Kiinteistö- ja teollisuustoimijoiden kyberturvallisuus vuonna 2024
Kuluneen vuoden aikana on nähty merkittäviä muutoksia kyberturvallisuuden kentällä, ja keskustelu tietoturvasta on levinnyt entistä vahvemmin perinteisiltä IT-aloilta kohti kiinteistöjä, teollisuutta ja toimitusketjuja. Tässä blogikirjoituksessa perehdytään ajankohtaisiin uhkakuviin ja käytännön toimenpiteisiin, jotka jokaisen kiinteistö- ja teollisuustoimijan tulisi huomioida.
1. Ohjelmistopäivitykset rakennus- ja teollisuusautomaatiossa
Älykäs kiinteistöautomaatio yleistyy
Älylukot, lämpötilan- ja ilmastoinnin säätöjärjestelmät, valaistusratkaisut ja etävalvontajärjestelmät ovat tänä päivänä yhä useammin internetiin kytkettyjä, jotta niitä voidaan ohjata etänä ja kerätä tehokkuusdataa. Tämä tuo mukanaan kustannussäästöjä ja helppokäyttöisyyttä, mutta samalla avaa mahdollisuuksia hyökkääjille.
Monet kiinteistöjen hallintalaitteet ovat pitkään käytössä, eikä niiden tietoturvapäivitysten toteuttaminen ole aina samalla tavalla vakiintunutta kuin perinteisissä IT-ympäristöissä. Yritykset ja kiinteistönomistajat voivat siksi laiminlyödä päivitykset tai niitä ei huomata tehdä ajoissa. Kuluneen vuoden 2024 aikana on raportoitu useita tapauksia, joissa vanhentuneet kiinteistöautomaation järjestelmät ovat joutuneet hyökkäysten kohteeksi.
Miten tämä näkyy Suomessa?
Kiinteistöpalveluyritykset ja isännöitsijät ovat alkaneet kiinnittää entistä enemmän huomiota laitteiden ja ohjelmistojen elinkaarihallintaan
Useat suomalaiset yhtiöt ovat siirtyneet valvomaan laitekantansa päivitys- ja haavoittuvuustilannetta entistä tarkemmin (lähteet: NCSC-FI, FiCom)
EU:n NIS2-direktiivin myötä erityisesti kriittistä infrastruktuuria ylläpitävien toimijoiden (esim. energiayhtiöt, vesilaitokset) on tiukennettava tietoturvakäytäntöjään
2. Kiristyshaittaohjelmat toimitusketjujen heikoissa lenkeissä
Kiristyshaittaohjelmat eli ransomware-uhka
Vuoden 2024 aikana ransomware-uhka on laajentunut entistä laajempaan käyttöön, ja hyökkäykset kohdistuvat usein sinne, missä suojaustaso on heikoimmillaan. Kiinteistö- ja teollisuustoimijoiden alihankintaketjut, kuten huolto- ja korjauspalvelut sekä materiaalitoimittajat, voivat toimia väylänä päähyökkäyksille.
Toimitusketjun riskienhallinta
Monella kiinteistö- ja teollisuustoimijalla on laaja kumppaniverkosto, jolla on pääsy yrityksen tietoverkkoihin tai järjestelmiin
Jos jokin kumppani on suojannut omat järjestelmänsä puutteellisesti, voi hyökkäys kohdistua ensisijaisesti tähän toimijaan ja levitä lopulta päätahoon asti
Suositukset
Toteuta säännölliset riskikartoitukset koko toimitusketjuun
Varmista, että alihankkijoilla ja yhteistyökumppaneilla on selkeät turvallisuusstandardit ja protokollat
Vahvista verkon segmentointia niin, ettei yhdessä järjestelmässä syntynyt haittaohjelma leviä helposti muihin osiin
3. Teollisuusjärjestelmien haavoittuvuudet ja SCADA-ympäristöt
Kriittinen rooli energiasektorilla ja teollisuudessa
Suomessa teollisuus- ja energiateollisuus (esimerkiksi sähkönjakelu, öljynjalostus, kaasuputkiverkostot) käyttävät SCADA-järjestelmiä (Supervisory Control and Data Acquisition) prosessiensa ohjaukseen. Vaikka SCADA-järjestelmät ovat usein erotettuja julkisesta verkosta, on nähty tapauksia, joissa haittaohjelma tai hyökkääjä pääsee järjestelmään kiertoteitse esimerkiksi työaseman tai huoltokannettavan kautta.
Useita nollapäivähaavoittuvuuksia
Tänä vuonna (2024) on löydetty useita uusia nollapäivähaavoittuvuuksia, jotka kohdistuvat teollisuusautomaation laitteistoihin ja ohjelmistoihin. Tällaiset haavoittuvuudet tulevat ilmi usein vasta, kun hyökkääjä on niitä jo hyödyntänyt. Tämä on korostanut entisestään päivitysten ja valvonnan tärkeyttä.
