Yle julkaisi maanantaina artikkelin ja aloitti hakkerointiin liittyvän Docstop -sarjan Yle Areenassa. Ensimmäisessä jaksossa näytettiin, kuinka helppoa on murtautua Suomessa melko yleiseen rakennusautomaatiojärjestelmään. Heikkouksia löyty jo alkumetreillä runsaasti ja näitä olivat mm. oletustunnukset ja salasanat, suojaamattomat telnet-yhteydet, heikot sessiosuojaukset, admin-tason oikeudet huoltotunnuksilla, rikkinäiset autentikoinnit, helpot tavat syöttää omaa koodia käynnistyskomentoihin, ym. ym. ym. Sarjassa ihmeteltiin ääneen, että ”ihan kuin tätä laitetta ei kuuluisi edes liittää nettiin”. Naulan kantaan!
Kun Internet yleistyi 2000-luvun alussa, niin nopeasti havaittiin mainio mahdollisuus helpottaa taloteknisten järjestelmien ylläpitoa ja huoltoa rakentamalla etäyhteyksiä rakennusautomaatiojärjestelemiin. Melko nopeasti lähes kaikilta toimittajilta tuli markkinoille alakeskuksia (eli laitteita, joissa rakennusten äly ja toiminnallisuus on), joissa oli alkeellinen web-pohjainen käyttöliittymä, jonka kautta käyttäjä pääsi suoraan seuraamaan ja ohjaamaan kiinteistöjen lämmitystä, ilmanvaihtoa, valaistusta, energiankulutusta, ovilukituksia, saunoja, yms. Huomattiin, että riittää, kun kiinteistöön hankitaan Internet-liittymä, jossa on ns. kiinteä julkinen IP-osoite. Julkinen IP-osoite on ikään kuin Internetin puhelinnumero, johon kuka tahansa voi soittaa – jos tietää numeron. Tuohon aikaan ei ajateltu kenenkään osaavan ”soittaa randomilla väärään numeroon” tai löytämään näitä laitteita. Näissä laitteissa ei usein ollut lainkaan kirjautumista tai jos oli, niin hyvin tyypillisesti käytettiin tunnusta huolto ja salasanaa huolto. Tai jotain muuta oletustunnusta. Myöhemmin on tullut mekanismeja löytää noita ip-osoitteita mm. Shodanilla tai jopa Googlella! Valitettavasti iso osa tuohon aikaan rakennetuista alakeskuksista on edelleen siellä saman IP-osoitteen takana ja sitä ei ole päivitetty vuosikymmeneen.
Julkinen IP-osoite on ikään kuin Internetin puhelinnumero, johon kuka tahansa voi soittaa – jos tietää numeron.
Noh, onneksi me olemme oppineet virheen? No ei. Edelleen tänä päivänäkin saan tarjouspyyntöjä, joissa etäyhteys on suunniteltu täsmälleen tällä tavalla. Yhdessä urakkaneuvotteluissa meitä jopa haukuttiin kilpailijaan verrattuna, kun käyttämämme järjestelmä vaati ”jotain VPN-laitteita, kun kilpailijan järjestelmään pääsee suoraan ilman mitään lisälaitteita”. Niin. Miljardit ihmiset pääsevät.
Onneksi tilanne on kuitenkin oikeasti parantunut parissa vuodessa. Useimmissa järjestelmissä on otettu isoja harppauksia tietoturvan parantamiseksi. Erityisesti käyttämässämme Schneider Electric EcoStruxure -järjestelmässä tietoturva on ollut kehityksen yksi päätavoitteita koko järjestelmän elinkaaren ajan. Samoin etäkäyttöä varten on olemassa paljon suojattuja ja tietoturvallisia tapoja. Lisäksi tietoturvaa osataan jo vähän vaatiakin. Mutta aina ei oikein tiedetä, miten. Tietoturva- (ja yleensäkin IT- ja verkko-) osaamista puuttuu yksinkertaisesti koko alalta. Hankintapuolelta, suunnittelusta, kilpailutuksesta, urakoitsijoilta…. kaikilta puuttuu yksinkertaisesti osaamista tietoturvasta. Tämän lisäksi kohtaan edelleen myös välinpitämättömyyttä. ”Ei tänne kukaan osaa hyökätä.” Tai ”mitä kukaan täällä meidän järjestelmässä tekisi?”. Niin mitä. No miksi kukaan töhrii hissejä tussilla. Samasta syystä: kepponen on helppo tehdä ja siitä ei jää kiinni.
Loppujen lopuksi – vaikka monissa järjestelmissä on puutteitakin – kysymys on loppujen lopuksi osaamisesta. Tietoturvallisinkin järjestelmä voi päätyä avoimeen nettiin oletustunnuksilla, jos sitä ei osata konfiguroida. Viimeisen päälle järeä automaatiojärjetelmäkin saattaa antaa huomaamattoman takaportin, jos sen väylärajapinnat on konfiguroitu väärin. Täydellisestikin salattu liikenne voi valua hukkaan, jos käyttäjä antaa tunnukset huolimattomasti muille. Esimerkkejä on paljon.
Vertaan usein tietoturvallisuutta sähköturvallisuuteen. Sähkö on hengenvaarallista. Erityisesti veden kanssa! Silti meillä voi olla sähkölaitteita jopa kylpyhuoneissa! Miksi? Sähkölaitteiden asennuksissa täytyy noudattaa tarkkaan määriteltyjä sääntöjä ja ohjeita ja niitä saa tehdä vain oikean koulutuksen saaneet henkilöt. Ja jos et itse osaa, niin pyydä ammattilainen apuun. Ei se tietoturvassa sen vaikeampaa ole!
