Älä unohda IoT järjestelmän tietoturvaa!

”Uhkakuva ei todellakaan ole liioittelua. IoT on osa kaikkien ihmisten ja yritysten arkea. Silti IoT:n tietoturvassa on usein vakavia puutteita, jopa aivan alkeellisia virheitä”, hämmästelee kyberturvallisuuden asiantuntija Mikko Lindström. Hän vetää ohjelmistojen testaustiimiä Etteplanin Espoon toimipisteessä.

Uhkat ovat moninaisia ja rikolliset kehittävät jatkuvasti uusia tapoja hyödyntää turva-aukkoja.

”IoT-laite voidaan valjastaa osaksi bot-verkkoa, jolla tehdään palvelunestohyökkäyksiä. Laite voidaan valjastaa vaikkapa louhimaan bitcoineja. Pahimmillaan kehno IoT-laite on pehmeä reitti yrityksen infraan ja kriittisiin tietojärjestelmiin. Takaportin kautta hyökätään esimerkiksi kiristysohjelmalla”, Mikko Lindström varoittaa.

Suurin ongelma on Mikko Lindströmin mielestä asenteissa.

”Yllättävän monet suunnittelijat suhtautuvat tietoturvaan huolettomasti. Hädin tuskin muistetaan viime tipassa sulkea järjestelmän tuotantoversiosta tarpeettomat ip-portit”, Mikko Lindström ihmettelee päätään pudistellen.

”Tietoturvan asiantuntija kannattaa ottaa mukaan projektiin jo sen määrittelyvaiheessa. Kattava turvallisuus testaus sekä turvallinen sulautetun ohjelmiston etäpäivitysmekanismi ovat ne kaksi tärkeintä asiaa”, Mikko Lindström muistuttaa.

Mikko Lindströmen luettelee tietoturvan kolme perusvaatimusta, jotka suunnittelijoiden tulee pitää kirkkaina mielessä:

Luottamuksellisuus (confidentiality). Luottamuksellisten tietojen täytyy pysyä salassa ulkopuolisilta. Anturin mittausdata saa päätyä vain sinne, mihin se on tarkoitettu.

Koskemattomuus ja muuttumattomuus (integrity). Data ei saa matkalla muuttua, esimerkiksi man in the middle -hyökkäyksen vuoksi.

Käytettävyys (availability). Järjestelmän pitää sietää esimerkiksi palvelunestohyökkäykset.

Tosibox on suomalainen tietoturvalaitteiden valmistaja. Tosibox-tuotteilla muodostetaan vaivattomasti turvallinen ja nopea yhteys yrityksen järjestelmään, ohjausjärjestelmään tai vaikkapa mittausanturiin melkein mistä tahansa.

Tosibox, Etteplan ja Turkusec-yhdistys järjestävät Turussa lauantaina 3.2.2018 klo 11-18 Tosihack -nimisen hakkerointitapahtuman.

”Kutsumme kokeneita tietoturvatestaajia kilpailemaan siitä, mikä tiimi löytää testattavasta laitteesta pahimmat bugit. Haavoittuvuuksien ja tietoturvaongelmien löytäjät palkitaan ruhtinaallisesti”, Mikko Lindström lupaa.

Tosibox toimittaa testattavat laitteet. Kaikki keinot ovat sallittuja, mukaan lukien jtag-debuggerit ja juotoskolvit. Järjestäjät tarjoavat syötävät ja juotavat ja mukavat bileet kilpailun jälkeen. Osallistujiksi odotetaan tietoturvan opiskelijoita ja ammattilaisia.