Kartoituksessa etsityt automaatiolaitteet liittyivät teollisuuden automaatiojärjestelmiin, sähkönhallintaan, järjestelmien etäkäyttöön ja rakennusautomaatioon. Ne ohjaavat esimerkiksi voimalaitoksia, hälytyksiä ja ovien lukitusta. Asiattomien pääsy järjestelmiin voi olla tuhoisaa: kokeilumielessäkin tehty tunkeutuminen voi aiheuttaa vaurioita järjestelmässä ja sen hallitsemassa fyysisessä ympäristössä kuten tehtaassa.
– Löysimme rakennusautomaatiolaitteita myös esimerkiksi pankkikonttorissa, vankilassa ja sairaalassa. Monien löytämiemme laitteiden ei todennäköisesti kuuluisi olla julkisesti näkyvillä internetissä, sanoo professori Jukka Manner Tietoliikenne- ja tietoverkkotekniikan laitokselta.
Erityisesti etäkäyttöliittymissä oli heikkouksia tietoturvan suhteen. Oletussalasanojen käyttö ja kaikkien internetin käyttäjien mahdollisuus päästä kirjautumissivulle näissä tärkeissä järjestelmissä ovat merkkejä tietämättömyydestä tai huolimattomuudesta.
Laitteisiin murtautumisen helppous riippuu niiden tietoturvaratkaisuista. Kartoituksessa käytetty Shodan-hakukone helpottaa haavoittuvien ja mielenkiintoisten kohteiden löytämistä. Nyt löydetyistä laitteista 60 prosentille on julkisesti tiedossa olevia haavoittuvuuksia.
– Shodan myös löytää koko ajan enemmän tuloksia eli potentiaalisesti haavoittuvia laitteita. Suomen hakutulosten määrä on kasvanut lähes 200 % vuodessa viimeisen kahden vuoden ajan. Tämä johtuu siitä, että hakukone ei ole vielä kartoittanut kuin arviolta 20–30 % Suomen IP-avaruudesta. Paljon ongelmia saattaa siis olla vielä piilossa, tutkimusapulainen Seppo Tiilikainen huomauttaa.
Maaliskuussa tehdyssä tulosten tarkistuksessa havaittiin, että osa löydetyistä laitteista on jo poistettu verkosta. Näistä laitteista 1969 oli kuitenkin edelleen esillä.
Löytöjen vakavuutta on vaikea arvioida ilman tarkempaa perehtymistä järjestelmiin. Paljon riippuu myös mahdollisen hyökkääjän taidoista ja motiiveista. Tutkijat neuvovat, että erityisesti yritysten, joiden verkoissa on paljon komponentteja ja muutoksia, tulisi aktiivisesti testata tietoturvan tasoa mahdollisten heikkojen kohtien löytämiseksi.
Tutkimus on osa Tekesin rahoittamaa DiSCI-hanketta (Digital Security for Critical Infrastructures), jossa ovat mukana myös Maanpuolustuskorkeakoulu ja Stonesoft Oyj. Tavoitteena on selvittää, miten jo olemassa olevat järjestelmät voi suojata kyberhyökkäyksiä vastaan. Raportin tulokset on annettu CERT-FI:lle.