TURVALLISUUS
Kohteina ovat myös kuntien kriittinen infrastruktuuri
Kyberuhkat vaanivat automaatiolaitteita
Kyberhyökkäyksiä tehdään yhä enemmän rakennusten, laitosten ja teollisuuden automaatiojärjestelmiä vastaan. Ovatko kuntanne sähkönjakelu, tilojen kameravalvonta ja koulujen ilmanvaihtoautomatiikka suojattu näitä uhkia vastaan?
Teksti Jukka Nortio kuvat Thinkstock
Ukrainaa koetteli viime Jouluna sähkökatko, joka jätti lähes neljännesmiljoonaa ihmistä ja laajojen alueiden infrastruktuurin useiksi päiviksi ilman sähköä. Kyseessä ei ollut talvimyrsky tai vihreät miehet, vaan pitkään valmisteltu ja hyvin koordinoitu ky- berhyökkäys kahden sähköyhtiön sähkönjakelujärjestelmää vastaan.
Kun asiaa selvitettiin, ilmeni, että sähköjärjestelmien haavoittuvuuksia oli tutkittu jo puoli vuotta ennen hyökkäystä Black Energy-haittaohjelmalla ja var- sinainen hyökkäys tehtiin KillDisk- nimisellä ohjelmalla. Energiajakelun lisäksi hyökkääjät eliminoivat ups-järjestelmät, joiden piti turvata järjestelmien toiminta sähkökatkon sattuessa.
Norjassa koettiin laaja kyberhyökkäys elokuussa 2014, kun hyökkääjät kolkuttivat noin 300 yrityksen portteja ja onnistuivat tunkeutumaan 50 automaatio- ja tietojärjestelmään, muun muassa elintärkeän öljynjalostusteollisuuden järjestelmiin.
Dragonfly/Energetic Bear-niminen kyberrikollisten ryhmä teki Havex-haittaohjelmallaan vuosina 2013-2014 tuhansia kyberhyökkäyksiä 84 maan ener- giayritysten ja sähkölaitosten automaatiojärjestelmiä (Indus- trial Control Systems, ICS) vastaan. Tämä vihulainen onnistui pahimmillaan pysäyttämään voimalaitoksia.
Myös Ruotsissa vuosi sitten marraskuussa tapahtuneet lentoliikenteen tietojärjestelmien ongelmat sekä tämänvuotiset matkapuhelinliikenteeseen kohdistuneet sabotaasit ovat herättäneet epäilyjä kyberhyökkäyksistä.
Ja olihan meillä Suomessakin laajaa julkisuutta saanut Ulkoministeriön verkkovakoilutapaus.
Suomeakin koetellaan
– Viestintäviraston ylläpitämä huoltovarmuuskriittisille toimijoille ja valtionhallinnolle suunnattu Havaro-palvelu havaitsee vuosittain satoja huoltovarmuuskriittisiin organisaatioihin kohdistuvia hyökkäysyrityksiä ja tietoturvauhkia, kuten haittaohjelmatartuntoja, Viestintäviraston kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki sanoo.
– Kun havaitsemme tällaisen uhan, raportoimme siitä välittömästi kyseiselle taholle, joka sitten poistaa uhkan aiheuttajan.
Suuri osa Viestintäviraston tietoon tulevista hyökkäyksistä on verkkorikollisten haittaohjelmia, joiden avulla kiristetään rahaa. Kiristysohjelma lukitsee kohteena olevan tietokoneen, esimerkiksi Windows-pohjaisen automaatiojärjestelmän ohjauskonsolin. Tämän jälkeen saastuttaja kiristää kohteelta jopa kymmeniä tuhansia euroja, jotta lukitus poistetaan.
Suomalaisia julkishallinnon automaatiojärjestelmiä vastaan on Saarimäen mukaan voitu kohdistaa viime vuosina samanlaista tiedustelutoimintaa kuin aikanaan Ukrainan sähkölaitoksia kohtaan. Toistaiseksi olemme kuitenkin säästyneet kohtalokkailta hyökkäyksiltä.
