Esineiden internetin tietoturva

Tom Tuunainen

IoT-laitteet tarjoavat dataa käyttäjälle

Esineiden internetin (Internet of Things, lyhyemmin IoT) laitemäärä on suorastaan räjähtänyt. Uusi ja kehittyvä teknologia on saanut jalansijaa kaikkialla. Sitä käytetään niin teollisuuden ratkaisuissa kuin avoimilla teillä vaeltavissa itsenäisissä ajoneuvoissa. Teknologia muuttaa tapaa, jolla organisaatiot keräävät, vaihtavat, analysoivat ja ekstrapoloivat valtavia tietomääriä ymmärtääkseen paremmin ihan kaikkea. IoT-laitteiden avulla kerätty tieto auttaa myös ymmärtämään kuluttajien käyttäytymistä sekä tehostamaan liiketoimintaa, kuten myös alentamaan käyttökustannuksia ja parantamaan työturvallisuutta.

Esineiden internetin laajuus on ennennäkemätöntä – mutta niin ovat myös sen tietoturvauhat. Esineiden internetin hyökkäyspinta-ala on kasvanut dramaattisesti viimeisen vuosikymmenen aikana ja suojaamattomia IoT-laitteita on kaikkialla. Tämä antaa verkkorikollisille mahdollisuuden hallita suurta laitekantaa heidän omien mieltymystensä mukaan. Haavoittuvia verkkoon kytkettyjä IoT-laitteita on esimerkiksi käytetty hyökkäyksissä kansallisvaltioiden kimppuun. Reuters kirjoitti jo vuonna 2016 PayPalin, Spotifyn ja Twitterin verkkosivustojen kaatamisesta DDOS-hyökkäysten avulla (Menn J., Finkle J. & Volz D.  2016). Uusia uutisia erilaisista väärinkäytöksistä ilmestyy harva se päivä.

Jos lähtee mukaan esineiden internetin tietoturvakelkkaan, huomaa varsin pian, ettei ole olemassa kertaluontoisia ponnistuksia, joiden avulla IoT-teknologiasta tehdään täysin turvallista. On kuitenkin olemassa hyviä käytänteitä, joiden avulla esineiden internetistä voidaan tehdä hiukan turvallisempi.

Tietoturvakoulutusta ja testausta

Riittämättömät turvatoimet aiheuttavat suuren osan maailman tietoturvaloukkauksista. Vuonna 2019 julkaistu IBM:n tutkimus (IBM 2019) osoittaa, että järjestelmävirheet ja tahattomat inhimilliset virheet aiheuttavat edelleen lähes puolet tietoturvaloukkauksista. Tilanne voidaan kuitenkin korjata erittäin tehokkaasti tietoturvakoulutuksilla sekä testauspalveluilla. Koulutukset nostavat henkilöstön tietoturvatietoisuutta ja testauksen avulla pyritään havaitsemaan ohjelmistojen sekä laitekannan haavoittuvuuksia.

Tiedon suojaamista

Monet IoT-laitteet ovat turhankin helppo kaapata toteaa Deepen Desai blogissaan (2019). Zscalerin tutkimus (2019) osoittaa, että 91,5 % IoT-laitteiden välittämästä tiedosta on täysin salaamatonta. Vaarana on tällöin, että verkkorikollinen voi halutessaan lukea ja manipuloida laitteiden tietoa täysin esteettä. Jo pelkästään tästä syystä on tietoa tallentavien ja käsittelevien IoT-laitteiden suojaaminen vain yksi osa arkaluontoisen tiedon suojaamista. Sekä laite että tiedonkulku on aina suojattava sopivin turvatoimin tietoturvan takaamiseksi.

Kokonaisvaltaista lähestymistä

Koulutukset, testaukset ja tiedon suojaaminen ovat kuitenkin vain pieni osa koko yhtälöä. Esimerkiksi arvoa tuottavan IoT-ketjun vastuut ja hallinta saattavat olla huomattavan erillään toisistaan. Teollisuusyrityksissä on monenlaisia IoT-teknologian käyttäjiä. Teknologiaa käyttävät IT-osasto, kuten myös operatiivisen teknologian hyödyntäjät, sekä ties kuinka monet muut. Kerätty tieto saattaa näkyä monissa eri paikoissa ja eri asiayhteyksissä, ja se saattaa olla merkittävä osa useaa eri prosessia. Mutta kuka omistaa tällöin IoT-laitteiden tuottaman tiedon ja on siitä vastuussa?

Käytettävissä oleva tieto tulisi mielellään kerätä ja yhdistää yhteen luotettavaan paikkaan, josta sitä voi tarpeen vaatiessa hyödyntää. Ekosysteemiin kuuluvat organisaation omat toimijat, laitevalmistajat, verkkotoimittajat, alustan tarjoajat, sovellusten kehittäjät, yhteistyökumppanit ja monet muut tahot. Jos nämä kaikki eri osapuolet onnistutaan tuomaan yhteen, voidaan luoda kokonaisvaltaisempi lähestyminen esineiden internetin turvaamiseksi – ainakin hiukan parempi. Jos avuksi otetaan myös reaaliaikaiset analyysitoimet sekä automatisoidut toiminnot ja tekoäly, voidaan rikkomuksia estää ja mahdollisesti myös jopa ennustaa paremmin.

Esineiden internetin tietoturvan parantamiseksi kannattaa tarttua härkää sarvista ja ryhtyä välittömiin toimiin. Jos mitään ei ole vielä sattunut, on organisaatiosi hyvässä asemassa. Työssä kannattaa lähteä liikkeelle uhkakuvien arvioinnista, jollei sitä ole vielä tehty. Kun tämä on suoritettu, ei torjuntatoimenpiteiden käyttöönotto ole kaukana, ja organisaation parempi tietoturva häämöttää jo näköpiirissä. Paljon positiivista mainetta saanut Centrian tietoturvalaboratorio SecuLab auttaa mielellään näissä asioissa, kuten myös kaikessa tietoturvaan liittyvässä.

Lähteet

Menn J., Finkle J. & Volz D.  2016. Cyber attacks disrupt PayPal, Twitter, other sites. Reuters , Lontoo. Julkaistu 21.10.2016. Verkkouutinen saatavissa: https://www.reuters.com/article/us-usa-cyber-idUSKCN12L1ME. Viitattu 4.11.2021.

IBM 2019. IBM Study Shows Data Breach Costs on the Rise; Financial Impact Felt for Years. IBM, New York. Julkaistu 23.7.2019. Verkkouutinen saatavissa: https://newsroom.ibm.com/2019-07-23-IBM-Study-Shows-Data-Breach-Costs-on-the-Rise-Financial-Impact-Felt-for-Years. Viitattu 4.11.2021.

Desai D. 2019. IoT traffic in the enterprise is rising. So are the threats. Zscaler, San Jose. Julkaistu 22.5.2019. Blogiteksti saatavissa: https://www.zscaler.com/blogs/security-research/iot-traffic-enterprise-rising-so-are-threats. Viitattu 11.1.2022.

Zscaler 2019. IoT in the Enterprise: An analysis of traffic and threats. Zscaler, San Jose. Julkaistu 24.5.2019. Tutkimus saatavissa: https://www.rfidjournal.com/whitepaper/iot-in-the-enterprise-an-analysis-of-traffic-and-threats. Viitattu 4.11.2021.

Tom Tuunainen
TKI-kehittäjä
Centria-ammattikorkeakoulu
p. 040 681 7207

Facebooktwitterlinkedinmail