Kiinteistöautomaation turvallisuus

Julkaistu 2.4.2025

Tämä on tiivistelmä Adair kiinteistöautomaation turvallisuus aiheisesta podcastista. Artikkelin lopusta löytyy linkki podcastiin.

Kiinteistöautomaation turvallisuus on noussut yhä tärkeämmäksi aiheeksi, kun rakennusten teknologia kehittyy ja monimutkaistuu. Adair podcastin vieraana oli Senior Account Manager Jussi Alanen Honeywelliltä, joka jakoi kiinteistöautomaation tietoturvan kolmeen eri tasoon:

1 ) Laitetason tietoturva

Kiinteistöautomaatio käyttää samoja komponentteja ja ohjelmia kuin tietokoneet. Kun esimerkiksi Windows 10 tuki loppuu, yleisesti huolehditaan, että tietokoneiden ohjelmat päivitetään. Myös kiinteistöautomaation ohjelmissa on ”parasta ennen” -päiväykset, jonka jälkeen ne ovat tietoturvariski yrityksen IT-verkolle.

Laitetason väyläratkaisuina BACnet ja modbus ovat yleisesti käytössä, joita ei kuitenkaan ole mitenkään salattu. BACnet tarjoaa myös Secure-version, joka sisältää salauksen. Modbus on vanhempi väyläratkaisu, josta sanotaan että sen monimutkaisuus luo sille oman suojauksen 🙂 Tärkein salaus on kuitenkin, ettei laitteissa käytetä tehdassalasanoja, vaan personoituja salasanoja, joita ei pysty ulkopuolinen arvaamaan. Myöskin yleiset ”huollon yhteiset” salasanat ovat kiellettyjä useimmissa organisaatioissa.

2) Kiinteistötason tietoturva

Kiinteistöautomaation ja talon IT-tietoverkot suunnitellaan erillisiksi verkoiksi. Alanen korosti podcastissa, että jo kiinteistön suunnitteluvaiheessa tulisi olla sekä kiinteistöautomaation ja IT-alan ammattilaiset suunnittelemassa verkkoratkaisuja ja varmistaa niiden dokumentointi sekä myös valvoa niiden toteuttamista. Molemmat alat kehittyvät ja harvoin sama henkilö taitaa molemmat: automaation ja IT:n erikoisuudet.

Entä jos kiinteistöautomaatioverkko on erillinen ja suljettu, eikä siitä ei ole yhteyksiä ulkomaailmaan – onko se silloin turvallinen? Alanen toteaa, että inhimilliset virheet ovat yleisimpiä, kuten esimerkiksi uudet vuokralaiset, jotka etsivät Internetin yhteyksiä ja löytävätkin kiinteistöautomaation verkon? Tai laajennusremontin yhteydessä verkon dokumentointia ei löydy ja ristikytkentäkaapin verkot menevät sekaisin jne. Siksi myös laite- ja verkkotason tietoturvasta kannattaa aina huolehtia, vaikka olisi suljettu automaatioverkko kyseessä.

3)       Pilvipalveluiden tietoturva

Pilvipalvelut ovat yleistyneet kiinteistöautomaation valvomoissa, joihin käyttäjät pääsevät kirjautumaan omilla selainlaitteillaan. Alasen mukaan pilvipalveluiden toteuttajat ovat IT-alan ammattilaisia, joiden tietoturvaa ylläpidetään päivittäin, kun taas paikallistietokoneen tietoturvan päivitykset unohtuvat ja jäävät usein tekemättä. Paikalliskoneesta muodostuu pian tietoturvariski ilman ylläpitoa.

Pilvipalvelun https-pohjaiset selaimet huolehtivat, että pilvipalvelussa on käytössä aina turvalliset sertifikaatit, sillä ne ei muuten käynnisty tai antaa varoitusilmoituksen. Setifioidut pilvipalvelut yhdistetään usein Tosibox VPN-modeemin kautta langattomasti SIM-kortin tai Internetin kautta tai asiakkaan kiinteän IP-osoitteen kautta, joka tilataan paikalliselta teleoperaattorilta. VPN avaimella suljetaan pilvipalvelun ja automaatiosäätimen osoitteet vain keskinäiseen kommunikaatioon. VPN-avaimista huolehtii pilvipalvelun tarjoaja.

Usein pilvipalveluun halutaan myös liittää kolmannen osapuolen lisäpalveluita, kuten esimerkiksi energiaraportit. Nämä vaativat uusien yhteyksien luomista, joiden tietoturvasta on huolehdittava myös. Useimmiten käytetyt protokollat ovat Obix ja MQTT. Näiden tietoturvan ja ylläpidosta aiheutuvia lisäkustannuksia ei voi vaatia peruspalveluun kuuluvina, vaan niistä usein veloitetaan lisämaksua.

Eihän me olla hakkereille kiinnostava yritys?

