[Teema] Lörpöttelevät leivänpaahtimet

Esineiden internet (IoT) näyttäytyy meille muun muassa verkkoon kytkettävinä viihde- ja kodinlaitteina tai etäluettavina lämpömittareina. Verkkolaitteet tarvitsevat kuitenkin tehokkaan suojauksen internetin ikävältä lieveilmiöiltä - kyberrikollisuudelta. Artikkelimme on osa käynnissä olevaa Euroopan kyberturvallisuuskuukautta.

Esineiden internet koostuu pienistä tietokoneista

Esineiden internet (IoT, Internet of Things) on erilaisten laitteiden kytkeytymistä verkkoon. Yksi kytkee internetiin kodin viihdelaitteen, talotekniikan taikka oman sykemittarin. Toiselle kyberympäristö on osa yrityksen arkea vaikkapa etäluettavien sähkömittarien muodossa.

Pienet ja usein yksinkertaiset laitteet on suunniteltu tekemään jokin tietty asia mahdollisimman tehokkaasti. Kun IoT-laite kytketään verkkoon, sen ohjaus on mahdollista esimerkiksi internetselaimen tai älypuhelinsovelluksen avulla.

On hyvä pitää mielessä, että IoT-laite altistuu samanlaisille tietoturvahaasteille ja haavoittuvuuksille kuin mikä tahansa tietokone. Tietoturva-aukkojen hyödyntäminen voi olla jopa helpompaa, koska IoT-laitteiden tietoturvaominaisuudet ovat usein heikkoja ja niiden hallinta hankalaa.

Kyberrikollisuus leviää suojattoman IoT:n kautta

Palomuurittomaan IoT-laitteeseen voi murtautua tietoverkon kautta. Jos laite on ohjattavissa suoraan internetistä, myös ohjelmistojen ajantasaisuus on erityisen tärkeää. Laitteet, jotka ovat helposti murrettavia ja joita on massoittain kytkettyinä internetiin, ovat houkutteleva kohde verkkorikollisille.

Jo nyt Viestintäviraston Kyberturvallisuuskeskus saa ilmoituksia esimerkiksi murretuista verkkoon kytketyistä ilmalämpöpumpuista, jotka lähettävät roskapostia ja muuta haittaliikennettä internetiin. Toistaiseksi kyse on vain yksittäistapauksista, mutta jos laitteiden tietoturvaan ei kiinnitetä jatkossa enempää huomiota, tulevaisuus ei ole valoisa.

Toimiva esineiden internet vaatii hyvin suunnitellut ja suojatut laitteet

Tulevaisuudessa verkottuminen tulee vielä yleistymään, vaikka jo nyt muun muassa kodin tai mökin videovalvontajärjestelmät, valaistus ja kodinkoneet on mahdollista kytkeä internetiin. Samoin erilaiset etäluettavat sähkömittarit, pääasiassa mobiiliverkon kautta. Tuoreimpia IoT-tulokkaita ovat roskasäiliön täyttöasteilmaisimet, saunaan saa matkapuhelimella toimivan etäohjauksen ja Bluetoothin avulla voi käyttää wc-pönttöä.

Kuulostaa kätevältä ja huolettomalta, mutta valitettavasti esineiden internetin arkea ovat helposti murrettavat oletussalasanat, puuttuva salaus, heikko pääsynvalvonta, paikkaamattomat haavoittuvuudet ja vaikeat päivitysprosessit. Kotikutoiset tietoliikenneprotokollat ja ylimääräiset avoimet portit mahdollistavat etäyhteyden kodin esineisiin myös kotiverkon ulkopuolelta ja pahimmillaan laitteen haltuunoton.

Laitteiden- ja palveluiden tietoturvaominaisuudet on tärkeää huomioida heti rakennus- ja suunnitteluvaiheesta alkaen. Tietoturva-aukkoinen IoT-laite tai -palvelu voi tahrata valmistajansa maineen niin, että koko yritys kaatuu, vaikka taustalla olisi hieno idea.

Harkitsevan kuluttajan muistilista

Yhteisillä vaatimuksilla kohti parempaa IoT-tietoturvaa

Organisaatiot Groupe Spécial Mobile Association (GSMA) ja Open Web Application Security Project (OWASP) edistävät esineiden internetin parhaita käytäntöjä ja vaatimuksia. GSMA on julkaisut tietoturvallisuusohjeistuksen, joka sisältää alan parhaita käytäntöjä ja suosituksia IoT-palveluiden elinkaaren eri vaiheisiin. OWASPin tavoitteena on puolestaan edistää verkkopalveluiden ja sovellusten turvallista suunnittelua ja toteutusta.

Lisäksi Euroopan komissio on parhaillaan laatimassa IoT-laitteille kyberturvallisuusvaatimuksia, joita on odoteltu jo jonkin aikaa. Vaatimuksilla halutaan kohentaa EU:n tietoliikennelakia (EU telecoms law) ja rohkaista muun muassa eurooppalaista autoteollisuutta ja maanviljelyalaa kohti digiaikaa ja esineiden internetiä.

Vaikuttaakin siltä, että IoT-laitteiden puutteellista suojausta on koskevat varoitukset on kuultu.

Artikkeli perustuu aiemmin julkaisemaamme esineiden internet teemaan kesäkuussa 2016.

Lisätietoa:

[Teema] Asenna ja unohda - laiminlyöty esineiden internet

[Teema] Tiedätkö mitkä älykotisi esineet viestivät internetissä?

[Teema] Ota esineiden internetin suojauskeinot haltuun

Europe to Push New Security Rules Amid IoT Mess

Commission plans cybersecurity rules for internet-connected machines



Päivityshistoria

Asiasanat: Tietoturva , Kyberrikollisuus , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248