Teinipoikana 90-luvun puolivälissä törmäsin itse ensimmäisen kerran IoT-laitteisiin internetiin menevän kopiokoneen myötä. Kopiokoneessa oli ominaisuus, jolla voitiin tulostaa nettisivu syöttämällä osoite koneen hallintapaneeliin. Nykypäivänä tämä kuulostaa melko typerältä ominaisuudelta, enkä ole koskaan kuullut, että tätä ominaisuutta olisi kukaan käyttänytkään.
Hieman hassuna pidin myös tyttöä, joka halusi lukea sähköpostinsa kyseisellä masiinalla kuultuaan sen nettimahdollisuuksista. Nykyään olemme tilanteessa, jossa nettiin menevä kopiokone (nyk. monitoimilaite) on aivan normaalia. Kuten myös tavallista on sähköpostin lukeminen mitä ihmeellisimmillä vekottimilla. Oikeastaan joka ikinen kuviteltavissa oleva laite, leivänpaahtimesta lähtien, on nykyään netissä.
Gartnerin mukaan vuonna 2017 netissä oli 8,4 miljardia laitetta. Kasvua edellisvuoteen oli 31 prosenttia. On odotettavissa, että vuonna 2020 internetissä on jopa 20,4 miljardia laitetta. Kasvua ajavat kehittyneen verkko- ja laiteteknologian lisäksi pilveistymisen mahdollisuudet puristaa IoT-laitemassan (esimerkiksi antureiden, lukkojen, ovimekanismien ja vastaavien) tuottamasta datasta ulos liiketoiminnan kannalta järkevää dataa.
IoT-maailmasta ja sen liiketoimintamahdollisuuksista on kirjoitettu paljon, mutta pitäydytään nyt sen kaikkia koskettavassa puolessa, eli tietoturvassa. IoT-tietoturva on asia, jonka pitäisi kiinnostaa lähes jokaista yritystä, vaikkei IoT-laitteet olisikaan liiketoiminnan kova ydin. Internetiin kytkettävien laitteiden määrän kasvun myötä kasvaa myös jokaiseen yritykseen kohdistuva tietoturvariski. Yhtäkkiä taukotilan jääkaapissa ajetaankin sulautettua käyttöjärjestelmää ja kiinteistön kulunvalvonnan kaikki anturit ja liukuoven ovikoneisto tarvitsevat oman IP-osoitteen. IP-osoite ja käyttöjärjestelmä tarkoittavat myös yrityksen hyökkäyspinta-alan kasvamista.
Mitkä ovat ne kaikkein tärkeimmät kohdat mistä IoT-maailman tietoturvaa pitäisi alkaa tarkastelemaan? IEEE on julkaissut raportin IoT-laitteiden tietoturvan parhaista käytännöistä [1]. Käydään läpi lyhyesti mistä IoT-tietoturvaa voisi alkaa tarkastelemaan raportin pohjalta.
1) Laitteiden suojaaminen
Varsinaiseen laitteen suojaamiseen rautatasolla on käyttäjäorganisaatiolla huomattavasti vähemmän mahdollisuuksia kuin laitetta valmistavalla yrityksellä. Laitteita hankkiessa voi tietenkin kiinnittää huomiota siihen, että laitevalmistaja on hyvämaineinen ja sitä ainakin nimellisesti kiinnostaa tietoturva. Vaikka sulautettuihin järjestelmiin tai kevyisiin käyttöjärjestelmiin ei välttämättä ole mahdollista asentaa mitään virustorjuntaa, voidaan niitä koventaa yksinkertaisesti vaihtamalla oletussalasanat riittävän monimutkaisiin ja pitkiin salasanoihin. Laitteita voidaan suojata myös fyysisesti sijoittamalla ne niin, että niiden verkko- tai USB-portteihin ei pääse helposti fyysisesti käsiksi.
Mikäli mahdollista, tulee IoT-laitteita päivittää mahdollisuuksien mukaan. Se tietenkin tuo omat haasteensa, sillä esimerkiksi jääkaappia ei välttämättä saa mitenkään liitettyä yrityksen päätelaitehallintaan. Automaattinen ja säännöllinen päivittäminen (jos se vain on mahdollista) sulkevat monia haavoittuvuuksia. Myös laitteen oikeaoppinen hävittäminen tulee huomioida. Riskit voivat olla pieniä, mutta kamera tai muun laite on saattanut tallentaa itseensä tärkeää tietoa, joka vääriin käsiin joutuessa voi olla yritystoiminnalle suuri riski.
