IoT turvallisuus – miten vakavasta huolenaiheesta on kyse?
Kuuluisaan tietoturvaan keskittyneeseen KrebsOnSecurity -blogisivustoon kohdistui syyskuussa 2016 mittava palveluestohyökkäys (DDoS) (620 Gbps). Kyseinen hyökkäys on merkittävä kolmesta syystä:
- hyökkäys oli aikanaan isoin ja on edelleen yksi historian suurimmista DDoS-hyökkäyksistä
- se oli ensimmäinen Mirai-bottiverkon avulla toteutettu hyökkäys
- ensimmäinen hyökkäys, joka käytti hyväkseen IoT-laitteita.
Tähänastisista hyökkäyksistä suurin (>1Tbps) DDoS-hyökkäys kohdistui heti lokakuussa 2016 yhdysvaltalaiseen Dyn DNS-operaattoriin. Myös tämä hyökkäys toteutettiin Mirai-haittaohjelman saastuttamilla IoT-laitteilla. Hyökkäys aiheutti usean päivän katkon Dyn:in palveluissa, mikä vaikutti eniten Yhdysvaltojen itärannikolla ja ajoi lukuisien yritysten (mm. AirBnB, Netflix, PayPal, Visa, Amazon, The New York Times, Reddit, and GitHub) verkkopalveluita alas. Turvallisuusluokituksia tarjoava BitSight arvioi, että Dyn menetti noin 8% asiakkaistaan hyökkäyksen takia, jonka lisäksi on mahdotonta arvioida kuinka suuren rahallis kolauksen verkkopalveluita tarjoavat yritykset kärsivät.
Mutta miten tämä oli mahdollista?
Aloitetaan tarina Mirai:sta. Mirai (japaniksi: 未来, “tulevaisuus”) on haittaohjelma, joka skannaa verkosta IoT-laitteita, joissa on tehdasasetuksissa määrätty heikko salasana. Havaittuaan haavoittuvan laitteen (kuten IP-kameran, Smart TV:n, printterin tai vastaavan verkotetun laitteen), haittaohjelma ottaa laitteen haltuun ja alkaa monistumaan sen kautta uusiin laitteisiin. Kaikista vallatuista laitteista muodostuu bottiverkko, jossa voi pahimmillaan olla miljoonia laitteita kiinni. Hyökkääjä voi nyt käskyttää kaikkia näitä botteja lähettämään verkkokutsuja yhteen kohteeseen, jolloin samanaikainen verkkoliikenne muodostuu niin suureksi, että sillä saa pahimmillaan ajettua kohteen verkkopalvelut alas.
Mikä tekee IoT-laitteista niin kiinnostavia verkkorikollisille ?
Radware listaa blogissaan muutamia syitä tähän.
- Monissa verkotetuissa laitteissa on tehdasasetuksissa määrätyt tunnetut salasanat (esim. root:root tai admin:admin) ja heikko tietoturva jonka takia ne ovat helppoja kohteita.
- Laitteet ovat saavutettavissa 24/7 ja niiden lukumäärä kasvaa räjähdysmäisesti.
- Haittaohjelma pystyy vaihtamaan laitteen salasanan ja näin estämään laitteen käyttäjän sisäänkirjautumisen.
- Laitteita valvotaan ja ylläpidetään heikosti, joten hyökkääjä voi halutessaan sammuttaa laitteita ja kaapata ne omaan käyttöön.
- Hyökkääjä pystyy hallinnoimaan tuhansia laitteita lähes olemattomilla kustannuksilla.
IoT-laitteiden lukumäärä ja niiden aiheuttama tietoturvauhka kasvavat jatkuvasti. Gartner ennustaa, että asennettujen laitteiden lukumäärä kasvaa vuoden 2018 11 miljardista laitteesta 125 miljardiin laitteeseen vuoteen 2030 mennessä. Näistä laitteista noin 60% on tarkoitettu kuluttajamarkkinoille ja kuluttajalaitteet ovat perinteisesti heikosti turvattuja.
EU:n kyberturvallisuusdirektiivi tuo helpotusta
Eurooppa-neuvosto kehotti 18. lokakuuta 2018 ryhtymään toimenpiteisiin vahvan kyberturvallisuuden rakentamiseksi Euroopan unionissa. EU-johtajat viittasivat erityisesti rajoittaviin toimenpiteisiin, joilla pystytään vastaamaan kyberhyökkäyksiin ja estämään niitä.
