Vedenjakeluun, sairaaloihin ja esimerkiksi vankiloihin liittyvät automaatiojärjestelmät ovat Suomessa usein apposen avoinna kyberhyökkäyksille, paljastaa Aalto-yliopiston tuore tutkimus.

Kyberhyökkääjien olisi helppo aiheuttaa Suomen infrastruktuurille merkittävää haittaa automaatiojärjestelmien kautta.

Yliopiston tutkimusryhmä tarkasteli muun muassa liikenteeseen, vedenjakeluun, teollisuuteen, sähkönhallintaan ja erilaisten järjestelmien etäkäyttöön liittyviä automaatiojärjestelmiä. Automaatiojärjestelmät ohjaavat esimerkiksi voimalaitoksia, hälytyksiä ja ovien lukitusta, tutkimusryhmä kertoo.

Tammikuussa tehdyssä kartoituksessa löytyi yhteensä 2915 Suomessa sijaitsevaa automaatiolaitetta, joihin kuka tahansa pystyy ottamaan yhteyden internetin kautta. Ne ovat haavoittuvia verkon kautta tapahtuville hyökkäyksille.

– Löysimme rakennusautomaatiolaitteita myös esimerkiksi pankkikonttorissa, vankilassa ja sairaalassa. Monien löytämiemme laitteiden ei todennäköisesti kuuluisi olla julkisesti näkyvillä internetissä, sanoo professori Jukka Manner Aalto-yliopiston Tietoliikenne- ja tietoverkkotekniikan laitokselta.

Erityisesti etäkäyttöliittymissä oli tutkijoiden mukaan heikkouksia tietoturvan suhteen.

–Oletussalasanojen käyttö ja kaikkien internetin käyttäjien mahdollisuus päästä kirjautumissivulle näissä tärkeissä järjestelmissä ovat merkkejä tietämättömyydestä tai huolimattomuudesta, tutkimusryhmä kertoo.

Maaliskuussa tehdyssä tulosten tarkistuksessa havaittiin, että osa löydetyistä laitteista on jo poistettu verkosta. Näistä laitteista 1969 oli kuitenkin edelleen esillä. Aalto-yliopiston mukaan löytöjen vakavuutta on vaikea arvioida ilman tarkempaa perehtymistä järjestelmiin. Tutkijat suosittelevat yrityksille tietoturvan tason aktiivista testaamista. Tutkimus on osa Tekesin rahoittamaahanketta, jossa ovat mukana myös Maanpuolustuskorkeakoulu ja Stonesoft Oyj. Tavoitteena on selvittää, miten jo olemassa olevat järjestelmät voi suojata kyberhyökkäyksiä vastaan. Raportin tulokset on annettu tietoturvavirasto CERT-FI:lle.