Automaatioasennuksia koskevan tietoturvaohjeiston laatiminen ST-kortiksi tulee tiukkaan tarpeeseen. Alan opetusohjelmissa termi tietoturva on vielä suhteellisen tuntematon käsite.

Olemme tilanteessa, jossa verkkoon on kytketty kymmeniä miljoonia haavoittuvia taloteknisiä automaatiolaitteita, siis IP-osoitteen omaavia laitteita, joissa on vain vähäinen tietoturva jos ollenkaan. Tilanne on akuutti kiinteistöautomaatiojärjestelmiin kohdistuneiden palvelunestohyökkäysten ja tietomurtojen myötä. Varsinkin niiden automaatiojärjestelmien, joiden etäohjaimet toimivat dataa varastoivien pilvipalvelujen kautta, on syytä suojata järjestelmät erityisillä toimenpiteillä. Mieluiten tämä tehdään vahvalla suojauksella, kuten VPN-käytävä-lisälaitteilla.

Tietoturvaa tarkastuslistan avulla

Sähkö- ja teleurakoitsijaliitto ry:n luoma ST-kortisto on vakiinnuttanut asemansa. ST-kortistossa on yhteensä noin 600 ST-korttia, joilla kullakin on yksilöity numerotunnus. Ne toimivat käytännön ohjeena, työkaluna ja tietolähteenä alan ammattilaisille kuvaten hyviä hankinta-, suunnittelu-, toteutus-, ylläpito- ja käyttöönottotapoja.

Tietoturvan standardointikortin laajuus on noin 20 sivua, ja sen tarkoituksena on esittää ohjeita, menetelmiä ja esimerkkejä, joiden mukaan toimimalla päästään säädösten ja standardien mukaiseen lopputulokseen.

Uuden ST-kortti 710.02:n muoto on tarkastuslista. Sähköisen talotekniikan asennus- ja tarkistuskorttiin listataan kaikki olennaisimmat tietoturva-asiat, joita rakennusautomaatiojärjestelmän suunnittelussa, asennuksessa ja käytössä tarvitaan.

”Tarvittavat ratkaisut riippuvat aina siitä, mitä ollaan suojaamassa”, korostaa diplomi-insinööri Timo Silver, rakennusautomaatiojärjestelmiin erikoistuneen Integrio Oy:n kehitysjohtaja.  Hänen vastuullaan on tietoturvakortin tekstin kirjoitus.

”Suojaukseen ei siis löydy yhtä valmista ratkaisua, jonka ostamalla kaikki tietoturvaongelmat ratkeavat.”

Rakennusautomaation haavoittuvuutta kuitenkinkin voidaan aina parantaa määrämuotoisilla ja testatuilla asennusstandardeilla.

”Yleispätevät perusohjeet yritetään kirjoittaa konkreettisesti, ja myös vanhempiin ST-kortteihin saattaa tulla tietoturvaa koskevia päivityksiä”, kertoo Sähkötieto ry:n hallituksen varapuheenjohtaja, Sähkö- ja teleurakoitsijaliitto STUL ry:n toimitusjohtaja Olli-Heikki Kyllönen. Hän korostaa, että ST-kortistolla on merkittävä rooli hyvien tietoturvakäytäntöjen jalkauttamisessa automaation asennuskentille.

Salasanan vaihto, alkeista ensimmäinen

Nykyinen villi tilanne huolettaa rakennusalaa, koska verkkoon kytkettävä automaatio on yhä suurelta osin suojaamatonta. Verkkolaitteisiin iskee robotteja eli botteja, jotka yrittävät kasata kaappaamistaan laitteista zombieverkkoja. Botit kokeilevat noin 20 oletussalasanaa. Jos läpipääsy ei tärppää, ne siirtyvät eteenpäin.

Toistaiseksi tiedossa on paikallisia, vahingoiltaan vähäisiksi jääneitä yksittäisiä kaapattuja LVI-laitteita. Konkreettisesti tämä tarkoittaa joitakin kymmeniä kerrostaloja sekä muutaman jäähallin sulanut jää.  Syy voi olla automaatiojärjestelmään kohdistunut raju palvelunestohyökkäys tai jopa palvelun etäyhteyden hakkerointi.

Tietoturvan alkeet ovat siksi välttämättömiä asentajan työssä. Kun ST-kortti 710.02 julkaistaan, se tarjoaa ajankohtaisen katsauksen teknisiin ratkaisuihin. VPN-malleista (Virtual Private Network) toimikoon esimerkkinä suomalainen, varmana pidetty Tosibox, joka on asennukseltaan ammattillista osaamista vaativa. Sen asennus ohjeistetaan Tosiboxin verkkosivuilla.

Turvatekniikan tulee mukautua jatkuvasti vaihtuviin turvallisuus- ja suorituskykyvaatimuksiin, muun muassa sähkö- ja automaatioalan asennus-, huolto- ja kunnossapitotehtävissä.

Tietoturva-asiat ja niihin liittyvät seikat ehtivät työkentillä nousta akuutiksi huolenaiheeksi, ennen kuin sähkö- ja automaatioasennuksia opettavat koulut​ saavat käyttöönsä tietoturva-asialla päivitettyjä opetusohjelmia. ST-kortti tulee tässä myös heidän avukseen, sillä se on määrämuotoinen julkaisu, jonka aihealue, tarkoitus ja laajuus on rajattu perusteisiin.

Vastuukysymys tietoturvasta, sen pitävyydestä ja päivittämisestä on sen sijaan vielä pitkälti selkeytymätön oma kokonaisuutensa – suojatut laitteet tarvitsevat jatkuvaa valvontaa.

Teksti Reijo Holopainen, kuvitus Atte Lakinnoro