Älä unohda IoT järjestelmän tietoturvaa!
Yhtäkkiä lämmitykset kytkeytyvät pois päältä ja suomalainen kerrostalo kylmenee. Kiinasta tullut palvelunestohyökkäys pani polvilleen taloautomaation keskustietokoneen. Kerrostalossa päästiin säikähdyksellä. Mutta entä jos kohde on sairaala, teollisuuslaitos tai infrastruktuurin keskeinen osa? Tai älytalo tai minkä vain yrityksen toimipiste.
”Uhkakuva ei todellakaan ole liioittelua. IoT on osa kaikkien ihmisten ja yritysten arkea. Silti IoT:n tietoturvassa on usein vakavia puutteita, jopa aivan alkeellisia virheitä”, hämmästelee kyberturvallisuuden asiantuntija Mikko Lindström. Hän vetää ohjelmistojen testaustiimiä Etteplanin Espoon toimipisteessä.
Uhkat ovat moninaisia ja rikolliset kehittävät jatkuvasti uusia tapoja hyödyntää turva-aukkoja.
”IoT-laite voidaan valjastaa osaksi bot-verkkoa, jolla tehdään palvelunestohyökkäyksiä. Laite voidaan valjastaa vaikkapa louhimaan bitcoineja. Pahimmillaan kehno IoT-laite on pehmeä reitti yrityksen infraan ja kriittisiin tietojärjestelmiin. Takaportin kautta hyökätään esimerkiksi kiristysohjelmalla”, Mikko Lindström varoittaa.
Huolellinen suunnittelu ja testaus takaavat turvan
Suurin ongelma on Mikko Lindströmin mielestä asenteissa.
”Yllättävän monet suunnittelijat suhtautuvat tietoturvaan huolettomasti. Hädin tuskin muistetaan viime tipassa sulkea järjestelmän tuotantoversiosta tarpeettomat ip-portit”, Mikko Lindström ihmettelee päätään pudistellen.
”Tietoturvan asiantuntija kannattaa ottaa mukaan projektiin jo sen määrittelyvaiheessa. Kattava turvallisuus testaus sekä turvallinen sulautetun ohjelmiston etäpäivitysmekanismi ovat ne kaksi tärkeintä asiaa”, Mikko Lindström muistuttaa.
Mikko Lindströmen luettelee tietoturvan kolme perusvaatimusta, jotka suunnittelijoiden tulee pitää kirkkaina mielessä:
Luottamuksellisuus (confidentiality). Luottamuksellisten tietojen täytyy pysyä salassa ulkopuolisilta. Anturin mittausdata saa päätyä vain sinne, mihin se on tarkoitettu.
Koskemattomuus ja muuttumattomuus (integrity). Data ei saa matkalla muuttua, esimerkiksi man in the middle -hyökkäyksen vuoksi.
Käytettävyys (availability). Järjestelmän pitää sietää esimerkiksi palvelunestohyökkäykset.
Tosihack - kilpailu hakkereille
Tosibox on suomalainen tietoturvalaitteiden valmistaja. Tosibox-tuotteilla muodostetaan vaivattomasti turvallinen ja nopea yhteys yrityksen järjestelmään, ohjausjärjestelmään tai vaikkapa mittausanturiin melkein mistä tahansa.
Tosibox, Etteplan ja Turkusec-yhdistys järjestävät Turussa lauantaina 3.2.2018 klo 11-18 Tosihack -nimisen hakkerointitapahtuman.
”Kutsumme kokeneita tietoturvatestaajia kilpailemaan siitä, mikä tiimi löytää testattavasta laitteesta pahimmat bugit. Haavoittuvuuksien ja tietoturvaongelmien löytäjät palkitaan ruhtinaallisesti”, Mikko Lindström lupaa.
Tosibox toimittaa testattavat laitteet. Kaikki keinot ovat sallittuja, mukaan lukien jtag-debuggerit ja juotoskolvit. Järjestäjät tarjoavat syötävät ja juotavat ja mukavat bileet kilpailun jälkeen. Osallistujiksi odotetaan tietoturvan opiskelijoita ja ammattilaisia.