Kiinteistö- ja rakennusalalla on sattunut viime aikoina kaksi vakavaa tietoturvahyökkäystä. Uponor ja Vahanen joutuivat kiristyshaittaohjelmahyökkäyksen kohteeksi.
Lue lisää: Uponoriin tehty tietoturvahyökkäys – vaikuttaa yhtiön toimintoihin Euroopassa ja Pohjois-Amerikassa
Kiristyshaittaohjelma on kyberhyökkäys, jossa hyökkääjät pyrkivät salaamaan organisaation datan salausalgoritmilla ja vaativat lunnaita tietojen palauttamista vastaan. Rikolliset saattavat myös varastaa salaamansa tiedot ja kiristää organisaatiota tietovuodolla.
Afrylle yrityskaupalla siirtynyt Vahanen kertoi nettisivuillaan heinäkuussa hyökkäyksestä. Tuolloin hyökkäyksen takia järjestelmät ja niissä oleva tieto oli lukittu eikä niihin päässyt käsiksi. Yritys kertoi myös, että hyökkäys on osa laajempaa yrityksiin kohdistettua samanaikaista hyökkäyssarjaa Euroopassa.
Tällä hetkellä tietoturvahyökkäys on poliisitutkinnassa.
”Projektien toimitukseen kyberhyökkäys ei pääsääntöisesti ole vaikuttanut, koska vaikutuksia on pystytty minimoimaan yhdessä asiakkaiden kanssa hyvällä projektisuunnittelulla”, Afryn rakennetun ympäristön Suomen liiketoiminnasta vastaava johtaja Risto Räty kertoo Rakennuslehdelle.
Rädyn mukaan konsernin it-tuen ansiosta työntekoa pystyttiin nopeasti ja joustavasti järjestämään ja rakentamaan uudelleen niin, että projektitoimitukset saatiin jatkumaan nopeasti.
Uponor teki hyökkäyksen jälkeen marraskuussa välittömät toimet tilanteen selvittämiseksi ja korjaamiseksi. Yksi näistä oli kaikkien järjestelmien ja tuotannon sulkeminen varotoimenpiteenä.
Yhtiö tiedotti marraskuun lopulla, että viikon kestäneen tuotantokatkoksen jälkeen tuotantotasot ovat alkaneet palautua. Asiakastoimitukset ovat käynnistyneet kaikissa divisioonissa.
Tapauksia laidasta laitaan
Traficomin (Liikenne- ja viestintävirasto) Kyberturvallisuuskeskuksen erityisasiantuntija Teemu Väisänen sanoo, ettei muista kiinteistö- ja rakennusalalla viime vuosina sattuneen yhtä vakavia tietoturvahyökkäyksiä kuin tänä vuonna. Mahdollisiin vahinkoihin hän ei ota kantaa.
Tänä vuonna marraskuun lopulla rakennusalan tietoturvapoikkeamia on käsitelty Kyberturvallisuuskeskuksessa 17 prosenttia enemmän kuin koko viime vuonna.
Väisänen arvioi, että yhtenä syynä kasvuun voi olla kiinteistöistä havaitut liian suojaamattomat rakennusautomaatiojärjestelmät ja tapa, miten niistä on raportoitu.
Tilastoihin sisältyy tapauksia laajalla kirjolla. Kiristyshaittaohjelmahyökkäykset ovat vakavia tietoturvaloukkauksia. Kyberturvallisuuskeskukselle tulee yleisimmin ilmoituksia erilaisista kalastelu- ja huijausviesteistä. Tietomurrot ovat yleensä murtautumisia sähköpostitileille.
Keskuksessa kiinteistö- ja rakennusala pitää sisällään alan yritysten lisäksi myös esimerkiksi taloyhtiöt ja kiinteistöhuoltoyhtiöt. Tapauksia ilmoittavat yritysten lisäksi muun muassa tutkijat, valkohattuhakkerit ja kansalaiset.
