Palvelulinjoille soitteleva lypsyrobotti ja nettisivustoja kiusaava viemäri – tarinoita siitä, kuinka tietoturvaa tarvitaan nykyään kaikkialla

Melkein mikä tahansa voi olla yhteydessä nettiin – jäteastia tai jääkaappi. Se tarkoittaa, että tietoturvaa pitää ajatella yhä eriskummallisemmissa paikoissa.

Maanviljelijän lypsyrobotti lähetti viestejä maksullisiin numeroihin. Siirtoviemäri ja lämpöanturi osallistuivat nettipalveluita lamauttaviin hyökkäyksiin. Lehmien kiimanhallintajärjestelmä levitti haittaohjelmia. Kuulostaa eriskummallisen hauskoilta tarinoilta, mutta kyseiset tapaukset ovat myös varoittavia esimerkkejä siitä, miksi jokaisen tulisi kiinnostua tietoturvasta.

Jättimäisiä palvelunestohyökkäyksiä tapahtuu toistuvasti ja pahimmillaan ne horjuttavat koko internetin toimintaa. Käytännössä tällaiset hyökkäykset tarkoittavat, että verkkopalveluun ohjataan niin suuri määrä liikennettä, että sen toiminta lamaantuu.

Kuka näitä hyökkäyksiä sitten tehtailee? Hyökkäysten taustalla voi olla periaatteessa kuka tahansa, kertoo tietoturva-asiantuntija Arttu Lehmuskallio. Netistä löytyy kaikille avoimia sivustoja, joista voi tilata esimerkiksi minkä tahansa verkkosivuston lamauttavan hyökkäyksen. Erityisosaamista ei tarvita.

Ilmastointilaite ja juoksumatto voidaan kaapata

Hyökkäyksen toinen puoli ovat laitteet, jotka on kaapattu osaksi isompaa armeijaa – perinteisiä tietokoneita, älylaitteita ja IoT-antureita. Taustalla on nettiin kytketyn laitteen olematon tai huono tietoturva. Lehmuskallio antaa pari esimerkkiä: nettiin kytkettävä ilmastointilaite tai kuntosalin juoksumatto voi olla avointa riistaa hyökkääjien hyödynnettäväksi.

Eräässä tapauksessa Lehmuskallio törmäsi siirtoviemäriin, jota käytettiin palvelunestohyökkäyksiin. Viemäri tehtaili myös tietomurtoyrityksiä tuhansien koneiden tuntivauhtia. Käytännössä siirtoviemäri kuljettaa jätevettä esimerkiksi talouksien wc-tiloista jätevedenpuhdistamoon. Viemärin toimintaa tarkkailtiin antureilla, jotka olivat yhteydessä nettiin. Tapaus kuvaa hyvin sitä, että nettiin voi olla yhteydessä melkein mikä vain, ja silloin pitäisi myös tietoturvasta huolehtia.

IoT:n yleistyminen tarkoittaa, että verkossa on kohta moninkertainen määrä laitteita nykyiseen verrattuna. Eivätkä nettilaitteet ole vain kaapattavissa osaksi bottiverkkoja. Suojaamattoman laitteen kautta voi päästä yrityksen sisäverkkoon ja käsiksi arkaluontoisiin tietoihin.

Toki voi kysyä, miksi ihmeessä ilmastointilaitteen tai juoksumaton pitää olla kytkettynä nettiin? Siihen vastaus on yksinkertainen: yleensä taustalla on jokin hyöty. Verkkoon kytkettyä ilmastointilaitetta voidaan hallita etänä ja käyttäjä voi säästää rahaa, koska pystyy optimoimaan talon lämpötilaa. Kehittyneet juoksumatot taas ovat tietokoneita – ne auttavat harjoittelussa sovelluksilla ja voivat siirtää harjoituksesta dataa pilvipalveluihin.

IoT-tekniikalla yritykset pystyvät erottautumaan kilpailijoista. Esimerkkinä voidaan käyttää suomalaista konepajateollisuutta: kun valmistettuun laitteeseen lisätään anturi, joka tuottaa dataa, asiakas ei osta vain laitetta. Asiakas ostaa laitteen ja palvelun, josta se hyötyy – palvelu voi tarkoittaa vaikkapa dataan perustuvaa ennakoivaa huoltoa tai työkoneen etähallintaa. Kiinalaiset valmistajat voivat kopioida fyysisen laitteen, mutta dataan perustuvan palvelun kopiointi voi olla vaikeampaa – varsinkin, kun Suomi tunnetaan maana, jossa tietoturvasta pidetään huolta.

