Digitoday

Valikko

Satoja suomalaisyrityksen LVI-järjestelmiä netissä – ei sen näin helppoa pitäisi olla

Onko vesi liian kuumaa vai tuntuuko toimistossa vilpoisalta? LVI-säätöjen muuttaminen näyttää olevan mahdollista aivan liian helposti ja samalla se herättää kysymyksen, mitkä kaikki muut järjestelmät ovat myös näpelöitävissä.


Suomessa on lukuisia kiinteistöjä, joiden tietoturvasta huolehditaan ilmeisen huolimattomasti. Esimerkiksi suomalaisen Fidelix Oy:n rakennusautomaatioratkaisuja löytyy helposti hakukoneilla suoraan internetistä.

Tietoturvayhtiö Nixu otti tilanteesta selvää Digitodayn pyynnöstä ja kaivoi Shodan-hakukoneen avulla esiin yli 300 verkkosivua, jotka johtivat jonkinlaisen Fidelix-ratkaisun kirjautumissivulle. Luku ei tosin välttämättä aivan vastaa todellisuutta, sillä osa tuloksista oli viime syksyltä, ja järjestelmät voivat olla dynaamisten ip-osoitteiden takana.

Yhtään hallintaliittymää ei löytynyt sellaisenaan, vaan kaikki sentään edellyttivät kirjautumista. Mutta Nixun asiantuntijan mukaan pelkkä käyttäjätunnus ja salasana eivät ole riittävä suoja automaatiojärjestelmille.

– On tämä jossain määrin huolestuttavaa. Jos näitä laitetaan tällä tavalla nettiin, siihen pitää olla vahva peruste, Nixun johtava tietoturva-asiantuntija Antti Nuopponen toteaa.

Ongelmaa ei tiedosteta

Suomalainen rakennusautomaatio- ja turvajärjestelmiä toimittava Fidelix Oy tiedostaa taistelevansa tietoturvaongelman kanssa, jota moni yritys ei edes ymmärrä olevan olemassa.

Fidelixin toimitusjohtajan Jussi Rantasen mukaan netissä olevien kirjautumissivujen takana on automaatiokeskusten hallintaliittymiä, joilla seurataan tyypillisesti lämmitystä ja ilmastointia eli kiinteistön talotekniikkaa.

Loppuasiakas vastaa käyttäjäprofiilien määrityksistä, eli siitä, mitä liittymän kautta saa tehdä. Periaatteessa voi olla, että jotkut liittymät päästävät esimerkiksi muuttamaan kiinteistön lämpötilaa. Vahingontekoa tosin rajoittavat varolaitteet, joiden tulisi puuttua tilanteeseen ja estää esimerkiksi putkien jäätymiset.

– Eräs käytännön ongelma on, että vaikka itse havaitsisimme internetissä olevan kohteen, niin emme voi edes lähteä sitä testailemaan ilman loppuasiakkaan lupaa. Toimintamme historiassa kukaan asiakas ei ole kuitenkaan valittanut, että vahinkoa aiheuttavia väärinkäytöksiä olisi tapahtunut, Rantanen korostaa.

Huolta ja ylimääräisiä kustannuksia


Vaikka kirjautumista vaaditaan, näiden järjestelmien ei tulisi olla suojaamattomina verkossa lainkaan, Fidelixin Rantanen katsoo. Kyseessä on hyvä esimerkki niin sanotun teollisen internetin vaaroista, jotka Rantasen mukaan johtuvat vääristä asenteista rakennusalalla.

Väärinkäytökset olisivat helppoja esimerkiksi tilanteessa, missä tunnukset tietävä työntekijä jakaa niitä tahallaan muille kostona työnantajalle. Toisaalta netistä löytyy porukkaa, joille motiiviksi riittää pelkkä kiusanteko aina tilaisuuden tullen. Asetuksia muuttamalla saisi ainakin huoltoautot liikkumaan ympäriinsä ja ihmisiä raapimaan päitään, että mistä nyt on kysymys. Tämä tietenkin myös maksaa.

– Haasteena koemme, että kiinteistö- ja rakennusalalla vallitsee kulttuuri, jossa nähdään että rakennusautomaatiojärjestelmät ovat perinteisen urakoinnin tapaan kertainvestointeja kiinteistönomistajan näkökulmasta. Tietoturvaratkaisut ovat mielestämme keskeisiä asioita, joita tulisi ylläpitää ja kehittää kiinteistössä myös käyttöönoton jälkeen ja tarjoamme asiakkaillemme tähän tarkoitettua palvelua, Rantanen sanoo.

