Tietoturvatiedote
CISA (Cybersecurity & Infrastructure Security Agency) julkaisi 19.3.2026 tiedotteen, jossa on listattuna tahot, joiden järjestelmästä on löydetty OCPP-protokollaa koskevia haavoittuvuuksia. Listalla on myös eParkingia koskeva CVE-tunniste (Common Vulnerabilities and Exposures, tietoturva-aukkojen raportointi- ja dokumentointiprojekti ja -järjestelmä). Tiedotteen mukaan eParkingin OCPP-toteutuksen havaittiin olevan löydettyjen haavoittuvuuksien vuoksi altis esimerkiksi palvelunestohyökkäyksille, laitteiden identiteettivarkauksille ja tietokannan täyttämiselle niin sanotulla roskadatalla.
Haavoittuvuudet eivät vaarantaneet latausasemien sähköturvallisuutta tai asiakkaiden yksityisyyttä. Laitteiden laitteistotason fyysinen turvaohjaus ja arkaluonteiset asiakastiedot pysyivät koko ajan suojattuina, vaikka taustajärjestelmän rajapintaan kohdistuikin häirintämahdollisuus.
Mitä laitteita haavoittuvuus koskee?
eParking operoi tällä hetkellä noin 94 000 latauslaitetta. Haavoittuvuus koskee näistä laitteista noin 7 prosenttia eli 6500 laitetta.
Haavoittuvuus koskee palvelimen ja sellaisten kolmannen osapuolen laitteiden välistä yhteyttä ja viestintää, joissa OCPP-tietoturvaprofiileja ei ole toteutettu. Kaikki OCPP-latauslaitteet eivät siis ole haavoittuvuuden piirissä. Haavoittuvuudet eivät koske salasanalla suojattuja salatulla yhteydellä palvelimeen yhteydessä olevia OCPP-laitteita.
Haavoittuvuus ei myöskään koske eParkingin oman eTolppa-protokollan laitteita. eTolppa-sivuilta voit tarkistaa, mitkä laitteet ovat eTolppa-protokollan laitteita.
Mitä haavoittuvuuden poistamiseksi on tehty?
Saatuamme yhteydenoton järjestelmämme toimintaa tutkineelta taholta, olemme toteuttaneet välittömiä korjaustoimenpiteitä suojataksemme palvelumme ja laitteidemme luotettavan toiminnan. Haavoittuvuuden aiheuttamien riskien vähentämiseksi on tehty huomattava määrä päivityksiä eParkingin OCPP-palvelimille. Näiden päivitysten ansiosta riskejä on saatu poistettua ja lievennettyä. Tehtyjen toimenpiteiden myötä haavoittuvuudet on nyt tukittu kaikkien sellaisten OCPP-laitteiden osalta, jotka tukevat OCPP-standardin mukaisia tietoturvaprofiileja. Muiden laitteiden osalta uhkia on saatu lievennettyä huomattavasti.
Tehdyt toimenpiteet:
Olemme päivittäneet järjestelmämme tukemaan uusimpia OCPP-protokollan mukaisia tietoturvastandardeja. Kaikki tätä tukevat laitteet on nyt velvoitettu käyttämään vahvempaa tunnistautumista.
Olemme ottaneet käyttöön mekanismin, jossa vain ennakkoon järjestelmään hyväksytyt laitteet voivat muodostaa yhteyden. Tuntemattomat laitteet estetään automaattisesti. Kyseessä on ennakoiva tapa varmistaa, että ainoastaan tunnetuille laitteille sallitaan yhteydenmuodostus järjestelmään.
OCPP-palvelimille on asetettu palvelinpyyntöjen määrän rajoitus IP-osoitetta kohden. Järjestelmämme tunnistaa ja estää automaattisesti poikkeuksellisen suuren määrän yhteyspyyntöjä ja estää siten palvelinestohyökkäykset.
Järjestelmien automaattista seurantaa on tehostettu. Mahdollisten vikatilanteiden sattuessa asiantuntijamme saavat nyt hälytyksen välittömästi ja pystyvät korjaamaan tilanteen entistä nopeammin.
Mitä teemme jatkossa, jotta haavoittuvuuksia ei syntyisi?
Teemme jatkossakin töitä OCPP-latauslaitteiden turvallisuuden eteen. Seuraamme haavoittuvuusilmoituksia ja teemme töitä haavoittuvuuksien poistamiseksi jo etukäteen. Tietoturva on meille ykkösasia, ja panostamme siihen vastaisuudessakin. Otamme haavoittuvuudet erittäin vakavasti ja teemme töitä niiden estämiseksi ja poistamiseksi. Meillä on ISO27001:2022 -tietoturvasertifikaatti, joka takaa, että tietoturva on huomioitu ja mukana kaikessa toiminnassamme.
Lisäksi kiristämme jo ennestään tarkkoja kriteereitämme kolmannen osapuolen laitteille, eli jatkossa hyväksymme eParking-yhteensopiviksi OCPP-laitteiksi ainoastaan sellaiset laitteet, jotka täyttävät tiukat tietoturvavaatimuksemme.
Jos haluat lisätietoa tapauksesta, ole yhteydessä tietoturvatiimiimme: security@igl.fi
