Onko älylaitteiden tietoturva kunnossa? “Sähkökatkokin voi olla kyberturvauhka”

Kirjoittanut Janne Laitinen 5.12.2022
Taloyhtiön tietoturva Outi Kainiemi

Taloyhtiön hallitus vastaa viime kädessä siitä, että yhtiön älylaitteiden tietoturva on ajan tasalla. Miten kyberuhilta pitäisi suojautua taloyhtiöissä?

Kyberhyökkäykset ovat lisääntyneet Suomessa kuluvan vuoden aikana, liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus kertoi syyskuussa. Tästä syystä älylaitteiden tietoturva on asia, johon kannattaa kiinnittää erityisesti huomiota.

Traficomin julkaiseman tiedotteen (12.9.) mukaan erityisesti haittaohjelmien, tietojenkalastelun ja palvelunestohyökkäysten määrät ovat lähteneet nousuun ja kyberturvallisuuden uhkataso Suomessa on noussut.

Kyberuhat ja kyberrikollisuus koskevat niin valtion organisaatioita ja suuryrityksiä kuin yksittäistä kansalaistakin. Myöskään taloyhtiöt eivät ole niille immuuneja.

Joku saattaa vielä muistaa vuoden 2016 verkkohyökkäykset suomalaisten kiinteistöjen lämmitysjärjestelmiin. Muun muassa lappeenrantalaisen kerrostalon lämmöt katkesivat keskellä pimeintä syksyä, kun laaja palvelunestohyökkäys sekoitti verkkoon kytketyn etähallintajärjestelmän, joka ohjasi talon lämmönjakelua.

Kysyimme asiantuntijoilta, mitä taloyhtiön päättäjien on nyt syytä tietää kyberturvallisuudesta ja kenen vastuulla älylaitteiden tietoturva on taloyhtiössä.

Älylaitteiden tietoturva ja kyberturvallisuus

Aloitetaan termeistä. Julkisuudessa puhutaan usein tietoturvasta ja kyberturvallisuudesta. Ovatko ne sama asia?

– Arkipuheessa niitä saatetaan käyttää ristikkäin, mutta ne eivät tarkoita täsmälleen samaa, erityisasiantuntija Perttu Halonen Kyberturvallisuuskeskuksesta sanoo.

Tietoturvalla tarkoitetaan yleensä tietoteknistä tietoturvaa kuten tietokoneiden, internet-palvelinten tai tietokonesovellusten suojaa haittaohjelmilta ja tietomurroilta.

Kyberturvallisuus on laajempi käsite. Se viittaa yhteiskunnan kannalta tärkeisiin digitaalisiin järjestelmiin ja niiden suojaamiseen ulkoisilta uhilta ja häiriöiltä. Esimerkiksi rahaliikenne ja energiantuotanto ovat riippuvaisia toimivista tietoliikenneyhteyksistä.

– Mediassa puhutaan enemmän kyberrikollisuudesta ja muusta pahantahtoisesta toiminnasta. Mutta yhtä lailla sähkökatkokin voi olla kyberturvauhka, Halonen selittää.

Mediassa puhutaan enemmän kyberrikollisuudesta ja muusta pahantahtoisesta toiminnasta. Mutta yhtä lailla sähkökatkokin voi olla kyberturvauhka.

Halonen pohtii, millainen kyberuhka Suomessa kaavaillut suunnitellut sähkökatkot ovat taloyhtiöille.

– Taloyhtiöissä voi olla esimerkiksi vuosikymmenen käynnissä olleita lukituksen ohjausjärjestelmiä. Parin tunnin sähkökatko voi fyysisesti rikkoa laitteiden piirilevyjä lämpölaajenemisen takia. Kannattaa kokeilla katkaista järjestelmästä virrat vaikka tunniksi ja katsoa, palaako se normaalitilaan.

Taloyhtiöiden yhteydessä voidaan puhua sekä tietoturvasta että kyberturvallisuudesta. Niiden käytössä on laitteita ja ohjelmistoja, joiden tietoturvasta on huolehdittava.

Kyberturvallisuutta taas on esimerkiksi se, että taloyhtiön toiminta suunnitellaan niin, että digitaalisten järjestelmien mahdollisista häiriöistä selvitään mahdollisimman vähillä vahingoilla.

Suomi on digipalvelujen ja mobiilidatayhteyksien hyödyntämisessä kehittynyt maa. Se ei tarkoita, että taloyhtiöissä voitaisiin tuudittautua siihen, että riskit ovat hallinnassa.

– Mitä enemmän otetaan käyttöön uusia digitaalisia järjestelmiä, sitä enemmän on suojattavaa. Jos esimerkiksi taloyhtiössä lämmityksen ohjausjärjestelmä on yhteydessä internetiin, suojakeinoksi ei enää riitä lukko lämmönjakohuoneen ovessa, Halonen havainnollistaa.

