko tiedossa, mitkä laitteen portit ovat avoinna ulospäin? Mitä palveluja porteista tarjotaan? Hallintaan käytetyn portin lisäksi laitteessa voi olla avoinna muita palveluita, esimerkiksi FTP ja SNMP. Ovatko näiden palveluiden parametrit muutettavissa (esimerkiksi oletussalasanat) ja voiko tarpeettomat palvelut poistaa käytöstä? Mitkä ovat näiden palvelimien versiot ja löytyykö niihin mahdollisesti haavoittuvuuksia? Suojaamattomien automaatiolaitteiden muille järjestelmille muodostama uhka vaihtelee laitteen käyttöympäristön mukaan. Yksittäinen laite asuinkiinteistössä aiheuttaa uhan pääsääntöisesti kolmansille osapuolille, esimerkiksi jos se osallistuu palvelunestohyökkäykseen. Vastaava laite teollisuudessa aiheuttaa uhan ympäristön toiminnalle ja muodostaa liiketoiminnallisia riskejä. Teollisuudessa järjestelmien suojaamiseen on käytössä resursseja, jotta tuotannon jatkuminen voidaan varmistaa. Tuotantohäiriöille on helposti laskettavissa rahallinen kustannus, siksi niiden suojaamiseen ollaan valmiita panostamaan enemmän kuin esimerkiksi kiinteistöjen rakennusautomaatiojärjestelmiin. Myös suojaamattomien rakennusautomaatiolaitteiden kautta on mahdollista aiheuttaa käyttöympäristölle merkittäviä kustannuksia esimerkiksi häiritsemällä valaistusta kauppakeskuksissa tai hyväksikäyttämällä automaatiolaitteen mobiililiittymän maksullisia palveluita. Kuvassa 1. näkyy eri käyttöympäristöihin kohdistuvia uhkia. 5

Kuva 1: Eri käyttöympäristöjen uhkia Jos laitteen havaitaan osallistuvan esimerkiksi palvelunestohyökkäyksiin tai aiheuttavan tietoturvauhan, teleoperaattorin on mahdollista katkaista tietoliikenneyhteys tietoturvasyistä. Kartoituksessa havaittiin myös runsaasti laitteita, joissa on käytössä SSL-protokollan versio 3. Vanhentunut salausprotokolla vaarantaa laitteen, mutta aiheuttaa merkittävän uhan myös ylläpitäjille. Koska nykyaikaiset selaimet eivät enää tue SSL:n versiota 3, ylläpitäjien on käytettävä vanhentunutta selainta laitteisiin päästäkseen. Automaattisten päivitysten vuoksi ylläpitäjän käyttöjärjestelmäpäivitykset on ehkä estetty, jotta selain ei päivity. Ylläpitoyhteydet laitteeseen muodostetaan tällöin haavoittuvalla käyttöjärjestelmällä internetin kautta ja ylläpitäjän oma tietoturva vaarantuu. 4 Miksi hyvä salasana ja laitteen uusin ohjelmistoversio eivät riitä? Laadukas salasana ja uusin päivitys pienentävät hyväksikäyttömahdollisuuksia, mutta eivät suojaa laitetta riittävästi. On täysin mahdollista, että tänään haavoittumaton järjestelmä on huomenna haavoittuva. Haavoittuvan ohjelmiston paikkaaminen valmistajalla ja sen toimittaminen ylläpitäjälle vie parhaimmillaankin paljon aikaa. Voi myös olla, että päivitystä ei koskaan tule saataville. Hyökkääjät murtavat laitteita automatisoidusti. Kartoituksessa havaittiin, että tietyissä automaatiolaitteissa on käytössä samoja http-palvelinohjelmistoja kuin esimerkiksi laajakaistamodeemeissa. Vastaavissa tilanteissa laitemurron uhriksi voi päätyä myös vahingossa, vaikka varsinainen kohde on täysin toisen tyyppinen laitemalli. 6

