Tiedätkö kuinka turvallisia älylaitteesi ovat?

Ympärillämme on yhä enemmän älykkäitä laitteita. Esineiden Internet (Internet of Things, IoT) on tullut osaksi jokapäiväistä elämäämme. Kuinka tietoisia valmistajat sekä kuluttajat ovat älylaitteiden tietoturvariskeistä ja mitä näille riskeille voidaan tehdä? Lokakuu on Euroopan kyberturvallisuuskuukausi, joten haluamme kertoa näistä tärkeistä asioista. Alexander Spottka työskentelee Combitechin tietoturvatestaajana ja vastaa alla kysymyksiin älylaitteiden turvallisuudesta.

Miksi on tärkeää seurata älylaitteidemme turvallisuutta?

Yksittäisen käyttäjän näkökulmasta älylaitteen heikko tietoturva voi johtaa tietomurtoon tai identiteettivarkauteen, sillä tällaisella laitteella väärät tahot voivat päästä käsiksi käyttäjän muihin laitteisiin tai henkilötietoihin. Laajemmin kyse on yhteiskunnan turvallisuudesta, kun laitteiden avulla murtaudutaan vaikkapa junaliikenteen hallintajärjestelmiin tms.

Mitä tietoturvatestaajat tekevät?

Teemme sitä, mitä hakkeritkin tekevät – toivomme kuitenkin, että saisimme tehdä testauksen ennen hakkereita. Tarkistamme, paljastaako älylaite tietoja, joita sen ei kuuluisi paljastaa. Jos me voimme vaihtaa laitteen salasanan tai pääsemme käsiksi arkaluontoisiin tietoihin, silloin myös hakkerit voivat tehdä niin.

Esimerkiksi älykellon testaaminen alkaa etsimällä verkosta mahdollisimman paljon tietoa kellosta ja sen käyttöjärjestelmästä. Tämä tieto on helposti kaikkien saatavilla. Kellot kommunikoivat valmistajan pilvisovellusten kanssa. Me tutkimme tässä välittyvää tietoa – onko siinä jotain mielenkiintoista ja huomionarvoista? Pahimmassa tapauksessa tietoa ei ole suojattu, jolloin se voi joutua vääriin käsiin. Tästä eteenpäin jatkamme testausta erilaisilla metodeilla tapauksesta riippuen.

Tuotteissa voi olla tietoturvariskejä, jotka johtuvat esiasennetuista sovelluksista. Esimerkiksi Facebookilta näyttävä sovellus voi olla muunneltu versio, joka lähettää jatkuvasti eteenpäin tietoa käyttäjästä. Markkinoilla on nykyisin monia vähemmän tunnettuja älylaitteiden valmistajia, joiden tuotteet saattavat sisältää vastaavia tietoturvariskejä.

Miten toimitte, mikäli tuotteesta löytyy ns. takaovi tai tietoturva-aukko?

Jos löydämme laitteesta haavoittuvuuden, analysoimme ensin, kuinka todennäköisesti ko. heikkoutta pystytään hyödyntämään. Toimitamme analyysin tulokset toimenpidesuosituksineen asiakkaallemme ja autamme tarvittaessa asiakasta toteuttamaan korjaavat toimenpiteet. Tämän jälkeen suoritamme testauksen uudelleen varmistaaksemme, että tuote on turvallinen.

Millaisia tuotteita testaatte ja kenelle?


Meillä on laaja-alaista osaamista tietoturvatestauksesta ja testaamme tuotteita monille eri teollisuudenaloille. Testattavat kohteet ovat usein IoT-laitteitta tai kriittistä infrastruktuuria – tulevaisuuden älykäs linja-autojärjestelmä tai vaikkapa internetiin kytkettävä uuni. Valmistajat haluavat testata tuotteita ennen niiden markkinoille tuloa. Tietoturvatestaus tehdään aina läheisessä yhteistyössä asiakkaan kanssa.

Onko tuotteiden turvallisuudessa tapahtunut kehitystä ajan myötä?

Kun aloitimme tietoturvatestauksen Combitechilla yli 20 vuotta sitten, tuotteiden yleinen turvallisuustaso oli heikko. Kehitystä on noista ajoista tapahtunut paljon ja suurin osa yrityksistä valmistaa vuosi vuodelta turvallisempia tuotteita. Samaan aikaan tuotteista on kuitenkin tullut verkottuneita ja entistä monimutkaisempia. Mahdolliset hyökkäystavat ovat lisääntyneet ja riski sille, että jotain jää huomaamatta, on kasvanut. Tuotteiden loppukäyttäjät ovat harvoin tietoisia näistä ongelmista ostopäätöstä tehdessään. Älylaitteita voidaan myös käyttää turvallisella tai vähemmän turvallisella tavalla – eli käyttäjilläkin on oma vastuunsa turvallisuudesta.