Digitoday

Valikko

Satoja suomalaisyrityksen LVI-järjestelmiä netissä – ei sen näin helppoa pitäisi olla

Onko vesi liian kuumaa vai tuntuuko toimistossa vilpoisalta? LVI-säätöjen muuttaminen näyttää olevan mahdollista aivan liian helposti ja samalla se herättää kysymyksen, mitkä kaikki muut järjestelmät ovat myös näpelöitävissä.


Suomessa on lukuisia kiinteistöjä, joiden tietoturvasta huolehditaan ilmeisen huolimattomasti. Esimerkiksi suomalaisen Fidelix Oy:n rakennusautomaatioratkaisuja löytyy helposti hakukoneilla suoraan internetistä.

Tietoturvayhtiö Nixu otti tilanteesta selvää Digitodayn pyynnöstä ja kaivoi Shodan-hakukoneen avulla esiin yli 300 verkkosivua, jotka johtivat jonkinlaisen Fidelix-ratkaisun kirjautumissivulle. Luku ei tosin välttämättä aivan vastaa todellisuutta, sillä osa tuloksista oli viime syksyltä, ja järjestelmät voivat olla dynaamisten ip-osoitteiden takana.

Yhtään hallintaliittymää ei löytynyt sellaisenaan, vaan kaikki sentään edellyttivät kirjautumista. Mutta Nixun asiantuntijan mukaan pelkkä käyttäjätunnus ja salasana eivät ole riittävä suoja automaatiojärjestelmille.

– On tämä jossain määrin huolestuttavaa. Jos näitä laitetaan tällä tavalla nettiin, siihen pitää olla vahva peruste, Nixun johtava tietoturva-asiantuntija Antti Nuopponen toteaa.

Ongelmaa ei tiedosteta

Suomalainen rakennusautomaatio- ja turvajärjestelmiä toimittava Fidelix Oy tiedostaa taistelevansa tietoturvaongelman kanssa, jota moni yritys ei edes ymmärrä olevan olemassa.

Fidelixin toimitusjohtajan Jussi Rantasen mukaan netissä olevien kirjautumissivujen takana on automaatiokeskusten hallintaliittymiä, joilla seurataan tyypillisesti lämmitystä ja ilmastointia eli kiinteistön talotekniikkaa.

Loppuasiakas vastaa käyttäjäprofiilien määrityksistä, eli siitä, mitä liittymän kautta saa tehdä. Periaatteessa voi olla, että jotkut liittymät päästävät esimerkiksi muuttamaan kiinteistön lämpötilaa. Vahingontekoa tosin rajoittavat varolaitteet, joiden tulisi puuttua tilanteeseen ja estää esimerkiksi putkien jäätymiset.

– Eräs käytännön ongelma on, että vaikka itse havaitsisimme internetissä olevan kohteen, niin emme voi edes lähteä sitä testailemaan ilman loppuasiakkaan lupaa. Toimintamme historiassa kukaan asiakas ei ole kuitenkaan valittanut, että vahinkoa aiheuttavia väärinkäytöksiä olisi tapahtunut, Rantanen korostaa.

Huolta ja ylimääräisiä kustannuksia


Vaikka kirjautumista vaaditaan, näiden järjestelmien ei tulisi olla suojaamattomina verkossa lainkaan, Fidelixin Rantanen katsoo. Kyseessä on hyvä esimerkki niin sanotun teollisen internetin vaaroista, jotka Rantasen mukaan johtuvat vääristä asenteista rakennusalalla.

Väärinkäytökset olisivat helppoja esimerkiksi tilanteessa, missä tunnukset tietävä työntekijä jakaa niitä tahallaan muille kostona työnantajalle. Toisaalta netistä löytyy porukkaa, joille motiiviksi riittää pelkkä kiusanteko aina tilaisuuden tullen. Asetuksia muuttamalla saisi ainakin huoltoautot liikkumaan ympäriinsä ja ihmisiä raapimaan päitään, että mistä nyt on kysymys. Tämä tietenkin myös maksaa.

– Haasteena koemme, että kiinteistö- ja rakennusalalla vallitsee kulttuuri, jossa nähdään että rakennusautomaatiojärjestelmät ovat perinteisen urakoinnin tapaan kertainvestointeja kiinteistönomistajan näkökulmasta. Tietoturvaratkaisut ovat mielestämme keskeisiä asioita, joita tulisi ylläpitää ja kehittää kiinteistössä myös käyttöönoton jälkeen ja tarjoamme asiakkaillemme tähän tarkoitettua palvelua, Rantanen sanoo.

Toimitusjohtajan mukaan myös hänen yhtiönsä omissa käytännöissä on parannettavaa. Ratkaisuja on korjattu niin, että niitä ei voi enää tällä tavalla verkosta löytää, mutta päivityksiä ei ole asennettu läheskään kaikkiin kohteisiin.

Päivitysten kustannukset riippuvat laitoksen iästä ja päivitykseen liittyvän työmäärän suuruudesta. Takuuaikaiset päivitykset ovat pääosin ilmaisia. Rantasen mukaan pelkkä ohjelmiston kustannus on marginaalinen.

Koko alan yhteinen ongelma

Rantanen myös korostaa, että ongelma ei ole suinkaan yksin Fidelixin. Sama tilanne on kilpailijoilla ja laajemmin kiinteistöjen hallinnassa.

Nixun Antti Nuopponen on samaa mieltä. Hän tietää esimerkiksi lukitusjärjestelmien olevan toisinaan puutteellisesti suojattuja.