Toimitusjohtajan mukaan myös hänen yhtiönsä omissa käytännöissä on parannettavaa. Ratkaisuja on korjattu niin, että niitä ei voi enää tällä tavalla verkosta löytää, mutta päivityksiä ei ole asennettu läheskään kaikkiin kohteisiin.

Päivitysten kustannukset riippuvat laitoksen iästä ja päivitykseen liittyvän työmäärän suuruudesta. Takuuaikaiset päivitykset ovat pääosin ilmaisia. Rantasen mukaan pelkkä ohjelmiston kustannus on marginaalinen.

Koko alan yhteinen ongelma

Rantanen myös korostaa, että ongelma ei ole suinkaan yksin Fidelixin. Sama tilanne on kilpailijoilla ja laajemmin kiinteistöjen hallinnassa.

Nixun Antti Nuopponen on samaa mieltä. Hän tietää esimerkiksi lukitusjärjestelmien olevan toisinaan puutteellisesti suojattuja.

– Lukitusjärjestelmissä hinta painaa joskus sen verran, ettei olla valmiita maksamaan oikeasti turvallisesta ratkaisusta, Nuopponen sanoo.

Nuopponen miettii myös, mitä automaatiojärjestelmien huolimaton suojaus kertoo käyttäjäorganisaation ajattelumaailmasta.

– Jos kiinteistöautomaation tietoturvaan ei haluta panostaa, kyllähän on mahdollista, että sama trendi pätee muihinkin järjestelmiin, Nuopponen aprikoi.

Lisäksi aina, kun mihin tahansa tietojärjestelmään pääsee käsiksi internetin kautta, se saattaa toimia vasta ensimmäisenä askeleena syvemmälle uhrin tietoverkkoon ja salaisuuksiin.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Karmea tapaturma johti kokeneen työntekijän kuolemaan konepajalla Jyväskylässä

    2. 2

      Murhasta elinkautista istunut 39-vuotias nainen pääsee vapaaksi – murhasi miehen hyvin raa’alla tavalla

    3. 3

      Marit Björgenin jättihauikset taas huomion kohteena – Kike Elomaalla vahva näkemys norjalaisen hurjista lihaksista

    4. 4

      Sarjahukuttajan paikka vankilan hierarkiassa voi olla karu – näin toimii systeemi kaltereiden takana

    5. 5

      Valepoliisit väijyivät kauppakeskuksissa – epäillään huijanneen katalalla juonella jättisummia

    6. 6

      Britannian korkein oikeus: Hallitus tarvitsee Brexitin aloittamiseen parlamentin hyväksynnän

    7. 7

      Makwan Amirkhani ja Heli Rantanen kauhistelivat Janne Ahosen aamupalaa: ”Se oli pelottava”

    8. 8

      Kommentti: Berner-farssi voi käydä Sipilälle kalliiksi

    9. 9

      Maria Veitola pikkubikineissä – kommentoi kuvaa ytimekkäästi: ”Peruskannut”

    10. 10

      VS: Pelaajan vanhempi kavalsi 6 000 euroa 12-vuotiaiden joukkueelta – ”Tuntuu hyvinkin epätoivoisen ihmisen teolta”

    11. Näytä lisää
    1. 1

      Kahdeksan lapsen yh-äiti on ”liian kaunis töihin”: ”Miehet näkevät minut vain seksisymbolina”

    2. 2

      Ensitreffit alttarilla -tähti julkaisi kuvan vauvansa kanssa – tarkkasilmäiset fanit huomasivat kivuliaan sairauden

    3. 3

      Marit Björgenin jättihauikset taas huomion kohteena – Kike Elomaalla vahva näkemys norjalaisen hurjista lihaksista

    4. 4

      Naku-uikkari on kesän kuumin uimapukutrendi – aivan kuin päällä ei olisi yhtään mitään

    5. 5

      Android-haittaohjelmasta vapaata riistaa: Pankkitilejä tyhjennetään jo

    6. 6

      Syyte: hampurilaisketjun toimitusjohtaja kahmi 1,8 miljoonaa – veti jopa päiväkassat liiveihinsä ja suunnitteli muuttoa Australiaan

