Kyberturvallisuuteen kannattaa kiinnittää huomiota myös taloyhtiöissä. Tietoturvariskeihin saattaa törmätä odottamattomissakin tilanteissa.
Teksti Joni Nikkola Kuvat ShutterStock
Digitalisaatio on löytänyt tiehensä asuinkiinteistöihinkin. Lähes joka talosta löytyy jo vähintään verkonjakohuone, mutta yhä tavallisempaa on, että talon keskeiset järjestelmät ovat osa globaalia tietoverkkoa. Aina ei välttämättä tule ajatelleeksi, että ne voisivat muodostaa minkäänlaista tietoturvauhkaa.
Kysyimme Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen erityisasiantuntijalta Mikko Viitaselta, mitkä ovat tavallisimmat ongelmat ja miten niihin kannattaisi varautua taloyhtiöissä.
Talotekniikkaa päivitettäessä yhä useampaan taloon tulee automaatiota ja etäohjausmahdollisuuksia. Yleisimmäksi taloyhtiöiden tietoturvariskiksi Viitanen mainitsee lämmityksestä, ilmastoinnista, valaistuksesta tai lukituksesta huolehtivan talotekniikan. Niillä voidaan saavuttaa kustannussäästöjä esimerkiksi lämpötilaa ja ilmastointia optimoimalla. Myös asumisen laatu usein paranee, kun lämpötila on kohdallaan ja ilma on raikasta. Näistä vastaavat laitteet kytkeytyvät yhä useammin julkiseen internet-verkkoon.
– Silloin riskinä on aina, että joku ulkopuolinen taho pystyy vaikuttamaan näiden järjestelmien toimintaan, mikäli ei ole huolehdittu riittävästi suojauksista.
Vuonna 2016 uutisoitiin eräästä lappeenrantalaisesta taloyhtiöstä, jonka lämmitysjärjestelmä saatiin lamautettua verkkohyökkäyksellä. Viitasen mukaan laitteissa ja palveluissa on tietoturvan kannalta sekä hyviä että huonoja toteutuksia. Mutta taloteknisissä laitteissa on myös oleellista, kuka niistä vastaa, miten ne on asennettu, otettu käyttöön ja miten niitä ylläpidetään.
Viitasen mukaan toinen merkittävä asia taloyhtiön näkökulmasta on, että asukkaiden henkilötietoja tallennetaan nykyään erilaisiin sähköisiin palveluihin, joita taloyhtiö tarvitsee.
– Esimerkiksi talonkirjat eivät ole nykyään paperilla vaan ne ovat sähköisiä. Silloin asukkaiden henkilötietoja voi vuotaa tietomurron yhteydessä. Esimerkiksi nimeä, kotiosoitetta ja syntymäaikaa on mahdollista hyödyntää vaikka identiteettivarkauksissa.
Viitasen tiedon mukaan taloyhtiön ja isännöitsijän käyttämä palvelu on ainakin kerran joutunut tietomurron uhriksi.
– Kaikki tapaukset eivät varmasti tule julkisuuteen eivätkä välttämättä edes viranomaisten tietoon. Uskoisin, että näitä vuosittain useissa yhtiöissä Suomessakin tapahtuu.
Kolmantena taloyhtiön kyberriskinä Viitanen mainitsee sen, että nykyään taloyhtiöt usein kilpailuttavat ja hankkivat osakkeille internet-yhteyden. Usein talotekniikka on samalla yhteydellä yhteydessä esimerkiksi tarvitsemiinsa pilvipalveluihin.
– Pitäisi varmistaa, että asukkaiden yhteyksistä ei ole pääsyä taloteknisiin järjestelmiin. Pitäisi muistaa myös taloyhtiön sisällä suojata talon tekniset järjestelmät verkkoteknisesti.
Osa kyberturvallisuutta ovat myös fyysiset rakenteet. Tiedonjakohuoneeseen tai tietojärjestelmiin ei pitäisi olla konkreettisestikaan pääsyä muilla kuin asianosaisilla.
Viitanen arvelee että taloyhtiöiden varautuminen kyberriskeihin vaihtelee suuresti, mutta uusissa kohteissa asioita on voitu tehdä jo lähtökohtaisesti paremmin.
– Kyberturvallisuuskeskus on kartoittanut monena vuotena suomalaisista ip-osoitteista julkiseen verkkoon näkyviä automaatiolaitteita. Näitä löytyy joka vuosi aika paljonkin. Kun me tavoittelemme niiden omistajia, hyvin usein ei ole ollut tarkoitus, että laite näkyy julkiseen verkkoon.
Kiinteistöautomaatioon liittyvät laitteet muodostavat erittäin suuren määrän – jopa kymmeniä prosentteja – Kyberturvallisuuskeskuksen löytämistä. Viime vuosien uutena trendinä Viitanen mainitsee erilaisiin energiapalveluihin liittyviä laitteita, joita löytyy joka vuosi enemmän.
