Suomalaisissa kiinteistöissä rakennusautomaatiojärjestelmät, kulunvalvonta, ilmanvaihdon ohjaus, lämmönjakokeskusten BMS-järjestelmät sekä erilainen IoT-anturointi ovat arkipäivää. Digitalisaation myötä kiinteistöjen tekniset järjestelmät ovat kytkeytyneet entistä vahvemmin verkkoon, mikä on lisännyt sekä toiminnallisuuksia että haavoittuvuuksia.
Kyberturvallisuus on noussut keskeiseksi kysymykseksi myös kiinteistöalalla. Rakennusautomaation heikot salasana- ja tunnistautumiskäytännöt ovat nousseet esiin myös viranomaishavainnoissa. Yksittäisen järjestelmän tietoturva ei kuitenkaan enää määritä kokonaisriskiä, vaan ratkaisevaa on koko teknisen ympäristön hallinta.
Monimutkainen järjestelmäkokonaisuus kasvattaa hyökkäyspintaa
Kiinteistöjen operatiivinen teknologia koostuu usein useista eri järjestelmistä, laitteista ja toimittajista. Rakennusautomaatio, IoT-laitteet, valvontajärjestelmät ja BMS-ratkaisut muodostavat laajan ekosysteemin, jossa eri toimijat tarvitsevat pääsyä samoihin ympäristöihin.
Kun järjestelmiä lisätään vuosien aikana eri urakoiden, huoltosopimusten ja teknologiapäivitysten yhteydessä, kokonaisuus voi muuttua vaikeasti hallittavaksi. Samalla syntyy tilanne, jossa yksittäisellä kiinteistöllä voi olla suuri määrä käyttäjätunnuksia, etäyhteyksiä ja käyttöoikeuksia ilman selkeää kokonaiskuvaa niiden omistajuudesta.
Riski ei tällöin synny pelkästään teknisistä haavoittuvuuksista vaan siitä, että järjestelmien käyttöä ei hallita yhdenmukaisesti.
Yhteiskäyttötunnukset jäävät elämään järjestelmiin
Monissa kiinteistöissä käytetään edelleen yhteisiä ylläpitotunnuksia tai geneerisiä käyttäjätilejä, joiden avulla useampi henkilö pääsee samoihin järjestelmiin. Käytäntö voi helpottaa arjen toimintaa, mutta samalla yksittäisten käyttäjien toimien jäljitettävyys heikkenee.
Erityisen haastava tilanne voi syntyä aliurakoitsijoiden ja ulkoisten palveluntuottajien kohdalla. Järjestelmiin avataan käyttöoikeuksia huoltoa, ylläpitoa tai etätukea varten, mutta pääsyoikeuksien voimassaoloa ei välttämättä rajata ajallisesti. Jos henkilöt vaihtuvat tai sopimukset päättyvät, vanhoja tunnuksia voi jäädä aktiiviseksi järjestelmiin pitkäksi aikaa.
Puutteellinen offboarding eli käyttöoikeuksien poistaminen kasvattaa riskiä huomaamatta. Käytännössä kiinteistöön voi jäädä pääsyjä, joiden olemassaolosta ei enää ole selkeää tietoa.
Hallintamallit korostuvat teknisten ratkaisujen rinnalla
Kiinteistöjen OT-ympäristöjen kyberturvallisuudessa huomio kohdistuu yhä enemmän hallintamalleihin ja toimintatapoihin. Keskeisiä käytäntöjä ovat yksilölliset käyttäjätunnukset, selkeä käyttöoikeushallinta sekä säännöllinen auditointi.
Erityisen tärkeäksi nousee ulkopuolisten toimijoiden pääsynhallinta. Vendor access -käytännöissä käyttöoikeuksille voidaan määrittää aikarajauksia, käyttöoikeudet voidaan rajata vain tarvittaviin järjestelmiin ja niiden käyttöä voidaan tarkastella säännöllisesti.
Älyrakennusten kyberturvallisuudessa kyse ei ole enää vain yksittäisten laitteiden suojaamisesta. Olennaista on hallita sitä, kuka järjestelmiin pääsee, millä oikeuksilla ja kuinka kauan.
Teksti: Toimitus
Kuvat: Pexels