4. Deepfake-tekniikoiden hyödyntäminen huijauksissa
Valepuhelut ja -videot yleistyvät
Finanssialan Keskusliiton mukaan kalastelu- ja huijausyritykset ovat ottaneet käyttöön aiempaa kehittyneempiä tekniikoita, kuten deepfake-ääntä ja -videoita. Kiinteistöalalla ja teollisuudessa tällaiset huijaukset ovat yleisimmin kohdistuneet joko toimitusjohtajahuijauksiin (CEO fraud) tai valheellisiin maksukehotuksiin, joissa hyödynnetään uskottavaa ääni- tai videodataa.
Miten tunnistaa deepfake?
Epäsynkroninen ääni ja kuva, outo äänenlaatu tai puherytmi
Odottamattomat yhteydenotot, joissa vaaditaan kiireellisesti maksua
Tarkista aina toista kanavaa pitkin, jos yhteydenotto vaikuttaa epäilyttävältä
On kuitenkin hyvä muistaa, että deepfake-teknologiaa voidaan hyödyntää myös vastuullisesti. Me WeSecurella käytimme tekoälypohjaista teknologiaa tuottamassamme videossa, joka on lyhennelmä tästä blogisisällöstä. Videolla havainnollistamme tietoturvaan liittyviä aiheita ilman, että yleisöä johdetaan harhaan. Tärkeintä on tiedostaa riskit ja käyttää teknologiaa eettisesti: ihmisten koulutus, organisaation prosessit ja yleinen valppaus ovat paras suoja väärinkäytöksiä vastaan.
Katso video:
5. Lainsäädäntö kiristää otetta: NIS2-direktiivi
Mitä tarkoittaa NIS2?
EU:n NIS2-direktiivi (Network and Information Systems Directive 2) asettaa entistä tiukempia tietoturvavaatimuksia useille eri sektoreille, mukaan lukien kiinteistöalan suuret toimijat ja teollisuusyritykset. Suomessa Kyberturvallisuuskeskus (NCSC-FI) ohjeistaa yrityksiä NIS2-vaatimusten noudattamisessa, ja vuoden 2024 aikana moni organisaatio onkin päivittänyt ohjeistuksiaan ja rekrytoinut lisää kyberturvallisuuden osaajia.
Vaikutus kiinteistö- ja teollisuustoimijoille
Järjestelmät ja prosessit, jotka aiemmin eivät kuuluneet “kriittisen” infrastruktuurin piiriin, saatetaan nyt luokitella regulaation alaisiksi
Velvoite raportoida tietoturvapoikkeamista kohdistuu entistä laajemmalle joukolle yrityksiä
Prosessien dokumentointiin ja kouluttamiseen on panostettava enemmän
6. Käytännön vinkkejä kiinteistö- ja teollisuustoimijoille
Kattava tietoturvasuunnitelma
Laadi systemaattinen suunnitelma, joka kattaa IT-järjestelmät, OT-ympäristöt (Operational Technology) ja henkilökunnan koulutuksen
Selkeät ohjeistukset normaaleihin ja poikkeuksellisiin tilanteisiin
Verkkojen segmentointi
Erottele tuotantoverkot, toimistoverkot ja vierailijaverkot toisistaan
Estä haittaohjelman leviäminen rajatuissa segmenteissä
Säännölliset päivitykset ja auditoinnit
Huolehdi sekä laite- että ohjelmistopäivityksistä; erityisesti teollisuusautomaation puolella
Tee säännöllisiä testauksia (esim. penetraatiotestit) ja tarkasta varmuuskopiot
Henkilöstön koulutus
Varmista, että jokainen organisaation jäsen tunnistaa tietoturvauhat, kuten sähköpostihuijaukset ja deepfake-yritykset
Kouluta erikseen myös ulkopuoliset urakoitsijat, jotka toimivat kriittisissä kohteissa
Raportointimekanismit ja yhteistyö
Organisoi yhteistyötä viranomaisten (esim. NCSC-FI) kanssa, jotta mahdollisiin uhkiin voidaan reagoida nopeasti
Luo sisäiset kanavat, jossa voidaan ilmoittaa epäilyttävästä toiminnasta, laitevioista tai tietoturvahavainnoista
Loppusanat
Vuosi 2024 on ollut merkittävä tietoturvan murrosvaihe, ja erityisesti kiinteistö- ja teollisuustoimijat ovat joutuneet huomioimaan digitaalisen maailman uudet haasteet. Uusien teknologioiden ja automaation kehittyessä on välttämätöntä, että yritykset investoivat kyberturvallisuuteen, henkilöstön koulutukseen ja järjestelmien jatkuvaan valvontaan. NIS2-direktiivi ja kiristyvät vaatimukset eivät tarkoita vain ylimääräistä byrokratiaa, vaan ne voivat myös toimia erinomaisena katalysaattorina kestävän, turvallisen ja modernin toimintaympäristön luomiselle.
Lisätietoa ja lähteitä:
Kiitos lukemisesta – ja muistetaan, että kyberturvallisuus on meidän kaikkien yhteinen asia!