Kriittisyyttä älyhankintoihin

Taloyhtiöiden tietoturvan tasosta ei ole olemassa koottua tietoa, mutta Halosen arvio on, että ”aina on parannettavaa”.

– Yleisesti voidaan todeta, että tietoturvan taso on Suomessa vähintään tyydyttävä. Ihmiset ovat myös aiempaa kiinnostuneempia kyberturvallisuudesta.

Minkä verran taloyhtiöissä tulisi sitten löytyä kiinnostusta ja ymmärrystä tietoturvasta ja kyberturvallisuudesta?

– Kaikkia nippeleitä ei tarvitse tietää, mutta olennaista on, että ollaan ensinnäkin tietoisia siitä, mitä varten jokin järjestelmä hankitaan, Halonen sanoo.

Ei siis pidä hankkia teknologiaa teknologian tähden vaan mennä aina hyöty edellä.

Ennen hankintapäätöstä taloyhtiössä on Halosen mukaan hyvä miettiä, miten järjestelmä suojataan häirinnältä. Hän viittaa ennen kaikkea älykkäisiin taloautomaatiojärjestelmiin, jotka mahdollistavat esimerkiksi lämmityksen tai ilmanvaihdon etähallinnan.

Joissakin tuotteissa, esimerkiksi älyohjatuissa murtohälytysjärjestelmissä, tietoturva voi olla rakennettu sisään.

Taloyhtiön on myös varauduttava siihen, että tietoturva maksaa.

­– Joissakin tuotteissa, esimerkiksi älyohjatuissa murtohälytysjärjestelmissä, tietoturva voi olla rakennettu sisään. Mutta yleensä järjestelmä pitää suojata hankkimalla esimerkiksi tietoliikennettä salaava laite älylaitteen ja tietoverkon väliin, Halonen kertoo.

Halosen mukaan on aina riski, jos taloautomaatiojärjestelmä on suojaamaton eli kytketty suoraan internetiin etähallintaa varten. Vaikka ohjelmistot ja niiden tietoturva olisi päivitetty ajan tasalle, järjestelmä voidaan kuormittaa lähettämällä sivustolle ”tietoliikennetulva”.

Halonen kannustaa taloyhtiöitä kysymään niitä kuuluisia ”tyhmiä kysymyksiä” isännöitsijältä.

– Esimerkiksi teknistä isännöitsijää kannattaa piinata niin pitkään, että taloyhtiössä ymmärretään, miten tietoturva hoidetaan. Tarvittaessa on isännöitsijän tehtävä hankkia paikalle asiantuntija selittämään asia.

Miten uhilta voi suojautua?

Mitkä ovat taloyhtiöiden kannalta tärkeimmät toimenpiteet kyberuhilta suojautumisessa?

Halonen tiivistää listan neljään: ohjelmistohaavoittuvuuksien hallinta, käyttöoikeuksien hallinta, rahaliikenteen suojaus sekä jo edellä mainittu automaatiolaitteiden eristäminen internetistä.

Nettiin kytkettyjen taloautomaatiolaitteiden ohjelmistohaavoittuvuudet altistavat monenlaiselle kyberrikollisuudelle.

– Tyypillisimmin rikolliset valjastavat laitteet osaksi bottiverkkoa, jolla he sitten hyökkäävät kolmansia osapuolia vastaan. Toinen tapa on käyttää haavoittuvan laitteen prosessoritehoa virtuaalivaluuttojen louhimiseen, Halonen kertoo.

Tyypillisimmin rikolliset valjastavat laitteet osaksi bottiverkkoa.

Halonen suosittelee käymään taloyhtiön älylaitteiden sopimusasiat läpi isännöitsijän tai huoltoyhtiön kanssa: onko laitteet päivitetty, ja kenen tehtävä on huolehtia päivityksistä? Jos taloyhtiössä on laajakaistaliittymä, talon sisäverkon ja valokuituverkon välillä on yleensä verkkolaite, jonka päivityksistä on myös huolehdittava.

Käyttöoikeuksien hallinnalla Halonen viittaa taloyhtiöiden sähköiseen tiedonhallintaan. Sillä tarkoitetaan esimerkiksi taloyhtiön pöytäkirjoja. Nykyään ne tallennetaan usein pilvipalveluun kuten Microsoftin Onedriveen tai Google Driveen. Taloyhtiön asiakirjat sisältävät usein henkilötietoja, joita on käsiteltävä luottamuksellisesti ja turvallisesti.

Halonen kehottaa miettimään, miten pilvipalvelun käytön hallinta on hoidettu taloyhtiössä.

– Jos isännöitsijä on hankkinut lisenssin, miten toimitaan, jos isännöitsijä vaihtuu? Tietoturvaloukkauksilta voi välttyä käyttöoikeuksien hallinnalla, jolloin kuka tahansa ei pääse lukemaan pilveen tallennettuja tiedostoja.

Suojausta voi testata kokeilemalla avata linkin taloyhtiön tietoihin nettiselaimella ”näkymättömässä” incognito-tilassa: jos linkki ei aukea, suojaus toimii.

