VIERAILIJA: Tom Tuunainen: Esineiden internet – uhkien internet?

Esineiden internet (engl. Internet of Things, lyhyemmin IoT) on tekno­logia, jonka avulla yhdis­te­tään kaiken­laisia laitteita toisiinsa inter­netin avulla. Nämä laitteet tekevät elämäs­tämme tehok­kaampaa ja päivit­täi­sistä rutii­neista vaivat­to­mampaa. Niiden avulla voimme muun muassa lisätä kotien turval­li­suutta, esimer­kiksi hallita valoja ja lukkoja etänä. Myös teolli­suus on huomannut esineiden inter­netin mahdol­li­suudet. Nämä ”älykkäät” laitteet ovat jo varsin sujuvasti sulau­tu­neet osaksi elämäämme, mutta ne jättävät meidät myös alttiiksi verkkorikollisuudelle.

Iso osa kaikista Kyber­tur­val­li­suus­kes­kuksen haittaoh­jel­ma­ha­vain­noista on keskuksen mukaan IoT-laitteista, jotka ovat jatku­vasti yhtey­dessä inter­ne­tiin. Laitteita tulee markki­noille nopeassa tahdissa, ja tuotan­to­paine saattaa johtaa ei-toivot­tuihin tieto­turva-aukkoihin. Rikol­lisen hyökkäyksen kohteena voi siis olla niin älyva­laisin kuin tehtaan ohjaus­jär­jes­telmä. Ne saattavat sisältää tietoa, jota ei ole tarkoi­tettu levitet­tä­väksi eteen­päin, tai sitten niiden kautta pääsee murtau­tu­maan muihin laittei­siin. Kyber­tur­val­li­suus­kes­kuksen mukaan monet yritykset – yksityis­hen­ki­löistä puhumat­ta­kaan – eivät kykene havait­se­maan murtau­tu­mista IoT-laittee­seen sen koko elinkaaren aikana. Miten siis kaikkialle levit­täy­ty­neiden, jatku­vasti verkossa olevien laitteiden tieto­turva tulisi hoitaa?

Tieto­turva kannattaa ottaa huomioon jo suunnitteluvaiheessa.

Tieto­turva ei tarkoita pelkäs­tään tekno­lo­gisia ratkai­suja, vaan se tarkoittaa kaiken tiedon suojaa­mista. Yksityis­hen­ki­löiden suojat­ta­viin tietoihin kuuluvat esimer­kiksi henki­lö­tunnus ja pankki­tiedot. Yritysten arkaluon­toi­siin tietoihin kuuluvat vuoros­taan asiakas- ja suunnit­te­lu­tiedot, kuten myös patent­tioi­keudet. Jos joku pääsee kahvin­keit­timen kautta laite­verk­koon kiinni, saattaa siitä pahim­massa tapauk­sessa aiheutua merkit­tävää talou­del­lista haittaa. Rikol­linen saattaa ehkä ryhtyä ohjaa­maan isoa tuotan­to­ko­netta, jolla voi olla hengen­vaa­ral­lisia seurauksia.

Tieto­turva kannattaa ottaa huomioon jo suunnit­te­lu­vai­heessa. Eihän korva­puus­tia­kaan leivota siten, että kaneli, voi ja sokeri ripotel­laan pullan päälle jälki­kä­teen. Tieto­tur­va­käy­tän­töjä ei siis voi lisätä menes­tyk­sel­li­sesti jo valmii­seen tuottee­seen. Turvan tulee olla sisään­ra­ken­nettua, ja jotta välty­tään turhilta jälki­kä­teis­kus­tan­nuk­silta, tulee tieto­turva ottaa huomioon jo hankin­ta­vai­heessa. Tarkista edes, että laitteita voi päivittää ja että niille voi myös asettaa salasanan.

Tällä hetkellä IoT-laitteille ei ole olemassa varsi­naista viran­omais­sään­telyä, mutta sitä kehite­tään. Valitet­tavaa on tosin, että halli­tukset ryhtyvät vaati­maan tieto­tur­va­toi­men­pi­teitä vasta nyt, kun inter­ne­tiin kytket­tyjen IoT-laitteiden lukumäärä vastaa maailman väkilukua miltei kaksinkertaisesti.

Kun laite- ja palve­lun­tar­joajat sekä muut toimijat tekevät yhteis­työtä tieto­turva-asian­tun­ti­joiden kanssa, on se useim­missa tapauk­sissa tuottanut parempia ja turval­li­sempia kokonai­suuksia. Kun pyrimme tähän, lisäämme yritysten kilpai­lu­kykyä, ja teemme samalla tulevai­suu­desta miellyt­tä­vämmän meille kaikille.

TOM TUUNAINEN
Kirjoit­taja on Centria-ammat­ti­kor­kea­koulun TKI-kehittäjä.