Close

Älä unohda IoT järjestelmän tietoturvaa!

Julkaistu: 25.01.2018 - 12:00:00
Back to References

Yhtäkkiä lämmitykset kytkeytyvät pois päältä ja suomalainen kerrostalo kylmenee. Kiinasta tullut palvelunestohyökkäys pani polvilleen taloautomaation keskustietokoneen.

Kerrostalossa päästiin säikähdyksellä. Mutta entä jos kohde on sairaala, teollisuuslaitos tai infrastruktuurin keskeinen osa? Tai älytalo tai minkä vain yrityksen toimipiste.

”Uhkakuva ei todellakaan ole liioittelua. IoT on osa kaikkien ihmisten ja yritysten arkea. Silti IoT:n tietoturvassa on usein vakavia puutteita, jopa aivan alkeellisia virheitä”, hämmästelee kyberturvallisuuden asiantuntija Harri Susi. Hän vetää ohjelmistojen testaustiimiä Etteplanin Espoon toimipisteessä.

Uhkat ovat moninaisia ja rikolliset kehittävät jatkuvasti uusia tapoja hyödyntää turva-aukkoja.

”IoT-laite voidaan valjastaa osaksi bot-verkkoa, jolla tehdään palvelunestohyökkäyksiä. Laite voidaan valjastaa vaikkapa louhimaan bitcoineja. Pahimmillaan kehno IoT-laite on pehmeä reitti yrityksen infraan ja kriittisiin tietojärjestelmiin. Takaportin kautta hyökätään esimerkiksi kiristysohjelmalla”, Harri Susi varoittaa.

 

Huolellinen suunnittelu ja testaus takaavat turvan

 

Suurin ongelma on Harri Suden mielestä asenteissa.

”Yllättävän monet suunnittelijat suhtautuvat tietoturvaan huolettomasti. Hädin tuskin muistetaan viime tipassa sulkea järjestelmän tuotantoversiosta tarpeettomat ip-portit”, Harri Susi ihmettelee päätään pudistellen.

”Tietoturvan asiantuntija kannattaa ottaa mukaan projektiin jo sen määrittelyvaiheessa. Kattava turvallisuus testaus sekä turvallinen sulautetun ohjelmiston etäpäivitysmekanismi ovat ne kaksi tärkeintä asiaa”, Harri Susi muistuttaa.

Harri Susi luettelee tietoturvan kolme perusvaatimusta, jotka suunnittelijoiden tulee pitää kirkkaina mielessä:

Luottamuksellisuus (confidentiality). Luottamuksellisten tietojen täytyy pysyä salassa ulkopuolisilta. Anturin mittausdata saa päätyä vain sinne, mihin se on tarkoitettu.

Koskemattomuus ja muuttumattomuus (integrity). Data ei saa matkalla muuttua, esimerkiksi man in the middle -hyökkäyksen vuoksi.

Käytettävyys (availability). Järjestelmän pitää sietää esimerkiksi palvelunestohyökkäykset.

 

Tosihack - kilpailu hakkereille

 

Tosibox on suomalainen tietoturvalaitteiden valmistaja. Tosibox-tuotteilla muodostetaan vaivattomasti turvallinen ja nopea yhteys yrityksen järjestelmään, ohjausjärjestelmään tai vaikkapa mittausanturiin melkein mistä tahansa.

Tosibox, Etteplan ja Turkusec-yhdistys järjestävät Turussa lauantaina 3.2.2018 klo 11-18 Tosihack -nimisen hakkerointitapahtuman.

”Kutsumme kokeneita tietoturvatestaajia kilpailemaan siitä, mikä tiimi löytää testattavasta laitteesta pahimmat bugit. Haavoittuvuuksien ja tietoturvaongelmien löytäjät palkitaan ruhtinaallisesti”, Harri Susi lupaa.

Tosibox toimittaa testattavat laitteet. Kaikki keinot ovat sallittuja, mukaan lukien jtag-debuggerit ja juotoskolvit. Järjestäjät tarjoavat syötävät ja juotavat ja mukavat bileet kilpailun jälkeen.

Osallistujiksi odotetaan tietoturvan opiskelijoita ja ammattilaisia. Kilpailun tuomareita ovat Harri Susi ja Arto Kangas Etteplanista sekä CTO Jari Tenhunen Tosibox-yhtiöstä.

 

Lisätietoja:

 

Harri Susi, kyberturvallisuuden asiantuntija, Etteplan, Espoo

Arto Kangas, SW Embedded Specialist, Etteplan, Turku

Jari Tenhunen, CTO, Tosibox

Liittyvä sisältö

Analytiikka valmistavassa teollisuudessa

Valmistavan teollisuuden tehtaat ovat pitkälle automatisoituja. Ohjelmoitavat logiikat, anturit, mittalaitteet ovat olleet yleisiä jo vuosikymmeniä ja kokoonpanoa tekevät robottisolut. Nyt on aika katsoa eteenpäin. Jos automaatio oli ensimmäinen askel, mikä on seuraava? Kuinka tehdä tuotantolinja tai laitos vielä tehokkaammaksi? Voidaanko jo nyt kerättyä dataa hyödyntää paremmin?

Posti

Etteplaniin kuuluva Eatech on Postin yhteistyökumppani, joka vastaa Postin pakettiautomaattien ylläpidosta ja osallistuu kehitykseen. Eatechin jatkuvien palveluiden osasto on toteuttanut Postin pakettiautomaatteihin laitteiston uudistuksen sekä uuden ohjelmiston käyttöönoton syksyn 2017 aikana. Työ kattaa kaikki Suomen pakettiautomaatit.

Neste

Etteplaniin kuuluva Eatech toteutti Nesteelle mobiilisovelluksen, joka sisältää mobiilitankkauksen sekä monipuolisia mahdollisuuksia asiakasmarkkinointiin. iPhonelle ja Androidille julkaistun sovelluksen potentiaalisia käyttäjiä ovat kaikki autoilevat suomalaiset.

Tietoturva – tutki haavoittuvuutesi ennen hakkereita

“Tämä on raportti eräästä projektista. Skannasimme yhden teollisen Linux-laitteen ja teimme mielenkiintoisia löytöjä. Osa löydöistä on vakavia haavoittuvuuksia”

Harri Susi, ohjelmistotestauksen ja tietoturvan asiantuntija Etteplanilta, näyttää dokumenttia, joka luettelee kyseisen IoT-laitteen haavoittuvuudet, joita hakkerit saattaisivat hyödyntää. Tämä on ensimmäinen askel kohti parempaa tietoturvaa.

Sulautettu AC käyttö

Vaihtosähkömoottoreilla on jo yli vuosisata historiaa takanaan. Viime vuosikymmenet ne ovat dominoineet sähkömoottorimarkkinoita sekä teollisissa sovelluksissa että kuluttajaelektroniikan sovelluksissa. Nopeussäädetyissä sähkökäytöissä oli joitakin alueita,  joissa tasasähkömoottori oli ainoa vaihtoehto varsinkin, jos vaadittiin momenttisäätöä tai korkeadynaamista säätöä. Tämä on nyt muuttumassa johtuen kompaktien elektroniikkaratkaisujen saatavuudesta hintakriittisiin sovelluksiin, kuten kodinkoneisiin ja kuluttajaelektroniikan tuotteisiin.

Ota yhteyttä
Kalle Mannonen
Kalle Mannonen
Business Unit Director