Esineiden internetin (Internet of Things, IoT) maailmanlaajuiset markkinat ovat kokeneet merkittävän kasvupyrähdyksen viime vuosina. Tällä hetkellä käytössä on yli 8,4 miljardia laitetta, ja määrän odotetaan nousevan 25 miljardiin vuoteen 2020 mennessä.
Esineiden internetillä tarkoitetaan kaikkia fyysisiä laitteita ympäri maailmaa, jotka on nyt liitetty internetiin ja jotka keräävät ja jakavat tietoja.
IoT-laitteisiin voi kuulua mitä tahansa mikroaaltouuneista, lastenvalvojista ja älykkäistä kaiuttimista suuriin tuotantotoimintoihin. Monet globaalit teollisuudenalat ovat nyt ottamassa käyttöön IoT-teknologiaa keinona parantaa tehokkuutta ja lisätä voittoja.
Näiden laitteiden käytön lisääntyessä myös niihin liittyvät esineiden internetin kyberturvallisuusriskit ovat kuitenkin lisääntyneet. IoT-laitteiden ongelmana on, että niiden tietoturva on hyvin heikko, ja monet niistä eivät ole päivitettävissä, mikä tarjoaa tietoverkkorikollisille helppoja käyttömahdollisuuksia.
Hakkerit yrittävät vaarantaa IoT-laitteet, joissa on heikko todennus, korjaamaton laiteohjelmisto tai muita ohjelmistohaavoittuvuuksia. Jos nämä taktiikat eivät toimi, he tekevät brute force -hyökkäyksiä käyttämällä oletuskäyttäjätunnuksia ja -salasanoja.
Vuoteen 2020 mennessä arvioidaan, että 25 prosenttia kaikista verkkohyökkäyksistä kohdistuu IoT-laitteisiin, ja kun yhä useammat toimialat ottavat käyttöön IoT-teknologioita, voimme odottaa näiden hyökkäysten lisääntyvän, elleivät valmistajat aseta näiden laitteiden tietoturvaominaisuuksia etusijalle.
Suojaamattomien IoT-laitteiden vaarat
Suojaamattomat IoT-laitteet tarjoavat verkkorikollisille helpon tavan tunkeutua verkkoon. Vuonna 2016 tehty surullisen kuuluisa Mirai Botnet -hyökkäys osoittaa, miten helposti hyökkääjät voivat käyttää näitä arkipäiväisiä laitteita aseena.
Hyökkäys on edelleen yksi historian suurimmista DDoS-hyökkäyksistä (distributed denial of service ). Hakkerit loivat Mirai-nimisen haittaohjelman avulla massiivisen 100 000 IoT-laitteen botnetin. Laitteisiin kuului radioita, älytelevisioita ja tulostimia, ja ne kaikki ohjelmoitiin lähettämään pyyntöjä Dynille ja hukuttamaan se liikenteellä.
Hyökkäys aiheutti valtavia häiriöitä, ja se kaatoi yli 80 asiakkaansa, kuten Amazonin, Netflixin, Airbnb:n, Spotifyn, Twitterin, PayPalin ja Redditin, verkkosivustot. Hyökkäyksen aiheuttamien vahinkojen arvioidaan maksaneen 110 miljoonaa dollaria, ja vaikka hyökkäys saatiin hallintaan yhdessä päivässä, yli 14 500 verkkotunnusta luopui Dynin palveluista välittömästi hyökkäyksen jälkeen.
IoT-laitteiden vaarantuminen ei kuitenkaan rajoitu pelkästään DDoS-hyökkäyksiin. Hakkerit kohdistuvat yhä useammin suoraan kuluttajiin varastamaan heidän henkilötietojaan. Nämä laitteet voivat välittää valtavia määriä arkaluonteisia tietoja, joiden avulla rikolliset voivat muodostaa yksityiskohtaisen kuvan uhristaan. Tietoja voidaan sitten käyttää sosiaaliseen suunnitteluun perustuvan hyökkäyksen huolellisessa suunnittelussa tai rikolliset voivat käyttää tietoja identiteettipetosten tekemiseen.
