Hyppösen laki: Kun laitteessa on älyä, se on myös haavoittuvainen
Internet of Things tuo mukanaan uutta liiketoimintaa ja uusia yhteyksiä. Mutta meidän pitää puhua myös siihen liittyvistä riskeistä. Näin totesi F-Securen tutkimusjohtaja Mikko Hyppönen puheenvuorossaan Telia Digitalist IoT Forum -tapahtumassa.
”Tietoturva-asiantuntijoilla on huono maine, sillä me sanomme kaikkeen ’ei’. Olen kyllästynyt olemaan ikävä tyyppi, joten aion sanoa jatkossa kyllä. Kyllä, voit yhdistää sen nettiin. Kyllä, voit ostaa tuon laitteen. Mutta: se pitää ensin kryptata, sen yhteysasetukset täytyy nollata ja niin edelleen.
Hyppönen muistutti, että tietoturva voi myös olla mahdollisuus ja se tulisi nähdä yhtenä osana yrityksen liiketoimintaa. Palomuurit, virustorjuntaohjelmistot, VPN-yhteydet ja muut tietoturvaratkaisut mahdollistavat liiketoiminnan jatkuvuuden.
”Tässä on kuva kassajonosta supermarketissa. Nämä ihmiset eivät pystyneet ostamaan mitään, sillä Petja-kiristyshaittaohjelma oli lukinnut kassajärjestelmän. Näin on tapahtunut tänä vuonna jo kahteen otteeseen – ensin oli WannaCry ja sitten Petja”, Hyppönen sanoo. (Artikkeli jatkuu kuvan jälkeen.)
”Unohdamme usein, että esimerkiksi kassakone on myös tietokone. Kiristäjien kohteena hyökkäyksissä olivat juuri tämmöiset laitteet, joita ei välttämättä edes mielletä tietokoneeksi. Suomessa WannaCry aiheutti ongelmia esimerkiksi Kevitsan kaivoksen kallioporauslaitteissa.”
Miksi leivänpaahdin pitäisi kytkeä verkkoon?
Kun yksittäisen IoT-sensorin hinta laskee joihinkin sentteihin, myös kaikki perinteiset laitteet tullaan kytkemään nettiin.
”Verkkoon kytketyt laitteet eivät välttämättä tuo niiden käyttäjille uusia ominaisuuksia. Sen sijaan ne tarjoavat dataa valmistajille. Emme me tarvitse nettiä leivänpaahtimeen – kuka tahansa voi nähdä reaaliajassa, että leipä on valmis. Valmistaja sen sijaan haluaa muun muassa tietää, miten ja kuinka usein laitetta käytetään”, Hyppönen sanoo.
Tänä vuonna saastuneista IoT-laitteista on muodostettu kaksi verkostoa, Mirai sekä Reaper. Esimerkiksi Reaper yrittää tunkeutua IoT-laitteisiin salasanalistaa hyödyntämällä. Se skannaa koko IPv4-verkon, ja samalla löytyy mitä kummallisempia laitteita kytkettynä nettiin. Kun niiden tietoturva on olematon, ne voidaan siepata nettirikollisten käyttöön.
Hyppönen on lanseerannut oman lakinsa: jos laitteessa on älyä, se on myös haavoittuvainen. Hyppösen mukaan suurin osa IoT-laitteiden valmistajista ei panosta niiden tietoturvaan.
”Kun Amazon kaatui, kuulimme uutisia ihmisistä, jotka eivät pystyneet käyttämään uuniaan. Tietoturva-aukkoja on löydetty myös esimerkiksi tiskikoneesta ja Osramin lampuista. Ja kun itsestään ajavista autoista tulee todellisuutta, auton omistaja saattaa herätä aamulla siihen, että auto on ajanut parkkipaikalta tiehensä.”
Esimerkkinä tietoturvallisesta IoT-laitteesta Hyppönen mainitsee Ikean IoT-lampun.
”Emme tule ajatelleeksi kyberturvallisuutta, kun ajattelemme Ikeaa. Mutta itse asiassa Ikean valmistaman IoT-lampun tietoturva on hyvä. Ikean tuotteiden elinkaari on pitkä, ja yhtiö myy niitä isoja määriä kansainvälisillä markkinoilla, joten he haluavat kaikin keinoin välttää tuotteiden takaisinvedon.”
Kuka vastaa älylaitteiden tietoturvasta?
Hyppönen toteaa, että jos kotona syttyy tulipalo laitevian vuoksi, valmistaja saattaa olla korvausvastuussa. Sen sijaan jos kodin kaikki tietokoneet ja laitteet lukittuvat IoT-laitteessa olevan tietoturva-aukon johdosta, kukaan ei ole vastuussa.
”F-Securen SENSE-ratkaisu suojaa kaikki kodin verkkoon kytketyt laitteet tietoturvareitittimen avulla. F-Secure oli ensimmäinen, joka kehitti reitittimen kodin IoT-laitteiden tietoturvaratkaisuksi – nyt isot pojat rapakon takana seuraavat perässä. Kymmenen vuoden päästä tarvitsemme kuitenkin uusia ratkaisuja, sillä langaton verkko eli wifi tulee kuolemaan. Meidän pitää myös vaatia parempia ratkaisuja laitteiden valmistajilta”, Hyppönen painottaa.
”On teknisiä ongelmia ja ihmisistä johtuvia ongelmia. Ihmisten korjaaminen on paljon vaikeampaa. Tästä johtuen F-Secure järjestää kyberturvallisuuskursseja. Tuorein kurssi on juuri alkanut yhteistyössä Helsingin Yliopiston kanssa. Se on maksuton ja kuka tahansa voi osallistua kurssille”, Hyppönen päättää.
Artikkeli perustuu Mikko Hyppösen puheenvuoroon Telia Digitalist IoT Forum -tapahtumassa, joka järjestettiin 1.11.2017.
