Miten varmistat riittävän tietoturvan IoT-maailmassa?

Vuoden 2017 loppuun mennessä maailmassa on Gartnerin arvion mukaan jo noin 8,4 miljardia verkkoon kytkettyä laitetta. Erilaiset kuluttajamarkkinaan suunnatut palvelut ja tuotteet edustavat tästä kokonaismäärästä lähes kahta kolmasosaa. IoT-laitteiden määrä on valtavassa kasvussa, ja arvioiden mukaan vuoteen 2020 mennessä lukumäärä ylittää 20 miljardia, joka käytännössä tarkoittaa lähes kolmea laitetta jokaista maapallon asukasta kohden.

Vaikka tietoturva-alan pääpainopiste on edelleen työasemien, palvelimien, sovellusten ja erilaisten mobiililaitteiden turvaamisessa, samankaltaisia teknologisia ratkaisuja ja käytäntöjä on jatkossa sovellettava valtavaan joukkoon harmittomalta vaikuttavia kytkettyjä laitteita.

IoT-maailman uudenlaiset uhat

Erilaisten tuotteiden IoT-ominaisuuksien suosion myötä niin valmistajat, kuluttajat kuin verkkorikollisetkin oppivat nopeasti, mikä toimii ja mikä ei. Verkkokameroiden ja digitaalisten videonauhurien näennäisesti harmittomat oletussalasanat muuttuivat lokakuussa 2016 merkittäväksi tietoturva-ongelmaksi, kun Mirai-bottiverkko teki massiivisen hajautetun palvelunestohyökkäyksen (DDoS) Dyn-nimipalvelujärjestelmän palveluihin lamauttaen valtaosan Yhdysvaltojen ja Euroopan internetliikenteestä. Maaliskuussa 2017 IBM X-Force -yksikön tutkijat löysivät Mirai-bottiverkosta uuden version, jonka tavoitteena oli louhia Bitcoin-valuuttaa hyödyntäen saastuneita IoT-laitteita.

Automaatio, yhteydet ja älykkyys ovat lisääntyneet tietotekniikassa, teollisuuden automaatiojärjestelmissä ja viime kädessä myös olohuoneissamme, keittiöissämme ja autoissamme. Erityisesti kuluttajamarkkinassa viimeisimmät innovaatiot ja mukavuus ajavat usein tietoturvallisuuden edelle. Erilaiset kuluttajatuotteisiin liittyvät sertifioinnit ja standardoinnit varmistavat esimerkiksi ympäristö- ja sähköturvallisuutta, mutta ovat nykyisellään riittämättömiä uudenlaisten tietoturvauhkien edessä.

Verkkopalveluihin ja mobiilisovelluksiin liitetyt autot ovat viimeisimpiä IoT-laitteita, joiden tietoturvakysymykset ovat synnyttäneet laajaa keskustelua turvallisuusyhteisössä. Aiemmin tänä vuonna uutisoitiin neljän suuren autovalmistajan tietoturva- ja yksityisyydensuojaongelmista, joiden johdosta autojen aiemmat omistajat pystyivät edelleen paikantamaan ja hallinnoimaan ajoneuvoja mobiilisovelluksella.

Kattava tietoturva edellyttää systemaattisuutta

IoT-ympäristöjen tietoturvaan pätevät valtaosin samat perusperiaatteet kuin perinteiseen tietotekniikkaankin. Kokonaisvaltainen tietoturvan hallintomalli sekä EU:n uudesta tietosuoja-asetuksestakin tutut sisäänrakennettu tietosuoja (Privacy by Design) ja oletusarvoinen tietosuoja (Privacy by Default) ovat vahvat lähtökohdat tietoturvan jalkauttamiseksi.

IoT-maailman laite- ja sensorivalmistajien kirjo on hyvin laaja. Kattava tietoturvan toteuttaminen edellyttää systemaattista työtä laitteiden turvallisuuden osalta: laitevalmistajien on panostettava sisäänrakennettuun tietoturvaan ja tietosuojaan, laitteiden tietoturvatestaukseen, toimitusketjun turvallisuuteen ja laitteiden elinkaaripalveluihin. IoT-palvelutoimijoiden on puolestaan keskityttävä erityisesti ympäristöjen koventamiseen (hardening), laitteiden ja IoT-alustojen välisiin turvallisiin yhteyskäytäntöihin, tietoturvan seurantaan, liikenteen analysointiin ja ammmattimaisiin tietoturvakäytäntöihin.

Tiedon elinkaaren hallinta osana kokonaisratkaisua

IoT-laitteiden tuottaman tiedon varastoinnin ja käytön tulee perustua tarpeeseen. Näennäisesti erillisten tietomassojen välillä voi ajan myötä ilmetä yhteyksiä. Jos IoT-laitteista kerätyt tietomassat, kuten vaikka syke ja sijaintitieto, ovat yhdistettävissä luonnollisiin henkilöihin, määrittää EU:n tietosuoja-asetus tiettyjä vaatimuksia niin tiedon käsittelylle kuin järjestelmän teknisille kyvykkyyksille. Tiedon omistajuuden ja säilytyspaikan tulee olla yksikäsitteinen.

Turvalliset laitteet vihamielisissä ympäristöissä

IoT-laitteet toimivat usein ilman ihmisen valvontaa ja niiden on kyettävä sietämään erilaisia fyysisiä häiriöitä. Niin laitteen kuin IoT-alustan tulee tunnistaa tekniset ongelmatilanteet ja tietoturvahyökkäykset sekä hälyttää niistä. Lisäksi saastuneet laitteet täytyy voida päivittää tai poistaa järjestelmästä IoT-alustan kautta. IoT-ympäristön tietoturvaa pystytään tehokkaasti parantamaan oikein valituin arkkitehtuuriratkaisuin: hyökkäyspintaa voidaan minimoida muun muassa mikrosegmentoinnilla ja vahvalla salauksella, niin kutsuttua Zero Trust -mallia hyödyntäen.

Jatkossa erilaisten yritys- ja kuluttajamarkkinoiden IoT-ratkaisujen on täytettävä yhä vaativammat tietoturva- ja tietosuojavaatimukset, niin IoT-järjestelmien kasvavan kriittisyyden kuin EU:n tietosuoja-asetuksenkin johdosta. Tämä edellyttää IoT-alustalta erityisiä kyvykkyyksiä muun muassa laitehallinnan ja tietoturvan osalta. Keskeisiä kysymyksiä ovat myös kerätyn tiedon sijainti, omistajuus ja yksityisyydensuoja. Holistisesti suunnitellun, tietoturvallisesti rakennetun IoT-järjestelmän operatiivisen toiminnan varmistavat lopulta erilaiset älykkäät kyberturvallisuuspalvelut sekä systemaattinen heikkouksien etsintä (penetraatiotestaus) uhkien torjumiseksi ja ennaltaehkäisemiseksi.

 

Lue lisää IoT:n tietoturvaratkaisuista.

 

Kuvan lähde: Pixabay

Avainsanat: Internet of Things, tietoturva

Kommentit