5 Uhat teollisuudessa Tietomurrolla tai esimerkiksi palvelunestohyökkäyksellä teollisuuden automaatiolaitetta kohtaan pyritään vaikuttamaan pääasiassa kohdeyritykseen tai sen tuotantoon. Tuotantokatkoksilla on usein välittömiä vaikutuksia, jotka ovat helposti mitattavissa rahassa tai maineen menetyksenä. Tämän vuoksi teollisuusyrityksen on tärkeä kiinnittää huomiota siihen, kuinka sen laitteet on internetiin kytketty ja millaisia suojaustoimenpiteitä on tarpeen käyttää. Suojaamattomana internetiin kytketty laite on myös paljon helpompi reitti yrityksen verkkoon kuin päivitetty ja kirjautumisia sekä yhteydenottoja kirjaava palvelin. Murtautumisen selvittäminen jälkikäteen käy myös työlääksi tai jopa mahdottomaksi, jos laite ei kerää tietoja kirjautumisista tai siihen kohdistuvasta liikennöinnistä. 6 Vinkkejä teollisuuden tietoturvan parantamiseksi Teollisuuden tietoturvaa on mahdollista parantaa parilla perusasialla: 1. Tunne ympäristösi ja sen laitteet. Yritysten ja teollisuuden ulkorajapintoja on suositeltavaa kartoittaa säännöllisesti. Tällöin esimerkiksi vahingossa internetiin avoinna olevat palvelut huomataan ja järjestelmän turvallisuuden tilanne tulee kartoitettua. Jos kartoituksen tekee ulkopuolinen, näkökulma voi erota oman henkilökunnan näkökulmasta, ja siten on mahdollista saada entistä monipuolisempi näkemys tilanteesta. Huomioi, että automaatioympäristön käytönaikainen skannaaminen automaatioverkossa ei ole järkevää vaan on tehtävä suunnitelmallisesti huoltokatkosten yhteydessä. 2. Säännöllisellä yrityksen verkon tutkimuksella havaitaan myös, onko palveluihin kohdistuneiden haavoittuvuuksien korjaaminen onnistunut, toimivatko päivitysprosessit ja onko verkko suunnitellun mukainen. 7 Uhat rakennusautomaatiossa Hyökkäys tai murto rakennusautomaatiolaitteeseen ei välttämättä näy selvästi tai nopeasti ylimääräisinä kustannuksina. Tosin poikkeuksiakin on. Keväällä uutisoidussa tapauksessa murtauduttiin suomalaisten jäähallien jäähdytyslaitteistoihin ja onnistuttiin aiheuttamaan jopa 10 000 euron kustannukset lähettämällä tekstiviestejä kalliisiin ulkomaisiin numeroihin. Hyökkääjä voi aiheuttaa kohteelleen myös mittavia seurannaisvahinkoja. Esimerkiksi kauppakeskuksen toimintoja ohjaavaan laitteeseen päässyt murtautuja voi tyhjentää kauppakeskuksen vain valaistusta ohjaamalla. Tällöin laitteen väärinkäytöllä voidaan aiheuttaa mittaviakin kustannuksia. Yksittäisten rakennusautomaatiolaitteiden tietotekninen ylläpito on vielä suhteellisen harvinaista. Kiinteistön ylläpidon tehostamiseksi laitteita kytketään etäkäyttöön "tökkäämällä" laite internetiin, ilman tietoturvan tai suojauksen pohtimista. Tämän jälkeen laite unohdetaan. Rakennusautomaation toteuttaminen tietoturvallisesti heti rakennusvaiheessa on kustannustehokkain malli pitkällä aikavälillä. Samalla turvataan lait- 7

