1. elokuuta vuonna 2024 on merkittävä päivä elektroniikkaa ostavien kuluttajien kannalta. Tästä päivästä lähtien tietoturvavaatimusten vastaiset laitteet voidaan lain nojalla poistaa myynnistä.
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus kertoo, että taustalla on Euroopan unionin radiolaitedirektiivi, jonka siirtymäkausi on menossa. Keskus mainitsee laitteiden tyypillisenä ongelmana oletuksena heikot salasanat ja tietoja suojaavan salauksen puuttumisen.
Tietoturvavaatimuksia sovelletaan esimerkiksi internetiin liitettäviin laitteisiin, leluihin, lastenhoitoon liittyviin laitteisiin ja päälle puettaviin laitteisiin. Käyttäjien yksityisyyden suojaamisen ohella vaatimusten odotetaan estävän rahaa tavoittelevia petoksia, joissa hyödynnetään verkkoon liitettyjä laitteita.
Tietoturvaongelmaa on pahentanut internet-yhteyden lisääminen useisiin sellaisiin laitteisiin, joissa sellaista ei perinteisesti ole ollut. Tällaisia laitteita ovat vaikkapa kodin älykkäät valaisimet, kodinkoneet tai lukuisat erilaiset lasten lelut. Valmistajilla puolestaan ei aina ole ollut osaamista tai halukkuutta huolehtia tietoturvasta.
Seurauksena laitteet on muun muassa ollut mahdollista kaapata osaksi niin sanottuja bottiverkkoja, joilla voidaan toteuttaa hyökkäyksiä muita kohteita vastaan.
Ongelmasta saatiin hyvä esimerkki äskettäin, kun Suomesta paljastui 1 300 kappaletta myyty vaarallinen webbikamera. Se on valjastettavissa niin salakatselulaitteeksi kuin palvelunestohyökkäyksiä tekevän bottiverkon osaksi.
Lue lisää: Kommentti: Sika säkissä satasella – meillä on polttava ongelma nettilaitteiden kanssa
Tämä webbikamera on yksi tuoreimmista esimerkeistä, mitä vaarallisiin tuotteisiin tulee.
Tapaus ei kuitenkaan ole ainutlaatuinen. Ottaessaan verkkoon kytkeytyvän laitteen käyttöön meistä jokainen on ollut toistaiseksi laitteen toimittajan armoilla. 1.8.2024 tämän toivotaan muuttuvan.
Viranomaisen mukaan valmistajien, maahantuojien ja myyjien ei tule kuitenkaan aikailla, vaan niiden pitää varmistaa tuotteiden tietoturvataso heti. Siirtymäajan päätyttyä Traficom valvoo uusien vaatimusten noudattamista, ja säädöksen vastaiset laitteet voidaan tarvittaessa poistaa markkinoilta.
Iso osa ongelmaa on ohjelmistopäivitysten usein heikko tai olematon saatavuus. Laitteissa voi olla haavoittuvuuksia, jotka huomataan vasta myyntiin tulon jälkeen. Aina laitteet eivät kuitenkaan sisällä edes päivitysmekanismia, joka mahdollistaisi korjausten toimittamisen. Päivitykset myös usein loppuvat ennen laitteen käyttöiän päättymistä.
Lue lisää: Tietoturvayhtiö: Näitä sovelluksia hakkeroidaan ensi vuonna
Päivitysten pulmaan radiolaitedirektiivistä ei ole apua. EU:ssa muhii kuitenkin toinen lakialoite, joka puuttuisi nimenomaan ohjelmistopäivitysten saatavuuteen. Tavoitteena on esimerkiksi pakottaa puhelinvalmistajat tarjoamaan tietoturvapäivityksiä 5 vuoden ajan lukien siitä hetkestä, jolloin tuote poistuu markkinoilta. Eli jos puhelin on myynnissä 2 vuotta, tuen kaari olisi vähintään 7 vuotta.
Lue lisää: EU suunnittelee isoja muutoksia puhelimiin
Jo nykyään tuotteille on voinut hakea Traficomin vapaaehtoista Tietoturvamerkkiä. Se voidaan myöntää tuotteelle, joka täyttää Kyberturvallisuuskeskuksen näkemyksen kuluttajatuotteen tietoturvan hyvästä perustasosta.
Ongelma on siinä, että tietoturvamerkattuja tuotteita ei ole montaa. Merkkejä on myönnetty 25 kappaletta, joista kaksi on jo käytöstä poistuneilla Koronavilkulla ja Koronatodistuksen lukijalla.
Toistaiseksi kuluttajien kannattaa vielä muistaa pari nyrkkisääntöä ennen elektroniikan ostamista:
Kysy myyjältä, kauanko laite saa päivityksiä tai milloin viimeisin sellainen on tullut.
Googlaa kiinnostava laite etukäteen. Löytyykö netistä oikeita testiartikkeleita, ei pelkästään mahdollisesti tekaistuja viiden tähden ostoarvosteluita?
Oletko kuullut valmistajasta aikaisemmin? Tunnetko jonkun tyytyväisen käyttäjän?
