Ei tarvitse mennä montaa vuotta taaksepäin, jolloin yllä olevasta kuvasta oli helppo tunnistaa se ainoa tietoturvariski. Nykyään tilanne on lähes täysin päinvastainen, ainoastaan yhden kuvan esineen osalta voit olla varma sen tietoturvallisuudesta. Anna-Maija Juuso kirjoittaa IoT-laitteiden tietoturvasta: se paranee vasta, kun lainsäädäntö ja asiakkaat sitä vaativat. Ja miksi jääkaapin tietoturvasta pitää huolehtia? Kirjoitus on tehty osana BCDC Energia -hankkeen työtä.
Syyskuussa suosittu Krebs on Security -tietoturvablogi joutui historian toistaiseksi suurimman palvelunestohyökkäyksen kohteeksi: Hyökkääjät tukkivat sivuston lähettämällä yli 600 gigabittiä liikennettä sekunnissa [1]. Asiantuntijoiden mukaan hyökkäykseen osallistui jopa satojen tuhansien haittaohjelmien avulla hallittujen orjatietokoneiden muodostama botnetti [2]. Mikä teki tästä hyökkäyksestä poikkeuksellinen – sen koon lisäksi – oli se, että suurin osa orjalaitteista ei ollut perinteisiä tietokoneita vaan erilaisia älykkäitä laitteita ja esineitä, kuten nettikameroita ja diginauhureita [3]. Hyökkäyksessä hyödynnetyn Mirai -botnetin lähdekoodi vuoti lokakuun puolivälissä julkisuuteen [4] mahdollistaen kopio-hyökkäykset. Ensimmäinen kopio-hyökkäys koettiinkin reilua viikkoa myöhemmin, kun muun muassa Twitter ja Spotify joutuivat älykkäiden esineiden muodostaman Mirai-botnetin hyökkäyksen kohteeksi. [5]
Aikaisemmin kyberavaruuden ja fyysisen maailman välinen raja oli selkeä, ja yhteyden saattoi katkaista sulkemalla tietokoneen [6]. Sitten tulivat älypuhelimien ja tabletit, joissa Internet kulki mukanamme kaikkialle. Nyt sähkölamput [7], uunit ja jääkaapit [8]– jopa vessanpöntöt [9]– voidaan liittää Internetiin ja niitä voidaan hallita älypuhelimella tai tabletilla olevalla sovelluksella. Meitä ympäröi kokonainen esineiden Internet (engl. Internet of Things, IoT). Moni älylaitteen ostaja, tai edes valmistaja, ei välttämättä ymmärrä, että kuka tahansa voi yrittää luoda yhteyden älylaitteeseen. Internet yhdistää tavalla toisella kaikki siihen liitetyt laitteet toisiinsa. Näin myös hakkerit voivat kommunikoida älykkäiden laitteiden kanssa ja koittaa löytää niistä haavoittuvaisuuksia, joiden avulla pääsisivät laitteisiin käsiksi.
Krebsin sivustoa vastaan hyökänneet hakkerit onnistuivat rekrytoimaan tuhansia orjalaitteita botnettiinsa. Tässä kolme syytä, miksi monet älykkäät laitteet ovat helppoja hyökkäyskohteita.
- Älykkäitä esineitä ei päivitetä [10]
Siinä missä asennamme tietokoneemme automaattiset päivitykset kuuliaisesti, suhtautuu moni huolettomammin älypuhelimensa tai tablettinsa tietoturvaan. Harva on edes miettinyt, että äly-television ohjelmisto pitäisi edes päivittää. Usein päivityksiä ei ole edes tarjolla. - Tietoturvaa ei huomioida suunnittelussa
Älykkäiden laitteiden valmistajat ovat yleensä alansa parhaimmistoa, olivat he sitten sähkölamppujen tai vessanpönttöjen valmistajia. Tietoturva-asioista monella heistä on kuitenkin suppeampi kokemus [11]. Tämän vuoksi monet teknisesti muuten teknisesti ylivertaiset tuotteet saattavat olla tietoturvaltaan huonolaatuisia. - Älykkäiden esineiden käyttöikä on pitkä [12]
Siinä missä älypuhelimia ja tietokoneita vaihdetaan muutaman vuoden välein, saattaa sama uuni palvella perhettä jopa kaksikymmentä vuotta. Tulevaisuudessa kodin tietoturvan heikoin lenkki saattaa olla uuni, jossa on viisitoista vuotta vanha ohjelmisto, jota ei ole koskaan päivitetty.
