ÄLYLAITTEILLA tarkoitetaan teknisiä laitteita, jotka ovat yhteydessä internetiin.
Tietokone, älypuhelin ja usein myös televisio ovat jo perinteisiä osia internetin loputonta verkostoa. Nykyisin IOT:hen (Internet of Things) eli esineiden internetiin kuuluvat jopa monet kodinkoneet.
Älytekniikkaa hyödyntäviä laitteita markkinoidaan elämää helpottavina apureina. Kahvinkeitin voi lähettää käyttäjälleen tekstarin, kun pavut ovat loppu. Kesämökin lämmitysjärjestelmälle voi viestittää, että huomenna me tulemme, pane talo lämpiämään. Lemmikkikameran kuvista voi työpäivän aikana tarkastaa mitä hauva kotona puuhaa. Autossa satelliittipaikannusta voi komentaa etsimään reittejä ruuhkien välttämiseksi.
Mutta tekeekö tavaroiden liittäminen nettiin meistä suojattomia?
Älylaitteet ovat avoimia väärinkäytöksille, jos niiden ohjelmistot ovat huonoja ja jos niitä ei päivitetä.
”Paraskaan tietoturva ei ole aukotonta eikä kaikilta hyökkääjiltä suojautuminen ole mahdollista”, kerrotaan Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen nettisivuilla.
KYBERTURVALLISUUSKESKUS lanseerasi Suomessa viime vuoden loppupuolella Tietoturvamerkin, joka myönnetään internetiin kytkettynä toimivalle vempaimelle. Sen saa, jos suojaukset ovat riittävät ja jos laitetta luvataan päivittää sopivaksi määritetyn ajan. Valmistajan on myös ilmoitettava mitä tietoja laite kerää ja mihin niitä käytetään.
Tietoturvan johtava asiantuntija Juhani Eronen Kyberturvallisuuskeskuksesta kertoo Tietoturvamerkin olevan tarpeellinen.
”Ihmisten elämää helpottavat tekniset laitteet ovat yleistyneet valtavasti ja niitä keksitään koko ajan lisää. Kilpailu on kovaa ja markkinat kuumentuneet, joten valmistajilla on houkutus mennä ohituskaistaa pitkin ja ottaa vippaskonsteja käyttöön. Silloin laadunvalvonta jää”, Eronen toteaa.
Tietoturvamerkki on myönnetty vasta kolmelle laitteelle. Kyberturvallisuuskeskus toivoo lisää hakemuksia valmistajilta. Kyberturvallisuuskeskuksen tutkimuksen mukaan jopa kolme neljästä käyttäjästä on valmis maksamaan tuotteesta hieman enemmän, jos he tietävät laitteen turvalliseksi.
Hyötymistarkoituksessa tehdyissä palvelunestohyökkäyksissä vahinkoa ei aina tehdä laitteen käyttäjälle, vaan laitetta apuna käyttäen jollekin muulle taholle. Esimerkiksi tällaisesta Eronen ottaa nettikasinon ja siihen kohdistuvan hyökkäykseen. Hakkeri voi valjastaa internetiin liitettyjä älykahvinkeittimiä, -leivänpaahtimia tai muita heikosti suojattuja koneita osaksi hyökkäystään. Kun sadat tuhannet kodinkoneet lähettävät koodattujen bottien massiivisia ohjelmia nettikasinoon, uhrin netti ja koko toiminta kaatuu.
”Huomasitko, mitä tapahtui? Maksa heti, niin palautan palvelusi”, Eronen maalailee uhkaa. Vastaavan hyökkäyksen kohteena voi olla mikä tahansa organisaatio tai henkilö.
HYÖKKÄYSTEN MOTIIVIT voivat olla myös poliittisia. Jo vuonna 2007 Viro sai tuta patsaskiistan eli Pronssisoturi-muistomerkin siirtämisen seurauksia, kun palvelunestohyökkäykset lamaannuttivat Eesti Ühispankin ja valtalehti Postimeesin.
