Napinpainalluksella voi tehdä kyberharmia.
Napinpainalluksella voi tehdä kyberharmia.

Paljon haavoittuvuuksia voi olla vielä piilossa. 

Tuhannet infrastruktuuria ohjaavat automaatiojärjestelmät ovat haavoittuvia tietoverkkoiskuille. Aalto-yliopiston tutkijat löysivät tammikuussa tehdyssä kartoituksessa 2915 Suomessa sijaitsevaa automaatiolaitetta, joihin kuka tahansa pystyy ottamaan yhteyden internetin kautta.

Etsityt automaatiolaitteet liittyivät teollisuuden automaatiojärjestelmiin, sähkönhallintaan, järjestelmien etäkäyttöön ja rakennusautomaatioon. Ne ohjaavat esimerkiksi voimalaitoksia, hälytyksiä ja ovien lukitusta. Myös esimerkiksi pankkikonttorin, vankilan ja sairaalan rakennusautomaatiolaitteita löytyi kartoituksessa.

Asiattomien pääsy järjestelmiin voi olla tuhoisaa. Kokeilumielessäkin tehty tunkeutuminen voi aiheuttaa vaurioita järjestelmässä ja sen hallitsemassa fyysisessä ympäristössä kuten tehtaassa.

Sisältö jatkuu mainoksen alla

–Monien löytämiemme laitteiden ei todennäköisesti kuuluisi olla julkisesti näkyvillä internetissä, sanoo professori Jukka Manner Aalto-yliopiston tietoliikenne- ja tietoverkkotekniikan laitokselta.

Sisältö jatkuu mainoksen alla

Erityisesti etäkäyttöliittymissä oli tietoturvaheikkouksia. Oletussalasanojen käyttö ja kaikkien internetin käyttäjien mahdollisuus päästä kirjautumissivulle ovat merkkejä tietämättömyydestä tai huolimattomuudesta.

Laitteisiin murtautumisen helppous riippuu niiden tietoturvaratkaisuista. Kartoituksessa käytetty Shodan-hakukone helpottaa haavoittuvien ja mielenkiintoisten kohteiden löytämistä. Nyt löydetyistä laitteista 60 prosentille on julkisesti tiedossa olevia haavoittuvuuksia. Shodan myös löytää koko ajan lisää potentiaalisesti haavoittuvia laitteita, joten paljon ongelmia saattaa olla vielä piilossa.

Maaliskuussa tehdyssä tulosten tarkistuksessa havaittiin, että osa löydetyistä laitteista on jo poistettu verkosta. Laitteista 1969 oli kuitenkin edelleen esillä.

Tutkijat neuvovat, että erityisesti yritysten, joiden verkoissa on paljon komponentteja ja muutoksia, tulisi aktiivisesti testata tietoturvan tasoa mahdollisten heikkojen kohtien löytämiseksi.

Tutkijoiden raportti löytyy täältä.

Sisältö jatkuu mainoksen alla