Aalto-yliopiston kyberturvallisuuden professori Jarno Limnell on Saarimäen kanssa samoilla linjoilla. Hän kertoo, että valtiollisten toimijoiden kuten tiedusteluorganisaatioiden ja sotilasorganisaatioiden kyberarsenaali kasvaa jatkuvasti ja kyvykkyyksiä myös testataan lisääntyvässä määrin. Testien kohteina ovat myös suomalaisten kriittisen infrastruktuurin ohjausautomaatio- ja sähkönsyöttöjärjestelmät.
– Haavoittuvuuksia etsitään aktiivisesti ja järjestelmiemme toimintaa selvitetään erilaisilla skannauksilla. Näitä tietoja voidaan käyttää, jos järjestelmiä vastaan halutaan tehdä kohdennettuja kyberhyökkäyksiä, Limnell sanoo.
Osa järjestelmäskannauksesta on ammattisalaisuuksien vakoilua.
– Rikollisen toiminnan ja valtiollisen vakoilun erottaminen on hyvin vaikeaa, Saarimäki sanoo.
Limnell tietää, että näitä tapauksia on myös meillä sattunut, mutta ei kerro tarkemmin kohteista. Viestintäviraston tietoon tulleiden tapausten määrä kaksinkertaistui vuodesta 2014 vuoteen 2015.
Tapauksia on hyvin hankala tutkia.
– Todentaminen ja todistaminen on usein jopa mahdotonta ja syylliset jäävät usein arvailujen varaan, Limnell sanoo ja jatkaa.
– Näiden hyökkäysten seuraukset voivat olla todella vakavia: pahimmillaan koko yhteiskuntajärjestys voi olla uhattuna.
Hyvät neuvot tarpeen
Kunnallisten toimijoiden ymmärrys kyberuhkista vaihtelee: osalla on hyvä varautuminen, mutta osa kunnista on kyberturvan rakentamisessa aivan alkutekijöissään.
Koskaan ei ole myöhäistä lähteä parantamaan kyberturvaa, mutta nyt on korkea aika aloittaa.
– Alan kenttä on laaja ja tilan- ne muuttuu ja kehittyy koko ajan. Sensorit ja tiedonkeruutavat yleistyvät. Puhutaan älykaupungeista, joissa laitteet kommunikoivat keskenään ja asukkaiden kanssa. Kaikki uudet järjestelmät pitää alusta alkaen rakentaa kyberturvallisiksi. Uudet vaatimukset vaativat kunnilta kykyä kehittää toimintatapojaan ja oppia koko ajan uusia asioita, Saarimäki sanoo.
Urakasta selviää kuivin jaloin, kun turvautuu ajoissa asiantuntija-apuun, kuten alan moniin kotimaisiin yrityksiin, joilla on vankkaa kyberturvaosaamista.
Saarimäellä on selkeät neuvot, miten kunnallista kyberpuolustusta lähdetään kehittämään.
– Ensiksi pitää tunnistaa, mitkä kunnan toiminnot ovat sen perustehtävien kannalta kaikista kriittisimmät ja mitkä palvelut pitää toimia, jotta nämä toiminnot voidaan pitää pystyssä. Rajalliset voimavarat kannattaa painottaa kriittisten palveluiden turvaamiseen ja nämä palvelut pitää myös varmentaa mahdollisimman hyvin. Varautumisesta huolimatta on todennäköistä, että kyberuhka realisoituu tavalla tai toisella. Niinpä on toiseksi varauduttava tilanteeseen, kun kyberhyökkäys aiheuttaa häiriötilanteen: mitä teet, kun tieto- ja automaatiojärjestelmä kaatuu? Ovatko varajärjestelmät kunnossa ja saadaanko sähköä, Saarimäki sanoo ja jatkaa.
– Kolmanneksi on aina syytä muistaa, että kyberturvallisuus mahdollistaa turvallisten ja laadukkaiden palveluiden kustannustehokkaan tarjoami- sen kuntalaisille.
