Hyppösen laki

27.03.2018

 

"Jos laitteessa on älyä, se on myös haavoittuvainen."

Hyvä tietoturva on sisäänrakennettua

Laitteen suunnitteluvaiheessa tulee olettaa, että verkkoon kytketty laite joutuu hyökkäyksen kohteeksi. Ohjelmiston suunnittelussa tietoturva onkin otettava huomioon heti alusta alkaen. On väärin kuvitella, että tietoturvaratkaisu lisättäisiin järjestelmään myöhemmin jollain lisälaitteella. Tällainen on toki mahdollista, mutta kokonaisuuden kannalta on parasta, että tietoturva on sisäänrakennettua.

Yhteystapa vaikuttaa hyökkäyksen todennäköisyyteen. Langattomat yhteydet kuten wifi ja bluetooth ovat potentiaalisesti vaarallisia, sillä niihin on hyökkääjän helppo päästä kiinni. Kulunvalvonnan piirissä olevaan langalliseen verkkoon pääsy vaatii vähän enemmän paneutumista, jotta hyökkääjä pääsee verkon piiriin. Matkapuhelinverkkoa hyödyntävät laitteet pääsevät hyötymään matkapuhelinverkossa vakiona olevasta salauksesta, jolloin ilmarajapinnasta on vaikeampi hyökätä. Yhteystapaa valittaessa kannattaa tietoturvaa pitää yhtenä valintakriteerinä.

Ohjelmistoja ei voida tehdä kerralla turvallisiksi, sillä tulevaisuuden hyökkäystavat eivät ole tunnettuja. Ohjelmistoja tulee voida päivittää, jotta haavoittuvuudet voidaan korjata. Langattomasti verkkoon kytkeytyvillä laitteilla tulisi ohjelmiston olla päivitettävissä ilmarajapinnan yli, jotta päivitykset tulisi varmemmin asennettua. Hankalassa paikassa olevaa purkkia ei moni halua käydä johdolla päivittämässä.

Tietoturvan merkitys IoT-laitteissa ei riipu pelkästään käyttökohteesta

Huono tietoturva voi luonnollisesti johtaa tietojen vuotamiseen vääriin käsiin. Kerättävästä tiedosta riippuu, millainen ongelma tämä on. Esimerkiksi minun parvekkeellani on lämpömittari, jonka datasta en ole kovin huolissani. Toisaalta yrityksillä paljon laitteita, joiden välittämästä tiedosta joku olisi valmis maksamaan, sillä datasta saa selville olennaisia tietoja yrityksen toiminnasta, vaikkapa tehtaan käyttöasteen.

Varsinaisen laitteen tiedon lisäksi haittaohjelmat voivat estää laitteen toiminnan tai liittää sen osallistumaan palvelunestohyökkäykseen. Esimerkiksi modeemeja on valjastettu suurin joukoin palvelunestohyökkäyksiin yksinkertaisesti tunkeutumalla niihin oletussalasanoilla. Palvelunestohyökkäys aiheuttaa suurta harmia kohteelleen, mutta hyökkäykseen osallistuvan laitteen omistaja ei välttämättä huomaa mitään.

Heikosti toteutettu tietoturva voi myös johtaa laitteiden toiminnan lamautumiseen, kuten kävi Kevitsan kaivoksella, kun WannaCry saastutti porat. Älykkäät laitteet aiheuttavat uudenlaisia riskejä, sillä takavuosina ei kaikkia tuotannon laitteita olisi saanut kerralla rikki.

Eräs tapa estää laitteeseen liittyvät tietoturvaongelmat onkin jättää siitä korkeampi äly pois. Hyppönen mainitsi Telia Digitalist IoT Forum -tapahtumassa esimerkkinä leivänpaahtimen. Käyttäjä ei tarvitse leivänpaahtimeen datayhteyttä, mutta valmistaja sen sijaan saattaa haluta kerätä käyttödataa. Tässä tapauksessa kuluttajalla on valinnallaan mahdollisuus valita, tuleeko leivänpaahtimeen datayhteys vai ei.

Teksti: Lassi Sutela

Like (3) 

Lisää uusi kommentti

Latauslinkki lähetetään sähköpostiin

Käytössäsi lähes 300 asiantuntijan osaaminen

Lue meistä