QuoteNettisabotööri voi avata vaikka vankilan portin
Pääkaupungin liikennevalot sekaisin kesken perjantairuuhkan? Sähköt tai vesi poikki joulunpyhinä? Näppärä sabotööri voi tehdä isoakin kiusaa ja aiheuttaa jopa onnettomuuksia automaatiojärjestelmien puutteellisen suojauksen vuoksi.
Aalto-yliopiston tutkijat löysivät hiljattain tehdyssä kartoituksessaan netistä lähes 3 000 Suomessa sijaitsevaa automaatiolaitetta, joihin kuka tahansa pystyy ottamaan yhteyden. Kartoituksessa etsityt automaatiolaitteet ohjaavat esimerkiksi voimalaitoksia, hälytyksiä ja ovien lukitusta. Monien löytyneiden laitteiden ei todennäköisesti kuuluisi olla julkisesti näkyvillä netissä.
Mannerin mukaan vakavan onnettomuudenkin aiheuttaminen tietomurrolla on täysin mahdollista. Jossittelun varaan jää kuitenkin, mitkä netistä löytyneistä laitteista ovat mahdollisesti kriittisiä ja mitkä eivät. Asiaa ei voi edes lähteä penkomaan itse tietomurtoon syyllistymättä.
Ainakin teoriassa mahdollista olisi vaikkapa vankilan lukkojen avaaminen netistä käsin. Se edellyttää, että vankilassa on sähköiset lukot ja järjestelmä joka ohjaa niitä, Manner selvittää.
Ongelmaan on kuitenkin Mannerin mukaan olemassa myös lääkkeitä. Sellainen voisi olla kansallinen järjestelmä, joka käy vaikkapa kerran päivässä läpi kaikki Suomen automaatiojärjestelmät ja raportoi kriittisiksi luokittelemistaan havainnoista tietoturvaviranomaiselle.
Aamulehti (http://www.aamulehti.fi/Kotimaa/1194803640192/artikkeli/nettisabotoori+voi+avata+vaikka+vankilan+portin.html)
Toivottavasti tuota systeemiä joka kävisi läpi kaikki automaatiojärjestelmät ei toteuta mikään mikä on viime vuosina tehnyt valtiolle noita hommia... Sekundaa saa halvemmallakin. Kaatavat pian koko paskan ja isontavat tietoturva-aukkoja entisestään.
Mannerin lääke on mielestäni toisaalta hyvä ja toisaalta mahdottomuus: Helpot virheet olisi hyvä tarkastaa vaikka päivittäin, ja se voitaisiin tehdä, mutta oikeat isot ja sabotaasin mahdollistavat virheet, ovat niin ainutkertaisia, ettei niitä millään vakiotutkimuksella selvitetä. Stuxnet hyökkäys olisi esimerkiksi vaatinut etukäteen tiedon mitä aukkoja Windows järjestelmissä on ja mitä niistä virus tulee käyttämään ja mihin osaan järjestelmistä se yrittää iskeä. Sellaista on mahdotonta ennakolta aavistaa.
Mutta tosiaan on käsittämätöntä, jos järjestelmien toimittajalta tilataan tietomurtoja etsivä järjestelmä. Eikö toimittajan olisi pitänyt tuntemansa tietomurtoaukot korjata jo ennen toimitusta? Siis sellaiset mitkä omin voimin on kykenevä löytämään. Tosin tänä hulluna aikana se on jo maantapa. Ensin kun teet hommasi huonosti halvalla saat tilanteen tuntevana kokeneena tekijänä helposti saman työmään korjausuran jatkotoimeksiantona - ja vielä kovalla erikoisosaajan palkalla.