Limnell alleviivaa selkeän riskiarvion tekemistä kyberturvallisuudesta ja kyberturvallisuuden sisällyttämistä kokonaisturvallisuusarvioon.
– Ensiksi on mietittävä, mitä ollaan turvaamassa esimerkiksi kiinteistöautomaatiossa. Ovatko asiakastiedot kallein turvattava asia vai pitääkö ensisijaisesti turvata järjestelmien toimintakyky sähkökatkon varalta? Toiseksi on oltava selkeä kuva siitä, ketä vastaan ollaan suojautumassa, sillä erilaisilla toimijoilla on erilaiset motiivit. Verkkorikollisten, haktivistien, valtiollisten toimijoiden ja terroristien motiiveissa ja toimintatavoissa on eroja. On ymmärrettävä, miten varaudutaan todennäköisimpiä kyberhyökkäyksiä vastaan, Limnell sanoo.
Suurin osa kyberturvaongelmista johtuu Limnellin mukaan siitä, etteivät edes kyberturvan perusasiat ole kunnossa: ohjelmistopäivityksistä ei huolehdita, työntekijöillä ei ole riittävää osaamista ja tietoa kyberuhkista eikä hyökkäysten varalle ole kunnollisia varajärjestelmiä. Järjestelmiin on saattanut myös vuosien varrella jäädä lukuisia sellaisia portteja auki, joita on alun perin käytetty esimerkiksi automaatiojärjestelmien etävalvontaan tai päivitysten asentamiseen.
– Kyberturvallisuudesta huolehtiminen on välttämätöntä, jotta kansalaisten luottamus voidaan säilyttää tätä yhteiskuntaa ja viranomaisia kohtaan. Meillä on oltava turvajärjestelmät ja sietokyky hyökkäyksiä vastaan sekä keinot palautua nykyisistä ja tulevista kyberhyökkäyksistä, Limnell sanoo. 
Portit auki hyökkääjille
■ Viestintävirasto julkaisi toukokuussa 2016 Suojaamattomia automaatiolaitteita suomalaisessa verkossa -nimisen raportin. Sen mukaan verkkoon kytkettyjen laitteiden tietoturva-aukkoja havaittiin saman verran kuin edellisvuonna ja vuonna 2013, jolloin Aalto-yliopisto teki vastaavan tutkimuksen. Kärjessä ovat edelleen rakennusautomaatioon liittyvät järjestelmät, joissa tietoturvaongelmia tunnistettiin noin 2000.
Tutkimuksessa havaittiin satoja potentiaalisia protokollamuuntimia ja yksittäisten laitteiden ohjaamiseen käytettäviä laitteita, jotka voivat ovat herkästi haavoitettavia. Pahimmat tapaukset olivat kaksi sähköverkon ohjaukseen tarkoitettua laitetta, joihin oli pääsy internet-selaimella. Viestintävirasto neuvoo, että ”laitetta joka on tarkoitettu pelkästään paikallisesti operoitavaksi, ei ole järkevää kytkeä suoraan ja suojaamatta internetiin.”
Tutkimus havaitsi lisäksi yli sata laitetta automaatiossa hyvin yleisesti käytetyn Modbus-protokollan (TCP/502) kautta. Modbus-protokollassa ei ole menetelmiä viestinnän osapuolten tunnistamiseen tai sisällön suojaamiseen. Kun tällainen portti on auki, sen kautta voidaan kohdistaa haitallisia tai laitetta vahingoittavia komentoja.
Raportti varoittaa avoimien porttien vaaroista: ”Suojaamattomana internetissä oleva laite on houkutteleva kohde murtautujille. Laitteen voi valjastaa esimerkiksi osallistumaan palvelunestohyökkäyksiin tai laite voi tarjota helpon pääsyn yrityksen verkkoon. Automaatiolaitteet eivät useinkaan kirjaa lokiin kirjautumisyrityksiä tai laitteeseen kohdistuvaa liikennettä, ja näin murtautumiset tai niiden yritykset jäävät havaitsematta.”