– Lukitusjärjestelmissä hinta painaa joskus sen verran, ettei olla valmiita maksamaan oikeasti turvallisesta ratkaisusta, Nuopponen sanoo.

Nuopponen miettii myös, mitä automaatiojärjestelmien huolimaton suojaus kertoo käyttäjäorganisaation ajattelumaailmasta.

– Jos kiinteistöautomaation tietoturvaan ei haluta panostaa, kyllähän on mahdollista, että sama trendi pätee muihinkin järjestelmiin, Nuopponen aprikoi.

Lisäksi aina, kun mihin tahansa tietojärjestelmään pääsee käsiksi internetin kautta, se saattaa toimia vasta ensimmäisenä askeleena syvemmälle uhrin tietoverkkoon ja salaisuuksiin.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Kolme lasta ja äiti kuolivat tulipalossa Helsingin Vuosaaressa – näin tapahtumat etenivät

    2. 2

      Poliisi kertoi lisää Vuosaaren tulipalon uhreista - suurimmat tuhot saunassa

    3. 3

      Psykoosiin ajautunut Kanye West palasi julkisuuteen muuttuneena – ensimmäinen kuva räppäristä poistettiin Instagramista nopeasti

    4. 4

      Suuri lihapullatesti oli yhden pienen pyörykän ylivoimaa – ”Heittämällä paras”

    5. 5

      Näin Patrik Laine asuu Winnipegissä – ”Just ja just osaan käyttää mikroa”

    6. 6

      Naapurit kertovat yön dramaattisista hetkistä – kolme lasta ja nainen löytyivät kuolleina palaneesta asunnosta

    7. 7

      Aasialaismiehen passikuva hylättiin äärimmäisen kiusallisesta syystä

    8. 8

      Yhdessä jatkanut Ensitreffit alttarilla -pari avoimena MTV:lle suhteensa hankaluuksista: ”Näemme toisiamme paljon vähemmän kuin aikaisemmin”

    9. 9

      Yhden hitin eläketurva – tässä on joululaulu, joka tuo kirjoittajilleen edelleen 590 000 euron vuosittaiset rojaltitulot

    10. 10

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    11. Näytä lisää
    1. 1

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    2. 2

      Saara Aallon kilpakumppanit pahoissa vaikeuksissa – tuleeko finaalilähetyksestä katastrofi?

    3. 3

      Bunkkeriin seksiorjaksi teljetty ruotsalaisnainen kirjoitti kirjan painajaisestaan – ”Yritin uskotella itselleni, ettei tämä voi olla totta”

    4. 4

      Sekava mies uhkasi vastaantulijaa Porvoossa – nyrkkeilytaustainen uhattu ei päästänyt karkuun

    5. 5

      Susanna, 33, vei Lumian huoltoon – uuteen puhelimeen alkoi ilmestyä outoja kuvia

    6. 6

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    7. 7

      Brittimedia: Saara Aalto laulaa finaalissa kaikkien aikojen Queen-klassikon yhdessä supertähti Adam Lambertin kanssa

    8. 8

      Moni kärsii tietämättään kakkostyypin diabeteksen esiasteesta – lisää äkkikuoleman vaaraa

    9. 9

      Aktiivisen työttömän tuloista lähtee ensi vuonna jopa 200 €/kk – ”Työttömän taloudessa järkyttävän suuri summa”

    10. 10

      Yhden hitin eläketurva – tässä on joululaulu, joka tuo kirjoittajilleen edelleen 590 000 euron vuosittaiset rojaltitulot

    11. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    3. 3

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    4. 4

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    5. 5

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    6. 6

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    7. 7

      Todelliset syyt, joiden vuoksi naiset voihkivat seksin aikana

    8. 8

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    9. 9

      Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

    10. 10

      Linnan jatkoilla nousi hässäkkä – Heikki Lampela ja Hanna Kärpänen sisään vahvassa juhlatunnelmassa: ”Haluan seikkailuja”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Kolme lasta ja äiti kuolivat tulipalossa Helsingin Vuosaaressa – näin tapahtumat etenivät

    2. 2

      Poliisi kertoi lisää Vuosaaren tulipalon uhreista - suurimmat tuhot saunassa

    3. 3

      Psykoosiin ajautunut Kanye West palasi julkisuuteen muuttuneena – ensimmäinen kuva räppäristä poistettiin Instagramista nopeasti

    4. 4

      Suuri lihapullatesti oli yhden pienen pyörykän ylivoimaa – ”Heittämällä paras”

    5. 5

      Näin Patrik Laine asuu Winnipegissä – ”Just ja just osaan käyttää mikroa”

    6. Näytä lisää
    1. 1

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    2. 2

      Saara Aallon kilpakumppanit pahoissa vaikeuksissa – tuleeko finaalilähetyksestä katastrofi?

    3. 3

      Bunkkeriin seksiorjaksi teljetty ruotsalaisnainen kirjoitti kirjan painajaisestaan – ”Yritin uskotella itselleni, ettei tämä voi olla totta”

    4. 4

      Sekava mies uhkasi vastaantulijaa Porvoossa – nyrkkeilytaustainen uhattu ei päästänyt karkuun

    5. 5

      Susanna, 33, vei Lumian huoltoon – uuteen puhelimeen alkoi ilmestyä outoja kuvia

    6. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    3. 3

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    4. 4

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    5. 5

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    6. Näytä lisää