VIERAILIJA: Tom Tuunainen: Esineiden internet – uhkien internet?
Esineiden internet (engl. Internet of Things, lyhyemmin IoT) on teknologia, jonka avulla yhdistetään kaikenlaisia laitteita toisiinsa internetin avulla. Nämä laitteet tekevät elämästämme tehokkaampaa ja päivittäisistä rutiineista vaivattomampaa. Niiden avulla voimme muun muassa lisätä kotien turvallisuutta, esimerkiksi hallita valoja ja lukkoja etänä. Myös teollisuus on huomannut esineiden internetin mahdollisuudet. Nämä ”älykkäät” laitteet ovat jo varsin sujuvasti sulautuneet osaksi elämäämme, mutta ne jättävät meidät myös alttiiksi verkkorikollisuudelle.
Iso osa kaikista Kyberturvallisuuskeskuksen haittaohjelmahavainnoista on keskuksen mukaan IoT-laitteista, jotka ovat jatkuvasti yhteydessä internetiin. Laitteita tulee markkinoille nopeassa tahdissa, ja tuotantopaine saattaa johtaa ei-toivottuihin tietoturva-aukkoihin. Rikollisen hyökkäyksen kohteena voi siis olla niin älyvalaisin kuin tehtaan ohjausjärjestelmä. Ne saattavat sisältää tietoa, jota ei ole tarkoitettu levitettäväksi eteenpäin, tai sitten niiden kautta pääsee murtautumaan muihin laitteisiin. Kyberturvallisuuskeskuksen mukaan monet yritykset – yksityishenkilöistä puhumattakaan – eivät kykene havaitsemaan murtautumista IoT-laitteeseen sen koko elinkaaren aikana. Miten siis kaikkialle levittäytyneiden, jatkuvasti verkossa olevien laitteiden tietoturva tulisi hoitaa?
Tietoturva kannattaa ottaa huomioon jo suunnitteluvaiheessa.
Tietoturva ei tarkoita pelkästään teknologisia ratkaisuja, vaan se tarkoittaa kaiken tiedon suojaamista. Yksityishenkilöiden suojattaviin tietoihin kuuluvat esimerkiksi henkilötunnus ja pankkitiedot. Yritysten arkaluontoisiin tietoihin kuuluvat vuorostaan asiakas- ja suunnittelutiedot, kuten myös patenttioikeudet. Jos joku pääsee kahvinkeittimen kautta laiteverkkoon kiinni, saattaa siitä pahimmassa tapauksessa aiheutua merkittävää taloudellista haittaa. Rikollinen saattaa ehkä ryhtyä ohjaamaan isoa tuotantokonetta, jolla voi olla hengenvaarallisia seurauksia.
Tietoturva kannattaa ottaa huomioon jo suunnitteluvaiheessa. Eihän korvapuustiakaan leivota siten, että kaneli, voi ja sokeri ripotellaan pullan päälle jälkikäteen. Tietoturvakäytäntöjä ei siis voi lisätä menestyksellisesti jo valmiiseen tuotteeseen. Turvan tulee olla sisäänrakennettua, ja jotta vältytään turhilta jälkikäteiskustannuksilta, tulee tietoturva ottaa huomioon jo hankintavaiheessa. Tarkista edes, että laitteita voi päivittää ja että niille voi myös asettaa salasanan.
Tällä hetkellä IoT-laitteille ei ole olemassa varsinaista viranomaissääntelyä, mutta sitä kehitetään. Valitettavaa on tosin, että hallitukset ryhtyvät vaatimaan tietoturvatoimenpiteitä vasta nyt, kun internetiin kytkettyjen IoT-laitteiden lukumäärä vastaa maailman väkilukua miltei kaksinkertaisesti.
Kun laite- ja palveluntarjoajat sekä muut toimijat tekevät yhteistyötä tietoturva-asiantuntijoiden kanssa, on se useimmissa tapauksissa tuottanut parempia ja turvallisempia kokonaisuuksia. Kun pyrimme tähän, lisäämme yritysten kilpailukykyä, ja teemme samalla tulevaisuudesta miellyttävämmän meille kaikille.
TOM TUUNAINEN
Kirjoittaja on Centria-ammattikorkeakoulun TKI-kehittäjä.