Miljardien laitteiden tietoverkko on kyberrikollisen Eldorado
■ Internetiin liitettävien laitteiden määrä kasvaa tietoliikenneyhtiö Ciscon ja monialayritys General Electricin ennusteiden mukaan nykyisestä 5-7 miljardista laitteesta 25-50 miljardiin laitteeseen vuonna 2020. Teollisuuden koneiden ja kuluttajalaitteiden lisäksi yhä useampi kuntien hallussa oleva automaatiojärjestelmä kuten kaukolämpölaitoksen kattila tai liikennevalvontakamera liitetään julkiseen tietoverkkoon.
Usein on järkevää, että monimutkaisten antureiden, mittalaitteiden tai kiinteistöautomaation hallinta, valvonta ja ylläpito on ulkoistettu joko järjestelmän toimittaneelle kumppanille tai näiden laiteiden valvontaan erikoistuneelle kunnossapitoyritykselle. Kun näin tehdään, pitää huolehtia siitä, ettei näitä portteja pitkin päästetä luvattomia vieraita järjestelmien sisälle.
Kriittisten laitosten ja laitteiden tietoturvaa parannettiin aiemmin eristämällä ne mahdollisimman tehokkaasti internetistä. Tämä ei ole nykyään mahdollista, sillä laitteista halutaan kerätä vähintään niiden omasta toiminasta kertovaa tietoa esimerkiksi ennakoivan huollon tarpeisiin. Useimmat automaatiolaitteet myös seuraavat ympäristönsä tilaa (lämpötila, paine, nestepinnan korkeus, …), jolla tiedolla ohjataan toisia laitteita. Tämä laiteiden välinen tietoliikenne kulkee moderneissa järjestelmissä internetin kautta.
Koska esimerkiksi vesilaitoksen toimintaa ei haluta eristää avoimesta tietoverkosta, se pitää suojata haitallisia yhteyksiä vastaan mahdollisimman tehokkaasti. Samalla jokaisen laitosten toiminnasta vastaavan on tiedettävä, miten toimia, jos kyberhyökkäys lamaannuttaa laitoksen toiminnan.
Aiemmin automaatiojärjestelmät olivat nykyistä paremmin suojassa, koska niissä käytettiin joko valmistajakohtaisia tai tietylle toimialalle tyypillisiä käyttöjärjestelmiä. Haittaohjelmien ja virusten tekijät eivät tunne niiden toimintaa samalla tavalla kuin yleisempiä Windows- ja linux-järjestelmiä.
Nyt on toisin: yhä useampaa sähkölaitosta, liikennevalojärjestelmää tai maauimalan turvajärjestelmää ohjataan aivan tavallisella Windows-pc:llä ja siinä olevalla hallintaohjelmistolla. Tämä ei ole yksin huono asia, sillä näille järjestelmille on huomattavasti enemmän ja kehittyneempiä turvajärjestelmiä kuin eksoottisille automaatiojärjestelmille.
Portit auki hyökkääjille
■ Viestintävirasto julkaisi toukokuussa 2016 Suojaamattomia automaatiolaitteita suomalaisessa verkossa -nimisen raportin. Sen mukaan verkkoon kytkettyjen laitteiden tietoturva-aukkoja havaittiin saman verran kuin edellisvuonna ja vuonna 2013, jolloin Aalto-yliopisto teki vastaavan tutkimuksen. Kärjessä ovat edelleen rakennusautomaatioon liittyvät järjestelmät, joissa tietoturvaongelmia tunnistettiin noin 2000.
Tutkimuksessa havaittiin satoja potentiaalisia protokollamuuntimia ja yksittäisten laitteiden ohjaamiseen käytettäviä laitteita, jotka voivat ovat herkästi haavoitettavia. Pahimmat tapaukset olivat kaksi sähköverkon ohjaukseen tarkoitettua laitetta, joihin oli pääsy internet-selaimella. Viestintävirasto neuvoo, että ”laitetta joka on tarkoitettu pelkästään paikallisesti operoitavaksi, ei ole järkevää kytkeä suoraan ja suojaamatta internetiin.”
