top of page

Kiinteistö- ja teollisuustoimijoiden kyberturvallisuus vuonna 2024


Kuluneen vuoden aikana on nähty merkittäviä muutoksia kyberturvallisuuden kentällä, ja keskustelu tietoturvasta on levinnyt entistä vahvemmin perinteisiltä IT-aloilta kohti kiinteistöjä, teollisuutta ja toimitusketjuja. Tässä blogikirjoituksessa perehdytään ajankohtaisiin uhkakuviin ja käytännön toimenpiteisiin, jotka jokaisen kiinteistö- ja teollisuustoimijan tulisi huomioida.


1. Ohjelmistopäivitykset rakennus- ja teollisuusautomaatiossa

 

Älykäs kiinteistöautomaatio yleistyy

Älylukot, lämpötilan- ja ilmastoinnin säätöjärjestelmät, valaistusratkaisut ja etävalvontajärjestelmät ovat tänä päivänä yhä useammin internetiin kytkettyjä, jotta niitä voidaan ohjata etänä ja kerätä tehokkuusdataa. Tämä tuo mukanaan kustannussäästöjä ja helppokäyttöisyyttä, mutta samalla avaa mahdollisuuksia hyökkääjille.

 

Monet kiinteistöjen hallintalaitteet ovat pitkään käytössä, eikä niiden tietoturvapäivitysten toteuttaminen ole aina samalla tavalla vakiintunutta kuin perinteisissä IT-ympäristöissä. Yritykset ja kiinteistönomistajat voivat siksi laiminlyödä päivitykset tai niitä ei huomata tehdä ajoissa. Kuluneen vuoden 2024 aikana on raportoitu useita tapauksia, joissa vanhentuneet kiinteistöautomaation järjestelmät ovat joutuneet hyökkäysten kohteeksi.

 

Miten tämä näkyy Suomessa?

  • Kiinteistöpalveluyritykset ja isännöitsijät ovat alkaneet kiinnittää entistä enemmän huomiota laitteiden ja ohjelmistojen elinkaarihallintaan

  • Useat suomalaiset yhtiöt ovat siirtyneet valvomaan laitekantansa päivitys- ja haavoittuvuustilannetta entistä tarkemmin (lähteet: NCSC-FI, FiCom)

  • EU:n NIS2-direktiivin myötä erityisesti kriittistä infrastruktuuria ylläpitävien toimijoiden (esim. energiayhtiöt, vesilaitokset) on tiukennettava tietoturvakäytäntöjään


2. Kiristyshaittaohjelmat toimitusketjujen heikoissa lenkeissä

 

Kiristyshaittaohjelmat eli ransomware-uhka

Vuoden 2024 aikana ransomware-uhka on laajentunut entistä laajempaan käyttöön, ja hyökkäykset kohdistuvat usein sinne, missä suojaustaso on heikoimmillaan. Kiinteistö- ja teollisuustoimijoiden alihankintaketjut, kuten huolto- ja korjauspalvelut sekä materiaalitoimittajat, voivat toimia väylänä päähyökkäyksille.

 

Toimitusketjun riskienhallinta

  • Monella kiinteistö- ja teollisuustoimijalla on laaja kumppaniverkosto, jolla on pääsy yrityksen tietoverkkoihin tai järjestelmiin

  • Jos jokin kumppani on suojannut omat järjestelmänsä puutteellisesti, voi hyökkäys kohdistua ensisijaisesti tähän toimijaan ja levitä lopulta päätahoon asti

 

Suositukset

  • Toteuta säännölliset riskikartoitukset koko toimitusketjuun

  • Varmista, että alihankkijoilla ja yhteistyökumppaneilla on selkeät turvallisuusstandardit ja protokollat

  • Vahvista verkon segmentointia niin, ettei yhdessä järjestelmässä syntynyt haittaohjelma leviä helposti muihin osiin


3. Teollisuusjärjestelmien haavoittuvuudet ja SCADA-ympäristöt

 

Kriittinen rooli energiasektorilla ja teollisuudessa

Suomessa teollisuus- ja energiateollisuus (esimerkiksi sähkönjakelu, öljynjalostus, kaasuputkiverkostot) käyttävät SCADA-järjestelmiä (Supervisory Control and Data Acquisition) prosessiensa ohjaukseen. Vaikka SCADA-järjestelmät ovat usein erotettuja julkisesta verkosta, on nähty tapauksia, joissa haittaohjelma tai hyökkääjä pääsee järjestelmään kiertoteitse esimerkiksi työaseman tai huoltokannettavan kautta.

 

Useita nollapäivähaavoittuvuuksia

Tänä vuonna (2024) on löydetty useita uusia nollapäivähaavoittuvuuksia, jotka kohdistuvat teollisuusautomaation laitteistoihin ja ohjelmistoihin. Tällaiset haavoittuvuudet tulevat ilmi usein vasta, kun hyökkääjä on niitä jo hyödyntänyt. Tämä on korostanut entisestään päivitysten ja valvonnan tärkeyttä.


