[Teema] Omakynä: Meidän täytyy keksiä säännöt IoT:lle

Anna Puun laulun mukaan tarvitsisimme säännöt rakkaudelle. Nyt vaikuttaa siltä, että samaa tarvitsee myös esineiden internet, Internet of things (IoT). Älylaitteiden sääntely- ja standardointitarpeita pohtii Omakynässä Saana Seppänen, Viestintäviraston Kyberturvallisuuskeskuksen erityisasiantuntija.

Esineiden internet tarjoaa hurjia mahdollisuuksia, joiden hyödyntämistä kukaan ei halua rajoittaa tarpeettomasti. Sääntöihin ja ohjaukseen on kuitenkin selkeä tilaus. Seuraavaksi onkin pohdittava, mikä on tarpeellista ja riittävää, mikä taas tarpeetonta ja liikaa. Kenelle kuuluu vastuu ja kuinka sitä jaetaan? Tässä keskustelussa tarvitaan kaikkia osapuolia, joita se koskettaa.

Sääntöjä pohditaan muun muassa Viestintäviraston Kyberturvallisuuskeskuksen perustamassa Tietoturvallisuuden standardisointiverkostossa (TieSta). Minulla on ilo ja kunnia toimia verkoston puheenjohtajana. Verkostossa seurataan ajankohtaisia ilmiöitä ja autetaan jäseniä noudattamaan ja tunnistamaan niihin liittyviä normeja. Aivan toiminnan alusta lähtien on ollut selvää, että IoT herättää erityistä mielenkiintoa.

Onko se mötikkä, joka käsittelee ykkösiä ja nollia?

Vaikka esineiden internet on keikkunut viime vuodet ajan hypekäyrän huipulla, vain harvat pystyvät kiteyttämään, mistä varsinaisesti on kysymys ja mihin kaikkeen IoT vaikuttaa. Yhteistä ymmärrystä tarvitaan nyt, kun IoT-markkinat kuumenevat ja ilmiö on muuttumassa todellisuudeksi.

Suurin osa tuntuu olevan samaa mieltä ainakin seuraavasta: verkkoon kytkettävät ja sensorilla varustetut älykkäät laitteet ovat erottamaton osa esineiden internetiä. Tässä yhteydessä älylaitteiden ei tarvitse läpäistä Mensan testejä eikä voittaa Gasparovia shakissa. Useimmille älykkään laitteen määrityksen täyttää mötikkä, joka pystyy käsittelemään ja viestimään ykkösiä ja nollia

Mitä uutta auringon alla?

IoT ei uusi ilmiö, sillä vastaavia toteutuksia on tavattu 1990-luvun alkupuolelta, internetin yleistymisestä lähtien. Tapahtuiko kaikki ennen ajanlaskua vai silmänräpäys sitten, tulkinta on riippuvainen lukijan iästä.

Itse kuulun siihen ikäpolveen, jolta tiedusteltiin yläasteella (kyllä, dinosaurukset eivät käyneet yläkoulua), onko joku käynyt internetissä. Luokasta kaksi viittasi, ja loput ihmettelivät, missä se on. Noista ajoista on tultu pitkä matka, mutta perusasiat ovat pysyneet samoina: tietoverkot ja niiden välityksellä keskustelevat laitteet.

Eniten on kehittynyt tekniikan kypsyystaso. 2000-luvun alussa mobiili internet oli vielä hidas ja epävarma. Nyt netissä liikkuja ei enää tarvitse lehmänhermoja, koska matkaviestinverkko pystyy vastaamaan kärsimättömämmänkin tarpeisiin. Käytännössä tämä tarkoittaa kykyä tuottaa, tallentaa, lähettää ja käsitellä aikaisempaan verrattuna valtavia bittivirtoja, joita ohjataan esimerkiksi pilvipalveluihin.

Esineiden internetissä kyse on erilaisten tekniikoiden ja palveluiden uudenlaisesta yhdistelystä.

IoT:n uumenissa on kitkettävää

Niin kauan kun laitteiden määrä on pysynyt tolkullisena, lähes kaikkien kukkien on annettu kukkia. Mutta nyt on saavutettu raja, jolloin on aika ryhtyä kitkemään.
Esineiden internetin tietoturvaongelmia ovat esimerkiksi palvelunestohyökkäykset, joita voi verrata muun kasvillisuuden tukahduttaviin rikkaruohoihin. Muita verkkoaikakauden ikäviä sivutuotteita ovat erilaiset huijaukset ja haittaohjelmat.