teiden ylläpito, varmuuskopiointi, pääsynhallinta ja käyttäjien oikeuksien hallitut muutokset. Edellä mainittuja ominaisuuksia laitteet harvoin tukevat, mutta valmistajan tai kolmannen osapuolen tarjoamana keskitettynä pilvipalveluna ne on mahdollista toteuttaa vanhempiinkin laitteisiin. Esimerkiksi kiinteistön lämmityksen säädön parametrien menettäminen laiterikon tai murron vuoksi voi tulla hyvinkin kalliiksi huonontuneena energiatehokkuutena. Myös muutokset kiinteistönhuollon ylläpitoorganisaatiossa tai koko huoltoyhtiön pääsyoikeuksien vaihtaminen käy helposti keskitetyssä mallissa. Tämä voi nousta tavallista merkityksellisemmäksi seikaksi, esimerkiksi jos kiinteistön sähköistä lukitusta on mahdollista etäohjata. 8 Vinkkejä rakennusautomaation tietoturvan parantamiseksi Seuraavat tietoturvavinkit ovat alan toimijoille huomion arvoisia: 1. Tietoturvallinen toteutus rakennusprojektin alussa tulee usein paljon edullisemmaksi kuin vastaavan tason saavuttaminen jälkikäteen. 2. Suosi keskitettyjä ratkaisuja, pääsylistoilla voidaan pienentää tietomurron riskiä, mutta edut keskitetystä ratkaisusta menetetään. 3. Myös mobiililiittymillä yhdistetyt automaatiolaitteet on syytä suojata ja muun muassa poistaa liittymistä mahdollisuus käyttää maksullisia palveluja. 8

9 Kartoituksen toteutus Kartoituksessa Suomen IP-osoiteavaruus on skannattu tiettyjen yleiskäyttöisten ja yleisesti tunnettujen automaation käytössä olevien porttien osalta. Näin saadusta materiaalista on erikseen pyritty tunnistamaan automaatioon liittyviä laitteita esimerkiksi etsimällä viitteitä tuotenimiin tai käyttöpaikkoihin. Oman kartoituksen havaintoja on myös vertailtu verkon hakukoneiden tuloksiin, kuten esimerkiksi Shodaniin. Tulokset ovat olleet samansuuntaisia, pieniä eroja on näkynyt, mutta havaintojen suuruusluokat ovat olleet hyvin samankaltaisia. Automaatiojärjestelmien käyttämistä porteista löytyneet laitteet ovat suurella todennäköisyydellä automaatiolaitteita ja tulosten koostaminen siten nopeaa. Haasteen etsinnälle asettavat laitteet, joiden hallintaan käytetään yleisessä käytössä olevia portteja kuten esimerkiksi www-selailussa käytettävät portit TCP/80 ja TCP/443. Automaatioon liittyviä laitteita etsitään niiden vastauspaketeissa palauttamien tietojen perusteella. Eri laitteet palauttavat laitteisiin liittyvät tiedot hieman eri tavoin, joten laitteiden löytäminen vaatii useita eri tunnistustapoja. Erilaiset palautuneet tiedot johtavat siihen, että kartoituksessa pystytään löytämään vain laitteita ja järjestelmiä, jotka tunnetaan ja joiden tunnistamismenetelmä o n tiedossa. Siksi etenkin harvinaisempia järjestelmiä jää pakostakin havaitsematta. 10 Avoimesta laitteesta ilmoittaminen laitteiden ylläpitäjille Viestintävirasto ilmoittaa havaituista järjestelmistä niiden ylläpitäjille. Tavoitettavuutta pyritään parantamaan ilmoittamalla suurempia kokonaisuuksia suoraan ylläpitäjille, jos se vain on mahdollista. Ilmoitustapa toimii esimerkiksi rakennusautomaatiolaitteiden ja kaupan järjestelmien kanssa. Kriittisen infrastruktuuriin liittyvät havainnot ovat luonteeltaan yksittäisiä; tällöin yhteyttä on otettu suoraan yritykseen. Suuri osa