Kiimanhallintajärjestelmä lähetteli roskapostia

Maksullisiin numeroihin viestejä lähetellyt lypsyrobotti voi tuntua kaukaa haetulta esimerkiltä, mutta se kuvaa tätä päivää. Lähes missä tahansa laitteessa voi olla verkkoyhteys. Lypsyrobotin tapauksessa yhteyttä tarvittiin, jotta maanviljelijä saisi puhelimeensa hälytyksiä ongelmatapauksista – lehmä on vaikkapa saattanut jumiutua lypsyrobottiin.

Tosin maanviljelijä sai tuta myös vähän erikoisemman ongelmatapauksen: operaattorin puhelinlaskun perusteella lypsyrobotti oli lähetellyt tuhansien eurojen arvosta viestejä palvelunumeroihin. Joku ulkopuolinen oli löytänyt lypsyrobotin avoimen wlan-yhteyden ja murtautunut laitteeseen. Tai tässä tapauksessa ei ehkä voi edes puhua murtautumisesta, koska robotin wlan-verkkoa ei ollut suojattu salasanalla. Ovet olivat avoinna.

”Tapauksessa ei ollut varsinaisesti lehmän terveys uhattuna, vaan tehtiin taloudellista haittaa”, Lehmuskallio sanoo.

Hän kertoo toisen esimerkin maatilalta. Lehmien kiimanhallintajärjestelmä tarkkailee eläinten käyttäytymistä niiden kaulaan ripustettavalla aktiivisuuspannalla. Tällä IoT-ratkaisulla maanviljelijä säästää aikaa ja rahaa, sillä lehmien kiima-aikoja ei tarvitse tarkkailla navetassa kyttäämällä. Järjestelmä hälyttää maanviljelijälle, kun eläimellä on kiima ja se on siemennettävissä.

Kiimanhallintajärjestelmä oli kytketty nettiin. Tilanne oli tyypillinen: se toimi Linux-järjestelmällä, jossa oli vakioasetukset. Ulkopuolinen pystyi ottamaan järjestelmän hallintaansa verkosta käsin. Näin järjestelmä oli kaapattavissa osaksi laitteiden rinkiä, jolla lähetetään roskapostia ja haittaohjelmia.

Mikä neuvoksi?

Lehmuskallio kertoo, kuinka eräs lehti lähetti lukijalahjana valvontakameroita, joihin käytännössä kuka tahansa pääsi verkosta käsiksi.

”Valmistajien pitäisi varmistaa, että laitteiden hallinta ei olisi auki internetiin”, Lehmuskallio sanoo.

Samaan aikaan myös vastuu on laitteiden käyttäjillä.

”Ensimmäinen asia, mitä yritysten pitäisi hahmottaa, on se, mitä nettiiin kytkettyjä laitteita yritys omistaa ja millaisia avoimia reittejä yritykseen voisi olla. Tämä pätee niin pieneen kuin isoon yritykseen. Tarkistuksen voi tehdä joko itse tai ostaa palveluna”, Lehmuskallio sanoo.

Toiseksi Lehmuskallio neuvoo varmistamaan, että kaikkien laitteiden ohjelmistot päivitetään aina kun mahdollista. Kyseessä voi olla niin kassajärjestelmä, käytössä oleva puhelinsovellus tai läppäri.

”Tietoturvaongelmien aikakaudella suojaamisen lisäksi yhtä tärkeää on se, että löytyy kyky palauttaa tiedostoja ja dataa. Varmuuskopioinnista on huolehdittava”, Lehmuskallio sanoo.

Uhista huolimatta nettiin kytketyt laitteet voi nähdä hyvänä asiana. Yleensä ne tuovat hyötyjä laitteiden käyttäjille ja mahdollistavat täysin uusien asioiden tekemistä. Hyödyt voivat olla esimerkiksi tehokkaampaa ajankäyttöä, pienempiä kustannuksia tai jopa kokonaan uutta liiketoimintaa tai ansaintamalleja. IoT luo mahdollisuuksia, mutta samalla myös tietoturvasta huolehtiminen on kriittisen tärkeää.