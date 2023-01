Kommentti: Sika säkissä satasella – meillä on polttava ongelma netti­laitteiden kanssa

Verkkoon kytkettävän laitteen, kuten nettikameran tai reitittimen, tekemisistä ei voi olla varma. Silti toiset laitteet ovat turvallisempia kuin toiset, kirjoittaa Ilta-Sanomien digitoimittaja Henrik Kärkkäinen.

Ilta-Sanomat Digitoday kirjoitti tänään Suomessa myytävästä webbikamerasta, joka on avoin kaikille pääkäyttäjän salasanan tunteville. Tämän lisäksi laite on kaapattavissa verkosta käsin, eli siihen on mitä ilmeisimmin jätetty tarkoituksellisesti takaovi.

Tämä tarkoittaa sitä, että kamera on valjastettavissa niin salakatselulaitteeksi kuin palvelunestohyökkäyksiä tekevän bottiverkon osaksi. Tai mitä kameraa etäohjaavalle taholle nyt mieleen juolahtaakaan.

Tapaus ei ole ainutlaatuinen – kaikkea muuta. Ottaessaan verkkoon kytkeytyvän laitteen käyttöön meistä jokainen on laitteen toimittajan armoilla. Päällepäin kukaan ei voi nähdä, tekeekö se luvattujen asioiden ohessa jotain muutakin.

Silti ostajilla pitäisi olla oikeus luottaa markettiketjun hyllyillä myytävän tuotteen turvallisuuteen. Se herättää suuren kysymyksen: kuka on vastuussa kauppoihin tulevien laitteiden turvallisuudesta?

Mahdollisia vastauksia ovat maahantuoja ja viranomaiset. Molemmissa on ongelmansa.

Monet maahantuojat ovat pienyrityksiä, joilla ei ole resursseja testaamiseen. Tuotteen perinpohjainen turvatarkistus eli auditointi on hidasta ja rahaa vievää. Ja kun laite saa ohjelmistopäivityksen, kaikki pitäisi tehdä uudelleen. Minkä tahansa laitteen voi teoriassa päivittää vakoiluaparaatiksi.

Verkkoon kytkeytyvä eli ip-laite kannattaa ostaa ajatuksella. Halvin ja tuntematon vaihtoehto ei välttämättä ole paras.

Suomessa viranomainen, tässä tapauksessa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus, ratkoo ongelmaa Tietoturvamerkillä. Se on logo, joka myönnetään tuotteille, jotka täyttävät tietyt kriteerit. Näitä ovat muun muassa hyvät salasanakäytännöt, ohjelmistopäivitykset, turvalliset oletusasetukset sekä tiedon turvallinen siirto ja säilytys. Lopuksi kolmas osapuoli tekee merkkiä hakeneelle tuotteelle tarkastuksen, jonka tuloksia vertaillaan merkin vaatimuksien kanssa.

Ongelma on siinä, että tietoturvamerkattuja tuotteita ei ole montaa. Merkkejä on myönnetty 25 kappaletta, joista kaksi on jo käytöstä poistuneilla Koronavilkulla ja Koronatodistuksen lukijalla.

Kannustavaa on kuitenkin se, että kotimaisten ohjelmistojen ja tuotteiden lisäksi listaan on ilmestynyt ulkomaisten valmistajien laitteita, muun muassa taiwanilaisen Asusin ja amerikkalaisen Googlen reitittimiä.

Turvamerkattuja nettikameroita ei kuitenkaan ole. Nyt on syytä kääntää katse isoihin kauppaketjuihin ja maahantuojiin: mitäpä, jos laittaisitte painetta valmistajien suuntaan ja korostaisitte tietoturvamerkintää kilpailuetuna?

Tätä odotellessa ostajan kannattaa tehdä läksynsä ennen (netti)kauppaan menoa.

Kysy myyjältä, kauanko laite saa päivityksiä tai milloin viimeisin sellainen on tullut.

Googlaa kiinnostava laite etukäteen. Löytyykö netistä oikeita testiartikkeleita, ei pelkästään mahdollisesti tekaistuja viiden tähden ostoarvosteluita?

Oletko kuullut valmistajasta aikaisemmin? Tunnetko jonkun tyytyväisen käyttäjän?

Ja sitten toivotaan parasta, että laite tosiaan tekee vain ja ainoastaan sen, mitä luvataan. Ettei laitteesta tarvitse rahan lisäksi maksaa yksityisyydellään ja datallaan.