Tutkimus havaitsi lisäksi yli sata laitetta automaatiossa hyvin yleisesti käytetyn Modbus-protokollan (TCP/502) kautta. Modbus-protokollassa ei ole menetelmiä viestinnän osapuolten tunnistamiseen tai sisällön suojaamiseen. Kun tällainen portti on auki, sen kautta voidaan kohdistaa haitallisia tai laitetta vahingoittavia komentoja.
Raportti varoittaa avoimien porttien vaaroista: ”Suojaamattomana internetissä oleva laite on houkutteleva kohde murtautujille. Laitteen voi valjastaa esimerkiksi osallistumaan palvelunestohyökkäyksiin tai laite voi tarjota helpon pääsyn yrityksen verkkoon. Automaatiolaitteet eivät useinkaan kirjaa lokiin kirjautumisyrityksiä tai laitteeseen kohdistuvaa liikennettä, ja näin murtautumiset tai niiden yritykset jäävät havaitsematta.”
Miljardien laitteiden tietoverkko on kyberrikollisen Eldorado
■ Internetiin liitettävien laitteiden määrä kasvaa tietoliikenneyhtiö Ciscon ja monialayritys General Electricin ennusteiden mukaan nykyisestä 5-7 miljardista laitteesta 25-50 miljardiin laitteeseen vuonna 2020. Teollisuuden koneiden ja kuluttajalaitteiden lisäksi yhä useampi kuntien hallussa oleva automaatiojärjestelmä kuten kaukolämpölaitoksen kattila tai liikennevalvontakamera liitetään julkiseen tietoverkkoon.
Usein on järkevää, että monimutkaisten antureiden, mittalaitteiden tai kiinteistöautomaation hallinta, valvonta ja ylläpito on ulkoistettu joko järjestelmän toimittaneelle kumppanille tai näiden laiteiden valvontaan erikoistuneelle kunnossapitoyritykselle. Kun näin tehdään, pitää huolehtia siitä, ettei näitä portteja pitkin päästetä luvattomia vieraita järjestelmien sisälle.
Kriittisten laitosten ja laitteiden tietoturvaa parannettiin aiemmin eristämällä ne mahdollisimman tehokkaasti internetistä. Tämä ei ole nykyään mahdollista, sillä laitteista halutaan kerätä vähintään niiden omasta toiminasta kertovaa tietoa esimerkiksi ennakoivan huollon tarpeisiin. Useimmat automaatiolaitteet myös seuraavat ympäristönsä tilaa (lämpötila, paine, nestepinnan korkeus, …), jolla tiedolla ohjataan toisia laitteita. Tämä laiteiden välinen tietoliikenne kulkee moderneissa järjestelmissä internetin kautta.
Koska esimerkiksi vesilaitoksen toimintaa ei haluta eristää avoimesta tietoverkosta, se pitää suojata haitallisia yhteyksiä vastaan mahdollisimman tehokkaasti. Samalla jokaisen laitosten toiminnasta vastaavan on tiedettävä, miten toimia, jos kyberhyökkäys lamaannuttaa laitoksen toiminnan.
Aiemmin automaatiojärjestelmät olivat nykyistä paremmin suojassa, koska niissä käytettiin joko valmistajakohtaisia tai tietylle toimialalle tyypillisiä käyttöjärjestelmiä. Haittaohjelmien ja virusten tekijät eivät tunne niiden toimintaa samalla tavalla kuin yleisempiä Windows- ja linux-järjestelmiä.
Nyt on toisin: yhä useampaa sähkölaitosta, liikennevalojärjestelmää tai maauimalan turvajärjestelmää ohjataan aivan tavallisella Windows-pc:llä ja siinä olevalla hallintaohjelmistolla. Tämä ei ole yksin huono asia, sillä näille järjestelmille on huomattavasti enemmän ja kehittyneempiä turvajärjestelmiä kuin eksoottisille automaatiojärjestelmille.