2) Yhdistäminen verkkoon
Verkkopuolella voidaankin sitten tehdä jo paljon enemmän turvallisuuden eteen. IoT-laitteiden eristäminen omaan verkkoonsa auttaa hallitsemaan miten ja minne laitteet liikennöivät. Näin saadaan myös mahdollinen saastunut laite, esimerkiksi vedenkeitin, pysymään erossa tuotantoverkosta tai työasemaverkosta. Yksi IoT-laitteiden ajatus on tuottaa datamassaa, joten täysin verkosta niitä ei välttämättä pysty eristämään.
Laitteiden verkkoliikennettä voidaan moderneilla työkaluilla myös rajoittaa. Jos tehtaan anturit lähettävät minuutin välein parin kilon paketin, ei niille välttämättä kannata antaa rajoittamatonta kaistaa. IEEE:n dokumentti antaa tästä hyvän laskentaesimerkin: jos tulevaisuuden 50 miljardista IoT-laitteesta voidaan olettaa saastuvan 1,1 prosenttia, tarkoittaisi se 55 miljoonaa saastunutta laitetta. Jos jokainen niistä on kytketty 1GB kaistalla nettiin, saadaan aikaan palvelunestohyökkäys, jonka volyymi on 55 petatavua sekunnissa. Rajoittamalla kaista vain ehdottomaan minimiin, hyökkäyksen voima laskee 6,6 teratavuun sekunnissa. IEEE:n ohje kaistarajoitukselle on suunnattu enemmän laitevalmistajille, mutta yrityksenkin kannattaa käyttäjänkin roolissa miettiä paljonko kaistaa laitteille antaa.
Myös älykkäällä verkon suojaamisella voidaan havaita ja puuttua IoT-laitteisiin tehtäviin hyökkäyksiin. Tällöin liikennettä analysoidaan ja puututaan laitteiden käyttäytymisen poikkeamiin. Poikkeama voi olla esimerkiksi liikennemäärän yhtäkkinen kasvu, liikennöinti eri aikaan kuin normaalisti tai liikennöintikohteen muuttuminen. Tällaisilla työkaluilla voidaan tietenkin suojata myös työasema- ja palvelinverkkoja.
3) Jatkuva testaaminen
Verkkoa ja sen laitteita kannattaa myös testata säännöllisesti. Säännöllisellä tietoturvakartoituksella löydetään muun muassa oletussalasanoja, vanhentuneita ohjelmistoja sekä tunnettuja tietoturva-aukkoja eri laitteista. Tietoturvakartoitus on myös erinomainen tapa löytää verkkoon kuulumattomia laitteita. Laitteiden asentajilla on taipumus asentaa laite lähimpään tai helpoiten saatavilla olevaan verkkopistokkeeseen. Luonnollisesti ilman tietoa mihin verkkoon kyseinen töpseli oikeasti vie. Joskus asentaja soittaa verkkomiehille ja pyytää avaamaan reikiä palomuuriin, että laite saadaan juttelemaan hallinnan kanssa. Pahimmillaan verkkoasiantuntija suostuu pyyntöön miettimättä suurempaa kokonaisuutta.
IoT-maailma on todella suuri ja se kasvaa koko ajan. Se luo aivan uusia liiketoimintamahdollisuuksia monille yrityksille. Se tarjoaa tapoja tehostaa tai tarkentaa tuotantoa luomalla mittausdataa aivan toisella tavalla kuin ennen. Se myös tarjoaa lisää riskejä yrityksen IT-kenttään tuomalla suuren massan laitteita verkkoon.
On paljon laitteita, joihin yleensä ei voida asentaa virustorjuntaa tai joita ei saada laitehallintojen piiriin. Mutta tässä, kuten harvassa muussakaan asiassa, ei kannata jättää asioita tekemättä riskien tai pelon vuoksi. Hallittu ja suunniteltu on yleensä myös tietoturvallista.Me BLC:llä olemme valmiita auttamaan teidän yritystä IoT-laitemaailman tietoturvan haasteissa.
PS. Kirjoitin aikaisemmin Tietoturvaoppaan, joka selvittää modernin tietoturvan koukeroita kehäsuojausperiaatteen kautta. Tutustu oppaaseemme.
Me mielellämme opastamme teitä tietoturvaan liittyvissä asioissa, ota yhteyttä. Me BLC Taidolla uskomme maailmaan, jossa tietotyö on helppoa ja työskentely hauskaa sekä turvallista.
Lähde: [1] https://internetinitiative.ieee.org/images/files/resources/white_papers/internet_of_things_feb2017.pdf)