Kyberuhka kytee lappeenrantalaisen taloyhtiön pannuhuoneessa

Antti Nuopponen

Head of Cyber Defense

Marraskuu 9, 2016 at 02:30

Viime päivinä uutisiin on noussut tapauksia, joissa suomalaisten taloyhtiöiden taloautomaatiojärjestelmiin on kohdistettu verkkohyökkäyksiä, joista mm. Etelä-Saimaa ja Yle uutisoivat 8.11.2016. Kuten viestintävirasto arvio, verkkohyökkäysten takana on ollut rikollisia. Suomalaisten lämmitysjärjestelmien kokemat tahalliset verkkohyökkäykset ovat kuitenkin olleet vain jäävuorenhuippu. Riskit ovat olleet tiedossa jo vuosien ajan. Digitoday käsitteli asiaa jo vuonna 2015, jolloin Nixu kartoitti verkossa avoinna olevia rakennusautomaatiojärjestelmiä.

control unit

Teollisen internetin aikakaudella yhä useammat laitteet on kytketty verkkoon. Taloyhtiöiden taloautomaation lisäksi verkkoon on kytketty saunankiukaita, varashälyttimiä, valvontakameroita ja kaikenlaisia laitteita, joilla kansalaisten elämään helpotetaan nykypäivän yhteiskunnassa. Samalla kun teollisen internetin aikakausi mahdollistaa kuluttajille yhä uusia mahdollisuuksia nauttia uuden tekniikan tuomista eduista, kuluttajat altistuvat verkkorikollisuudelle ymmärtämättä millaisia riskejä verkkoon kytketyt laitteet tuovat mukanaan.

Näin tapahtui myös taloautomaatiojärjestelmien tapauksessa. Rikolliset eivät olleet niinkään kiinnostuneita sekoittamaan lappeenrantalaisen taloyhtiön lämmönjakelua, niin ikävältä kuin se pakkaskauden alettua kuulostaakin, vaan tarkoitusperät ovat olleet paljon vakavammat. Tavoitteena on ollut hyödyntää suojaamattomia verkkoon kytkettyjä laitteita osana laajaa verkkohyökkäystä.

Tällaisissa tapauksissa useat verkkolaitteet ovat saastutettu verkon välityksellä ja liitetty osaksi pahantahtoista bottiverkkoa, jossa yksittäiset laitteet osallistuvat massiiviseen palvelunestohyökkäykseen, jolla voidaan lamauttaa pahimmassa tapauksessa vaikka kokonainen valtio. Näin kävi Liberiassa viime viikolla Mirai bottiverkon palvelunestohyökkäyksessä. Kohteena voivat olla myös suuret kaupalliset toimijat. Muutama viikko sitten useat suositut verkkosivut kärsivät samanlaisista ongelmista ja mm. Twitter ja Netflix olivat poissa pelistä perjantaina 21.10.

Kuka on vastuussa?

Kyberturvallisuutta käsiteltäessä vastuukysymys on vähintäänkin mielenkiintoinen. Luonnollista olisi olettaa, että vastuu laitteiden kyberturvallisuudesta olisi laitteiden valmistajalla, mutta valitettavasti tällaista lainsäädäntöä ei ole vielä olemassa. Toisin kuin palveluiden ja tuotteiden turvallisuutta määritetään useilla standardeilla ja määräyksillä, verkkoon kytkettävien laitteiden kyberturvallisuuden varmistaminen ei vaikuta olevan kenenkään vastuulla.

Käytännössä vastuu laitteiden kyberturvallisuudesta kallistuu laitteiden omistajalle, mutta tämä mantteli on raskas kantaa, sillä harva kuluttaja on tarpeeksi valveutunut huolehtimaan laitteiden turvallisuudesta. Kuluttajat olettavat, että laitteet ovat oletusarvoisesti turvallisia, mikä ei pidä paikkaansa.

Moni meistä tahtoo myös uskoa, että loppukädessä rikollinen on aina vastuussa tekemästään pahasta. Mutta todellisuudessa palvelunestohyökkäyksen tekijää on usein mahdotonta tai ainakin erittäin vaikea saada vastuuseen. Esimerkiksi Twitterin ja Netflixin tapauksessa tekijöitä ei ole saatu kiinni.

EU-alueella olisi hyvä herättää vakava keskustelu vastuista koskien laitteiden kyberturvallisuutta. Mielenkiintoinen tulokulma dialogiin voisi olla Security by design- ajattelu, jolla taataan, että kyberturvallisuus on otettu huomioon jo laitteiden varhaisessa suunnittelussa. Tällöin myös yksittäinen kuluttaja voisi luottaa laitteiden kyberturvallisuuteen.