Taloautomaatiojärjestelmillä voidaan pyrkiä parantamaan turvallisuutta, luomaan säästöjä ja lisäämään asumismukavuutta.
Esimerkiksi valaistus-, energia-, turvallisuus-, hissi- ja lämmitysjärjestelmät ovat yhä useammin kytkettyinä julkiseen verkkoon, jotta niiden toimintaa voitaisiin hallinnoida etäyhteyden kautta. Vaikka talotekniikan digitalisoituminen on kokonaisuutena erittäin positiivinen ja tervetullut asia, liittyy siihen myös riskejä.
Palvelunestohyökkäyksellä ohjataan tietoliikennettä hyökkäyksen kohteeseen
Kuluneen vuoden aikana on jo muutamaan otteeseen uutisoitu kiinteistöjen taloautomaatiojärjestelmiä häirinneistä verkkohyökkäyksistä. Viimeisimpänä ja kenties vakavimpana tapauksena uutisoitiin marraskuun alussa tapahtuneesta verkkohyökkäyksestä, jossa rikolliset tahot valjastivat kahden Lappeenrannassa sijaitsevan taloyhtiön verkkoon kytketyt lämmitysjärjestelmät osaksi laajempaa palvelunestohyökkäystä. Verkkohyökkäyksen johdosta taloyhtiöiden huoneistojen ja veden lämmitys katkesi hetkeksi.
Palvelunestohyökkäyksillä on tyypillisesti tarkoituksena luoda ruuhkaa palveluun niin paljon, että palvelu kaatuu ja sitä ei voida käyttää. Hyökkäyksen tarkoituksena ei siten yleensä ole palveluun murtautuminen ja tietojen luottamuksellisuuteen taikka eheyteen vaikuttaminen. Palvelunestoyökkäyksen motiivina voi olla esimerkiksi aatteelliset syyt, kiristäminen rahantekotarkoituksessa tai pelkkä kiusanteko.
Palvelunestohyökkäyksiä voidaan toteuttaa monella tapaa. Usein hyökkäys toteutetaan niin, että tietoliikennettä ohjataan hyökkäyksen kohteeseen useista eri lähteistä hyökkääjään käyttäessä täysin sivullisia osapuolia hyökkäyksen välikappaleina. Lappeenrannassa tapahtuneessa lämmitysjärjestelmien pimenemisessä oli ilmeisesti juuri tällaisesta tilanteesta kyse. Lämmitysjärjestelmän käyttämä, todennäköisesti hyvin rajallinen verkkokaista luultavasti tukkeutui sen toimiessa palvelunestohyökkäyksen välikappaleena ja siitä syystä järjestelmän toiminta keskeytyi, kunnes se sammutettiin ja käynnistettiin uudestaan. Täysin mahdollista on kuitenkin myös tilanteet, joissa palvelunestohyökkäys kohdistuu itse taloautomaatiojärjestelmään. Esimerkiksi laaja samanaikainen palvelunestohyökkäys kiinteistöjen hissijärjestelmiin voisi johtaa katastrofaalisiin seurauksiin.
Vahva salasana sisältää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä, sekä on vähintään 15 merkkiä pitkä.
Tietoturvariskeiltä voi suojautua
Palvelunestohyökkäyksien välikappaleena toimimiselta voi suojautua pitämällä ohjelmistot ajan tasalla päivittämällä niitä, asettamalla suojausasetukset riittävän korkealle tasolle ja huolehtimalla siitä, että palvelu ei ole avoin julkisessa verkossa, ellei se ole välttämätöntä. Jos palvelu on poikkeuksellisesti saatavilla julkisessa verkossa, on suositeltavaa valita palvelu, jossa käyttäjä tunnistetaan vahvalla tunnistamisella. Vahvassa tunnistamisessa käytetään tunnistusvälineinä pankkien verkkopankkitunnuksia, väestörekisterikeskuksen kansalaisvarmennetta tai teleyritysten mobiilivarmenteita. Huoltoyhtiön ja taloautomaatiojärjestelmän välinen verkkoliikenne voidaan tarvittaessa suojata virtuaalisella erillisverkkoratkaisulla (VPN). Palvelujen oletussalasanat tulisi vaihtaa vahvempiin salasanoihin. Palvelujen oletuspääkäyttäjätunnukset tulee poistaa käytöstä ja luoda palveluun henkilökohtaiset tunnukset, joille myönnetään oikeudet suorittaa palvelun pääkäyttäjätoimintoja. Palvelut tulisi suojata palomuurilla ja virustentorjuntaohjelmistolla.
Rakennusautomaation toteuttaminen tietoturvallisesti heti rakennusvaiheessa on viestintäviraston mukaan kustannustehokkain vaihtoehto pitkällä aikavälillä. Tietoturvan tason ylläpitämisestä tulee myös huolehtia muun muassa päivittämällä virustorjuntaohjelmistoa.
Tietoturvaan kannattaa kiinnittää huomiota myös taloyhtiöissä
Taloyhtiöissä kannattaa siis kiinnittää huomiota jatkossa taloautomaatiojärjestelmien tietoturvaan. Tietoturvan olisi hyvä olla vähintään sillä tasolla, että järjestelmien käyttäminen palvelunestohyökkäyksien välikappaleena vaikeutuisi. Samoin yhtiöissä on suositeltavaa laatia suunnitelma sen varalle, kuinka toimia palvelunestohyökkäyksen kohdistuessa taloautomaatiojärjestelmiin. Taloyhtiön pelastussuunnitelmaan voisi olla paikallaan lisätä tietoturvariskejä koskeva osuus. Kyberrikoksista tulee myös aina tehdä nopeasti rikosilmoitus, jotta poliisi pääsee mahdollisimman aikaisessa vaiheessa tutkimaan hyökkäyksen lähdettä.
Kun taloyhtiö hankkii taloautomaatiojärjestelmiä, kannattaa hankinnan yhteydessä selvittää järjestelmän mahdolliset tietoturvariskit. Asunto-osakeyhtiölain 1 luvun 11 §:n mukaan yhtiön hallituksen ja isännöitsijän on huolellisesti toimien edistettävä yhtiön etua. On selvää, että taloautomaatiojärjestelmien ennakoitava ja häiriintymätön toiminta on yhtiön etu.
Taloautomaatiojärjestelmien tietoturvakysymykset ovat asiana uusi taloyhtiökentällä ja tarvittaessa tietoturvariskien kartoittamisessa ja mahdollisten verkkohyökkäysten vaikutusten torjumisessa kannattaa käyttää konsulttiapua.
Lisätietoa tietoturvallisuudesta: www.viestintavirasto.fi/kyberturvallisuus.html
Artikkeli Huomio taloautomaatiojärjestelmien tietoturvaan julkaistiin ensimmäisen kerran Kiinteistölehti.