IoT-laitteiden tietoturvaympäristö on kirjava. Jotkut IoT-tuotteet toteuttavat vankkoja suojaustoimenpiteitä, kun taas toiset eivät ole priorisoineet suojaa, mikä tekee niistä haavoittuvampia haitallisten toimijoiden hyökkäyksille. On edelleen suhteellisen yleistä lukea hyökkäyksistä (ja murroista) useisiin IoT-laitteisiin, kuten kameroihin, puettaviin laitteisiin ja lääketieteellisiin antureihin, joiden kuluttajat uskovat olevan turvallisia heti käyttöönoton jälkeen.
|
Artikkelin on kirjoittanut Tiago Monte. Hän toimii kehittäjämarkkinoinnin päällikkönä Nordic Semiconductorilla. |
On ongelmallista, että suojattua IoT-laitetta ei voida erottaa suojatusta laitteesta, koska se heikentää merkittävästi kuluttajien luottamusta ostohetkellä. Tämä puolestaan vaikeuttaa liitettyjen laitteiden laajaa käyttöönottoa.
Täytäntöönpanokelpoisen, vähimmäisturvatason kaikille IoT-tuotteille takaavan regulaation puuttuminen ja standardoidun lähestymistavan puuttuminen suunnittelusta, toteutuksesta ja sertifioinnista ovat olleet kaksi avaintekijää, jotka ovat aiheuttaneet tietoturvasekaannusta. Molemmilla rintamilla on kuitenkin merkkejä muutoksesta, joka johtaa paljon nykyistä turvallisempaan IoT:een.
Bisnes vaakakupissa
Vaikka tietoturva on kustannus, joka on otettava osaksi yleistä IoT-tuotekehitystä, hyödynnettävän haavoittuvuuden hinta voi olla monta kertaa korkeampi. Onnistuneiden IoT-murtojen kielteiset vaikutukset voivat ilmetä monissa muodoissa arvokkaan datan tai immateriaaliomaisuuden (IP) katoamisesta tai varkaudesta tuotteisiin tai palveluihin liittyvien altistumisen korjaamiseen, maineen vahingoittumiseen, asiakkaiden menetyksiin sekä sakkojen maksamiseen.
Lisäksi yksittäisten IoT-tuotteiden tietoturvaloukkaukset eivät uhkaa vain haavoittuvia tuotteita valmistavien yritysten menestystä, vaan ne vaikuttavat myös kokonaisiin tuotekategorioihin luomalla niille epävarman maineen. Tällainen maine vaikuttaa kuluttajien luottamukseen IoT-laitteisiin yleisesti. IoT:n turvaaminen on elintärkeä tehtävä kaikille alalla toimiville yrityksille sirutoimittajista päätelaitteiden valmistajiin.
Tietoturvan standardoiminen
Mitä suurempi määrä IoT-laitteita on kytkettynä verkkoon, sitä suurempi on hyökkäyksen riski. Tietoturva on pikemminkin maraton kuin pikamatka, koska se edellyttää alkuperäisen suojausstrategian lisäksi myös jatkuvaa turvallisuutta verkkoon liitetyn tuotteen käyttöiän ajan. Siksi on tärkeää, että turvallisuus huomioidaan tuotesuunnittelun alkuvaiheessa, samalla tavalla kuin suunnittelija harkitsee tuotteen toiminnallisia ja ei-toiminnallisia vaatimuksia, kuten akun kestoa tai käyttöliittymää.
Suojauksen käyttöönotto on kuitenkin historiallisesti vaikeutunut, koska IoT-suojaus on ollut pirstoutunutta. Yhteistä kieltä ja standardoituja prosesseja, toteutuksia ja sertifiointeja ei ole olemassa. Tällainen pirstoutuminen johtaa epäjohdonmukaiseen ja enimmäkseen riittämättömään tietoturvatasoon IoT-laitteissa. PSA Certified IoT Security Framework pyrkii ratkaisemaan tämän haasteen tarjoamalla standardoidun lähestymistavan suojatuille IoT-laitteille, mukaan lukien tietoturva-analyysi, arkkitehtuuri, toteutus ja sertifiointi.
Nordic Semiconductor tekee yhteistyötä PSA Certifiedin kanssa, joka on IoT-tietoturvaekosysteemien globaali johtaja. PSA Certified Silicon- ja Root of Trust -sertifikaatit takaavat, että Nordicin piirit ovat turvallinen alusta tuotekehitykselle. Tämä takaa, että IoT-laitteita Nordicin sirujen pohjalta valmistavat yritykset voivat seurata ohjattua lähestymistapaa tietoturvaan. PSA:n menetelmiä ja koulutusmateriaaleja noudattamalla kehittäjät voivat kasvattaa omaa tietoturvaosaamistaan ja olla varmoja siitä, että ne rakentuvat turvalliselle alustalle.
Säännöt ja turvamerkinnät ovat aivan nurkan takana
Historiallisesti IoT-laitteiden tietoturva on ollut vahvasti riippuvainen niiden tyypistä. Esimerkiksi turvallisuuden kannalta kriittiset osa-alueet, kuten teollisuus ja lääketiede, ovat tyypillisesti olleet tiukkojen turvallisuusmääräysten alaisia. Kuluttajille suunnatuissa laitteissa ei ollut erityisiä sääntelyvaatimuksia, joten tarjotun suojan taso on jätetty yksittäisten laitevalmistajien käsiin.
Uusilla globaaleilla säännöksillä pyritään puuttumaan joidenkin tuotetyyppien haavoittuvuuksiin tavoitteena luoda yhteinen tietoturvaperusta jokaiselle IoT-tuotteelle. Perustason noudattamatta jättäminen johtaisi markkinoille pääsyn menettämiseen. Yksi esimerkki tästä asetuksesta on EU:n radiolaitedirektiivi. Tätä on äskettäin parannettu niin, että kyberturvallisuusvaatimukset asetetaan Euroopassa myytäville yhdistetyille tuotteille, ja lisäsuojaa on tulossa Cyber Resilience Actin kautta. Yhdysvalloissa vuodesta 2021 alkaen annettu määräys kansallisen kyberturvallisuuden parantamisesta on käynnistänyt standardointitoimia National Institute of Standards and Technologyssa (NIST). Ja Isossa-Britanniassa kyberturvallisuusvaatimuksia valvoo oma lainsäädäntö (Product Security and Telecommunications Act).
Kuluttajien tietoisuuden lisääminen
Perustietoturvatasoa kaikille IoT-tuotteille edellyttävien säännösten lisäksi erilaiset merkintäjärjestelmät lisäävät kuluttajien tietoisuutta, jotta he ymmärtäisivät eri laitteiden turvallisuustason ja voivat tehdä valistuneempia valintoja. Muutamia esimerkkejä ovat Cybersecurity Labeling for Consumers: Internet of Things -ohjelma Yhdysvalloissa, Cybersecurity Labeling Scheme Singaporessa ja Suomessa (bilateraali tunnustus maiden välillä) ja Australian Cybersecurity Label, joka on kehitteillä.
Verkkoon kytkettyjen laitteiden valmistajien, asentajien ja kuluttajien tietoturvatietoisuus kasvaa maailmanlaajuisesti. Kun piirien ja ratkaisujen toimittajat lisäävät panostuksiaan tälle alueelle, laitevalmistajilla on vakaampi perusta miljardien IoT-tuotteiden luomiselle ja käyttöönotolle. Suojaus on yksi IoT:n käytön kasvattamisen avainpilareista, aivan kuten aiemmin Internet ja matkapuhelinverkot.
