Tietoturvatietoisuuden jatko-oppimäärä: internetin esineet ovat vailla omaa käyttistä

Tietoturva-ajattelussa on näihin päiviin saakka ollut tiettyjä fundamentteja. Jokaisessa tietokoneessa on ajateltu olevan käyttöjärjestelmä, joka täytyy internetissä suojata kyberhyökkäyksiltä. Vain käyttöjärjestelmien on ajateltu olevan haavoittuvia.
Oletukselta on pudonnut pohja. Nykyisin nettiyhteyden päästä löytyy myös toisenlaisia isolla muistitilalla varustettuja päätelaitteita, jotka eivät ole tietokoneita mutta joihin muodostetaan etäyhteys avoimen internetin kautta, esimerkkinä vaikkapa sähkömittaritaulu.
Myöskään kahvinkeittimessä tai älykkäässä saunankiukaassa ei ole perinteisessä mielessä käyttöjärjestelmää. Kuitenkin ne voivat olla paloturvariski, jos etäyhteys joutuu vääriin käsiin. Ettei niin kävisi, päätelaitteita suojataan tietoturvatyökaluin.
Jos etäyhteyden päässä toimii ohjauslaite, jossa on käyttöjärjestelmä, se tulee suojata. Tämä ei kuitenkaan valitettavasti vielä riitä.
Verkkotoimintaympäristömme on muuttunut varsin oleellisesti. Haavoittuvuudelle alttiiksi jää ohjattavan laitteen lisäksi pilvipalvelu, joka varastoi etäyhteyden dataa. Iskumahdollisuuksien kirjo laajenee kummasti.
Enää ei useinkaan hyökätä käyttöjärjestelmää ja selainta vastaan. Nyt jopa Viestintävirasto myöntää (8.11.2016), että kiinteistöautomaatiojärjestelmiä ”ilmeisesti on käytetty palvelunestohyökkäysten välikappaleena”.
Yleisimin käyttöjärjestelmiksi tunnistetaan tietenkin Windows-versiot, jotka ovat vuotaneet kuin seula jo 20 vuotta – tarkkaan ottaen epävakaasta Windows 95:stä alkaen. Vuonna 1998 ilmestyi katastrofaalinen Win 98, joka ei ollut edes valmis, kun se tuotiin markkinoille. Tietotekniikan logiikan vastaisesti ajateltiin, että käyttöjärjestelmä korjataan käytössä ilmenneiden ongelmien ja palautteen avulla. Windows XP pelasti tilanteen, sillä sen lähdekoodi oli toinen.
Vanhentunut Microsoft Win XP on nyt opetuskäytössä Jyväskylän AMK:ssa. IT-alan perustutkinnon suorittajat voivat havainnoida tosielämässä, kuinka XP ja sen alkeellinen suojaus murretaan. Opetustilanteessa tietsikka, jossa Windows XP pyörii, otetaan suvereenisti hyökkääjän etähallintaan ja sillä tehdään mitä halutaan. Vaikuttavaa, ihmettelevät oppilaat.
Joskus tuntuu, että suomalaisten korkean teknologian yritysten pitäisi päästä samanlaiselle tietoturvan peruskurssille herätäkseen tähän maailmanaikaan.
No niin, takaisin päivän epistolaan: yhteyskäytön suojaamisessa ei ole kyse enää vain käyttäjäpään käyttöjärjestelmällä varustettujen laiteiden suojaamisesta.
Kuinkas sitten tulisi toimia, että suojaus on kattava? Etäkäyttäjän tietokoneet voidaan suojata esimerkiksi palomuureilla ja yhteysprotokollalla, kuten SSl (Secure Sockets Layer) tai softapohjainen VPN (Virtual Private Network). Etäkäytettävät laitteet jäävät kuitenkin siinä suojattomaksi. Uuden sukupolven botit osaavat iskeä internetin esineisiin, joissa ei ole käyttöjärjestelmää perinteisessä mielessä.
Jos suojaamattomiin etälaitteisiin otetaan suojattu VPN-yhteys tietokoneella, itse kohde ei ole vielä suojattu internetistä tulevilta kyberuhkilta. Sekä käyttäjän että etäkohteiden laitteet automaattisesti suojaavista erillisistä VPN-laitemalleista voidaan esimerkiksi nostaa suomalainen patentoitu ja varmana pidetty Tosibox. On niitä muitakin, mutta Tosib0x on tehnyt kaikkensa, että sen asennus olisi helppo.
