Rakennusautomaation tietoturva haltuun

15.12.2016

ST-kortistoon laadittavien rakennusautomaatiojärjestelmien yleisten tietoturvaohjeiden toivotaan jalkauttavan hyvät peruskäytännöt kentälle pahimpien riskien välttämiseksi.

Verkkoon kytkettyjen automaatiojärjestelmien tietoturva on herättänyt viime aikoina runsaasti keskustelua kiinteistöautomaatiojärjestelmiin kohdistuneiden hyökkäysten myötä. Vaikka todellisia ongelmia on jo nähty, ovat Suomessa tähän saakka koetut asiat ovat olleet vielä suhteellisen harmittomia pahimpiin skenaarioihin verrattuna. Tässä tilanteessa – ennen kuin mitään pahempaa on vielä sattunut – kannattaa sähköalan herätä paikkaamaan olemassa olevien automaatio- ja turvajärjestelmien tietoturva-aukot ja estämään aktiivisesti uusien haavoittuvuuksien syntyminen.

Sähkötieto ry:n hallitukseen kuuluvan Senaatti-kiinteistöjen talotekniikkaryhmän päällikkö Pasi Hyypän mukaan järjestelmiä asentavat sähköurakoitsijat eivät ole missään tapauksessa yksin vastuussa laitteiden tietoturvasta, mutta nyt alalla on hyvä tilaisuus osoittaa, että urakoitsijat ovat omalta osaltaan valmiita kantamaan vastuuta myös järjestelmien ylläpitoon liittyvistä haasteista.

– Asiasta on keskusteltu viime aikoina esimerkiksi sähköturvallisuuden neuvottelukunnassa ja TEM:issä. Isoja ongelmakohtia on olemassa, ja tässä tilanteessa on tärkeää, että Sähkötieto ja muut toimijat laativat ohjeistuksia, joiden perusteella tilaajat osaavat vaatia ja urakoitsijat osaavat toteuttaa asioita oikein, Hyyppä sanoo.

Integrio Oy:n kehitysjohtajalta, diplomi-insinööri Timo Silveriltä ST-kortistoon tilattujen rakennusautomaatiojärjestelmien yleisten tietoturvaohjeiden odotetaan valmistuvan kuluvan kevään aikana.

– Kentällä pohditaan jatkuvasti, mitä kaikkea tietoturvan varmistamiksi pitäisi tehdä, joten on hyvä, että perusasiat kirjataan ST-kortistoon selkeiksi ohjeiksi, Sähkötieto ry:n hallitukseen kuuluva Aro Systems Oy:n varatoimitusjohtaja Jarmo Töyräs sanoo.


Laitteiden toiminta on kyettävä varmistamaan

Sähkötieto ry:n hallitukseen kuuluvan RAKLI ry:n kehitysjohtaja Erkki Aallon mukaan etähallittavia järjestelmiä suunniteltaessa tulisi varautua aina myös pahimpiin kyberhyökkäyksiin ja varmistaa, ettei etähallinnan kaatuminen esimerkiksi palvelunestohyökkäyksen seurauksena vaikuta laitteiden perustoimintaan.

– Kaikkiin kohteisiin tarvitaan jatkossakin niin sanottu käsiajomahdollisuus, jotta poikkeustilanteissa pystytään hallitsemaan lämmitys- ja ilmastointijärjestelmien toiminta esimerkiksi kovilla pakkasilla ja varmistamaan, ettei ovien lukitus jää auki, Aalto sanoo.

Sähkötieto ry:n kiinteistöautomaatioryhmän puheenjohtaja Toivo Sahlsténin mielestä vastuu laitteiden perustason tietoturvan varmistamisesta kuuluu myös laitteiden asentajille, vaikka tätä ei sopimuksissa suoraan sanottaisikaan.

– Etäyhteyksien rakentajien ja niiden käyttäjien on tunnettava vastuunsa, sillä jos mietitään vaikka yksittäisten taloyhtiöiden isännöitsijöitä ja omistajia, niin eivät he ymmärrä näitä asioita, Sahlstén sanoo.

Tästä seuraa kysymys, kannattaako kiinteistöihin ylipäätään rakentaa etävalvonta- ja etähallintaratkaisuja jos kiinteistön haltijalla ei ole riittävästi osaamista tai halua järjestelmien ylläpitoon, mutta tässä tuskin kannattaa lähteä taistelemaan tuulimyllyjä vastaan ja estämään tekniikan kehitystä.


Haavoittuvuudet löytyvät helposti

Timo Silverin mukaan suojaamattomat automaatiojärjestelmät on nykyisin erittäin helppoa paikantaa julkisesta verkosta hakuohjelmien avulla. Verkkoon liitettyjen automaatiojärjestelmien suunnittelun lähtökohtana tulee olla, että suojaamattomat laitteet joutuvat jossakin vaiheessa varmasti jonkinlaisen hyökkäyksen kohteeksi.

Vaikka erilaisten kauhuskenaarioiden maalailu kuuluu olennaisena osana tietoturvasta käytävään keskusteluun, kuuluu kentältä myös hyviä uutisia. Sähkötieto ry:n kiinteistöautomaation asiantuntijaryhmään kuuluvan Stateko Oy:n taloautomaatiokonsultti Veijo Piikkilän mukaan KNX-järjestelmien tietoturva on nykyisin varsin hyvällä tolalla, sillä KNX-protokollan uusimmassa versiossa kaikki laitteiden välinen liikenne on salattua, minkä lisäksi järjestelmään kytketyille laitteille voidaan asettaa yhtenäinen varmenne, mitä ilman liikennettä ei sallita.

Tämän ansiosta tavallisten omakotitalojen KNX-järjestelmien suojaukseksi riittää käytännössä hyvä palomuuri, minkä toimivuuden voi varmistaa hankkimalla se esimerkiksi nettiliittymän tarjoavalta operaattorilta erillistä kuukausikorvausta vastaan.

  

Lisää aiheesta: ST-kortistoon laaditaan uudet tietoturvaohjeet