Sivustollamme käytetään evästeitä. Keräämme evästeiden avulla sivuston kävijätilastoja ja analysoimme tietoja. Tietojen keräämisen tavoitteena on kehittää sivuston laatua ja sisältöjä. Eväste on käyttäjän tietokoneelle lähetettävä ja siellä säilytettävä pieni tekstitiedosto. Evästeet eivät vahingoita käyttäjien tietokoneita tai tiedostoja. Käyttäjä voi tyhjentää evästeet käyttämänsä laitteen selaimen asetuksista. Evästeet voivat olla tarpeellisia joidenkin palveluiden asianmukaiselle toimimiselle. Useimmat selaimet mahdollistavat eväste-toiminnon kytkemisen pois käytöstä.
- Johtaminen
- Mesta
Rakennusala täysillä mukana teknologiamurroksessa
Esineiden internet romuttaa osin vanhan tietoturvan hahmottamisen tapamme.
Yleinen tietoturva-ajattelumme on perustunut tähän asti käyttöjärjestelmiin ladattavien virustutkien ja palomuurien kanssa operointiin ja niiden antamaan tarvittavaan suojaan. Nyt uudessa nettiesineiden IoT-ympäristössä, joka kulkee rakennusteknologian mukana, nämä opit ovat suurelta osin vanhentuneet. Uudessa toimintaympäristössä vanha tietämys ei kaikilta osin enää päde. Tietoturvamaailmassa, kuten tietotekniikassa yleensä, näin voi käydä aina silloin tällöin.
Vanhan ajattelun ongelma piilee nyt siinä, että vaikka lataisimme tietokoneelle maailman parhaat suojat viruksia ja hyökkääjiä vastaan, etäluettavat laitteemme, ne esineet internetissä, jäävät hyökkääjien armoille. Hyökkääjä pääsee väliin, vieläpä helposti.
Esineiden internetissä IoT (Internet of Things) -ympäristössä on määritelmällisesti kyse teknisistä laitteista, usein pelkistä piirilevyistä, jotka pystyvät aistimaan ympäristöään ja viestimään, myös usein toimimaan älykkäästi aistimansa informaation perusteella. Internetin esineistä useimmat ovat tietotekniseltä kokoonpanoltaan vaatimattomia tehtävän suorittajia. Niillä kuitenkin on omat IP-osoitteensa ja modeeminsa, joiden kautta verkon esineet ovat vuorovaikutteisesti yhteydessä etäohjausjärjestelmiin.
Nettiesineiden IP-osoitesarjoihin kohdistuneet massiiviset hyökkäykset ovat muuttaneet tietoturvan tilannetta. Esineellä ei itsessään ole käyttöjärjestelmää, jonka avulla siihen voitaisiin asennella palomuureja tai muuten suojautua hyökkäyksiltä. Tietoturvaoletukselta on pudonnut pohja.
Jokaiseen nettiin kytkettyyn laitteeseen liittyy riski
Hyökkääjät ovat vaarallisia, kuten sisään tunkeutuvat murtomiehet konsanaan. Hyökkääjä ottaa moduulin hallintaansa, jolloin sen oikea etähallintayhteys isäntään voidaan katkaista: hyökkääjä tekee itsestään isännän (ellei se ole vakooja).
Verkkoon kytkettyjen laitteiden jatkuva läsnäolo sekä laitteiden keskinäinen kommunikointikyky avaavat vaarallisia mahdollisuuksia kyberrikollisille. Jokaiseen nettiin kytkettyyn laitteeseen liittyy riski, jossa kolmas osapuoli voi ottaa yhteyden haltuunsa tai piilotella linjoilla.
Seuraukset ovat useimmiten kiusantekoa, laitteiden toiminnan sotkemista, mutta vahingot eivät välttämättä jää siihen: esimerkiksi ilmastointijäädytys on vaihdettu lämmitykseen, kiukaita käynnistelty ja valvontakalustoa sammutettu. Esineen IP-osoitetta on myös käytetty pitkässä reititysketjussa häivyttämään kyberrikollinen oma pääte – kukapa meistä haluaisi kuulla hammasharjansa, aurinkopaneelinsa tai kahvinkeittimensä yrittäneen hyökkäystä Valkoiseen taloon?