Jos kirjoitan poliittisen paljastuksen, voiko vihainen poliitikko sulattaa pakastimeni?
”Me emme ota kantaa motiiveihin, mutta heikosti suojattuun laitteeseen voidaan päästä netin kautta mistä vain”, Eronen nauraa.
Kyberturvallisuuskeskus on ajan tasalla hakkereiden toiminnasta ja laitteiden turvallisuudesta.
”Olemme selvillä millaisia asioita hyökkääjät tekevät ja tarkistamme, onko laite suojattu näitä hyökkäysmahdollisuuksia vastaan”, Eronen kertoo.
”Laitteen ei tarvitse olla niin hyvin suojattu, että se kelpaisi salaiseen sotilasoperaatioon, mutta pitää olla varma, että kun viet laitteen kotiisi, et asetu vaaralle alttiiksi ja ettei sen kautta voi tehdä hyökkäyksiä.”
Yksinkertaisin ensiaskel hyökkäyksiä vastaan on salasanan vaihtaminen. Monet hyökkäyskoodit etsivät laitteita, joissa on oletussalasana ”0000”, ”1234” tai ”admin”.
PÄIVITYSTEN SALLIMINEN ja sen varmistaminen, että laite päivittyy mahdollisimman usein, ovat keskeisiä suojautumisen keinoja. Päivittäminen on tärkeää myös ympäristösyistä. Päivittämättömästä laitteesta voi pian tulla käyttökelvoton roska.
Tietoturvamerkkiin sisältyy ”parasta ennen -päivämäärä” eli vaatimus, että valmistaja päivittää laitetta vaaditun ajan. Laitteesta riippuen se vaihtelee kahdesta 30 vuoteen.
Tietoturvarikokset voivat johtaa tietosuojan vaarantumiseen. Kun yhdysvaltalainen tietovuotaja Edward Snowden paljasti, että tiedustelupalvelut keräävät ja tallentavat ihmisten tietoja, moni reagoi kommentoimalla rennosti, ettei lainkaan haittaa, jos lainkuuliaisen taviskansalaisen sähköposteja luetaan tai selaushistoriaa tallennetaan.
Mutta entä jos niin kutsuttu älykoti tarjoaisi ulkopuolisille mahdollisuuden katsella koko perhettä televisioiden, lasten tai lemmikkien kameroiden kautta? Jopa kahvinkeittimen kautta voidaan kuunnella ajatustenvaihtoa keittiössä, jos masiinassa on mikrofoni – ja onhan siinä, jos se toimii ääniohjauksella.
Esimerkiksi ihmisoikeusjärjestöissä opittiin ajat sitten, että kännykät pitää viedä kauas pois, kun keskustellaan luottamuksellisista asioista. Ehkä kohta pitää ymmärtää neuvotella kahvinkeittimen, television, termostaattien ja muiden ääniohjauksella toimivien laitteiden ulottumattomissa. Jopa robottipölynimuriin murtautuminen voi kiinnostaa varkaita, sillä se tarjoaa dataa kodin pohjapiirustuksesta.
Yritysten tietoja hamuavia houkuttelee murtautuminen printtereihin, kopiokoneisiin ja valvontakameroihin.
Kaikki hakkerit eivät välttämättä ole rikollisia. Juhani Eronen muistuttaa yritysten Bug Bounty -ohjelmista eli haavoittuvuuspalkinnoista. Firmat maksavat mielellään satasista satoihin tuhansiin euroihin palkkiota hakkerille, joka löytää aukkoja tietoturvassa.
Firmat osaavat houkutella palkintoa havittelevia.
”Kun firmat ilmoittavat, että systeemimme on mahdoton murtaa, ihan varmasti joku käy saman tien murtautumassa siihen”, Eronen kertoo.
Artikkelissa on käytetty asiantuntijana Helsingin yliopiston tietotekniikan projektipäällikköä ja teknologia-arkkitehtia Ville Tenhusta.
Lisätietoja: tietoturvamerkki.fi