Internet of Things IoT on olennainen keskeinen osa nykypäivän automaatiosovelluksia. Esimerkkejä jokapäivän IoT-sovellutuksista:
- etäluettavat sähkömittarit
- terveystietoa jakavat lääketieteen laitteistot ja järjestelmät
- älyvaatteet
- autojen navigointijärjestelmät
- kodin viihdelaitteet
- talotekniikka, esimerkiksi kiinteistön kuntoa tarkastelevat anturit ja niiden toimittaman datan pohjalta asukkaille näytettävät käyttöliittymät
- eri kodin ja teollisuuden automaatiojärjestelmien hallinta ja ohjelmointi älypuhelinsovelluksella; hälytysjärjestelmät, langaton tietoverkko, kodin valaistus, erilaiset teollisuuden laitteet
IoT:n mahdollistamat tietoturvariskit
Suuressa osassa yllämainituista sovelluksista data liikkuu joko puhelinliittymän tai julkisen, ethernet-pohjaisen verkon yli. Sovellusten kirjon kasvaessa tietoturvan merkitys vain korostuu entisestään. Alati laajenevat järjestelmät pirstaloituvat mistä seuraa haasteita tietoturvan kannalta; toisaalta entistä laajemmat järjestelmät tarjoavat lisää ohjelmointirajapintoja jotka mahdollistavat uudenlaisten tietoturvaratkaisujen käyttöönoton.
Esimerkkejä IoT:n mahdollistamista tietoturvariskeistä:
- järjestelmään kohdistuva tietomurto: suojauksen tai salauksen puutteista johtuen ei-toivottu taho kykenee murtautumaan järjestelmään tietoverkon yli
- data-yhteydeyn riittämätön suojaus: ulkopuolinen henkilö kykenee kaappaamaan julkista verkkoa pitkin liikkuvan tiedon
- ohjelmistovirheet: ohjelmointi- tai asetusvirheistä johtuen ulkopuolinen taho kykenee murtautumaan järjestelmään, esimerkiksi liian heikko salasana järjestelmässä voi johtaa tällaiseen tilanteeseen
- haittaohjelmien aiheuttamat uhat: on olemassa viitteitä haittaohjlemien hyökkäyksistä Internetiin kytketyn laitteen kimppuun; tällaiset haavoittuvuudet useimmiten johtuvat laiminlyönneistä mm. datayhteyden suojauksessa
Koska data IoT järjestelmässä liikkuu pitkälti julkisen verkon ylitse, datayhteyden suojauksen merkitys korostuu. Esimerkkeinä hyvistä suojaustavoista ovat VPN ja TLS/SSL pohjaiset ratkaisut. Normaalissa tilanteessa VPN saattaa tuntua tavalliselle käyttäjlle mahdottomalta ottaa käyttöön joten useimmiten sovelluksissa tyydytään TLS/SSL suojauksen käyttöön. Toisaalta liian kattava suojaus osaltaan rajoittaa datan käyttöä joten tietoturva on syytä suunnitella yhdessä järjestelmäintegraattoreiden sekä loppukäyttäjien / asiakkaiden kanssa.
Pilvipalvelut yleistyvät jatkuvasti; yhä useammin laitteiden tuottama data tallennetaan pilvipalvelimelle. Pilvipalvelimen käyttöön saattaa liittyä tiettyjä riskejä kuten epäselvyydet sovelluksen ja sen tuottaman datan omistajuudesta. Tämä varsinkin kun käytetään ulkomaisia pilvipalvelimia; hyvänä esimerkkinä Googlen pilvipalvelu Google Drive, pilvessä oleva data sijaitsee fyysisesti jollakin Googlen eurooppalaisista konesaleista mutta tallennusvaiheessa data kiertää Yhdysvaltojen kautta. Johtuen Yhdysvaltojen tietoturvapolitiikasta, eurooppalaiset yritykset joutuvat vaatimaan Googleta "EU Safe Harbor" lauseketta joka takaa että data ei päädy vääriin käsiin.
Esimerkkeinä IoT:n mahdollistamista hyökkäyksistä on lukuisia; kuuluisimmat ovat matojen aiheuttamia:
- Energetic Bear: hakkerit tunkeutuivat Havex-nimisen haittaohjelman avulla energialaitosten tietojärjestelmiin
- Stuxnet: Iranin ydinlaitoksia vastaan suunnattu mato, levisi turhankin tehokkaasti myös muihin kohteisiin ympäri maailman
...