Uhkakuvat kuin agenttitarinoista
Edelleen asiantuntijat varoittavat, että verkkoon kytketyt televisiot ja valvontalaitteet voivat toimia kuulevina ja näkevinä vakoojan tiedustelueliminä – silloin kyberrikollinen kätkee itsensä yhteyksiin. Esimerkiksi laaja WikiLeaks-vuoto Vault 7, jota luotettavat lähteet pitävät aitona, paljasti äskettäin, kuinka Yhdysvaltain keskustiedustelupalvelu on kyberaseillaan tehnyt Android-puhelimista, mutta myös uuden polven televisioista, vakoilumikrofoneja ja -kameroita. Järjestelmä vakoilee ihmisiä ympäri maailman. Raportin mukaan USA:n ja Ison-Britannian vakoojat kykenevät murtamaan Samsungin televisioita laitteen omistajan tietämättä.
Sähkömittaritaulut ja LVI-laitteet haavoittuvia
Tietoturva-asiantuntijoiden keskuudessa on jo pitkään ollut aivan tavallista, että läppärin verkkokameran päällä on laastari. Muutenkin tietoturva-asiantuntijat puhuvat yhdellä suulla uusista uhista.
WikiLeaks-vuodossa mainittu Android on puhelimen ja tabletin Linux-pohjainen käyttöjärjestelmä, johon toki voidaan ladata palomuuri ja korkeasoinen suojaus vakoilua vastaan. Esimerkiksi älytelevisiossa ei kuitenkaan tavallisesti ole omaa alustaa, jolla sitä ohjemallisesti voitaisiin suojata – se on tyypillinen esine internetissä.
Nykyisin nettiyhteyden päästä löytyy myös mitä erilaisimpia järeällä muistitilalla varustettuja kommunikoivia päätelaitteita, jotka eivät ole tietokoneita, mutta joihin muodostetaan etäyhteys avoimen internetin kautta – esimerkkeinä vaikkapa etäluettava sähkömittaritaulu ja markkinoille tuloaan tekevät älykkäät rakennusmateriaalit.
Myöskään LVI-ohjaamoissa tai älykkäässä saunankiukaassa ei ole perinteisessä mielessä käyttöjärjestelmää. Ne voivat kuitenkin olla paloturvariski, jos etäyhteys joutuu vääriin käsiin. Jotta näin ei kävisi, päätelaitteita tulee suojata määrätynlaisin tietoturvatyökaluin, jotka eivät perustu käyttöjärjestelmäsidonnaisuuteen.
Turvateknologia takaa suuret hyödyt rakennusmaailmassa
IoT-suuntausta arvostellaan, koska yksityistalouksissa se on herkkä häiriöille ja sen kuluttajaystävällisyys on kyseenalainen. Sen sijaan ammattilaisympäristössä, esimerkiksi rakennus- ja kiinteistöautomaatiossa, IoT on käyttökelpoinen. Silloin se tulee suojata suljetussa yhteysputkessa toimivaksi ohjaus- ja informaatiojärjestelmäksi, joka mahdollistaa laitteiden vikadiagnostiikan ja etäsäädöt. Hyöty on valtava oikein toimittaessa. Rakennusteollisuuden sensorityyppiset laitteet on syytä pitää VPN-yhdyskäytäväputkessa. Ennakoivan analytiikan suurin hyöty saavutetaan automaation kautta. Jos tietoturvataso voidaan varmistaa, automatisoidun datan käsittely on reaaliaikaista ja eheää: erillinen kriittinen informaatio kohteista saadaan ennakoiden.
