Saastuneet Windowsit vaarantavat tehtaat
15
Viestintäviraston asiantuntijat varoittivat tiedotustilaisuudessa tänään, että tehtaiden ja voimaloiden Scada-ohjausjärjestelmissä on todellisia riskejä, koska niitä on suojattu heikosti internet-uhkilta, ja tehtaissa saatetaan käyttää tavallisia Windows-koneita ja valmisohjelmistoja. Kaiken lisäksi näitä on laitettu jo julkisen internet-yhteyden päähän.
Scada (supervisory control and data acquistion) tarkoittaa kansan kielellä laitosten ja tehtaiden valvomo-ohjelmistoja, joita käytetään esimerkiksi energialaitoksissa ja tehtaissa, jopa ydinvoimaloissa.
Viestintäviraston Verkot ja turvallisuus -yksikön johtaja Timo Lehtimäki sanoi, että tehtaiden ja voimaloiden järjestelmät ovat jossain määrin samoja bokseja ja ohjelmistoja kuin muuallakin, esimerkiksi Windows-työasemia.
"Ne ovat samoja kuin kaupan hyllyltä saa, plus että niitä on kytketty avoimeen internetiin", Lehtimäki sanoi. Hänen mukaansa historian painolasti on se, ettei järjestelmiä ole suunniteltu siihen, että joku niitä vastaan hyökkäisi.
"Kun näitä on selvitetty, on huomattu, etteivät järjestelmät kestä edes testausta tietoverkkojen uhkia vastaan. Siinä ei ole päästy alkua pidemmälle, kun ne ovat olleet selällään. Tässä on todellinen uhka, johon täytyy kiinnittää tulevaisuudessa huomiota, kuinka suojataan kriittisiä kohteita", Lehtimäki sanoi.
Suojaamattomia laitoksia ei tiedossa Suomessa
Cert-fi-yksikön päällikkö Erka Koivunen muistutti, että järjestelmät on suunniteltu kestämään pölyä ja tärinää, mutta ei internetiä.
"Sain alkuviikosta kollegalta terveisiä maailmalta tehtaasta, jossa suoritetaan vesivarantojen hallintaa. Haavoittuvuustarkistuksessa he olivat tulleet siihen tulokseen, että 75 prosenttia verkossa olleista koneista oli haittaohjelmien saastuttamia", Koivunen sanoi.
Tässä tapauksessa oli kyse haavoittuvista Windows-koneista, joihin oli päästetty tarttumaan haittaohjelmia. Taustalla ovat kustannussäästöt. Laitoksiin on haluttu edullisia koneita ja valmisohjelmistoja.
"Tämä esimerkki ei todellakaan ollut Suomesta. Ja vaikka tällaisia testejä olisi Suomessa tehty, eipä siitä minulle kerrottaisi", Koivunen sanoi.
Viestintäviraston asiantuntijat eivät kuitenkaan esittäneet huolta tai näyttöä siitä, että retuperällä olevia laitoksia olisi myös Suomessa. Huolestuttavia viestejä on sen sijaan saatu esimerkiksi Puolasta.
Timo Lehtimäki muistutti, ettei Viestintävirastolla ole määräysvaltaa muiden kuin teleyritysten toimintaan. Ohjeita ja suosituksia on sen sijaan luvassa muillekin yrityksille erilaisia verkkohyökkäyksiä vastaan.
Timo Lehtimäki (vas.) ja Erka Koivunen sanoivat, ettei tehtaiden järjestelmiä pitäisi avata julkiseen internetiin ohjelmistojen nykyisellä tietoturvan tasolla.
