Siirry sisältöön
02-05-2018

Pahuus asuu akvaariossa

Washington Post monen muun median kanssa raportoi jokin aika sitten hakkeroinnista, jossa pelikasinon järjestelmiin oli tunkeuduttu hyödyntäen akvaarion laitteistoa, jota operoitiin dataverkosta. Tämä on loistava esimerkki esineiden Internet (Intenet of Things, IoT) -aikakauden tietoturvativolista, jossa valitettavasti kukaan ei näytä tietävän kuka vääntää posetiivia, kuka on apina ja kuka määrää tahdin.

Markku Selin.
Markku Selin
Senior Advisor
Avoimia portteja tietoturvassa | Blogi

Tarkoitan tällä teollistumisen viimeisintä valtavaa vaihetta, jossa dataverkkoa voidaan digitalisaation kautta hyödyntää tekemään mitä ihmeellisimpiä asioita. Ajatellaan tuota pelikasinon akvaariota, jossa tuskin kellii hilpeä hauki vaan jokin paljon arvokkaampi ja näyttävämpi eläin. Siksi on järkevää jossakin vaiheessa valvoa tuon eläimen hyvinvointia dataverkon kautta, jos se on riittävän halpaa ja järkevää. Valitettavasti tietoturvallinen ja halpa eivät ole hyvä yhtälö. Jos se yhdistetään vielä huonoon käyttöönottosuunnitelmaan, niin sanomista tulee.

Portti syvemmälle

IoT-tietoturvassa kannattaa muistuttaa, että vaikka verkkoon liitettävät laitteet olisivatkin halpoja, ne ovat silti resursseja. Ne voivat olla hakkerin mielestä oiva portti johonkin muuhun. Kuten varmaan arvaattekin, ei tuossa pelikasinon tapauksessa hakkereiden mielenkiinto ollut akvaarion asukkaiden hyvinvoinnin seuraaminen. Turvasyistä artikkelissa ei kerrota tarkempaa tietoa, mitä hakkerit kasinolta saivat. Jotenkin luulen, että kerätty tieto ei liity varsinaisesti akvaarion vakioasukkaisiin.

Hakkeria kiinnostaa kaikki, mihin voi verkossa tarttua, olipa se sitten krematorio, jääkaappi, valaisin, voimala tai jokin muu. Se on lähtökohtaisesti resurssi, jota voi hyödyntää tai portti johonkin pidemmälle.

Näe näkyjä

IoT-tietoturva tarvitsee dataverkon muiden laitteiden ja ratkaisun tietoturvatukea. Tämä johtuu siitä, että osa laitteista on hankalasti päivitettäviä tai niitä ei voi päivittää lainkaan. Tämän vuoksi meillä pitää olla verkossa laiteita, joilla voidaan havainnoida muutokset ja reagoida niihin. Sovellustietoisen ja turvallisen verkkoarkkitehtuurin ja tyypillisen suomalaisen dataverkkoratkaisun välinen ero on dramaattinen. Efektiä voisi verrata pimeään huoneeseen ja valaistuun huoneeseen. Kummassakin on yhtä iso ovi ja tavarat sisällä, mutta on helpompaa hallita huoneessa kulkua, jos valot ovat päällä. Siksi näkyvyys on yhä tärkeämpää dataverkossa. IoT-ratkaisussa se on mielestäni pakollista. Olettaisin, että artikkelissa ollutta kasinoa kiinnostaa akvaarion laitteet nykyään enemmän ja he haluavat nähdä asioita laajemmin. Valitettavasti tässäkin kävi niin, että jotakin piti tapahtua ennen kuin asiaan kiinnitettiin laajemmin huomiota.

Mittapisteet mielen mukaan

Atea tarjoaa monipuolista sovellus- ja tietoturvamonitorointia joko kertaluonteisena tai jatkuvana palveluna. Tämän palvelun avulla nähdään sovellusten käyttäytymistä ja tehdään laajasti havaintoja ympäristön tietoturvasta. Tämä on mielestäni kätevä tapa tarkastella organisaatioiden dataverkon tietoturvaa, kunhan mittauspisteet sovitaan yhdessä siten, että ne ovat havainnoinnin kannalta optimaaliset ulottuvuuden ja tarkkuuden osalta. Tämä soveltuu myös akvaarioharrastajille.

Monitoroinnin lisäksi pelisäännöt ovat hyvin tärkeät. IoT-ratkaisut tarvitsevat tuekseen hyvän verkkoarkkitehtuurin, jossa voidaan ennaltaehkäistä tietoturvaongelmia ja voidaan puuttua riittävän ajoissa ongelmiin. Olemme mielellämme käytettävissä, jos haluatte rakentaa turvallista ja skaalautuvaa dataverkkoympäristöänne IoT-ratkaisunne tueksi. Olipa sitten kysymys akvaariosta, kanalasta, valaistuksesta tai jääkaapista. Internetin aikana me olemme samalla pelikentällä, halusimme tai emme. Epäilen että akvaario kuitenkaan ei vielä ole kaikkein eksoottisin hakkeroinnin kohde vaan saamme tulevaisuudessa lukea vielä erikoisimmista kohteista. Maailma digitalisoituu ja kohteet monipuolistuvat. Nyt on aika suunnitella ja toteuttaa ratkaisuja entistä paremmin.