Esineiden internet ja tietoturva: riskit ja ratkaisut

/ Tero Tapanainen

IoT tuo tietoturvariskejä. Kuinka ratkaiset tuhansien, kaikkialle levittäytyneiden ja kaiken aikaa päällä olevien IoT-sensorien, -seurantalaitteiden ja -ohjausyksiköiden tietoturvan?

Esineiden internet (IoT) tuo isoja hyötyjä. Älykäs seuranta tehostaa palveluja, mahdollistaa etädiagnoosin ja etäkorjauksen, vähentää turhaa fyysistä logistiikkaa ja mahdollistaa aivan uudet palvelut.

Se tuo myös turvaa. Sensorit ennakoivat vikatilanteita ja apu saadaan paikalle ennen esimerkiksi satamanosturin hajoamista tai kylmäkoneen vikaantumista.

Kaiken aikaa päällä olevat, nettiin kytkeytyneet ja joka paikkaan ripotellut laitteet tuovat kääntöpuolenaan myös tietoturvaongelman: ne tarjoavat hyökkääjälle tai vahingontekijälle oivan, usein varsin ohuesti suojatun maalin. 

Tästä tulee ongelma, kun IoT-laitteet ovat kohta kaikkialla rakennuksissa, laivoissa, rekoissa, sairaaloissa ja lentokentillä.
 

Mistä IoT:n tietoturvariski syntyy? 

Riskejä löytyy jokaisesta osasta järjestelmää. Yksi riski on itse IoT-laitteessa. Toinen laitteiden käyttämissä pilvipalveluissa. Kolmas piilee itse käyttö- ja bisnesprosessissa. 

Laitteet ovat uusia, eikä niiden tietoturvaa ole aina testattu loppuun saakka. Laitekirjo on suuri. Laitteita tulee markkinoille suurpaineella, nopeassa aikataulussa. Hyökkäyksen kohde voi olla esimerkiksi kodinkone tai älykello.

Toisaalta osa IoT-laitteista on jo vanhoja. Ne eivät aina ole nykyisen tietoturvatietämyksen mukaan tehtyjä. Laitteita ei aina ole edes mahdollista päivittää turvallisemmiksi. Tätä taas ei tehdä niin kauan, kun oma järjestelmä ei joudu hyökkäyksen kohteeksi. Kun ongelmaa ei itse kohtaa, tuntuu, ettei sitä ole.

Kyse on asenteesta. Osa alan toimijoista on vakuuttunut siitä, että riskit ovat pääosin pelottelua. Tietoturvassa on kuitenkin reippaasti parannettavaa, kirjoittaa Talouselämä-lehti. Tosiasiassa tietoturvahyökkäykset ovat kasvussa kaikkialla ja esineiden internet houkuttelee väärinkäyttäjiä. 
 

Hyökkääjä ja puolustaja käyvät asymmetrista kamppailua

Esineiden internetin tietoturvassa tilanne on aina epäsuhtainen: hyökkääjä ja puolustaja eivät pelaa samoilla korteilla.

Hyökkääjä voi tehdä ja tekee mitä vain. Hänellä on käytössään kaikki laittomat keinot. Tietoturvasta vastaavaa tahoa puolestaan sitoo iso määrä lakeja ja määräyksiä. 

Hyökkääjä voi keskittää kaiken voimansa ja ajankäyttönsä yhteen paikkaan. Tietoturva joutuu puolestaan levittämään resurssinsa laajalle ja ohuesti – kaikki mahdolliset kohteet on turvattava samanaikaisesti. Lisäturva maksaa aikaa ja rahaa, eikä sitä useinkaan ole. McKinseyn raportin mukaan asiakkaat ovat hyvin haluttomia maksamaan paremmasta tietoturvasta.

Hyökkääjällä on yllätysetu puolellaan. Lisäksi hänen tarvitsee onnistua vain kerran – puolustajan pitää onnistua joka kerta, jotta suoja pysyisi yllä. 
 

Kuinka luot toimivat tietoturvan?

Tärkeintä on tunnustaa ja tunnistaa uhat. Väärinkäyttö, tietomurto, vahingonteko ja järjestelmien kaappaus tuovat paitsi rahallisen menetetyksen, myös tyytymättömiä asiakkaita ja hyvinkin laajalle leviävän maineriskin. 

Tietoturvasta kannattaa maksaa. Ennakointi on aina kymmeniä kertoja edullisempaa kuin jälkien siivoaminen.

Käytä näitä periaatteita, kun luot IoT-ratkaisuja:

  • Noudata Security by Design -periaatetta. Tietoturva on rakennettava alusta saakka laitteen ja järjestelmän rakennuksen mukana. Sitä ei saa liimata viimeisenä kerroksena kaiken muun valmiin päälle.
  • Kata tietoturvalla kaikki järjestelmän osa-alueet: esineiden internetin tapauksessa siihen kuuluvat laitteet, yhteydet, pilvipalvelut ja ohjelmistot. 
  • Rajoita ja salaa: Tiedot on salattava ja pääsyn rajoitettava vain oikeudenhaltijoille. Tähän kuuluu autentikointi, käyttäjän verifiointi ja vain välttämättömien oikeuksien jakaminen.
  • Monitoroi jatkuvasti. 


Suosittelen erityisesti jokaista johtajaa lukemaan Microsoftin blogissa jo kymmenen vuotta sitten julkaistun Meierin yhteenvedon tietoturvaperiaatteista

Vaikka Meierin teksti on ajalta ennen esineiden internettiä, ja vaikka mainittuja tekniikoita ei ymmärtäisikään, listaa scrollatessaan jokaiselle valkenee, kuinka lukuisa määrä asioita on huomioitava hyvän tietoturvan eteen. 

Esineiden internet on määritelmällisesti kytkettyjen laitteiden ja sitä myötä aina myös laajempien järjestelmien tietoturvaa. Siksi yleiset tietoturvaperiaatteet pätevät myös IoT-ratkaisuissa.