Oman lukunsa esineiden internetissä muodostavat tietosuojakysymykset. Kun vempeleet keräävät käyttäjistään mitä moninaisinta tietoa, voi niiden käyttö ja tallentaminen ylittää yksityisyyden rajat moninkertaisesti. Hiljattaisia esimerkkejä aiheesta ovat lasten sijaintitiedon paljastava aktiivisuusranneke ja seksilelu, joka loi käytöstä äänitallenteen.

Säännöt esineiden internetille

Lähestymme tilannetta, jossa lähes kaikki hammasharjasta jääkaappiin on kytketty verkkoon ja laitteet keskustelevat keskenään. Hirtehisesti joku määrittelikin esineiden internetin olevan sitä, että kahvinkeittimesi lähettää roskapostia leivänpaahtimellesi.

Lausahduksessa on totuutta enemmän kuin mausteeksi, koska ainakaan toistaiseksi verkkoon kytkettäville laitteille ei ole asetettu tietoturvallisuusvaatimuksia, jotka ehkäisisivät niiden käyttöä vääriin tarkoituksiin.

Oman lisänsä asiaan tuo se, että painotus laitekehityksessä on vaivihkaa siirtynyt yritysratkaisuista kuluttajaelektroniikkaan. Kuluttajien kyky vaatia tai arvioida laitteiden tietoturvallisuutta ei ole kuitenkaan lisääntynyt samaa tahtia. Onko reilua tai realistista odottaa, että kansalainen perehtyy syvällisesti tietoturvallisuuteen?

Tietotekniikasta on tullut osa arkea kuin sähköstäkin. Tosin ei tavalliselta tallaajalta vaadita sähköasentajan tutkintoa. Valistamisen lisäksi meidän onkin mietittävä, mitä tulisi tehdä, jotta vastuuta verkon ja laitteiden turvallisuudesta ei sysättäisi pelkästään kuluttajien ja yritysten hartioille.

Viranomaisen tehtäviin lukeutuu kunkin toimialan välttämätön ja tarpeellinen sääntely. Lait ja määräykset ovat sääntelykirjon järeämmästä päästä, valistus ja ohjaaminen kevyemmästä. Jonnekin ääripäiden välimaastoon osuvat standardit ja sertifikaatit. Niiden avulla on mahdollista osoittaa, että esimerkiksi valmistaja on noudattanut vaatimuksia ja vastaavasti kuluttaja voi vertailla laitteita läpinäkyvästi.

Sertifikaattitarra paketin kyljessä voi parhaassa tapauksessa auttaa kuluttajaa tekemään hyviä valintoja. Toimiva esimerkki on esimerkiksi kylmälaitteiden energiankulutuksesta kertova luokittelu, jonka avulla kuluttaja pystyy suoraan vertaamaan virrankulutusta. Esineiden internet onkin herätellyt tietoturvallisuussertifioinnin suuren kiinnostuksen kohteeksi, ja esimerkiksi EU on Suomen tukemana aktivoitunut asiassa.

Miten eteenpäin?

Tietoturvallisuuden standardisointiverkosto kokoontuu seuraavan kerran 13.2.2018, ja kaikki kiinnostuneet ovat tervetulleita osallistumaan. Annan myös mielelläni lisätietoa aiheesta.

Myös muuta keskustelua kaivataan. Suomella on edellytykset olla suunnannäyttäjä esineiden internetin tietoturvallisuudessa. Se edellyttää kuitenkin homman hanskaamista ja käsiä, joihin hanskat puetaan. Usein kysellään kopin ottajia - nyt olisi tarjolla hommia ainakin joukkueelliselle pesäpalloilijoita. Kuka nostaa räpylän?

Kirjoittaja on Saana Seppänen, Viestintäviraston Kyberturvallisuuskeskuksen erityisasiantuntija. Artikkeli on osa marraskuun IoT-teemaa.

Lisätietoja

Päivityshistoria

Asiasanat: Tietoturva , Esineiden internet IoT , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248