Takaisin 2025

Rakennusautomaation tietoturva voi pettää – näin riskit korjataan

Rakennuksissa käytettävä automaatio ja turvajärjestelmät ovat kehittyneet nopeasti, mutta niiden päivityskäytännöt eivät ole pysyneet tahdissa mukana. Suomessa vain paloilmoitinjärjestelmän säännöllinen ylläpito on lakisääteinen velvoite. Kaikkien muiden järjestelmien tietoturva jää kiinteistön omistajan vastuulle.

Uutiset Näkemyskirjoitus Rakennusautomaatio

Bravidan näkemyksen mukaan tämä aiheuttaa merkittävän ja osin näkymättömän turvallisuusriskin yrityksille, etenkin kriittisissä kohteissa, kuten esimerkiksi datakeskuksissa, sairaaloissa ja logistiikkakeskuksissa.

“Rakennusautomaatiojärjestelmät ohjaavat monissa kohteissa liiketoiminnan kannalta välttämättömiä prosesseja, kuten tuotannon kannalta kriittisiä jäähdytysjärjestelmiä. Silti niiden päivitykset jäävät usein tekemättä, koska velvoitteita ei ole. Tämä on ongelma, jota moni ei osaa ajatella ennakkoon”, sanoo Bravida Finlandin rakennusautomaatioyksikön johtaja Timo Meri.

Timo Meri Bravida Finland Oy.jpg

Bravida Finlandin rakennusautomaatioyksikön johtaja Timo Meri kertoo haastattelussa, että vielä muutama vuosi sitten käytössä saattoi olla geneerisiä käyttäjätunnuksia, kuten ”huolto”.

Päivitysten laiminlyönti altistaa yritykset merkittäville riskeille

Rakennusautomaatio ja turvajärjestelmät otetaan käyttöön aina ajan standardien mukaisesti, ja valmistajat julkaisevat jatkuvasti tietoturvaa parantavia päivityksiä. Silti Bravidan huolloissa ja tarkastuksissa havaitaan usein samoja puutteita yritysten järjestelmissä: käyttöjärjestelmät ovat vanhentuneita, valvomo-ohjelmistojen päivitykset puuttuvat, sisäverkot ovat suojaamattomia ja varmuuskopioista ei ole testattua, toimivaa versiota.

“On yllättävän tavallista, että varmuuskopio kyllä löytyy, mutta sitä ei ole koskaan testattu. Jos varmuuskopio on vioittunut tai ei muuten toimi, palautusta ei voi tehdä”, Meri kertoo.

Meren mukaan kyse ei ole välinpitämättömyydestä, vaan tietämättömyydestä: monille ei ole selvää, että talotekniikan automaatiojärjestelmät ovat yhtä haavoittuvia kuin mitkä tahansa IT-järjestelmät.

Bravida rakennusautomaation tietoturva.jpg

Integraatiot ja pilviyhteydet lisäävät riskejä

Yritysten kiinteistöissä on monesti useiden valmistajien ratkaisuja, joita on integroitu toisiinsa tai pilvipalveluihin. Tämä kasvattaa riskejä, joihin omistajalla ei aina ole näkyvyyttä.

“Kun kolme tai neljä eri järjestelmää keskustelee keskenään, syntyy pinoutuvia haavoittuvuuksia, jotka jäävät helposti ilman vastuullista valvojaa. Kerromme asiakkaille usein ensimmäisenä, että yhteys on väärin suojattu tai tunnistautuminen puuttuu kokonaan.”

EU-sääntely, kuten NIS2, CER-asetus, Cyber Resilience Act ja Data Act, kiristää vaatimuksia erityisesti kriittisille toimijoille. Suomessa valvonta on kuitenkin vasta muodostumassa.

“Ohjeistusta on, mutta sitovia velvoitteita vähän. Vastuu rakennusautomaation ja turvajärjestelmien tietoturvasta jää tällä hetkellä yrityksille”, Meri toteaa.

Näin Bravida varmistaa kiinteistöjen tietoturvan

Bravida on kehittänyt ylläpitomalleja, jotka tunnistavat haavoittuvuudet ja pitävät järjestelmät ajan tasalla. Säännölliset vuosihuollot ja tietoturvatarkastukset sisältyvät moniin huoltosopimuksiin.

“Pilvivalvomossa Windows-päivitykset, versionhallinta ja varmuuskopiointi hoituvat automaattisesti. Kaikki on aina ajan tasalla ilman, että asiakkaan tarvitsee itse huolehtia näistä. Se poistaa monia riskejä, joita syntyy paikallisista valvomoista”, Meri kertoo.

Myös sisäverkkoihin kiinnitetään aiempaa enemmän huomiota.

“Puhumme paljon internetin uhista, mutta monen kiinteistön sisäverkko on edelleen täysin avoin. Siksi toteutamme palomuurisuojausta myös sisäverkon sisälle. Se katkaisee hyökkäysreittejä esimerkiksi tilanteissa, joissa joku pääsee rakennukseen fyysisesti”, hän jatkaa.

Kolme asiaa, jotka jokaisen kiinteistön omistajan tulisi tarkistaa

Meren mukaan tietoturvan peruspilarit ovat selkeitä: valvomokoneissa täytyy olla tuettu käyttöjärjestelmä, automaation ohjelmistot on pidettävä ajan tasalla ja varmuuskopioiden pitää olla testattuja ja erillään itse kiinteistöstä.

“Nämä kolme asiaa muodostavat jo 80 prosenttia rakennusautomaation tietoturvasta. Jos ne eivät ole kunnossa, riskit ovat merkittäviä”, Meri painottaa.

Viime vuosina Bravida on huomannut selkeän muutoksen.

“Vielä muutama vuosi sitten käytössä saattoi olla geneerisiä käyttäjätunnuksia, kuten ”huolto”. Nyt asiakkaat odottavat vahvaa tunnistautumista ja proaktiivisia ratkaisuja. Suunta on oikea”, Meri kertoo.

Yritysten kannattaa toimia nyt, ennen kuin velvoitteet kiristyvät

Rakennusten automaatio- ja turvajärjestelmät ovat yhä suurempi osa yritysten kriittistä infrastruktuuria. Siksi niiden tietoturvaa ei voi rakentaa oletuksille.

“Hyökkäykset eivät kysy, onko järjestelmä IT-järjestelmä vai talotekniikkaa. Haavoittuvuudet toimivat samalla tavalla. Siksi päivitykset ja vastuut on hoidettava suunnitelmallisesti”, Meri summaa.

Lisätietoja:

Timo Meri
Rakennusautomaatioyksikön johtaja
Bravida Finland Oy
timo.meri@bravida.fi
Puh: +358 44 410 3636