Pahimmillaan voi kaataa yrityksen
Pahimmillaan tietoturvahyökkäys voi Väisäsen mukaan jopa kaataa yrityksen tai ainakin vaikeuttaa liiketoimintaa. Rikolliset voivat myös saada käsiinsä esimerkiksi organisaatioiden tai niiden asiakkaiden arkaluontoisia tietoja.
Liiketoiminnan keskeytyminen on hänestä täysin mahdollinen riski, kun puhutaan kiristyshaittaohjelmista.
”Useimmissa tietoomme tulleissa tapauksissa kiristysohjelmat eivät ole päässeet kriittisiin järjestelmiin, vaan ne ovat salanneet esimerkiksi yksittäisten palvelimien tai muiden tietoteknisten laitteiden tietoja.”
Väisäsen mukaan riski kiristyshaittaohjelman kohteeksi joutumisesta on kasvanut viime vuosina merkittävästi.
Tapaukset parantaneet varautumista
Kyberturvallisuutta käsittelevä ohjeistus ja ymmärrys riskeistä on Väisäsen mukaan lisääntynyt kiinteistö- ja rakennusalalla viime vuosina. Riskeihin varautumiseen ovat vaikuttaneet hänestä myös esille tulleet tietoturvaloukkaustapaukset.
”Jokaisen organisaation pitäisi tehdä itse riskiarvio ja miettiä kriittisimmät asiat, jotka pitää aina suojata liiketoiminnan jatkuvuuden kannalta. Kaikkia uhkia vastaan ei kannata yrittää tai voi suojautua.”
Yksi alan erityispiirteistä on Väisäsen mukaan se, että monella yrityksellä on asiakkainaan yksityishenkilöitä, esimerkiksi asuntojen omistajia. Heidän tietojensa suojaaminen korostuu.
”Jokaisen organisaation pitäisi tehdä itse riskiarvio ja miettiä kriittisimmät asiat, jotka pitää aina suojata liiketoiminnan jatkuvuuden kannalta.”
Riski voi olla myös se, että esimerkiksi asuinkiinteistöissä kiinteistöautomaatiojärjestelmiä ja niiden käyttämiä verkkoja ei välttämättä ole yhtä hyvin eriytetty ja suojattu kuin teollisuuskiinteistöissä.
Monessa organisaatiossa riskien laaja kirjo ja perustason tietoturvakontrollien puute ymmärretään hänen mukaansa valitettavasti liian myöhään. Kaikkia hyökkäyksiä ei pysty estämään, mutta rikollisten toimintaa voi hankaloittaa merkittävästi sopivilla toimilla.
Sanktioita voi seurata
Lisääntynyt yhteiskunnan ja kiinteistöjen digitalisaatio on tuonut lisää tietoturvariskejä, sanoo johtava konsultti Matti Ristimäki 61N-yrityksestä. Osaaminen ja ymmärrys riskeistä ei ole lisääntynyt samaan tahtiin kuin tietoverkot ja digitaaliset palvelut ovat kehittyneet.
”Digiverkot ovat nykyään laajoja ja monimutkaisia. Niissä on paljon palveluntuottajia ja toimijoita. Jokainen heistä voi olla se heikko lenkki tietoturvan kannalta.”
Hän näkee rakennusalalla riskinä esimerkiksi sen, että tuotteita valmistavassa yrityksessä voidaan kyberhyökkäyksen avulla yrittää ujuttaa haittaohjelma johonkin tiettyyn tuotteeseen. Toisaalta esimerkiksi kiinteistönomistajaa voidaan kiristää lukitsemalla kiinteistön järjestelmät.
Hyökkäyksestä voi koitua Ristimäen mukaan esimerkiksi sopimuksiin perustuvia sanktioita, jos kiinteistö ei ole toimintakunnossa tai asiakastietoja varastetaan. Myös maine voi kärsiä kolauksen.
Ristimäestä on tärkeintä, että riskeihin varaudutaan. Jos vakava tietoturvahyökkäys osuu kohdalle, yrityksellä kannattaa olla suunnitelma ja asiantuntemusta toipumisen varalta.
