Kodin älylaitteet yleistyvät vauhdilla, mutta tietoturva ja lainsäädäntö laahaavat perässä – "Kameralla varustettua laitetta voidaan seurata"

Internetiin kytketyt tietoturvattomat kodinlaitteet ovat helppoja kohteita haittaohjelmille ja tietomurroille. Vauhdilla kasvava esineiden internet tarvitsee yhteiset pelisäännöt.

tietoturva
Älyjääkaappin näytöltä voi tehdä  jo ruokaostoksia Yhdysvalloissa.
Älyjääkaappin näytöltä voi tehdä jo ruokaostoksia Yhdysvalloissa.Paulus Markkula / Yle

Tuleeko kaupassa usein mietittyä, että pitiköhän ostaa maitoa, vai oliko sitä vielä jääkaapissa? Tilanne selviää käden käänteessä, sillä älyjääkaapin sisällä oleva kamera välittää puhelimeesi reaaliaikaisen kuvan jääkaapin sisällöstä.

Älykkäät, tietoverkkoon kytketyt kodinlaitteet, jotka on varustettu pienillä, ympäristöään aistivilla sensoreilla, ovat arkipäiväistyneet. Useimmista laitteista ei edes päällepäin huomaa, että laite on kytketty internetiin.

Tällaisen älykkään IoT-laitteen (Internet of Things, suom. esineiden internet) tunnistaa laitteeseen kytkettävistä verkkoliittimistä, SIM-korteista tai siitä, että laite pyytää syöttämään salasanan verkkoon kirjautumista varten.

Puhelin jolla ohjataan valaistusta.
Älyvalaistusta voi ohjata sovelluksen avulla myös kodin ulkopuolelta.Adam Hoglund / AOP

Esineiden internetin on sanottu tekevän elämästä antoisampaa ja huolettomampaa.

Tämä edellyttää verkkoon kytkettäviltä kodinlaitteilta kuitenkin turvallisuutta ja helppokäyttöisyyttä. Esimerkiksi Suomen Viestintävirasto on törmännyt tämän vuoden aikana verkkoon kytkettyihin IoT-laitteisiin, joita on kaapattu haittakäyttöön.

– Humoristisesti sanottuna IoT:n eli esineiden internetin onkin sanottu tarkoittavan sitä, että kahvinkeittimesi lähettää roskapostia leivänpaahtimellesi, sanoo Viestintäviraston Kyberturvallisuuskeskuksen erityisasiantuntija Saana Seppänen.

Vastuu tietoturvasta jää käyttäjälle

Verkkoon kytketyt tietoturvattomat laitteet ovat helppoja kohteita tietomurroille ja haittaohjelmille. Tietomurtautuja voi säädellä älykodin verkkoon kytkettyjä toimintoja, esimerkiksi lämmitystä tai valaistusta ja aiheuttaa vakavia vaaratilanteita asukkaille.

Hiljattain paljastui, että miljoonissa kiinalaisen videovalvontalaitteita ja videokameroita valmistavan Xiongmain laitteissa on haavoittuvuus, jonka kautta laitteiden välittämää kuvaa voi katsella pilvipalvelun kautta kuka tahansa riittävän taitava henkilö.

F-Securen tuotekehitysjohtaja Veli-Jussi Kesti pitää nimenomaan yksityisyyden uhkia keskeisenä ongelmana esineiden internetissä.

– Kameralla varustettua laitetta voidaan seurata tai kameran lähettämiä kuvia voi katsella heikosti suojatusta pilvipalvelusta.

Toivon, että säännöt tehtäisiin nimenomaan kansainvälisellä tasolla.

Saana Seppänen

Vastuu tietoturvasta ja laitteen keräämän tiedon suojaamisesta jää usein kuluttajan vastuulle. Kaikki laitteiden käyttäjät eivät kuitenkaan ole tietoteknisesti niin taitavia, että osaisivat välttää IoT-laitteiden tietoturvan sudenkuopat.

– Laitteiden tietoturva-asetukset eivät saisi olla oletusarvoisesti liian sallivat. Tarpeettomat, tunkeilumahdollisuuksia lisäävät ominaisuudet pitäisi olla valmiiksi poissuljettuina, Viestintäviraston Kyberturvallisuuskeskuksen erityisasiantuntija Saana Seppänen sanoo.

Mahdolliset haavoittuvuudet tietoturvassa paikataan päivityksillä, joiden pitäisi olla ajantasaisia ja automaattisia. Tämä olisi käyttäjän kannalta paras ja turvallisin ratkaisu.