Kyberuhkien torjumiseen tähtäävä uudistettu EU:n sitoumus perustuu Euroopan komission syyskuussa 2017 esittämään kyberturvallisuuden uudistuspakettiin.
Uudistuksella jatketaan toimia, jotka otettiin käyttöön kyberturvallisuusstrategialla ja sen tärkeimmällä osatekijällä, verkko- ja tietojärjestelmien turvallisuudesta annetulla direktiivillä (kyberturvallisuusdirektiivi).
Direktiivi luo myös raamit tuotteiden, prosessien ja palveluiden tietoturvasertifioinnille koko EU:n alueella. On käänteentekevää edistystä, että laaditaan ensimmäinen sisämarkkinoille suunnattu laki, joka keskittyy verkottuneiden laitteiden (IoT) sekä kriittisen infrastruktuurin tietoturvan parantamiseen. Toistaiseksi laki on kuitenkin vapaaehtoinen, mutta on mahdollista, että laki tulee pakolliseksi kaikille jäsenmaille, jos nykyinen tilanne ei parane.
Direktiiviä valvoo ENISA, eli European Network and Information Security Agency, joka on perustettu vuonna 2004. ENISA on myös julkaissut vähimmäissuositukset IoT-laitteiden tietoturvalle.
Mikä vaikutus direktiivillä sitten on?
Selkeitä hyviä puolia on helppo luetella:
- Tietoisuuden lisääminen. Yritysten ja yksityishenkilöiden on helpompi sisäistää tietoturvaan vaikuttavia tekijöitä, kun on olemassa yhteinen termistö.
- Tieturvauhkien vähentäminen. Kun laitevalmistajat alkavat noudattaa säädettyä vähimmäistasoa, laitteiden turvataso paranee.
- Tietoturvasertifioinnin keskittyminen EU-tasolle. Aikaisemmin yritykset joutuivat sertifioimaan laitteensa eri jäsenmaissa. Tällä hetkellä vain yksi EU-tason sertifikaatti riittää ja vähentää yritysten sertifiointikustannuksia merkittävästi.
Olemassa on kuitenkin muutama huolenaihe:
Jos laitteet tuodaan EU:n ulkopuolelta, mistä kuluttaja tai yritys voi tietää, että laite on virallisesti sertifioitu? Entä miten voi tietää, ettei sertifikaattia ole väärennetty? Kenen vastuulla on valvoa, että laitteet ovat sertifioituja ja voiko näitä tahoja rankaista väärinkäyttötapauksissa?
Parannuksia luvassa
Mielestäni on huojentavaa, että muutkin tahot EU:n lisäksi ovat ottaneet askelia tietoturvauhkien vähentämiseksi. Esimerkiksi Kaliforniassa on säädetty vuonna 2018 tietoturvalaki IoT-laitteille. Laki tulee voimaan vuonna 2020 ja uskon ja toivon, että moni muukin julkinen taho seuraa perässä.
On myös vaikuttavaa nähdä miten Microsoft on mukana kehittämässä IoT-laitteiden tietoturvaa. Azure Sphere tarjoaa alustan, jonka avulla organisaatio voi rakentaa IoT-ratkaisun, jossa tietoturva on huomioitu alusta loppuun. Microsoft lupaa hoitaa alustan päälle rakennettujen laitteiden turvapäivitykset vuosiksi eteenpäin. Kuten 451 Research kertoo: “Azure Sphere on merkittävin yksittäisen ison teknologiayrityksen aikaansaama liike parantaa IoT-laitteiden tietoturvaa holistisesti”.
Innofactor tarjoaa monia palveluita, jotka auttavat organisaatioita menestymään IoT-projekteissaan ja tekemään niistä kannattavia. IoT Journey -metodologian mukaisesti autamme asiakkaitamme projektin kaikissa vaiheissa aina henkilöstön taitojen arvioinnista liiketoimintamallien validointiin ja oikean IoT-strategian löytämiseen. Autamme luomaan prosesseja ja varmistamme turvallisen matkan kohti tuotantovalmiita palveluita.
IoT Business Architect
Jasu is experienced in matching technology with business goals. At its best, new business development is a treasure hunt with the customer, where the treasure is to find mutually beneficial solutions.