”Olemme nähneet Venäjän hyökkäyssodankin kohdalla, että mitä vaan voi tapahtua. Yrityksessä ei voi ajatella, ettei tällaista meille koskaan tapahdu.”
Vakuutusturva kuntoon
Afryn Risto Rädyn mukaan kiristyshaittaohjelmahyökkäyksen kaltainen tilanne vaatii saumatonta yhteistyötä niin sisäisten kuin ulkoisten sidosryhmien välillä erittäin tiiviissä aikataulussa.
”Tilanne nostaa useita haasteita samanaikaisesti usealla eri kentällä, joten tilanteen hoitamiselle täytyy olla täysi tuki organisaation jokaisella tasolla.”
Keskeinen oppi hänestä on, että liiketoimintakriittisten järjestelmien tulee toimia pilviarkkitehtuurilla, ellei kyse ole turvaluokitelluista hankkeista. Koska yrityksessä projektinhallinta- ja laskutusjärjestelmät toimivat pilviarkkitehtuurissa koko ajan, talouden hallinta ei ollut uhattuna missään vaiheessa.
Räty kehottaa varmistamaan, että kaikki it-infra on aina päivitetty suositusten mukaisesti. Parhaastakin varautumisesta huolimatta hyökkäys voi silti tapahtua. Siksi on syytä varmistaa, että yrityksissä on vakuutusturva kunnossa ja se kattaa myös toiminnan keskeytyksen.
”Tietoturvallisuudessa ja varautumisessa kannattaa myös huomioida vahvasti inhimilliset tekijät, jotka ovat vähintään yhtä tärkeässä roolissa kuin tekniikka. Lisäksi toimintakyky reagoida tilanteisiin tulee olla olemassa koko ajan – myös öisin, viikonloppuisin ja loma-aikana.”
Mahdollisia hyökkäyksiä varten Afryssä on Rädyn mukaan yhteydet tietoturva-asiantuntijoihin kunnossa. Varautumissuunnitelmat on päivitetty ja hiottu kesän kyberhyökkäyksestä saatujen oppien mukaan.
Uponor antoi tulosvaroituksen
Uponor joutui 5. marraskuuta kiristysohjelmahyökkäyksen kohteeksi. Hyökkäys vaikutti yhtiön toimintoihin Euroopassa ja Pohjois-Amerikassa. Yritys sulki tuotannon viikoksi varotoimenpiteenä.
Uponor tiedotti marraskuun lopulla, että se keskittyy mahdollisimman nopeasti nostamaan operatiivisen toiminnan takaisin hyökkäystä edeltävälle tasolle samalla varmistaen tietojärjestelmien turvallisuuden.
Uponor on havainnut tutkimuksissa merkkejä tietomurrosta, joka koskee Uponorin työntekijöiden, asiakkaiden ja muiden kumppaneiden tietoja. Yhtiöstä kerrottujen tietojen mukaan tietomurron kohteeksi joutuneita tietoja ei ole päätynyt julkisuuteen.
Yhtiö antoi myös tulosvaroituksen. Sen mukaan mahdollisuuksiin kattaa menetettyä myyntiä vuoden 2022 aikana liittyy epävarmuutta, koska hyökkäys tapahtui lähellä vuoden loppua. Siksi Uponor poisti ohjeistuksensa vuodelle 2022, kunnes yhtiöllä on parempi näkyvyys toimintojen ylösajamiseen ja menetetyn myynnin kattamiseen.
Lue lisää: Uponorilta tulosvaroitus – poistaa ohjeistuksensa tälle vuodelle tietoturvahyökkäyksen takia
Yritys kertoi Rakennuslehdelle, ettei kommentoi tällä hetkellä asiaa poliisitutkinnan takia enempää kuin tiedotteissa.
Tätä artikkelia ei ole kommentoitu
0 vastausta artikkeliin “Kyberhyökkäys kahteen rakennusalan yritykseen näytti uhkan todellisuuden – ”Ei voi ajatella, ettei tällaista meille koskaan tapahdu””