– Alkaa nousemaan esiin esimerkiksi sähköautojen lataustolppia sekä aurinkoenergia- ja maalämpöjärjestelmiä. Kun tämäntapaiset laitteet lisääntyvät, näyttää vähän siltä, että niitä laitetaan näkyville ainakin osittain tahattomasti julkiseen verkkoon.
Viitanen uskoo, että kyberturvallisuusrintamalla taloyhtiön palveluissa kuljetaan samaa polkua kuin monessa muussakin aiemmassa digitalisaatioloikassa.
– Voisin melkeinpä ennustaa, että tähän asiaan heräillään pikkuhiljaa jälkijunassa, kun rupeaa jotain sattumaan. Tietoturva-ammattilaisen odotus on, että mitä enemmän näitä laitteita taloyhtiöihin tulee, sitä enemmän tullaan näkemään myös näitä kyberturvallisuusongelmia.
Mitä taloyhtiöt sitten voisivat tehdä parantaakseen omaa kyberturvallisuuttaan? Jos käytössä on ainoastaan käyttäjätunnuksen ja salasanan takana olevia palveluja, kannattaa vähintään varmistaa, että salasanat eivät ole liian lyhyitä ja helppoja. Mikäli mahdollista, tunnistautumisen pitäisi olla kaksivaiheinen.
– Jos mikä tahansa laite näkyy julkiseen verkkoon, siellä pitäisi olla kytkettynä päälle kaksivaiheinen tunnistautuminen, jossa käyttäjätunnuksen ja salasanan lisäksi olisi esimerkiksi varmennussovellus käytössä.
Viitasen mukaan isännöinnin ja kiinteistöhuoltoyhtiön rooli ja valveutuneisuus on kyberturvallisuudessa isossa osassa. Silloin kun taloyhtiössä on käytössä digitaalisia palveluita, hallituksen tehtäväksi jää ottaa agendalleen myös kyberturvallisuusnäkökulmat.
– Missään nimessä taloyhtiön hallituksen jäsenen ei tarvitse olla mikään kyberturvallisuuden asiantuntija. Taloyhtiön hallituksen tasolla pitäisi kuitenkin olla käsitys oman yhtiön tilanteesta: mitä digitaalisia palveluita on käytössä ja mitä niiden turvallisuudesta huomioidaan.
Isännöinnin ja taloyhtiön hallituksen tehtäväksi jää koordinoida vastuut jo hankintavaiheessa. Muutoin vastuu lankeaa tavallisesti taloyhtiön hallitukselle. Järjestelmät voivat olla monimutkaisia ja koostua useista tietojärjestelmistä. Kun ulkopuoliset tahot tuottavat taloyhtiöille palveluita, niiden kanssa tehdään sopimukset palveluiden tuotannosta. Silloin on hyvä hetki nostaa esiin myös kyberturvallisuusnäkökulma.
– Mitä järjestelmiä siellä on ja kenen vastuulla on huolehtia turvallisuudesta? Miten varmistetaan laitteiden turvalliset konfiguraatiot, tietoturvapäivitykset sekä etäkäyttöyhteyksien turvallisuus?
Viitanen muistuttaa, että jaettu ja dokumentoimaton vastuu harvoin toimii.
– Nimenomaan pitäisi ihan konkreettisesti kuvata, että kuka vaikka sen lämmönjakohuoneen laitteiden turvallisuudesta on vastuussa. Niistä on jälkikäteen hyvin vaikea kinastella, kenen vastuulla se olisi ollut.
Viitanen muistuttaa, että hallituksen vastuulla on nytkin muita turvallisuusasioita kuten varastojen lukitukset tai talviset lumenpudotukset räystäiltä. Kysymys on periaatteessa hieman samantyyppisistä turvallisuusasioista.
– Ainahan kannattaa perehtyä asioihin. Kyberturvallisuuskeskuksella on aika paljon erilaisia oppaita, joista varmasti taloyhtiön kokonaisuuteenkin löytyy sopivia, ja Rakennusinsinööriliitolla on melko tuore opas Kyberturvallisuus asuinkiinteistössä. On myös olemassa RT-kortti Rakennusten digitaalinen turvallisuus – tilaajan ohje.
Viitanen muistuttaa, ettei tilanne ole tällä hetkellä niin paha, että kenenkään tarvitsisi yöuniaan menettää.
– Toisaalta näkemiemme lukujen valossa Suomessa joutuu joka vuosi yksittäisiä taloyhtiöitä erilaisten kyberrikosten uhreiksi, eli kyllä näitä tapahtuu. Tietysti jokainen kerta on liikaa.