Rakennusautomaatio avaa väylän kyberhyökkääjille

Sähkö- ja rakennusautomaatiojärjestelmät voivat altistaa kyberhyökkäyksille, kuten tietomurroille, sabotaasille tai laitteiden kaappaamiselle osaksi palvelunestohyökkäystä.

Riskien tunnistaminen ja niihin varautuminen mahdollisimman ajoissa kannattaa. Rakennusautomaation kyberturvallisuus onkin yhä tärkeämpi osa automaatiourakoitsijan ammattitaitoa.

Älykkäät järjestelmät ovat haavoittuvaisia

Rakennusautomaatiojärjestelmät keräävät dataa käyttäjistä esimerkiksi huonekohtaisten anturien ja tunnistimien kautta. Jos suojaus pettää, tilakohtaiset käyttäjätiedot voivat joutua vääriin käsiin ja aiheuttaa välillisesti merkittävän uhan, esimerkiksi tilakohtaiseen murtautumiseen.

”Joskus hyökkääjä voi saada haltuunsa rakennuksen ohjausjärjestelmät ja vaikkapa sammuttaa lämmityksen keskellä talvea tai säätää ilmastoinnin lämmitysasentoon kuumana kesäpäivänä. Seurauksena voi olla esimerkiksi vesiputkien halkeaminen tai sähkönkulutuksen merkittävä kasvu”, Risto Asp, Sähkö- ja teleurakoitsijat STUL ry:n tekninen asiantuntija, sanoo.

Hyökkääjät voivat kaapata automaatiolaitteita myös bottiverkkojen välikappaleiksi ja käyttää niitä siltana muihin hyökkäyksiin tai palvelunestohyökkäyksen alkuperäisen lähteen häivyttämiseen. Muita mahdollisia motiiveja ovat taloudellinen hyöty tai tietojen varastaminen.

Suojaudu kyberriskeiltä jo suunnitteluvaiheessa

Kyberturvallisuuteen voi vaikuttaa automaatiojärjestelmien suunnittelu- ja asennusvaiheessa, ja automaatiourakoitsijalla on keskeinen rooli asennettavien järjestelmien turvaamisessa. Kyberriskit kannattaa huomioida kaapeloinnin suunnittelussa, laitevalinnoissa ja käyttöönoton konfiguraatioissa.

”Kaapelointi on hyvä suunnitella niin, etteivät reitit ole helposti saavutettavissa. Välikatto tai muu suljettu tilakin voi olla riski, jos sinne pääsee murtautumaan helposti. Voi olla myös järkevää eriyttää järjestelmiä omiin verkkoihinsa”, Asp sanoo.

”Reitittimien ja palomuurien ohjelmistopäivityksistä on pidettävä huolta ja vanhentuneet laitteet uusittava säännöllisin syklein. Urakoitsijan käyttämien työasemien ja käyttäjätunnusten suojaus on tärkeää, ja asennettavien laitteiden oletussalasanat tulee vaihtaa asennusvaiheen alkaessa sekä luovutusvaiheessa.”

Kenen vastuulla kyberturvallisuus on?

Pääurakoitsijan tulee määritellä vastuut jo suunnitteluvaiheessa, ja kantaa kokonaisvastuu myös urakan kyberturvallisuudesta rakentamista koskevien asetusten mukaisesti.

”Automaatiourakoitsija on usein aliurakoitsijan roolissa. Pääurakoitsijan kuuluu huolehtia urakointikohdetta koskevasta tietoturvasta ja aliurakoitsijoiden sovitun mukaisesta toimintatavasta. On hyvä korostaa, että aliurakoitsijalla on aina vastuu omasta tekemisestään urakointikohteessa", Asp ohjeistaa.

Kyberturvallisuus on siis yhä tärkeämpi osa automaatiourakoitsijan ammattitaitoa. Asiakkaat odottavat toimivia ja turvallisia ratkaisuja, ja lainsäädäntökin asettaa vaatimuksia tietoturvalle. STUL opastaa ja tukee jäsenyrityksiään kyberturvallisuusasioissa, ja Sähköinfon luennoilla urakoitsijoilla on mahdollisuus kehittää omia tietoturvataitojaan ja osaamistaan ajan haasteiden mukaisesti.

STULin jäsenyritykset: https://www.stul.fi/jasenyys/jasenhaku/

Sähköinfon koulutukset: https://www.sahkoinfo.fi/product/1916