Kuuluisaan tietoturvaan keskittyneeseen KrebsOnSecurity -blogisivustoon kohdistui syyskuussa 2016 mittava palveluestohyökkäys (DDoS) (620 Gbps). Kyseinen hyökkäys on merkittävä kolmesta syystä:
Tähänastisista hyökkäyksistä suurin (>1Tbps) DDoS-hyökkäys kohdistui heti lokakuussa 2016 yhdysvaltalaiseen Dyn DNS-operaattoriin. Myös tämä hyökkäys toteutettiin Mirai-haittaohjelman saastuttamilla IoT-laitteilla. Hyökkäys aiheutti usean päivän katkon Dyn:in palveluissa, mikä vaikutti eniten Yhdysvaltojen itärannikolla ja ajoi lukuisien yritysten (mm. AirBnB, Netflix, PayPal, Visa, Amazon, The New York Times, Reddit, and GitHub) verkkopalveluita alas. Turvallisuusluokituksia tarjoava BitSight arvioi, että Dyn menetti noin 8% asiakkaistaan hyökkäyksen takia, jonka lisäksi on mahdotonta arvioida kuinka suuren rahallis kolauksen verkkopalveluita tarjoavat yritykset kärsivät.
Mutta miten tämä oli mahdollista?
Aloitetaan tarina Mirai:sta. Mirai (japaniksi: 未来, “tulevaisuus”) on haittaohjelma, joka skannaa verkosta IoT-laitteita, joissa on tehdasasetuksissa määrätty heikko salasana. Havaittuaan haavoittuvan laitteen (kuten IP-kameran, Smart TV:n, printterin tai vastaavan verkotetun laitteen), haittaohjelma ottaa laitteen haltuun ja alkaa monistumaan sen kautta uusiin laitteisiin. Kaikista vallatuista laitteista muodostuu bottiverkko, jossa voi pahimmillaan olla miljoonia laitteita kiinni. Hyökkääjä voi nyt käskyttää kaikkia näitä botteja lähettämään verkkokutsuja yhteen kohteeseen, jolloin samanaikainen verkkoliikenne muodostuu niin suureksi, että sillä saa pahimmillaan ajettua kohteen verkkopalvelut alas.
Radware listaa blogissaan muutamia syitä tähän.
IoT-laitteiden lukumäärä ja niiden aiheuttama tietoturvauhka kasvavat jatkuvasti. Gartner ennustaa, että asennettujen laitteiden lukumäärä kasvaa vuoden 2018 11 miljardista laitteesta 125 miljardiin laitteeseen vuoteen 2030 mennessä. Näistä laitteista noin 60% on tarkoitettu kuluttajamarkkinoille ja kuluttajalaitteet ovat perinteisesti heikosti turvattuja.
Eurooppa-neuvosto kehotti 18. lokakuuta 2018 ryhtymään toimenpiteisiin vahvan kyberturvallisuuden rakentamiseksi Euroopan unionissa. EU-johtajat viittasivat erityisesti rajoittaviin toimenpiteisiin, joilla pystytään vastaamaan kyberhyökkäyksiin ja estämään niitä.
Kyberuhkien torjumiseen tähtäävä uudistettu EU:n sitoumus perustuu Euroopan komission syyskuussa 2017 esittämään kyberturvallisuuden uudistuspakettiin.
Uudistuksella jatketaan toimia, jotka otettiin käyttöön kyberturvallisuusstrategialla ja sen tärkeimmällä osatekijällä, verkko- ja tietojärjestelmien turvallisuudesta annetulla direktiivillä (kyberturvallisuusdirektiivi).
Direktiivi luo myös raamit tuotteiden, prosessien ja palveluiden tietoturvasertifioinnille koko EU:n alueella. On käänteentekevää edistystä, että laaditaan ensimmäinen sisämarkkinoille suunnattu laki, joka keskittyy verkottuneiden laitteiden (IoT) sekä kriittisen infrastruktuurin tietoturvan parantamiseen. Toistaiseksi laki on kuitenkin vapaaehtoinen, mutta on mahdollista, että laki tulee pakolliseksi kaikille jäsenmaille, jos nykyinen tilanne ei parane.
Direktiiviä valvoo ENISA, eli European Network and Information Security Agency, joka on perustettu vuonna 2004. ENISA on myös julkaissut vähimmäissuositukset IoT-laitteiden tietoturvalle.
Selkeitä hyviä puolia on helppo luetella:
Olemassa on kuitenkin muutama huolenaihe:
Jos laitteet tuodaan EU:n ulkopuolelta, mistä kuluttaja tai yritys voi tietää, että laite on virallisesti sertifioitu? Entä miten voi tietää, ettei sertifikaattia ole väärennetty? Kenen vastuulla on valvoa, että laitteet ovat sertifioituja ja voiko näitä tahoja rankaista väärinkäyttötapauksissa?
Mielestäni on huojentavaa, että muutkin tahot EU:n lisäksi ovat ottaneet askelia tietoturvauhkien vähentämiseksi. Esimerkiksi Kaliforniassa on säädetty vuonna 2018 tietoturvalaki IoT-laitteille. Laki tulee voimaan vuonna 2020 ja uskon ja toivon, että moni muukin julkinen taho seuraa perässä.
On myös vaikuttavaa nähdä miten Microsoft on mukana kehittämässä IoT-laitteiden tietoturvaa. Azure Sphere tarjoaa alustan, jonka avulla organisaatio voi rakentaa IoT-ratkaisun, jossa tietoturva on huomioitu alusta loppuun. Microsoft lupaa hoitaa alustan päälle rakennettujen laitteiden turvapäivitykset vuosiksi eteenpäin. Kuten 451 Research kertoo: “Azure Sphere on merkittävin yksittäisen ison teknologiayrityksen aikaansaama liike parantaa IoT-laitteiden tietoturvaa holistisesti”.
Innofactor tarjoaa monia palveluita, jotka auttavat organisaatioita menestymään IoT-projekteissaan ja tekemään niistä kannattavia. IoT Journey -metodologian mukaisesti autamme asiakkaitamme projektin kaikissa vaiheissa aina henkilöstön taitojen arvioinnista liiketoimintamallien validointiin ja oikean IoT-strategian löytämiseen. Autamme luomaan prosesseja ja varmistamme turvallisen matkan kohti tuotantovalmiita palveluita.