Tietoturvan perusperiaatteet
IoT:ssa tietoturva lähtee kaikkien verkkoon kytkettyjen laitteiden tunnistamisesta. Koska IoT:ssa laitteiden tuottama data linkittyy taustajärjestelmiin, on elintärkeää varmistaa datan suojaus koko sen elinkaaren ajan aina dataa tuottavan laitteen suojauksesta ja yksilöinnistä datan siirtymiseen taustajärjestelmien kautta eteenpäin kuten pilvipalveluihin.
Hyvänä esimerkkinä pankkien jörjestelmät sekä dataa tuottavat terveydenhuollon sovellukset, näissä vaaditaan koko datan käsittelyn ajan erittäin vahvaa datan suojausta sekä tietoliikenneprotokollan että varsinaisen datan kryptauksen tasolla. Yksinkertaisimmillaan yksittäisen laitteen kytkeminen verkkoon näyttäisi seuraavalta:
Ylläolevassa esimerkissä laite linkittyy TLS/SSL suojausta käyttäen pilvipalveluun tai useisiin pilvipalveluihin.
Tiedon suojauksen haasteita
Allaolevasta Ciscon tarjoamasta kuvaparista käy ilmi elävästi tietoturvan haasteet ja koko IoT ekosysteemin perusrakenne.
Keskeisinä haasteina tietoturvan kannalta ovat seuraavat:
laitekohtaiset rajoitteet jotkut suojausmenetelmät ovatkin huomattavan raskaita mikä asettaa omat rajoituksensa
- liikenteen monitorointi IoT järjestelmät kuten erilaiset teollisuuden anturiverkot, teollisen internetin käyttämä machine-to-machine kommunikaatio (M2M), kodin automaatiojärjestelmät jne tuottavat huomattavia määriä dataa, haitallisen datan jäljittäminen tästä datavirrasta luo omat haasteensa
- suojaamattomat ympäristöt monet IoT laitteista toimivat suojaamattomissa ympäristöissä
- yksityisyyden haasteet millä keinoilla estetään esim. ulkopuolisten pääsy sensitiiviseen dataan ja yksilöidään käyttäjä
- järjestelmien yhteensopivuus monet IoT palveluita tuottavat organisaatiot tuottavat omia verkkojaan omien laittedensa yhteentoimivuuden takaamiseksi mutta eri verkkojen yhteen linkittämistä varten ei ole yhteisiä pelisääntöjä tai standardeja mikä vaikeuttaa tietoturvan suunnittelua
- internet-protokollien riittämättömyys yleisimmin käytössä oleva Internet-protokolla Ipv4 ei riitä kasvaneen datan ja laitteiden määrän käsittelyyn vaan nykyään on tarjolla myös Ipv6; ongelmana on että Ipv4 verkossa tehdyt tietoturvaratkaisut eivät päde Ipv6 verkkoihin sellaisenaan
- laitteiden tietoturvan varmistaminen kun verkossa on miljardeja eri laitteita, niiden tietoturvan ajantasalla pitäminen on todellinen haaste ja vaatii ensiluokkaista panostusta kaikilta laitevalmistajilta; vastuu tietoturvasta on lähtökohtaisesti laitevalmistajalla eikä esimerkiksi pilvipalvelun tarjoajalla
- laitteiden tietoturvan sertifiointi tällä hetkellä ei ole keskitettyä instanssia joka sertifioi ja takaa IoT laitteiden tietoturvan joten kyseessä on aikamoinen villi länsi jossa jokainen tekee asiat tavallaan
Ratkaisuna tietoturvan haasteisiin on ylläolevan kuvaparin alemmasta kaaviossa ehdotettu "Security cloud" joka suodattaa ja suojaa laitteiden ja pilvipalvelun välisen liikenteen. Näiden alla tulevat "Security gateway" eli ratkaisut joiden avulla estetään ulkopuolisen pääsy käsiksi dataan. Alimmalla tasolla tulevat laitekohtaiset suojaukset, mm. kuvassa mainittu ECC suojaus ja muut suojausmenetelmät joista alla enemmän.
Yhteenvetona tietoturvan suunnittelu ja monitorointi kaikissa muodoissa vaatii syvällistä perehtymistä joten on lähtökohtaisesti tärkeää että sen toteuttavat siihen koulutetut ja harjaantuneet ammattilaiset. Valitettavasti monessa yrityksessä päätöksiä esimerkiksi pilvipalveluiden hankkimisessa tehdään enemmänkin taloudellisin kuin tietoturvaa huomioivin perustein. Tämä on ongelmallista esimerkiksi teollisuuden tietoverkoissa joista data siirtyy julkisen verkon yli ulkopuoliseen pilvipalveluun; vaikka itse laitteet ja verkot tukisivatkin protokollillaan suojausta, taloudelliset intressit saattavat rajoittaa niiden käyttöönottoa.
Erilaisia suojaustapoja
Myös suojauksen laadulla ja toteutustavalla sekä laitekohtaisesti että pilvipalveluissa on huomattava merkitys tietoturvan kannalta, esimerkiksi normaali SHA hash ei riitä suojaukseksi kun taas mm. TLS/SSL riittää useimmissa tapauksissa datan siirron aikaiseen suojaukseen.
Oma näkökulmansa on datan suojaaminen taustajärjestelmissä, tämä on enemmänkin IT-insinöörin työnkuvaa kuin automaatio-insinöörille kuuluvaa mutta suojaustavoista voitaneen maininta yleisimpinä seuraavat:
Ylläolevassa kuvassa mainittu ECC suojaus on yleistymässä IoT maailmassa. Sen yleistymistä on kuitenkin huomattavasti rajoittanut immateriaalioikeuteen liittyvät kysymykset ja nykyään yleisimmin käytettyjä ovatkin edellämainitut suojausmenetelmät.