havaittujen järjestelmien ylläpitäjistä on kuitenkin saavutettavissa vain laitteen käyttämän IP-osoitteen perusteella. Tieto IP-osoitteen haltijasta on teleyrityksillä, joten näissä tapauksissa yhteys ylläpitäjiin tehdään teleyritysten kautta, teleyritysten välittäminä. Jos Viestintäviraston tietoon tulee avoimena verkossa oleva kriittiseen infrastruktuuriin tai teollisuusautomaatioon liittyvä laite, periaatteena on ilmoittaa siitä välittömästi laitteen ylläpitäjälle. Tarvittaessa ilmoitus toistetaan. Kiinteistöautomaatioon liittyvistä yksittäisistä laitteista ilmoitetaan harvemmin, esimerkiksi kerran vuodessa. 9

11 Miten toimia ylläpitäjänä? Onko käytössäsi automaatiolaitteita, joita pääset käyttämään etäyhteyden avulla? Jos pääsyä ei ole rajoitettu esimerkiksi vpn-tekniikalla tai pääsylistalla, on syytä miettiä keinoja yhteyden suojaamiseksi. Poista käytöstä turvattomat palvelut, esimerkiksi telnet, jos mahdollista. Yksittäisen laitteen suojaaminen palomuurilla voi olla ylläpidollisesti hankala toteuttaa. Kysy valmistajalta tai laitteen myyjältä, onko laitteelle olemassa keskitettyä ylläpito- ja pääsynhallintaratkaisua. Kysy myös palveluoperaattoriltasi, onko yksittäiseen laitteeseen pääsyä mahdollista rajoittaa operaattorin pääsylistoilla. Muista, että tällöin menetät keskitetyn ratkaisun suomat edut. Skannaa säännöllisesti oman yrityksesi verkkoa. Omaa verkkoa saa ja tulee tutkia säännöllisesti. Tällöin esimerkiksi laiteasetuksissa tehdyt virheet tulevat ilmi ylläpidolle, toivottavasti ennen ulkopuolisia. Rikolliset etsivät verkosta pääsyä auto maatiojärjestelmiin automaattisilla menetelmillä. He saattavat käyttää löytämiään järjestelmiä väärin joko itse tai myymällä tiedot eteenpäin. Murrettu laite voi toimia myös porttina yrityksen sisäverkkoon. Jos sinulla on automaatiolaite kytkettynä suojaamattomana internetiin tai saat ilmo i- tuksen sellaisesta, arvioi mitkä ovat riittävät suojaustoimenpiteet laitteen turvallisen käytön mahdollistamiseksi. Lisätietoa laitteiden suojaamisesta saa valmistajalta tai laitetoimittajalta. Jos et saa ilmoitusta suojaamattomasta laitteesta, älä silti tuudittaudu turvallisuudentunteeseen. Viestintävirasto ei ole ehkä havainnut käyttämääsi laitetta tai ilmoitus ei ole saapunut oikeaan paikkaan. Mieti, mitä järjestelmiä sinulla on hallussasi ja miten ne on suojattu. Ota tarvittaessa yhteyttä laitteen valmistajaan tai myyjään tarkempien ohjeiden saamiseksi. Automaatioon liittyviä uhkia on kuvattu myös Viestintäviraston julkaisemissa Tietoturva nyt! -artikkeleissa vuonna 2015. Artikkelit ovat yhä ajankohtaisia. Kodin ja teollisuuden älykkäät järjestelmät tulilinjalla (2.4.2015) https://www.viestintavirasto.fi/2015/03/ttn201504011647 Huonot etäyhteydet ovat myrkkyä automaatiojärjestelmille (20.4.2015) https://www.viestintavirasto.fi/2015/04/ttn201504201735 10

Yhteystiedot Viestintävirasto PL 313 Itämerenkatu 3 A 00181 Helsinki Puh: 0295 390 100 (vaihde) viestintävirasto.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute