Verkkoon liitetyn elämän riskit

Laitteiden ja tietojen suojaaminen esineiden internetissä

Alkuperäinen artikkeli: Natalie Mouyal, IEC e-tech 06/2018
Suomennos: Jukka Alve, SESKO

Laita radio päälle, aseta ajastin illallista varten, alenna lämpötilaa, sammuta valot. Esineiden internetin avulla kaikki tämä on mahdollista mukavasti sohvalla maaten tai bussissa istuen. IoT tekee kodeista, toimistoista ja ajoneuvoista älykkäämpiä, helpommin mitattavia ja puheliaampia.

Markkinatutkimusyhtiö IoT Analytics arvioi, että vuonna 2018 maailmassa käytössä olevien, verkkoon kytkettyjen laitteiden lukumäärä ylittää 17 miljardia, joista 7 miljardia määritellään IoT-laitteiksi (näihin eivät sisälly älypuhelimet, taulutietokoneet, kannettavat tietokoneet ja lankapuhelimet). Se ennustaa, että IoT-laitteiden lukumäärä kasvaa 21,5 miljardiin vuoteen 2025 mennessä, mutta Business Insider tarjoaa vieläkin suurempia arvioita, yli 55 miljardia käytössä olevaa IoT-laitetta vuoteen 2025 mennessä. Vaikka yksittäiset ennusteet voivat vaihdella, määrät ovat joka tapauksessa suuria.

IoT:n määritteleminen

IoT-laitteella tarkoitetaan mitä tahansa laitetta, joka voi kytkeytyä verkkoon ja kerätä ja jakaa tietoja verkossa. Yleensä sen ymmärretään olevan fyysinen esine, joka on kytketty internetiin ja sitä voidaan ohjata internetin kautta. IEC:n Electropedian mukaan esineiden internet on “rakenteeltaan internetin kaltainen linkki selvästi tunnistettavissa olevien fyysisten esineiden ja palveluiden sekä niiden virtuaalisen vastineen välillä”.

Termin “internet of things” keksi yrityksen Proctor and Gamble nuori johtaja Kevin Ashton, joka halusi käyttää RFID-tunnisteita ymmärtääkseen paremmin yrityksensä toimitusketjua ja erityisesti sitä, miksi tietyn väristä huulipunaa oli harvoin saatavana paikallisesta supermarketista. Vaikka Ashton myöntääkin, että termi “internet for things” olisi ollut kieliopillisesti oikeampi, hän toteaa, että “internet of things” tarkoituksellisesti kuvaa jotain syvempää, kaikkien työkalujemme ja tarvikkeidemme liittymistä toisiinsa.

Kaikenlaisia laitteita on kytketty IoT:n piiriin, videokameroista ja lampuista televisioihin, termostaatteihin ja kuntoilurannekkeisiin. IoT-laitteet eivät liity vain kuluttajatuotteisiin, vaan niitä voidaan sisällyttää laajempiin järjestelmiin, kuten rakennuksiin, liikenneverkkoihin ja sähkö-, vesi- ja kaasuverkkoihin. Tietojen analysointiin yhdistettynä tämä voi lopulta johtaa älykkäiden rakennusten ja tehtaiden sekä älykaupunkien syntymiseen.

IoT-laitteiden haavoittuvuus

Nuori äiti New Yorkissa koki pikkulapsen vanhemman painajaisen, kun hän huomasi, että joku täysin tuntematon jutteli hänen nuoren poikansa kanssa tämän makuuhuoneessa olevan videokameran kautta. Vaikka hän irrotti kameran heti verkosta, on epäselvää, miten kauan tämä tuntematon oli tarkkaillut perhettä. Kyse saattoi olla pilasta, mutta aikeet saattoivat myös olla pahoja.

Sellaiset verkkoon kytketyt laitteet kuin valvontakamerat ovat hakkereille etusijalla olevia kohteita. Kuten monissa verkkoon kytketyissä laitteissa, niissä on hyvin vähän sisäänrakennettuja tietoturvaominaisuuksia. Eräässä tutkimuksessa tutkijat huomasivat, että kaksi nimenomaista verkkokameramallia, joita on käytössä 100 000 kappaletta, on helppo hakkeroida.

Näitä tietoturvahaavoittuvuuksia voidaan käyttää myös hyväksi sisäänpääsyyn laajempaan verkkoon. Tällainen tapaus oli akvaariossa oleva älytermostaatti, jonka kautta kyberrikolliset onnistuivat murtautumaan kasinon verkkoon ja varastamaan tietoja, mm. myös asiakkaiden pankkitiedot.

Eri maiden hallitukset ovat tunnistaneet IoT-laitteiden muodostaman uhan, sillä verkkoon murtautumisella IoT-laitteen kautta voi olla katastrofaaliset seuraukset. Ajatellaanpa esimerkiksi tilannetta, jossa sairaala joudutaan sulkemaan tai autot suistuvat tieltä.

IoT-laitteiden heikko tietoturvallisuus johtuu useista eri syistä. Näihin sisältyvät helposti hyväksikäytettävissä olevien oletussalasanojen käyttö, ohjelmistopäivitysmekanismin puuttuminen ja rajalliset keinot järjestelmän tietoturvan koventamiseen esimerkiksi asentamalla palomuureja tai estämällä evästeitä.