IoT-laitteiden suojaaminen
IoT-markkinoiden nopea kasvu on merkinnyt sitä, että monet valmistajat ovat keskittyneet enemmän voittoihin kuin itse laitteiden turvallisuuteen. Tietoverkkorikolliset ovat nopeasti hyödyntäneet tätä tietoturvan puutetta hyödyntämällä laitteiden haavoittuvuuksia ja käyttämällä niitä koordinoituihin verkkohyökkäyksiin.
Hyökkäysten lisääntyminen on saanut useat hallitukset suhtautumaan asiaan vakavammin. Kalifornia on ensimmäinen Yhdysvaltojen osavaltio, joka on ottanut käyttöön esineiden internet-laitteita säätelevän kyberturvallisuuslain. Lainsäädäntö tulee voimaan 1. tammikuuta 2020, ja se edellyttää turvatoimia kaikille laitteille, jotka voivat muodostaa yhteyden internetiin ja joilla on IP- tai Bluetooth-osoite.
Yhdistyneen kuningaskunnan hallitus on myös laatinut suuntaviivat esineiden internetin laitteiden turvallisuuden parantamiseksi. Suuntaviivoihin kuuluvat henkilötietojen turvallinen tallennus, säännölliset päivitykset, tietojen salaus ja yksilöllisten salasanojen käyttö.
Lopputulos on, että valmistajien on asetettava turvallisuus etusijalle, jotta IoT-teknologiaan voidaan sisällyttää asianmukaiset toimenpiteet heti sen kehittämisestä lähtien. Näin parannetaan kuluttajien luottamusta ja vähennetään mahdollisuutta, että hyökkääjät vaarantavat laitteet.
Parhaat vinkit IoT-verkkoturvallisuuden parantamiseen
Kuluttajat voivat myös parantaa laitteidensa tietoturvaa toteuttamalla seuraavat toimet:
- Vaihda oletussalasanat - Valmistajat antavat automaattisesti käyttäjätunnuksen ja salasanan jokaiselle laitteelle, ja hakkerit voivat helposti löytää nämä oletussalasanat verkosta. Käyttäjien tulisi välittömästi vaihtaa oletuskäyttäjätunnus ja -salasana turvallisempaan.
- Käytä ohjelmistopäivityksiä -Älylaitteen laiteohjelmisto, kuten mikä tahansa muukin ohjelmisto, voi sisältää haavoittuvuuksia, joita hakkerit voivat hyödyntää. Useimmissa laitteissa ei ole mahdollisuutta automaattiseen päivitykseen, joten sinun on päivitettävä ohjelmisto manuaalisesti varmistaaksesi, että laitteesi ovat suojattuja. Käyttäjien tulisi myös käydä säännöllisesti valmistajan verkkosivustolla tarkistamassa laiteohjelmistopäivitykset.
- Ota langattoman verkon salaus käyttöön - Salaus on yksi tehokkaimmista tavoista suojata verkkotietoja.
- Käytä palomuuria - Palomuuri valvoo internet-yhteyden ja laitteiden välistä liikennettä havaitakseen epäilyttävää toimintaa. Vaikka laite saisi tartunnan, palomuuri voi estää hyökkääjää pääsemästä käsiksi muihin samassa verkossa oleviin laitteisiin.
- Käytä vain tunnettuja tuotemerkkejä - Suurilla tuotemerkeillä on taipumus suhtautua tuotteidensa turvallisuuteen vakavammin. Ne panostavat enemmän aikaa ja rahaa sen varmistamiseen, että tuotteen valmistukseen ja suunnitteluun on sisällytetty turvaominaisuuksia. Ne myös julkaisevat säännöllisesti ohjelmistopäivityksiä, jotta hakkerit eivät voi hyödyntää laitteen haavoittuvuuksia.
