IoT:n tietoturvatärpit – tee näin ja vältä karikot

Sami Isoaho, johtava pilviarkkitehti
Sähköllä ajeleva pilviarkkitehti Sami alias iSami on aito nörtti ja teknofriikki, joka rakastaa kaikkea sähköistä, digitaalista ja rätisevää. IT on ollut pilvivelhomme leipäpuu jo pitkälle kolmattakymmenettä vuotta.
Blogi Kyberturva

Edellisessä blogahduksessani kuvasin hieman IoT-aihealuetta noin yleisesti sekä sen aiheuttamia tietoturvahaasteita. Jatketaan esimerkin avulla siitä, mihin jäimme.
Kuvitteellinen yritys, Airiv Oy, työllistää noin sata henkeä. Sillä on hallinnassaan maksimissaan parisen sataa työasemaa (jos laskemme, että osalla käyttäjistä on sekä läppäri että tabletti tai pöytäkone sekä jokunen vara- ja vieraskone) ja ehkä noin sata mobiilipäätelaitetta. IT-osastolla lienee yksi tai maksimissaan muutama henkilö. Nämä pystyvät hyvin hoivaamaan sen pari-kolmesataa päätelaitetta sekä muutaman yrityksen palvelinlaitteen. Airivin konemäärä ei mitenkään voi satakertaistua vuodessa. IT ei millään ilveellä skaalautuisi moiseen kasvuun muusta organisaatiosta puhumattakaan. Jo väkimäärän tuplaantuminen tuottaisi taatusti suuria prosessi- ja organisaatiohaasteita.
Airiv pystyisi kuitenkin käyttöönottamaan tuhansia tai jopa kymmeniä tuhansia tiedonkeräimiä, IoT-laitteita. Jos Airiv olisi kotihoitoyritys, asiakkaita olisi tuhansia. Jokaisen kotona voisi olla lukuisia sensoreita ja antureita ja älylaitteita, joiden ylläpidosta Airiv vastaisi; ultraäänitutka vanhuksen kaatumisen tunnistukseen, kameravalvontaa, sähkölukkoja, puettavia sensoreita, lääkeannostelija noin alkuun. Tai kiinteistönhuollossa laitemäärä voisi olla vielä edellistä esimerkkiä paljon suurempi.
Miten Airiv Oy:n IT pystyisi suojaamaan kaikki IoT-laitteet, kun he eivät pystyisi skaalautumaan tuhansien läppäreiden hoivaan ja suojaukseen? Oleellista on tajuta, että eivät pystykään. Laitteet ovat ainakin osin tiloissa, joiden turvallisuutta ei voida taata. IoT-laitteet on valmistettu paljon halvemmalla ja kehitetty nopeammalla syklillä kuin monin verroin arvokkaammat henkilökohtaiset tietojenkäsittelylaitteet. Niiden suojausmahdollisuudet ovat rajalliset ja kovennus onnetonta suhteessa vaikkapa kännykkään.

Suhtaudu IoT-laitteeseen kuin ventovieraaseen

Kaikki lähtee siitä, että hyväksyt sen, etteivät IoT-laitteet ole sinun ja ettet mitenkään pysty turvaamaan niitä. Suhtaudu niihin kuin vierailulle tulleeseen anoppiin tai kahvilan ventovieraisiin muihin asiakkaisiin.
Oleellista on haarukoida ja ymmärtää, mikä muodostaa riskin. Itse jakaisin sen lyhyesti seuraaviin osa-alueisiin:

  1. IoT-laitteiden sisältämä tieto
  2. Tietoliikenne IoT-laitteiden ja sinun tietojärjestelmäsi välillä
  3. Oman tietojärjestelmäsi keräyspiste, hubi tai connection point.