Koska laitteen “älykkääksi” tekemisen kustannukset ja vaikeusaste ovat pienentyneet huomattavasti, valmistajien on helppo tarjota “älykkäitä” laitteita. Pienikatteisten kodinkoneiden valmistajilla ei kuitenkaan juuri ole kannustimia tietoturvallisuuden ylläpitämiseen. Vielä harvemmin heillä on tarvittava asiantuntemus.

Yksityisyyden suojaaminen

IoT-laitteet keräävät huomattavan määrän tietoja käyttäjistään. Kotona näihin tietoihin voivat sisältyä heräämis- ja nukkumisajat, katsotut elokuvat, tehdyt ostokset sekä ajat, jolloin joku on tai ei ole kotona. Puheentunnistukseen perustuvat avustajat tarkkailevat keskusteluja kaiken aikaa ja voivat mahdollisesti tallentaa jokaisen kodissa lausutun sanan. Nämä tiedot voidaan sitten lähettää takaisin laitteen valmistajalle.

On epäselvää, mitä näille tiedoille tapahtuu, ja miten hyödyllisiä ne voivat olla. Mutta kaikki kerätyt tiedonmuruset yhdessä voivat luoda henkilöstä yksityiskohtaisen profiilin, jota voidaan sitten käyttää markkinointitarkoituksiin – tai muihin tarkoituksiin. Hiljattain pitämässään puheessa Applen toimitusjohtaja Tim Cook totesi, että “näitä tiedon palasia, joista kukin on yksittäin harmiton, kootaan yhteen ja niitä vaihdetaan ja myydään. Kun tämä prosessi viedään äärimmilleen, se luo kestävän digitaalisen profiilin ja saattaa saada yritykset tuntemaan sinut paremmin kuin tunnet itse itsesi.”

Cook kiitteli myös Euroopan unionia yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) voimaan saattamisesta. Siinä asetetaan tiukkoja vaatimuksia, jotka koskevat verkossa tapahtuvaa henkilötietojen keräämistä, tallentamista ja jakamista. GDPR:ään kuuluu sellaisia käsitteitä kuin henkilön “oikeus tulla unohdetuksi” samoin kuin tiedonsiirto-oikeus, joka mahdollistaa tietojen helpon siirtämisen palveluntarjoajien välillä.

Muualla sääntelytoimet yksityisyyden suojaamiseksi ovat olleet rajoitettuja. Akateemikko Bruce Schneierin mukaan IoT-teollisuuden taloudelliset ja tekniset kannustimet eivät ole linjassa yhteiskunnan tietoturvallisuus- ja yksityisyystarpeiden kanssa. Tästä syystä hän uskoo, että viranomaissääntely ja standardit ovat tarpeen kansalaisten suojelemiseksi.

Tarve standardeille

Kansainväliset standardit muodostavat kestävän ja luotettavan viitekehyksen, joka perustuu parhaisiin käytäntöihin arkaluonteisten tietojen keräämiseksi, tallentamiseksi ja käsittelemiseksi. ISOn ja IEC:n yhteisen tietotekniikkaa koskevan teknisen komitean JTC 1 tietoturvallisuutta käsittelevä alakomitea SC 27 on kehittänyt ISO/IEC 27000 -standardiperheen. Siinä on tarjolla täydellinen työkalusarja ja menetelmät tietoturvallisuuden hallintaa varten sekä parhaat käytännöt tietoturvallisuuden, tietojen vaihdon, tallennettujen tietojen suojaamisen ja käsittelyn alueilta.

JTC 1/SC 41, joka käsittelee esineiden internetiä, on hiljattain julkaissut viitearkkitehtuurinsa. ISO/IEC 30141 muodostaa viitekehyksen IoT:lle, joka toimii lähtökohtana sovelluskohtaisten IoT-arkkitehtuurien ja -järjestelmien kehittämiselle. Yksi tämän standardin tavoitteista on yksityisyyden suojaaminen varmistamalla, että tietoja ei voida hakkeroida. Alakomitean puheenjohtajan François Coallierin mukaan “on erittäin tärkeää, että käyttäjät voivat tuntea voivansa luottaa IoT-järjestelmiinsä. Luottamuksenarvoisuus (trustworthiness) oli yksi keskeisistä käsitteistä, joka ohjasi työtämme tämän dokumentin parissa.” SC 41:ssä on parhaillaan käynnissä kaksi muuta projektia, joissa luottamuksenarvoisuus on ohjaava periaate: luottamuksenarvoisuuden viitekehys ja menetelmä IoT-järjestelmien luottamuksenarvoisuuden toteuttamista ja ylläpitoa varten.

Koska kaikki riskit eivät liity teknologiaan, tietohallinnosta vastaava henkilöstö tarvitsee koulutusta, tietoa ja taitoja. IEC:n ja ISOn yhteinen elin, vaatimustenmukaisuuden arviointikomitea CASCO on elintärkeä sen määrittämisessä, täyttääkö organisaatio vaatimukset tämän alueen teknisen pätevyyden osalta.

Lisäksi kyberturvallisuuteen keskittyvät IEC:n vaatimustenmukaisuuden arviointilautakunnan (Conformity Assessment Board, CAB) työryhmä WG 17 ja sertifioinnin hallintakomitean IECEE (IEC Conformity Assessment for Electotechnical Equipment and Components) työryhmä.

Kuvakokoelma:

IoT-laitteet ovat aiheuttaneet huolta tietosuojasta ja tietoturvallisuudesta.
EU otti käyttöön yleisen tietosuoja-asetuksen (GDPR), jotta kuluttajilla olisi paremmat mahdollisuudet hallita tietojensa käyttöä.
Lisää suosikiksi