Kiinteistötekniikan haavoittuvuudet ja niihin Pelastusalan neuvottelupäivät 9.12.2015 Sonera Jari Kenttä Senior Business Manager Connected Buildings
Sonera Digitaalisen liiketoiminnan mahdollistaja Älykkäät verkot Älykäs viestintä Business Mobility
Kiinteistötekniikan haavoittuvuudet ja niihin - esityksen rakenne Aiheen käsittelyn rajaus ja siihen liittyvien roolien esittely Aiheeseen liittyviä tapahtumia maailmalta Esimerkki kehityshankkeesta Suosituksia ja vinkkejä Aiheen huomioiminen kiinteistötekniikan elinkaaren eri vaiheissa
Toimitilojen teknisen valvonnan ja automatisoinnin tyypillisiä osa-alueita ja rooleja Kameravalvonta Järjestelmien ylläpitopalvelut Kiinteistöhuolto Paloilmoitin Kulunvalvonta ja työajanhallinta Energiatehokkuuspalvelut Palveluroolit Tietoliikenne ja tiedon käsittely Järjestelmäratkaisut 112 Vartiointiliike Konesalipalvelut Kiinteistöautomaatio Rikosilmoitin Hätäkeskus Kulutusmittaus
Miksi asia on ajankohtainen? - toimintatavat ovat muuttuneet Kiinteistötekniikkaan liittyvät arvoketjut ovat pirstaloituneet Asiantuntijat kytketään prosesseihin etäyhteyksillä Kustannustehokkuuden vaatimukset ovat kasvaneet Kyky nopeaan reagointiin Mittaaminen ja kehittäminen Energiatehokkuus ja ympäristön kuormituksen vähentäminen
Miksi asia on ajankohtainen? - toimintatavat ovat muuttuneet Ennen Poikkeamat ja häiriöt tarkistettiin paikan päällä Tarkistamisen yhteydessä päätettiin mahdollisista jatkotoimenpiteistä ensimmäisen asiakaskäynnin yhteydessä Puutteellisten ennakkotietojen takia ylläpitoon liittyvät viat tulivat harvoin kerralla kuntoon useita käyntejä -> ylimääräisiä viiveitä ja kustannuksia Nyt Poikkeamat ja häiriöt pyritään selvittämään etäpalvelupisteestä hyödyntämällä yhdistettyä tilannekuvaa useasta eri valvonta- ja automaatiojärjestelmästä Paikan päällä suoritettavat tehtävät pyritään siirtämään edullisempaan ajankohtaan. Paikan päällä suoritetaan vain välttämättömät toimenpiteet joita ei voida toimittaa etäpalveluina Etätoimenpiteiden avulla ongelmien korjaaminen on nopeutunut
Tapahtumia maailmalla ja kotimaassa: - Australiassa alkuvuodesta 2013 Herald-Sun 15.3.2013 Huijarit kaappasivat kasinon valvontakameroiden kuvat ja hyödynsivät kamerakuvia pokerihuijauksessa Hakkerit saivat huijattua 32 miljoonaa Australian dollaria (yli 25M )
Tapahtumia maailmalla ja kotimaassa: Aalto Yliopisto julkaisee selvitystyön tuloksia 20.3.2013
Tapahtumia maailmalla ja kotimaassa: - Tietoturvatutkija Paul McMillan MTV3 18.11.2013: McMillan löysi lokakuussa Suomesta 173 järjestelmää avoimesta internetistä Globaalisti löysi yli 30 000 haavoittuvaista järjestelmää
Tapahtumia maailmalla ja kotimaassa: - Kanadassa keväällä 2014 Target kauppaketjun maksupäätteisiin päästiin tunkeutumaan ilmastointi- /jäähdytysjärjestelmän etäyhteyden avulla Arvion mukaan luottokorttitietoja varastettiin n. 40 miljoonaa ja käyttäjätietoja yli 70 miljoonaa Maaliskuussa tietohallintojohtaja joutuu irtisanoutumaan tehtävästään Huhtikuussa luottokorttiyhtiöt esittivät korvausvaatimuksen 18 miljardia USD:ia Toukokuun alussa toimitusjohtaja joutuu jättämään tehtävänsä ja Target ilmoittaa käytteensä kymmeniä miljoonia dollareita tapauksen selvittämiseen
Tapahtumia maailmalla ja kotimaassa: Aalto Yliopisto päivittää tilannekuvaa joulukuussa 2013 HS 21.12.2013 Suojaamattomien laitteiden määrä on lisääntynyt rajusti Kasvua edelliseen selvitykseen verrattuna oli yli 60%