Ensimmäinen on vaikea. Jos IoT-laite sisältää sinun kannaltasi kriittistä tietoa, joudumme reivaamaan strategiaa ja isosti. Silloin itse laite on suojattava samalla pieteetillä kuin vaikkapa avainhenkilön älypuhelin. Toisaalta, jos laite sisältää kriittistä tietoa, siihen voitaneen investoida samoilla budjeteilla kuin muihinkin oikeisiin työvälineisiin. Ja tämä tietenkin asettaa rajat skaalautumiselle. Tonnin kännyköitä ei Airiv osta jokaiselle, eikä tonnin hintaisia hienoja sensoreita kylvetä aivan minne sattuu. Vähintään ne pyritään suojaamaan varkaudelta. Ehkäpä ne voivat sijaita palomuurin suojaamassa verkossakin ja sisältää jopa laitehallintaakin.
Kalliit laitteet voidaan ja kannattaa suojata. Mutta Airivin haastehan syntyykin isosta massasta verkkoon huutelevia vehkeitä, joiden yksikköarvo on talousrealiteettien pohjalta väistämättä melko vähäinen. Pelkkä päätelaitesuojauksen vuosilisenssi – jota simppeliin sensoriin kyllä ei saa edes asennettua – olisi kalliimpi kuin koko vekotin.
Suurimmassa osassa käyttötapauksia sensoreiden ja laitteiden itsensä sisältämä tieto on sinänsä merkityksetöntä. Vain pidempään kerättyä tietoa, jonka voi liittää kontekstiin, pystyy hyödyntämään. Kahvikoneen yksittäinen tilatieto tai vikailmoitus ei ole salattavaa. Eikä kosteusanturin tai liiketunnistimen. Jopa kameravalvontalaitteen hetken itse laitteessa puskuroima kuvavuo on sinänsä merkityksetön – siis sen hetkinen 5 sekuntia. Loputhan on jo siirtynyt pilveen.
Suurin osa tietoliikenteestä IoT-laitteista lähetetään keräyspisteeseen täysin salaamattomana (ks. Palo Alton raportti). Ja TÄMÄ on suuri tietoturvariski. Se valvontakamerasi sisältämä 5 sekuntia puskuridataa ei ole ongelma. Mutta mikäli jokin vihamielinen taho kaappaa koko videofeedin ja saa näin reaaliaikaisen näköyhteyden kohteeseesi, saattaa kyseessä jo olla aivan eri luokan uhkakuva.

Dell-EMC:n Global Data Protection Index paljastaa, että 5G-verkon ja IoT-laitteiden tietoturva on vielä heikoilla.

Keräyspiste on erityisen kriittinen osio

Jo pelkästään IoT-laitteesi tarvitsema tietoliikenneyhteyden toteutus saattaa muodostaa haavoittuvuuden. Ja datavuon pitäisi vielä kulkea julkisen internet-verkon yli. Eli ainakin jonkinlaista luottamuksellisuutta sisältävän kuva- tai sensoridatan tulisi olla salattua. Mutta tukeeko IoT-laitteesi salausta? Useimmat eivät, joten joudut rakentamaan salauksen IoT-laitteita palvelevan reitittimen tai edge-pisteen ja keräyspisteesi välille.
Keräyspiste taas on kriittinen osio IoT-tietoturvasi kannalta. Se on ensimmäinen portti sinun todelliseen tietojärjestelmääsi, missä kaikki yrityssalaisuutesi ovat. Jotta kerätyllä datalla olisi jotain arvoa, se pitää pystyä säilömään ja sitä pitää pystyä käsittelemään. Eli sinun on hallittava dataa ja pystyttävä jakamaan ja muokkaamaan sitä.
Jätetäänpä tämä tärkein osio aivan oman, erillisen blogikirjoituksen käsiteltäväksi. Kas kun kaikki lopulta kulminoituu siihen, miten suojaat keräyspisteesi.
Koostin myös tärkeimmät IoT-tietoliikennetekniikat ja niiden tietoturvan pähkinänkuoreen. Jätä sähköpostisi alle ja pääset koosteeseen.

Huom! Haluatko tietää lisää?

Ilmoittaudu mukaan webinaariimme: IoT – tietoturvan kuuma peruna to 11.3.