4. Deepfake-tekniikoiden hyödyntäminen huijauksissa

 

Valepuhelut ja -videot yleistyvät

Finanssialan Keskusliiton mukaan kalastelu- ja huijausyritykset ovat ottaneet käyttöön aiempaa kehittyneempiä tekniikoita, kuten deepfake-ääntä ja -videoita. Kiinteistöalalla ja teollisuudessa tällaiset huijaukset ovat yleisimmin kohdistuneet joko toimitusjohtajahuijauksiin (CEO fraud) tai valheellisiin maksukehotuksiin, joissa hyödynnetään uskottavaa ääni- tai videodataa.

 

Miten tunnistaa deepfake?

  • Epäsynkroninen ääni ja kuva, outo äänenlaatu tai puherytmi

  • Odottamattomat yhteydenotot, joissa vaaditaan kiireellisesti maksua

  • Tarkista aina toista kanavaa pitkin, jos yhteydenotto vaikuttaa epäilyttävältä


On kuitenkin hyvä muistaa, että deepfake-teknologiaa voidaan hyödyntää myös vastuullisesti. Me WeSecurella käytimme tekoälypohjaista teknologiaa tuottamassamme videossa, joka on lyhennelmä tästä blogisisällöstä. Videolla havainnollistamme tietoturvaan liittyviä aiheita ilman, että yleisöä johdetaan harhaan. Tärkeintä on tiedostaa riskit ja käyttää teknologiaa eettisesti: ihmisten koulutus, organisaation prosessit ja yleinen valppaus ovat paras suoja väärinkäytöksiä vastaan.


Katso video:




5. Lainsäädäntö kiristää otetta: NIS2-direktiivi

 

Mitä tarkoittaa NIS2?

EU:n NIS2-direktiivi (Network and Information Systems Directive 2) asettaa entistä tiukempia tietoturvavaatimuksia useille eri sektoreille, mukaan lukien kiinteistöalan suuret toimijat ja teollisuusyritykset. Suomessa Kyberturvallisuuskeskus (NCSC-FI) ohjeistaa yrityksiä NIS2-vaatimusten noudattamisessa, ja vuoden 2024 aikana moni organisaatio onkin päivittänyt ohjeistuksiaan ja rekrytoinut lisää kyberturvallisuuden osaajia.

 

Vaikutus kiinteistö- ja teollisuustoimijoille

  • Järjestelmät ja prosessit, jotka aiemmin eivät kuuluneet “kriittisen” infrastruktuurin piiriin, saatetaan nyt luokitella regulaation alaisiksi

  • Velvoite raportoida tietoturvapoikkeamista kohdistuu entistä laajemmalle joukolle yrityksiä

  • Prosessien dokumentointiin ja kouluttamiseen on panostettava enemmän


6. Käytännön vinkkejä kiinteistö- ja teollisuustoimijoille


Kattava tietoturvasuunnitelma


  • Laadi systemaattinen suunnitelma, joka kattaa IT-järjestelmät, OT-ympäristöt (Operational Technology) ja henkilökunnan koulutuksen

  • Selkeät ohjeistukset normaaleihin ja poikkeuksellisiin tilanteisiin


Verkkojen segmentointi

  • Erottele tuotantoverkot, toimistoverkot ja vierailijaverkot toisistaan

  • Estä haittaohjelman leviäminen rajatuissa segmenteissä


Säännölliset päivitykset ja auditoinnit

  • Huolehdi sekä laite- että ohjelmistopäivityksistä; erityisesti teollisuusautomaation puolella

  • Tee säännöllisiä testauksia (esim. penetraatiotestit) ja tarkasta varmuuskopiot


Henkilöstön koulutus

  • Varmista, että jokainen organisaation jäsen tunnistaa tietoturvauhat, kuten sähköpostihuijaukset ja deepfake-yritykset

  • Kouluta erikseen myös ulkopuoliset urakoitsijat, jotka toimivat kriittisissä kohteissa


Raportointimekanismit ja yhteistyö

  • Organisoi yhteistyötä viranomaisten (esim. NCSC-FI) kanssa, jotta mahdollisiin uhkiin voidaan reagoida nopeasti

  • Luo sisäiset kanavat, jossa voidaan ilmoittaa epäilyttävästä toiminnasta, laitevioista tai tietoturvahavainnoista


Loppusanat

 

Vuosi 2024 on ollut merkittävä tietoturvan murrosvaihe, ja erityisesti kiinteistö- ja teollisuustoimijat ovat joutuneet huomioimaan digitaalisen maailman uudet haasteet. Uusien teknologioiden ja automaation kehittyessä on välttämätöntä, että yritykset investoivat kyberturvallisuuteen, henkilöstön koulutukseen ja järjestelmien jatkuvaan valvontaan. NIS2-direktiivi ja kiristyvät vaatimukset eivät tarkoita vain ylimääräistä byrokratiaa, vaan ne voivat myös toimia erinomaisena katalysaattorina kestävän, turvallisen ja modernin toimintaympäristön luomiselle.

 

Lisätietoa ja lähteitä:

 

Kiitos lukemisesta – ja muistetaan, että kyberturvallisuus on meidän kaikkien yhteinen asia!

Arvio kiinteistösi tietoturvan tila

More clics

Never miss an update

Thanks for submitting!

bottom of page