VPN-yhdyskäytävä (Virtual Private Network), suomeksi virtuaalinen erillisverkko, tarjoaa vahvasti salatun ja todennetun yhteyden. Teknisesti on mahdollista, että VPN-putkessa erilaiset suojaamattomat laitteet keskustelevat dataan varastoivan pilvipalvelun kautta – suojatusti. Tämän kokonaisuuden hahmottamiseen kannattaa satsata, koska IoT-tietoturvamalli on kaikin puolin looginen ja toimiva. Laitteet automaattisesti suojaavista ja IP-osoitteet salaavista VPN-malleista löydämme ratkaisut edellä kuvattuihin tietoturvaongelmiin.
Ratkaisuna virtuaalinen erillisverkko
Tällöin VPN-käytävään ja laitesovelluksiin investoidaan, ja ammattilaiset koulutetaan yhteyden päästä päähän tapahtuvan salauksen käyttöön. Erillisverkko-ohjelmisto salaa ja purkaa datapaketteja sekä lähettää ne suojatun yhteyden läpi.
OpenVPN on avoimeen lähdekoodiin perustuva VPN-tekniikka, jota voi hyvin muokata omien käyttötarkoitusten mukaan, jos tietokoneet keskustelevat keskenään. OpenVPN sisältää kaikista uusimmat kryptaustekniikat. Se on erittäin käyttövarma ja toimii kaikilla käyttöjärjestelmillä.
IoT-yhteyteen, jossa toisessa päässä toimii sensori tai kamera, suositellaan Tosibox-teknologiaa, jonka kanssa ei ole ilmennyt ongelmia.
”Tietoturvan alkeet ovat välttämättömiä asentajan työssä”, katsoo Tosibox Oy:n tutkimuksesta ja tuotekehityksestä vastaava johtaja Veikko Ylimartimo.
”ST-kortti 710.02 tarjoaa ajankohtaisen katsauksen teknisiin ratkaisuihin. Yhteyskäytön suojaamisessa ei ole kyse vain käyttäjäpään tietokoneiden suojaamisesta, vaan myös etäkohteen sensorien ynnä muiden sellaisten suojaamisesta. Jos suojaamattomiin etälaitteisiin otetaan suojattu VPN-yhteys tietokoneella, itse etäkohde ei ole vielä sillä suojattu internetistä tulevilta uhkilta”, hän selventää.
”Laitevalmistajilla ei riittävästi osaamista”
Teollisen internetin on ennustettu tavoittavan globaalisti 1,9 biljoonan dollarin markkinat vuonna 2020. Frost & Sullivanin tuore raportti arvioi globaalin sensorimarkkinan vuonna 2019 arvoltaan 162 miljardiksi dollariksi. Älykaupungit ja esimerkiksi e-terveydenhuolto ovat suunnittelupöydillä.
Kyse ei ole pikkuasiasta. Vasta nyt laitevalmistajat ovat heränneet tajuamaan, että jotain on pielessä, ja netin botit murtavat muutamassa tunnissa heidän laitteille antamansa simppelit oletussalasanat, kun laite suojaamattomana on kytketty internetiin.
Taustalla saattaa vielä ilmetä vanhakantaista ajattelua, jonka mukaan tietoturva ei kuuluisi ohjelmisto- ja laitevalmistajille.
”IoT-laitteiden tietoturvasta pitäisi huolestua, koska laitevalmistajilla ei ole riittävästi osaamista tai mielenkiintoa kehittää laitteidensa tietoturvaa”, arvioi Timo Häkkinen Contrasec Oy:stä.
Muun muassa kyberturvallisuuden professori Jarmo Limnéll on peräänkuuluttanut koko ajattelutavan uudistamista, ja ajanmukaista tieturvakoulutusta kaikilla koulutuksen tasoilla, rakennusten sähkö- ja IT-asentajat mukaan lukien. Tieturvakoulutus on viety ammattikoulutasolle vasta Jyväskylässä.
Teksti Reijo Holopainen, kuvat Atte Lakinnoro ja Tosibox Oy
Tutustu myös aiempaan aihetta käsittelevään juttuun Tietoturvan standardointi sähkö- ja talotekniikka-asennuksiin.
Lue myös
- Mesta