Rahaliikenteen suojauksella ehkäistään niin sanottuja digivälitteisiä rikoksia.

Isännöitsijä voi esimerkiksi saada taloyhtiön hallituksen puheenjohtajan nimissä lähetetyn laskun, joka on lähetetty väärennetystä sähköpostiosoitteesta. Sähköpostitileille voidaan myös murtautua kalastelemalla taloyhtiön päättäjän tunnukset.

Halosen mukaan taloyhtiön kannattaa kysellä isännöitsijältä ja tilitoimistolta, millaiset ovat niiden käytännöt laskujen tarkastamisessa.

Hallituksella vastuu tietoturvasta

Viime kädessä taloyhtiön hallitus vastaa siitä, että taloyhtiön järjestelmien tietoturvasta ja tietosuojasta eli henkilötietojen käsittelystä on huolehdittu asianmukaisesti, sanoo Kiinteistöliiton vanhempi lakimies Minna Anttila.

– Käytännössä henkilötietojen käsittelystä vastaa isännöitsijä tai huoltoyhtiö palvelusopimustensa perusteella. Taloyhtiön hallituksen on kuitenkin huolehdittava, että sopimuksissa on huomioitu tietosuoja-asiat ja tietoturva.

Henkilötietojen tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistoon. Vastuu on rekisterinpitäjällä eli taloyhtiöllä.

Tietoturvan osalta vastuukysymykset on usein kirjattu valmiiksi palveluntarjoajien sopimusehtoihin. Anttilan mukaan on kuitenkin taloyhtiön hallituksen vastuulla varmistaa, että asia on huomioitu sopimusta tehtäessä.

Osakkaan vastuulla on puolestaan huolehtia omien älylaitteidensa tietoturvasta. Jos haluaa asentaa asuntoonsa esimerkiksi älytermostaatin ja patterit ovat taloyhtiön kunnossapitovastuulla, muutostyöstä on sovittava yhtiön kanssa.

– Jos asennuksia tekee ilman lupaa tai virheellisesti, vastuu on osakkaalla, Anttila sanoo.

Taloyhtiön on myös huolehdittava talon laite- eli teletilojen asianmukaisesta lukituksesta. Traficomin suosituksen mukaan laitetilojen lukituksesta ja tietoturvallisuudesta vastaa kiinteistön omistaja. Suosituksen mukainen tapa lukita kiinteistön teletilat on KTL1E-lukitusjärjestelmä.

Halonen toteaa, että kaikilta kyberuhkilta on mahdoton suojautua.

– Tärkeintä on, että taloyhtiöllä on kyky reagoida. Yleensä vahingot jäävät sitä pienemmiksi, mitä varhaisemmassa vaiheessa ongelma havaitaan.

Älylaitteiden tietoturva: näin kyberiskuilta voi suojautua

Tietosuoja: Varmista isännöitsijältä, että henkilötietojen käsittelyyn liittyvistä tehtävistä on sovittu kirjallisesti, mm. mitä tietoja kerätään ja miksi.

Tunnistautuminen: Kaksi- tai monivaiheinen tunnistautuminen taloyhtiön sähköposti- ja sometileillä vaikeuttaa käyttäjätilien varastamista.

Päivitykset: Automaattiset päivitykset kannattaa ottaa käyttöön kaikissa taloyhtiön laitteissa ja tietojärjestelmissä.

Pilvipalvelut: Arvokkaan ja arkaluontoisen materiaalin tallentaminen harkittava tarkkaan. Käyttörajoituksilla voidaan rajoittaa ulkopuolisten pääsyä tietoihin.

Varmuuskopiointi: Tärkeimmät taloyhtiön tiedot kannattaa kopioida esimerkiksi usb-tikulle tai kiintolevylle.

Ilmoittaminen: Tietomurrosta tai palvelunestohyökkäyksestä tulee ilmoittaa järjestelmän ylläpitoon ja poliisille. Akuuteissa tilanteissa taloyhtiöitä palvelee myös Kyberturvallisuuskeskuksen tietoturvapäivystäjä.

Lähde: Kyberturvallisuus asuinkiinteistöissä (RIL 274-2021)

Lue lisää: Voro iskee nyt kotiverkossa – näin suojaudut tietomurroilta, joissa koko identiteetti on vaarassa

Janne Laitinen

Kirjoittaja: Janne Laitinen

Asunto-osakeyhtiöt ovat journalistille hedelmällinen aihe. Niissä yhdistyvät human interest, talous, rakentamisen trendit ja ympäristökysymykset. Taloyhtiöt ovat koteja, yhteisöjä ja sijoitus- ja investointikohteita. Niiden verotus ja sääntely vaikuttaa monen elämään – myös allekirjoittaneen.

Katso kaikki sisällöt kirjoittajalta Janne Laitinen →

Katso kaikki jutut samasta aiheesta

Tietosuoja Turvallisuus Varautuminen