JYUnity

Internet of Things (IoT) -laitteiden määrä kasvaa voimakkaasti. Tällä hetkellä määräksi arvioidaan 27 miljardia. Vuonna 2025 niitä arvioidaan olevan 75 miljardia. Ne ovat muuttaneet merkittävästi kotien, toimistojen, älyrakennusten ja tehtaiden toimintoja sekä ympäristön havainnointia. Esimerkiksi monet kodinkoneet, kuten televisiot, jääkaapit, pakastimet, kahvin- ja vedenkeittimet, pesukoneet, robotti-imurit ja -ruohonleikkurit sekä hälytysjärjestelmät, ovat tulleet osaksi laitteiden internetiä. Laitteille on usein saatavilla älylaitteeseen, kuten puhelin tai tabletti, sovellus, jolla niitä voidaan käyttää.

Arkea helpottavien laitteiden verkottuminen tuo myös kyberturvauhkia. IoT -laitteiden kautta tehtävät kyberhyökkäykset voivat dramaattisesti vaarantaa turvallisuutta ja yksityisyyttä. Lisäksi IoT -laitteita voidaan käyttää omistajien tietämättä suorittamaan kyberhyökkäyksiä esimerkiksi kriittistä infrastruktuuria vastaan.

Tämä on mahdollista, koska IoT -laitteiden kyberturva ei aina ole riittävällä tasolla. Tähän vaikuttavat monet tekijät, kuten laitteiden:

• rajalliset resurssit
• kyberturvaominaisuuksista tinkiminen kustannussyistä
• käytettävyyteen ja toiminnallisuuteen keskittyminen turvallisuuden sijasta
• valmistajien ristiriitaiset kyberturvanäkemykset ja -vaatimukset
• fragmentoitunut standardointi, sääntely ja toteutukset
• käyttöliittymät eivät aina tue perinteisiä päivitysmekanismeja
• suunnittelua hallitsevien henkilöiden puute
• valmistajien epäselvät vastuut kyberturvaloukkauksissa.

Heikko kyberturvan suunnittelu ja toteutus jättää haavoittuvuuksia. Haitantekijöille, jotka usein ovat järjestäytyneitä tahoja, voi haavoittuvuuksien kautta avautua reittejä verkkoon. He voivat häiritä toimintoja, edetä toisiin verkkoihin murretun verkon kautta, kätkeytyä verkkoon pitkiksi jaksoiksi ja käyttää järjestelmästä saatavilla olevia tietoja.

He voivat käyttää laitteita esimerkiksi luottokorttitietojen varastamiseen elintarvikkeita tilaavan jääkaapin kautta, videoaineiston keräämiseen robotti-imurin kameran avulla tai häiritä kiinteistön lämmitysjärjestelmää.

Heikosta toteutuksesta on esimerkkinä GCHQ:n (Government Communications Headquarters, Englanti) suorittama 5G järjestelmätoimittajan ohjelmistoanalyysi, jossa todetaan, että laitetoimittajan ohella kuka tahansa kykenee hakkeroimaan järjestelmän. 5G:hen on usein viitattu myös IoT -laitteiden verkkoinfrana.

Osa valmistajista voi myös luoda tarkoituksella haavoittuvuuksia, joita he tai joku toinen taho, kuten valtio, tiedusteluorganisaatio tai järjestäytynyt rikollisuus, voi hyödyntää.

Haavoittuvuudet ovat käyttäjälle huomaamattomia. Käyttäjien on syytä varautua myös siihen, että valmistaja kerää tietoa luvattomasti.

Haavoittuvuuksiin voidaan vastata hyvällä kyberturvan huomioivalla ennakoivalla järjestelmäsuunnittelulla. Siinä kyberturvatoiminnot rakennetaan osaksi järjestelmää suunnitteluvaiheessa, jotta laitteet ja järjestelmät kykenevät selviytymään edistyneistäkin kyberhyökkäyksistä. Suunnittelussa huomioidaan haavoittuvuuksista, uhkista, hyökkäysten vaikutuksista, hyökkääjien motiiveista ja haittatoimien kohteista kertynyttä tietämystä.

Tapio Frantti
Kirjoittaja on kyberturvallisuuden työelämäprofessori informaatioteknologian tiedekunnassa Jyväskylän yliopistossa.

Jyväskylän yliopiston informaatioteknologian tiedekunta järjestää kaikille avoimen Kybermaailma – uhka vai mahdollisuus -webinaarin keskiviikkona 16.6.2021 klo 9 alkaen, tervetuloa! Puhujina webinaarissa kyberturvallisuuden työelämäprofessori, TkT Tapio Frantti, ST, eversti evp. Martti Lehto, kyberturvallisuuden opettaja FT, eversti (evp.) Martti J. Kari ja apulaisprofessori Andrei Costin:

Missä mennään kybermaailmassa? Miten uhkiin pitäisi reagoida? Voivatko dronet lamauttaa kriittistä infrastruktuuria? Venäjän näkemys kyberuhkaan – miten se heijastuu meihin? Uhkaako kyber ilmaliikennepalvelua ja lentoliikenteen turvallisuutta? IoT ja 5G valtaavat alaa, mutta onko kehitys kyberturvallista?