Leivänpaahtimet osallistuvat kyberhyökkäyksiin Suomessakin – Mitä kuluttajan pitää tietää älylaitteensa tietoturvasta?

Tällä hetkellä kuluttajan on käytännössä vaikea tietää laitteensa tietoturvan tasoa. Selkeää kriteeristöä ei ole.

tietoturva
Ohjelmoija esittelee koodia
F-Securen toimitusjohtaja Samu Konttisen mukaan täysin turvallisia älylaitteita ei ole. Hänen mukaansa vastuu laitteiden tietoturvan ylläpitämisestä on valmistajalla.Ritchie B. Tongo / EPA

Älylaitteiden tietoturvaa pitäisi parantaa lainsäädännön keinoin, sanovat tietoturva-alan asiantuntija ja Kuluttajaliitto.

Verkkoon liitettyjen leivänpaahdinten, ruohonleikkureiden ja pesukoneiden tietoturva-aukot voivat muodostaa uhkia, joita kuluttajan on vaikea hahmottaa.

Tietoturvayhtiö F-Securen toimitusjohtaja Samu Konttisen mukaan älylaitteet muodostavat kahdenlaisia uhkia.

Verkkorikollista ei kiinnosta leivänpaahdin

Älykkäät leivänpaahtimet, älyjääkaapit tai ruohonleikkurit on usein kytketty kotiverkkoon. Jos näiden laitteiden tietoturvassa on aukkoja, verkkorikollinen voi päästä niiden kautta käsiksi verkkoliikenteeseen ja päästä seuraamaan sitä, vaikka käyttäisi turvallistakin laitetta. Kuin jättäisi kotinsa takaoven auki.

– Verkkoon kytketty lamppu, itkuhälytin tai leivänpaahdin voi olla se heikko lenkki, minkä kautta päästään tekemään muita pahoja. Ei verkkorikollista lähtökohtaisesti se leivänpaahdin kiinnosta, vaan se, miten sitä kautta voi varastaa identiteetin ja tehdä sillä rahaa, Konttinen sanoo.

Älylaitteiden tietoturva-aukkoja voidaan käyttää myös osana palvelunestohyökkäyksiä ilman, että kuluttaja edes tietää. Konttisen mukaan leivänpaahdinten kyberhyökkäykset eivät ole scifiä vaan todellisuutta Suomessakin. Kenen tahansa leivänpaahdinta voidaan hyödyntää verkkorikollisuuden välineenä.

– Kun rikollisella on sinun ja sadan tuhannen muun suomalaisen leivänpaahdin hallinnassaan, nämä voidaan osoittaa mukaan palvelunestohyökkäykseen. Tästä ei kuluttajalle synny suoraa haittaa. Haitta voi tulla sitä kautta, että operaattori rajoittaa tai lopettaa internet-yhteytesi huomattuaan, että kotoasi on osallistuttu palvelunestohyökkäykseen.

Samu Konttinen
Tietoturvayhtiö F-Securen toimitusjohtajan Samu Konttisen mukaan ihmisten ymmärrys tietoturvasta paranee jatkuvasti, mutta ei ole vielä riittävää.Yle/Niklas Fagerström

Mitä kuluttaja voi itse tehdä?

Esineiden internetin eli erilaisten älylaitteiden tietoturvan lainsäädäntö ei ole ajan tasalla. Asiaan on havahduttu EU:ssa hiljattain, mutta mitä kuluttaja itse voi tehdä?

– Iso tietoturvaparannus on jo siinä, kun vaihtaa älylaitteen tehdasasetussalasanan. Jos käytät tehdasasetuksia, rikollinen käytännössä tietää salasanasi, Konttinen sanoo.

Konttisen mukaan älylaitteiden tietoturva kaipaisi kattolainsäädäntöä, joka pakottaisi laitteille tietyn tietoturvatason. Tällä hetkellä kuluttajan on käytännössä vaikea tietää laitteensa tietoturvan tasoa. Selkeää kriteeristöä ei ole.

– Hyvä neuvo on, että mitä tunnetumpi laitevalmistaja ja mitä kalliimpi laite, sitä todennäköisemmin tietoturva-asiat ovat kunnossa. Hinta tulee siitä, että laatuun on panostettu, ja tietoturva on yksi osa laatua. Isot laitevalmistajat taas haluavat ylläpitää brändiään, joten he panostavat tietoturvaan.

Kuluttajaliitto: Ryhmäkanne parantaa kuluttajien suojaa

Myös Kuluttajaliiton pääsihteeri Juha Beurling-Pomoell sanoo, että kuluttajat eivät voi yksin olla vastuussa älylaitteiden tietoturvasta. Tarvitaan lainsäädäntöä. Yksi konkreettinen keino olisi Beurling-Pomoellin mukaan tehdä salasanan vaihto älylaitteesta pakolliseksi.

– Kuluttajan olisi vaihdettava salasana, ennen kuin laitteen voi ylipäätään ottaa käyttöön. Jokaisella laitteella pitäisi olla oma salasana, eikä vakiosalasanaa edes voisi olla. Moni kuluttaja ohittaa salasanan vaihdon, koska haluaa vain saada uuden laitteen toimimaan nopeasti.

Jotain on jo tehty. EU:ssa ollaan vahvistamassa kuluttajansuojaa mahdollistamalla edustajakanne eli niin sanottu ryhmäkanne kuluttajajärjestöille. Käytännössä ryhmäkanne mahdollistaisi toteutuessaan sen, että kuluttajajärjestöt voisivat nostaa kuluttajaryhmän puolesta kanteen ja vaatia heidän puolestaan korvauksia, jos yritys on rikkonut lakia.

Tällä hetkellä ryhmäkanteen voi Suomessa nostaa vain kuluttaja-asiamies, mutta yhtään kannetta ei ole nostettu.

– Jos älypuhelin vuotaa luottokorttitiedot ja sama tapahtuu kymmenelle tuhannelle muulle suomalaiselle, kuluttajajärjestöt voivat mahdollisesti lähteä ajamaan näiden kymmenen tuhannen asiaa oikeuteen. Jos yksittäinen ihminen on kärsinyt 20 euron vahingon, hän tuskin lähtee sitä oikeusteitse ratkomaan, Beurling-Pomoell sanoo.

Porträtt på Juha Beuhrling-Pomoell, generalsekreterare på Konsumentförbundet.
Kuluttajaliiton pääsihteeri Juha Beurling-Pomoellin mukaan vastuuta tietoturvasta ei voi sysätä kuluttajille.Yle/Niklas Fagerström

"Valmistajien pitää ottaa vastuu"

Beurling-Pomoellin mukaan ryhmäkanne voidaan saada käyttöön Suomessa jo tämän vaalikauden aikana. Ryhmäkanne olisi yksi lisäkeino kuluttajajärjestöille ajaa kuluttajien asiaa. Beurlingin mukaan ihmisiltä puuttuu vielä kokonaisvaltaista ymmärrystä siitä, miten älylaitteiden tietoturva toimii.

– Me tiedämme kokemuksesta sen, että jalkakäytävällä on turvallisempaa kävellä kuin keskellä tietä. Mutta esineiden internetin suhteen emme vielä tiedä, mikä on se älylaitteiden autotie ja jalkakäytävä. Siksi sekä lainsäädännön että laitteiden valmistajien pitää ottaa vastuu siitä, että laitteet ovat lähtökohtaisesti tietoturvallisia ja selkeitä käyttää, kun ne tuodaan markkinoille.