Esineiden internetissä nostaa päätään uusi uhkakuva, jonka ei soisi toteutuvan kenenkään kohdalla.

Onko ilmalämpöpumpussasi nettiyhteys? Se on silloin osa esineiden internetiä eli IoT:tä (internet of things). Entäpä pesukoneesi, kiukaasi, vauvasi itkuhälytin, valvontakamerasi tai vaikka kuntokellosi? Kyse on kaikkiaan kymmenistä miljardeista laitteista, jotka valtaavat pian maailman niin, että ne ovat yhtä huomaamattomia kuin ilma. Niiden kautta voidaan myös aiheuttaa paljon vahinkoa.

– Nettikamerat ovat Suomessa IoT:n yleisin hyökkäyskohde, kertoo verkko-operaattoreita tekoälyn avulla suojaavan Cujo AI:n Espoon yksikön vetäjä Kimmo Kasslin.

Kasslin kumppaneineen vastaa vuonna 2015 perustetun amerikkalaisyhtiön tietoturvalaboratoriosta. Osana tätä työtä Espoon laboratoriossa tutkitaan hyökkäyksiä IoT-laitteisiin. Tällä hetkellä testipenkissä on web-kameroita.

Suomi poikkeaa muista

Liikenne- ja viestintävirasto Traficom arvioi, että vuonna 2018 yli puolet Suomen haittaohjelmatartunnoista koski kuluttajien verkkoon kytkettyjä IoT-laitteita.

F-Securella aiemmin työskennellyt Kimmo Kasslin vetää Cujon yksikköä Espoossa.

Kasslinin mukaan luku on kansainvälisesti poikkeuksellisen korkea ja voi kertoa Suomen yleisesti hyvästä tietoturvatasosta. Kun vaikkapa Windowsin haavoittuvuuksilla tai sähköpostin huijausviestillä ei enää saada tarpeeksi uhreja, on keksittävä uusia keinoja. Muu maailma seurannee perässä.

Tällä hetkellä IoT-tartunta tarkoittaa useimmin vaikkapa reitittimen tai nettikameran valjastamista osaksi suuria muista vastaavista laitteista koostuvia armeijoita, niin sanottuja bottiverkkoja. Niillä voidaan tehdä hyökkäyksiä muualle, eli laitteen omistaja ei ole pääkohde. On kuitenkin merkkejä, että tilanne on muuttumassa.

Äskettäin Britanniassa annettiin vankeustuomio tapauksessa, jossa ihmisiä oli vakoiltu heidän makuuhuoneissaan nettikameraan asennetulla haittaohjelmalla. Se sai aikaan sen, että kameran valo ei palanut, vaikka lähetys oli käynnissä.

Cujo AI:n Kasslin näkee tapauksessa potentiaalia katastrofaalisiin väärinkäytöksiin, jos tällä tavalla tallennettuja seksivideoita jaetaan netissä tai niillä kiristetään rahaa. Kiristyksiä seksin katselun varjolla on sinänsä tehty pitkään, mutta yleensä väitteet ovat olleet tekaistuja.

Jatkossa tilanne ei enää välttämättä ole niin.

– Se voi johtaa jopa itsetuhoisiin aikeisiin, Kasslin pelkää.

Toinen vaara koskee kotiverkkoja, joissa voi olla lukuisia wifi-yhteydessä olevia laitteita. Jos yhdessä on kaappauksen mahdollistava haavoittuvuus, hyökkääjä voi sen kautta päästä käsiksi koko perheen tietoihin, kuten valokuviin. Aiemmin tällainen heikoin lenkki -hyökkäys on koskettanut enimmäkseen yrityksiä, joiden verkkoihin tunkeudutaan esimerkiksi yhden työntekijän tietokoneen kautta.

Yhdysvaltain liittovaltion poliisi FBI onkin neuvonut tekemään kotiverkon sisällä vielä erillisiä verkkoja, joissa laitteet olisivat paremmin suojassa.

Paljon hyvää

F-Securen tutkimusjohtaja Mikko Hyppönen on verrannut esineiden internetiä asbestipommiin, jonka haitat tajuttiin vasta jälkikäteen.

– Olen samaa mieltä, että olisi ehdottomasti ollut hyvä puuttua tähän ongelmaan aikaisemmin, Kasslin sanoo.

Toisaalta Kasslin, entinen f-securelainen, ei näe syytä synkistelyyn IoT:n tietoturvan suhteen. Vielä ei ole myöhäistä estää tilannetta pääsemästä hallinnasta, ja etenkin Suomessa on merkkejä siitä, että uusiin uhkiin ollaan varautumassa.

Varautumisesta todistaa esimerkiksi Traficomin hiljattain lanseeraama tietoturvamerkki, joka on kuluttajan tae tietoturvalliseksi suunnitellusta tuotteesta tai palvelusta.

Tällä hetkellä tietoturvamerkin ovat tosin saaneet Traficomin Tietoturvamerkki.fi-sivuston perusteella vasta kolme tuotetta, joihin lukeutuu älykotikeskus, kuntokello ja älytermostaattipalvelu.

Ei heräteostoksia

Kimmo Kasslinin mukaan laitteen brändi on kriittinen kriteeri, kun kuluttaja suunnittelee ostosta. Onko valmistajalla hyvä maine tietoturvassa, ja onko päivitysten saaminen laitteeseen mutkatonta ja useita vuosia jatkuvaa? IoT:ssä ei ole varaa heräteostoksiin.

– Fakta on se, että jokainen laite, jossa on softaa tai rautaa, on haavoittuva, ja aukot tullaan löytämään. Laitteen pitää olla päivitettävissä. Myös kuluttajat alkavat ymmärtää, että ei voi tai kannata ostaa mitä tahansa laitetta. Myös turvallisia on myynnissä. Halvin tuote ei välttämättä ole paras, Kasslin ohjeistaa.

Joihinkin laitteisiin vaikkapa viiden vuoden taatut päivitykset riittävät, mutta jossain vaiheessa valmistajan on sanottava että nyt riittää. Mikä silloin neuvoksi kuluttajalle, joka ei halua luopua sinänsä toimivasta laitteesta ja maksaa uudesta?

Kasslin odottaa, että ainakin perinteisesti pitkäikäisiin vempaimiin, kuten pesukoneisiin, tarjotaan päivityksiä pidemmäksikin aikaa, jopa vuosikymmeneksi.