Tietoturvaongelma
Verkkoon kytketyttyihin laitteisiin liittyy tietoturvariski.Ismo Pekkarinen / AOP

Lainsäädännön kautta laitevalmistajat tulisi velvoittaa huolehtimaan IoT-laitteidensa tietoturvasta. Myös laitteiden myyjien tulisi osata kertoa kuluttajille älylaitteiden tietoturvaan liittyvistä uhkista ja kuinka niiltä voi suojautua.

– Ihannetilanne olisi, että laitteissa olisi jo tehtaalta tullessa yksilöidyt ainutkertaiset salasanat, eikä käyttäjän tarvitsisi tehdä itse mitään, Seppänen tiivistää.

Esineiden internet tarvitsee pelisäännöt

Tällä hetkellä esineiden internetin toimintaa säätelevää lainsäädäntöä ei ole olemassa ja se hidastaa laitteiden tietoturvan kehittämistä.

– Ensimmäinen yritys asian korjaamiseksi on tehty tämän vuoden syyskuussa Kaliforniassa. Siellä on otettu käyttöön ensimmäinen kodin IoT-laitteita koskeva lainsäädäntö, jonka mukaan laitteiden on täytettävä tietyt minimiominaisuudet, kertoo F-Securen tuotehallintajohtaja Antero Norkio.

Monet kuluttajamarkkinoille suunnatut IoT-laitteet ovat edullisia, koska toimivaan tietoturvaan ei ole panostettu. Tämän vuoksi markkinoille tulee yhä enemmän heikosti suojattuja laitteita.

Yleensä vastuulliset laitevalmistajat ovat kuitenkin halukkaita varmistamaan tuotteidensa turvallisuuden kuluttajalle jo oman brändinsä maineenkin vuoksi. Koska IoT-laitteet on kytketty tietoverkkoon, joka on reaaliaikaisessa yhteydessä ympäri maapallon, tulisi myös yhteisten käytäntöjen olla globaaleja.

Tällä hetkellä tutkitaan nukkeja, joihin on kytketty videokamera.

Reijo Aarnio

Esineiden internetiä koskevan lain säätämiseen menee vielä aikaa, koska lainsäädännön asiantuntijoiden pitää ensin ymmärtää ja päästä yksimielisyyteen siitä, mitä IoT käytännössä tarkoittaa.

– Turvallisuuden vuoksi toivon, että säännöt tehtäisiin nimenomaan kansainvälisellä tasolla, koska laitteet ovat kuitenkin yhteydessä käytännössä kaikkialle, toteaa Seppänen.

Tietosuojaa rikotaan

Tietoturvan lisäksi tietosuojakysymykset nousevat esiin esineiden internetin turvallisuudesta puhuttaessa. Tietosuoja on ihmiselle kuuluva oikeus tietää, mihin häntä koskevia tietoja käytetään. Verkkoon kytketyt laitteet keräävät tietoa ja tallentavat ne pilvipalveluun analysoitavaksi.

– Jos verkkoon liitetty laite kerää jotain, mistä emme edes tiedä, loukkaa se yksilön oikeuksia. Jos laite kerää sellaista tietoa, mitä vastaanottaja ei omassa toiminnassaan tarvitse, sekin on oikeuden loukkaus, sanoo tietosuojavaltuutettu Reijo Aarnio.

Älykello kertoo muun muassa aktiivisuuden, sykkeen ja näyttää viestit.
Älykello kertoo muun muassa aktiivisuuden, sykkeen ja näyttää viestit.Juha Hintsala / Yle

Tietosuojan yksi keskeinen periaate on tietojen minimoinnin periaate. Tarpeettomia tietoja ei saa kerätä eikä luovuttaa kenellekään toiselle. Viime aikoina maailmalla on noussut esiin tilanteita, joissa laitteiden laillisuuspuoli on ollut hyvin kyseenalainen.

– Tällä hetkellä tutkitaan nukkeja, joihin on kytketty videokamera. Nauhoittava nukke voi lähettää pilvipalveluun kuvaa kodin tapahtumista. Myös interaktiivinen televisio voi sisältää samanlaisen riskitoiminnon, Aarnio sanoo.

Nopeasti kehittyvällä alalla luottamus ja hyvä tietoturva mielletään yhä enemmän kilpailuvaltiksi. Tietosuojavaltuutettu Reijo Aarnio uskoo, että isot ja törkeät ylilyönnit ovat ohimenevä ilmiö.

– Uskon, että sellaiset toimijat, jotka suhtautuvat lainsäädäntöön lähtökohtaisesti positiivisesti tulevat pärjäämään tässä kilpailussa.