Tapahtumia maailmalla ja kotimaassa: - Googlen kiinteistöautomaatiojärjestelmään tunkeuduttiin Kaksi hakkeria tunkeutui toukokuussa 2013 Googlen Sydneyn toimitilaan hyödyntäen kiinteistöautomaatiojärjestelmän tunnettua tietoturva-aukkoa Hakkerit saivat pääsyn järjestelmän config.bog tiedostoon, jonka avulla he pääsivät käsiksi käyttäjätunnuksiin ja salasanoihin Hakkerit kykenivät saamaan pääkäyttäjätason oikeudet kaapattuun järjestelmään
Tapahtumia maailmalla ja kotimaassa: - Tietoisuuden lisääntyminen Internetistä löytyy koko ajan enemmän esimerkkejä erilaisista kiinteistöjärjestelmien tietoturvaaukoista Kiinteistöjärjestelmien haavoittuvuus on kuluvana vuonna ollut pääteema tai yksi pääteema useissa tietoturvaseminaareissa
Tapahtumia maailmalla ja kotimaassa: - muuttuvat ympäristöolosuhteet Myrskyjen ja lisääntyneiden sademäärien aiheuttamien paikallisten tulvariskien huomioiminen Kiinteistötekniikan ja muiden kriittisten järjestelmien laitesijoituksien suunnittelussa on hyvä arvioida mm. paikalliset tulvariskit Olemassa olevien järjestelmien haavoittuvuusriski tältä osin on myös hyvä arvioida
Tyypillisiä haasteita
Tyypillinen tilanne useassa toimipisteessä operoivassa organisaatiossa Eri kiinteistössä on eri valmistajien järjestelmiä ja laitteita, jotka eivät ole keskenään yhteensopivia Osa järjestelmistä liittyy kiinteistöön ja osa yksittäisiin tilankäyttäjiin Kokonaisuuden hallinta on haastavaa ja vastuut jakaantuneet eri henkilöille Eri aikaan hankittuja järjestelmiä Ei ole liitetty keskitettyyn hallintaan Yhteensopivuusongelmat Kokonaisuutta ei ole suunniteltu vaan tilanne on syntynyt vuosien aikana Kokonaisuus on altis häiriöille, osakokonaisuuksissa on vaihtelevia turva- ja laatutasoja
Kiinteistötekniikan ja palveluiden yleiskuva Kameravalvonta Kiinteistöautomaatio Asiakkaan vastuuhenkilöt Asiakkaan valvomo Hätäkeskus Paloilmoitin Murtovalvonta kiinteistöliittymä Miten toteuttaa tiedonvälitys turvallisesti kiinteistöjärjestelmien ja palveluntarjoajien välillä? Vartiointiliikkeet Kiinteistöhuolto Kulunvalvonta ja työajanhallinta Kulutusmittaus Asiakkaan toimipisteet Kohdejärjestelmien mobiilit ylläpitopalvelut Energiatehokkuuspalvelut Järjestelmäpalvelut palvelutuottajien konesaleista
Esimerkki asiakaskehityshankkeesta
Case Ovenia Tarkastelun piirissä olleella Ovenian asiakkaalla Spondalla on yli 100 toimipistettä joissa operoi useita eri järjestelmätoimittajia ja järjestelmiin liittyviä muita palvelutuottajia Olemassa olevat yhteysratkaisut sisältävät useita eri teknologiaratkaisuja Erilaiset muutokset esimerkiksi palvelukumppaneiden osalta ovat työläitä toteuttaa ja hallita Ovenia halusi rakentaa Spondalle tietoturvallisen kokonaisratkaisun, jolla a) välitetään kiinteistöautomaatio- ja turvallisuusjärjestelmien tilannekuva sovituille tahoille b) muodostetaan yhteyskäytännöt etätoimenpiteiden mahdollistamiseksi c) hallitaan helposti muutoksia järjestelmä- ja kumppaniverkostossa Ovenia pähkinänkuoressa: Perustettu 1980 Liikevaihto n. 48M (2014) Henkilöstöä yli 550 Visio Ovenia on Suomen paras kiinteistöjohtamis- ja isännöintipalveluiden tuottaja ja alan kehityksen suunnannäyttäjä. Tavoitteenamme on olla kiinteistöjohtoalan kiinnostavin työnantaja. Missio Teemme kiinteistön omistamisen ja käytön helpoksi. Ovenian tarjoamat palvelut kattavat kiinteistöjen johtamiseen tarvittavien palvelujen kokonaisuuden Asunnot Toimitilat Isännöinti