Kuinka esineiden Internet voitaisiin turvata? Taloustieteilijän vastaus on, että älykkäiden esineiden tietoturva ei parane, ellei sekä ostajilla että valmistajilla ole nykyistä parempia kannustamia parantaa älykkäiden esineiden tietoturvaa. Ensinnäkin, jos käyttäjän nettikamera rekrytoidaan botnettiin, tästä aiheutuu käyttäjälle itselle verraten vähän haittaa. Voisiko operaattoreita kiinnostaa poistaa kaistasyöppöjä botnetteja verkoistaan? Toisekseen jääkaapin tai kodin viihdejärjestelmän ostaja on kiinnostunut laitteen käyttömukavuudesta, ei sen tietoturvallisuudesta.
Jos asiakkaat eivät vaadi tuotteilta hyvää tietoturvaa, eivät valmistajat myöskään panosta siihen, ellei heillä ole muita kannustimia. Tällaisia kannustimia ovat muun muassa maahantuonnin ehtona olevat tietoturvasertifikaatit ja tiukempi lainsäädäntö. Toisaalta, Samsungin äly-jääkaappiin tuli päivitys, kun asiakkaat sitä äänekkäästi vaativat [13]. Autojen älykkäitä viihdejärjestelmiä testanneet tietoturva-asiantuntijat ihmettelevätkin, mikseivät ostajat protestoi enempää [14]. Parempaa ei saa, ellei sitä osaa vaatia.
Kirjoittaja
Anna-Maija Juuso
Anna-Maija.Juuso (ät) oulu.fi
Anna-Maija on tohtorikoulutettavana Oulun yliopiston Kauppakorkeakoulussa Taloustieteen yksikössä. Anna-Maija on koulutukseltaan ekonomisti ja hän työskenteli aikaisemmin tietoturva-analyytikkona Codenomiconilla (nyk. Synopsys). Anna-Maijan tutkimuksen mielenkiinnon kohteina ovat kyberturvallisuus ja tieto. Hän tutkii miten tietoturvauhista tiedottaminen ja uhkatiedonjako vaikuttavat yritysten tietoturvainvestointeihin.
Lähteet
[1] https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
[2] https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
[3] https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
[4] https://it.slashdot.org/story/16/10/03/1359200/source-code-for-iot-botnet-mirai-which-took-down-krebs-on-security-website-with-ddos-attack-released?utm_source=slashdot&utm_medium=twitter
[5] https://techcrunch.com/2016/10/21/many-sites-including-twitter-and-spotify-suffering-outage/
[6] https://www.wired.com/2015/12/2015-the-year-the-internet-of-things-got-hacked/
[7] https://www.osram.com/osram_com/tools-and-services/tools/lightify—smart-connected-light/lightify-for-home—what-is-light-to-you/index.jsp?mkturl=lightify-4you
[8] http://www.lg.com/us/discover/smartthinq/living
[9]
[10] http://motherboard.vice.com/read/we-need-to-save-the-internet-from-the-internet-of-things
[11]
[12] http://motherboard.vice.com/read/we-need-to-save-the-internet-from-the-internet-of-things
[13] http://www.howtogeek.com/260896/why-buying-a-smart-fridge-is-a-dumb-idea/
[14] https://www.wired.com/2015/12/2015-the-year-the-internet-of-things-got-hacked/
Kirjoitus on tehty osana BCDC Energia -hankkeen työtä.