Kun tietoturva pettää ja kodin älylaitteet sekoavat, syy on aina kuluttajassa. Vai onko sittenkään? VTT:n erikoistutkija Kimmo Halunen on huomannut, että ilmassa leijuu usein vahva kuluttajan syyllistäminen.
– Se ei aina ole mitenkään ansaittua arvostelua siellä kuluttajapäässä, Halunen muotoilee.
Hän seuraa aktiivisesti kansainvälistä tietoturvakeskustelua ja on huomannut suunnan kuitenkin hiukan jo muuttuneen.
– On myös vähän jo lähdetty siihen, että katsotaan peiliin. Pitäisihän meidän pystyä tekemään sellaisia järjestelmiä, jotka ovat lähtökohtaisesti turvallisia. Käyttäjä voisi ottaa käyttöön ja luottaa, että tietorurva on riittävän hyvällä tasolla.
Teknologian tutkimuskeskus VTT on ollut mukana Secured-nimisessä (Security at Network Edge) EU-projektissa, joka keskittyy kodin tietoturvan parantamiseen.
– Kodin erilaisissa älylaitteissa tietoturva on vähän heikko. Projektin tavoitteena oli vahvistaa verkon reunalla eli käytännössä reitittimessä olevaa tietoturvaa, erikoistutkija Halunen sanoo.
Reititin ohjaa periaatteessa kodista kaiken verkkoliikenteen ulos, ja ajatuksena on, että se hoitaisi kaikki tietoturvakontrollit. Käyttäjän itse tarvitsisi vain määritellä, minkätyyppistä turvaa hän haluaa, ja kaikilla laitteilla olisi sama turva reitittimen avulla.
– Jopa niin pitkälle, että jos omia laitteita, esimerkiksi puhelimia tai tabletteja, veisi toiseen talouteen, ja siellä olisi samaa järjestelmää hyödyntävä reititin, niin siinä verkossa myös sama tietoturva olisi automaattisesti käytössä.
Käytäntö vielä tulevaisuutta
Perusideana on siis siirtyä laitekeskeisestä tietoturvasta käyttäjäkeskeiseen tietoturvaan, jolloin kaikilla käyttäjän laitteilla on käytössä sama tietoturva riippumatta paikasta ja laitteesta.
Tällöin yksittäisissä laitteissa olevat mahdolliset tietoturvapuutteet eivät olisi niin vaarallisia eivätkä niin helposti hyökkääjien hyväksikäytettävissä. Kuluttaja voisi määritellä sopivat tietoturva-asetukset esimerkiksi kotitietokoneella tai kännykällä.
Käytäntö on kuitenkin tulevaisuutta, koska käyttäjäkeskeinen tietoturva on tällä hetkellä vasta tutkimusasteella. Halusen mukaan kaupan hyllyltä ei tuotteita vielä saa.
Parannettu tietorva toimii vain langattomassa lähiverkossa, jonka liikenne kulkee paikallisen reitittimen kautta. Kotona käytössä on monesti laajakaistayhteys ja modeemi, josta langaton verkko lähtee. Matkapuhelinverkon yli käytetty tietoliikenne on asia erikseen.
– Sehän ei mene reitittimen kautta, ja sitä kautta tavallaan uhkat pääsevät mahdollisesti paremmin käsiksi. Se on yksi sellainen seikka, joka järjestelmissä on heikkous. Yleensä kodin älylaitteet aika pitkälle käyttävät lähiverkkoa, jos vaan mahdollista, Halunen sanoo.
Miten suojautua kaappauksilta?
Laitteiden suojaamisessa on Halusen mukaan muutama keskeinen muistisääntö. Ensinnäkin oletussalasanat pitäisi vaihtaa.
– Oletussalasanat ovat yleensä liian helposti arvattavissa. Hyökkääjä voi automatisoida hyökkäyksensä, ja saada paljon laitteita haltuunsa sillä, että löytää jonkun valmistajan laitteen.
Halunen mainitsee esimerkinomaisesti älyjääkaapin ja sen oletussalasanan. Hyökkääjä voisi skannata verkkosta läpi 500 000 tällaista jääkaappia, joista esimerkiksi 100 000 edelleen käyttäisi oletussalasanaa. Tätä kautta hyökkääjä sitten pääsisi käsiksi itse laitteisiin.
Uuden salasanan täytyy olla riittävän vahva ja satunnainen. Toinen tärkeä seikka on Halusen mukaan säännöllinen päivittäminen.
– Viikkosiivouksen yhteydessä kannattaa tsekata kaikki kodin älylaitteet ja se, onko niihin tullut päivityksiä. Veikkaan, että siinä saa perheen lapsetkin osallistumaan siivoukseen, kun sanoo, että päivitys on nyt teidän homma.
Halunen viestittää valmistajille, että laitteista pitää tehdä helppoja päivitettäviä. Päivityksiä täytyy tehdä silloin, kun tietoturvavirheitä löytyy järjestelmistä. Kuluttajan pitäisi voida luottaa siihen, että laitetta on turvallista käyttää.
– Oletusarvona on hyvä tietoturva. Ei riitä, jos tekee järjestelmän, jossa jonkin monimutkaisen valikon takaa voi nappuloita painella ja laittaa niin sanotusti tietoturvan päälle. Pitäisi olla niin, että kun laitteen ottaa joululahjapaketista ulos, tärkeimmät ominaisuudet olisivat kohdillaan.
"Ei mitään taikapölyä"
Halunen kertoo puhuvansa tietoturvan puolesta sekä oman talon sisällä että yhteistyökumppaneille.
– Tietorva ei ole vain jälkikäteen päälle heitettyä taikapölyä, vaan sen pitää olla prosessissa mukana koko ajan. Uskoisin, että tällä tavalla vältyttäisiin nykyään turhan arkipäiväisiltä hyökkäyksiltä.
Hänen mukaansa liian arkipäiväiseksi ovat käyneet murrot tietokantoihin, joista viedään ihmisten salasanoja ja henkilötuetoja. Lisäksi palvelunestohyökkäyksistä on tullut tavanomaisia.
– Uskon, että näihin pystyisi paljon vaikuttamaan paremmalla suunnittelulla, paremmalla kehitystyöllä ja lopuksi myös testaamalla järjestelmiä ja laitteita.
Asialla on myös toinen puoli. Kuluttajaelektroniikan parempi suojaus maksaa. Halusen mukaan kuluttajat eivät kuitenkaan välttämättä ole valmiita maksamaan. Ostaako siis kaupan hyllyltä vitosen laitteen, jossa tietoturvaa ei ole juurikaan huomioitu, tai vaikkapa kolmenkympin laitteen, jossa tietoturva on tehty hyvin?
Esimerkiksi kuluttajien laitteilla tehdyt palvelunestohyökkäykset eivät välttämättä näy kuluttajille millään tavalla. Jos käytössä on rajaton netti, niin hyökkäys voi korkeintaan näkyä netin hidasteluna. Halusen mukaan tämä on yksi syy, miksi kuluttajat eivät välttämättä ole innostuneita maksamaan paremmasta tietoturvasta.