Case Ovenia Kiinteistö- ja turvallisuuspalveluiden kytkentä loppuasiakkaan järjestelmäresursseihin roolipohjaisesti ja tietoturvallisesti Energiatehokkuuspalvelut Kameravalvonta Järjestelmien ylläpitopalvelut Kiinteistöhuolto Paloilmoitin Kulunvalvonta ja työajanhallinta Palveluroolit 112 Sonera Alerta Järjestelmäratkaisut Monikanavainen ryhmäviestintämahdollisuus Vartiointiliike Konesalipalvelut Kiinteistöautomaatio Rikosilmoitin fax SMS Hätäkeskus Kulutusmittaus Viestintä puhe email SDS 11.2.2014 Kiinteistöautomaatio- ja turvallisuusjärjestelmäpalveluiden suojaaminen
Käytännön vinkkejä oman toiminnan suunnitteluun
Huomioi järjestelmien ja palveluiden elinkaari Hankinta ja käyttöönotto Korvaavaan ratkaisun suunnittelu Käyttö ja ylläpito Käyttö ja ylläpito Muutokset
Hankinta ja käyttöönotto Kiinteistötekniikan hankinnan suunnittelussa tulee huomioida koko sen elinkaaren aikainen toiminta Suunnitteluvaiheessa syntyy luottamuksellista dokumentaatiota jonka luottamuksellisuus tulee säilyttää Tiedot tulee olla saatavilla ja käytettävissä tätä vaihetta seuraavan käyttö- ja ylläpitovaiheen tukena Esimerkiksi yksittäisten järjestelmien konfiguraatiotiedon hallinta saattaa usein jäädä ilman riittävää huomiota Konfiguraatiotietojen kriittisyys korostuu eri järjestelmien integraatiotapauksissa
Käyttö, hallinta ja ylläpito Käytön ja ylläpidon aikana syntyvät tapahtumatiedot ovat valtaosin luottamuksellisia Tapahtumalokien sijainti, tietojen hallinta - rekisteriselosteet Käyttö- ja pääsyoikeuksien hallinta korostuu - keillä tulee olla ja kenellä on pääsy järjestelmiin liittyviin tietoihin Muutosjoustavuuden huomioiminen Tietoturvavaatimusten ja käytäntöjen jatkuva ylläpito
Muutokset Elinkaaren aikaisten muutosten dokumentointi Edelleen konfigurointitietojen saatavuuden ja toisaalta luottamuksellisuuden varmistaminen Palvelukumppaneiden muutostilanteissa on hyvä varmistaa kuka omistaa järjestelmiin liittyvät tiedon ja kenellä on niihin pääsy
Korvaavan ratkaisun suunnittelu Aikaisempien vaiheiden tietojen saatavuus korostuu Muilta osin korvaavan ratkaisun suunnitteluvaiheessa korostuu vahvasti samat asiat kuin alkuperäisessä hankinta- ja käyttöönottovaiheessa Uudistusten jälkeen jatkuu käytöllä ja ylläpidolla
Erityishuomio paloilmoittimien osalta Paloilmoittimien käyttöönottotarkastusten yhteydessä on hyvä huomioida, että ilmoituksensiirtolaitteesta on vaatimuksenmukaisuusvakuutus ja -todistus EU:n rakennustuoteasetuksen myötä tämä vaatimus on ollut voimassa jo 1.7.2013 lähtien, mutta siitä ei olla vielä riittävästi tietoisia http://www.tukes.fi/fi/toimialat/pelastustoim en-laitteet/sammutuslaitteistot-japaloilmoittimet/paloilmoittimien-jasammutuslaitteistojenvaatimustenmukaisuus/
Katakri Katakri on viranomaisten auditointityökalu, jota viranomainen voi käyttää arvioidessaan kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Katakria voidaan käyttää auditointityökaluna arvioitaessa yrityksen turvallisuusjärjestelyjä yritysturvallisuusselvityksessä ja viranomaisten tietojärjestelmien turvallisuuden arvioinneissa. Sitä voidaan käyttää myös apuna yrityksien, yhteisöjen sekä viranomaisten muussa turvallisuustyössä ja sen kehittämisessä. Ajantasalla oleva Katakri sähköisenä NSA:n sivuilla www.formin.finland.fi
sonera_security twitter.com/#sonerab2d twitter.com/sonera_security