MITÄ IOT MERKITSEE YRITYKSILLE JA MITÄ SILLE PITÄISI TEHDÄ?

Mitä esineiden internet merkitsee yrityksille ja mitä sille pitäisi tehdä?

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: huhtikuu 4, 2016
Lukuaika: 3 Minuuttia

Esineiden Internet on kaikkialla. Valitettavasti turvallisuus ei ole sen vakio-ominaisuus.

Esineiden internetiä (IoT) on sen nykyisin yleisimmillä järjestelyillä hyvin vaikea tehdä turvalliseksi. Turvallisuuteen kiinnitetään tyrmistyttävän vähän huomiota. Nykyinen infrastruktuuri olisi helppo tehdä paljon turvallisemmaksi. Järjestelmät voi helposti eristää. Sen sijaan seurantajärjestelmät, jotka havaitsevat huonosti käyttäytyvät järjestelmät, ovat vielä hakusessa. Pitäisi ottaa oppia telekommunikaatioalasta ja muista toimialoista, joiden järjestelmät ovat enimmäkseen hyvin hallinnassa. Tähän päästään vain, jos tietoturva on perusvaatimus.

Miksi esineiden internetin turvallisuus on niin vaikea järjestää?

F-Securen Laboratorioiden asiantuntija Jarno Niemelä selittää:

Perussyy piilee siinä, että IoT-laitteet ovat niin halpoja. Lisäksi esineiden internetiä rakentavat etupäässä startup-yritykset, joilla on kiire saada tuotteet markkinoille ja joilla ei ole tietoturvaosaamista.

Turvallisuus ei kuulu edes monien isompien yritysten ydinosaamiseen eivätkä nekään pidä turvallisuutta pidetä kovin tärkeänä uusia tuotteita suunniteltaessa. Kuvaava esimerkki on hakkeroitu Wi-Fi-Barbie-nukke.

Teollisuuden IoT:n tilanne on monimutkaisempi. IoT on nouseva teollisuusautomaation trendi etupäässä siksi, että sen toivotaan laskevan kustannuksia. Ovathan pc:t halvempia kuin tiettyyn erityistehtävään tarkoitetut erikoisohjaimet, ja IoT-ohjaimet ovat vieläkin halvempia. Lisäksi kommunikointi internetin kautta on kustannustehokasta. Toisaalta IoT:n turvaongelmista on useita painajaismaisia esimerkkejä.

Miksi kriittinen infrastruktuuri on niin heikolla hapella? Jarno jatkaa:

Loppujen lopuksi kyse on rahasta – turvallisuus maksaa.  Valitettavan usein asiakas ei sisällytä tarjouspyyntöön turvavaatimuksia.  Niinpä tarjouskilpailun voittaa toimija, joka vähät välittää turvallisuudesta.

Toinen syy liittyy siihen, miten ohjausjärjestelmät toteutetaan. Tärkein tavoite on käytettävyys. Kaiken, mikä heikentää käytettävyyttä – mukaan lukien tietoturva – katsotaan olevan pahasta. Myös tietoturvaväessä on vikaa, sillä turvajärjestelmä on usein asiakaskohtainen ja monimutkainen.

  • Hoida langattomat päivitykset (OTA, over-the-air update) turvallisesti.
  • Allekirjoita ja varmista päivityspaketit.
  • Käytä kaikessa tietoliikenteessä turvallista TLS-yhteyskäytäntöä. (Transport Layer Security, ennen SSL, Secure Sockets Layer)
  • Luota vain juurivarmenteeseen (Pin to root certificate).
  • Käytä satunnaisia oletussalasanoja.
  • Käytä mieluiten vahvaa autentikointia eli kaksitasoista tunnistautumista puhelimille ja tietokoneohjelmille.
  • Sulje kaikki palvelut, joita ei tarvita.
  • Esimerkiksi SSH:ta (Secure Shell) ehkä tarvitaan kehitysvaiheessa, mutta ei tuotantoversiossa.
  • Seuraa kaikkien kolmannen osapuolen kirjastojen turvatilannetta.

Haavoittuvuus voi yhtä hyvin piileksiä kirjastossa kuin omassa koodissasi.

Entäpä IoT:n asiakkaat. Mitä pitää tehdä, jos käyttää IoT:n valmistajalta ostettua IoT:tä?

  • Auditoi kaikki käytössä olevat laitteesi.
  • Vähintäänkin aja nmap-turvaskannaus kaikille liitännöille.
  • Asiakaslaitteessa ei saa olla avoimia portteja.
  • Vaadi valmistajaa parantamaan turvallisuutta.
  • Jos huomat ongelmia, raportoi niistä.
  • Jos joku muu raportoi ongelmista, ota yhteys tavarantoimittajaan.
  • Jos toimittaja julkaisee päivityksiä, ota ne käyttöön.
  • Mitä yhteistä on pc:llä, reitittimellä ja kopiokoneella?
  • kaikkiin niihin pitää asentaa päivitykset.

IoT-laitteiden eristäminen on hyvä keino suojata IoT ja teollisuusautomaatio. Monet valmistukseen kohdistuvat hyökkäykset näet tulevat nimenomaan yhtymätason IT:n kautta. Esimerkiksi räjähdys saksalaisessa terästehtaassa sai alkunsa sähköpostihyökkäyksestä, joka eteni verkossa sivusuuntaisesti lopulta sulatusuuniin. Pahamaineinen hyökkäys Ukrainan voimansiirtoverkkoon sekin alkoi hyökkäyksellä toimistoverkkoon ja jatkoi sieltä kriittiseen infrastruktuuriin.

Edelleen hyökkäysvektori kohdistuu todennäköisimmin murrettuun yritysverkkoon. Siispä tee yritysverkko mahdollisimman hyvin hyökkäyksiä kestäväksi.  Löydät hyviä neuvoja, joilla yritysverkosta tehdään kyberturvallinen, esityksestä Defending Networks.

Tämä kirjoitus perustuu Jarnon esitykseen konferenssissa Tietoturva 2016, joka järjestettiin Tsekin tasavallassa.

Tutustu koko esitysmateriaaliin täyttämällä alla olevat tiedot.


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s