Joskus kuulee ettei me olla mitenkään kiinnostava yritys hakkeroinnille. Kiinteistöautomaatioon kohdistuvat vihamieliset hyökkäykset ovat usein kuitenkin vain kiusantekoon liittyviä, kuten esimerkiksi jäähallin jään sulattaminen tai kiinteistön ilmanvaihdon, valojen tai ovilukitusten asetusten muuttaminen. Jos kiusanteko kohdistuu tuotantolinjoihin, siitä voi aiheutua merkittäviä kustannushaittoja.

Jos kiinteistöautomaatio on kiinteistön tietoturvan heikoin lenkki, niin se voi avata oven yrityksen IT-verkkoon, josta voi tulla isoja vahinkoja yritykselle.

Siksi jokainen yritys on hakkereille kiinnostava yritys. Mieti pahimmat tapaukset, jota voisi tapahtua ja mitkä kustannukset siitä yritykselle tulisi ja vertaa sitä hintaa tietoturvan tehostamiseen, jolla voit ne riskit välttää.

Miksei BACnet ole tarjouspyynnössä vakiona?

Alanen tietää kansainvälisen yrityksen toimittajana, miten kiinteistöautomaatioita tilataan Pohjoismaissa ja Keski-Euroopassa. Pohjoismaissa suunnittelutoimistot tekevät määritykset, jotka kilpailutetaan ja usein halvin tarjous voittaa. Keski-Euroopassa pyydetään automaatiotoimittajalta vaatimukset ja tarjoukset, jossa myös BACnet verkko on oletuksena. Jos toimittajaan ei olla tyytyväisiä, niin BACnet-verkko toimii takuuna, jolloin toimittaja saadaan vaihdettua nopeasti toiseen.

Kiinteistöautomaatio digitalisoituu ja kokonaisuuksien ymmärtäminen ei aina ihan rivisuunnittelijalta välttämättä onnistu. Osaako rivisuunnittelija esittää mahdollisuuksia joita nykyaikaiset järjestelmät mahdollistavat? Se tulee usein myös halvemmaksi jos suunnittelija osaisi hyödyntää monipuolisemmin uusia järjestelmiä. Olisiko meillä kenties jotain opittavaa Keski-Eurooppalaisilta kollekoiltamme?

Mikä ihmeen BACnet laboratorio?

Onneksi kiinteistöautomaatiossa on yksi standardi, jota kehitetään globaalisti ja se mahdollistaa, että eri kiinteistöautomaation komponentit voivat keskustella keskenään riippumatta minkä yrityksen valmistama tuote on. Laitevalmistajat lähettävät uudet laitteet kansainväliseen BACnet laboratorioon, missä varmistetaan sen yhteensopivuus. Tällä hetkellä sieltä löytyy 227 valmistajan 1436 tuotesertifikaattia. Tarkista löytyykö sieltä oman toimittajan voimassaolevat sertifikaatit: https://www.bacnetinternational.net/btl/index.php

Ovatko langattomat anturit uhka tietoturvalle?

Langattomat laitteet toimittaa IT-alan osaajat, joille tietoturva-asiat ovat aina etusijalla. Langattomia antureita voidaan ohjata esimerkiksi talon oman LoRa Gatewayn kautta tai Digitan LoRaWAN-verkon kautta. Podcastissa ihmetystä aiheutti se, että usein langattomia monitoimiantureita käytetään vain jälkiraportointiin, eikä kiinteistöautomaation ohjaamiseen? Tuntuu että siinä niiden kapasiteettia ei hyödynnetä oikein Alanen tuumii.

Kuka omistaa kiinteistöautomaation datan ja ohjelmat?

Kiinteistöautomaation datan ja ohjelmien omistajuus voi vaihdella riippuen sopimuksista ja järjestelmien toimittajista. Yleisesti ottaen kiinteistön omistaja tai hallinnoija omistaa kiinteistöautomaation datan ja ohjelmat, koska he vastaavat kiinteistön toiminnasta ja sen ylläpidosta.

Kiinteistöautomaation datan arvostus on noussut, sillä siitä saadaan lisäarvoa kiinteistön omistajalle. On kuitenkin tärkeää huomioida, että kiinteistöautomaation järjestelmät voivat olla monien eri toimittajien kehittämiä, mikä voi aiheuttaa haasteita datan hallinnassa ja yhteensopivuudessa. Kenelle dataa voidaan jakaa ja keneltä siihen täytyy kysyä lupa? Siksi on suositeltavaa, että kiinteistön omistajat ja hallinnoijat varmistavat, että heillä on selkeät sopimukset ja oikeudet datan ja ohjelmien käyttöön.

Adair podcastit löytyvät täältä: https://www.adair.fi/category/podcast/

Timo Kivinen

Kiinnostuitko Adairin palveluista?

Ota yhteyttä alla olevalla lomakkeella, keskustelemme mielellämme kanssasi.

Samankaltaiset artikkelit