    7. 7

      Tässä ovat Tanssii tähtien kanssa -kilpailijat – mukana Musta Barbaari ja Eevi Teittinen

    8. 8

      Katso listat: Näin on käynyt S- ja K-ryhmien alentamille hinnoille

    9. 9

      Trump aloitti muutokset – jäädyttää palkankorotukset

    10. 10

      Ali Jahangirin käytös Tanssii tähtien kanssa -julkistuksessa hämmästytti: ”Pitäkää tunkkinne”

    11. Näytä lisää
    1. 1

      Juo aamulla vettä tyhjään vatsaan – 8 mahtavaa vaikutusta

    2. 2

      Auervaaroja netissä jahtaava Tuula, 74, täräytti valemajurille: ”Minä en maksa penniäkään” – huijarin vastaus oli paljon puhuva

    3. 3

      Kahdeksan lapsen yh-äiti on ”liian kaunis töihin”: ”Miehet näkevät minut vain seksisymbolina”

    4. 4

      Ensitreffit alttarilla -tähti julkaisi kuvan vauvansa kanssa – tarkkasilmäiset fanit huomasivat kivuliaan sairauden

    5. 5

      Serbian seksikkäin laulaja Milica, 25, purskahti korsetistaan ulos kesken keikan – yleisö villiintyi

    6. 6

      Ei herkkohermoisille: Tältä näyttää työuupumus sairaalassa

    7. 7

      Nainen synnytti salaa vessassa – raskaudesta tietämättömät vanhemmat havahtuivat pamaukseen

    8. 8

      Uimapukumalli Chrissy Teigen jakoi rehellisen kuvan reisistään – miehet hämmentyivät: ”Olen katsonut tätä jo minuutin, ja...”

    9. 9

      Kaikki irti Whatsappista! Tiesitkö jo nämä 9 kätevää kikkaa?

    10. 10

      Poliisi IS:lle: Näin sarjahukuttaja jäi kiinni – ”Hänellä oli itsellään tiedossa...”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Karmea tapaturma johti kokeneen työntekijän kuolemaan konepajalla Jyväskylässä

    2. 2

      Murhasta elinkautista istunut 39-vuotias nainen pääsee vapaaksi – murhasi miehen hyvin raa’alla tavalla

    3. 3

      Marit Björgenin jättihauikset taas huomion kohteena – Kike Elomaalla vahva näkemys norjalaisen hurjista lihaksista

    4. 4

      Sarjahukuttajan paikka vankilan hierarkiassa voi olla karu – näin toimii systeemi kaltereiden takana

    5. 5

      Valepoliisit väijyivät kauppakeskuksissa – epäillään huijanneen katalalla juonella jättisummia

    6. Näytä lisää
    1. 1

      Kahdeksan lapsen yh-äiti on ”liian kaunis töihin”: ”Miehet näkevät minut vain seksisymbolina”

    2. 2

      Ensitreffit alttarilla -tähti julkaisi kuvan vauvansa kanssa – tarkkasilmäiset fanit huomasivat kivuliaan sairauden

    3. 3

      Marit Björgenin jättihauikset taas huomion kohteena – Kike Elomaalla vahva näkemys norjalaisen hurjista lihaksista

    4. 4

      Naku-uikkari on kesän kuumin uimapukutrendi – aivan kuin päällä ei olisi yhtään mitään

    5. 5

      Android-haittaohjelmasta vapaata riistaa: Pankkitilejä tyhjennetään jo

    6. Näytä lisää
    1. 1

      Juo aamulla vettä tyhjään vatsaan – 8 mahtavaa vaikutusta

    2. 2

      Auervaaroja netissä jahtaava Tuula, 74, täräytti valemajurille: ”Minä en maksa penniäkään” – huijarin vastaus oli paljon puhuva

    3. 3

      Kahdeksan lapsen yh-äiti on ”liian kaunis töihin”: ”Miehet näkevät minut vain seksisymbolina”

    4. 4

      Ensitreffit alttarilla -tähti julkaisi kuvan vauvansa kanssa – tarkkasilmäiset fanit huomasivat kivuliaan sairauden

    5. 5

      Serbian seksikkäin laulaja Milica, 25, purskahti korsetistaan ulos kesken keikan – yleisö villiintyi

    6. Näytä lisää