Mobiili-internet saa uuden teknisen standardin – tietoturva uskonasia
Suomessa ajetaan käyttöön uutta verkkoteknistä langatonta IoT-ratkaisua hieman epävarmoissa tunnelmissa.
Tekniikan nimi on Narrow Band ja sitä sovelletaan nyt jo aika huolettomasti sähkönsiirto- ja etäohjausjärjestelmissä sekä lvi:stä hyvin monen tyyppisiin internetesineisiin.
Standardi tietoturva vain ei tunnu olevan innostava puheenaihe.
Mistähän moinen? Mielestäni aivan aiheelliset kysymykset asiantuntijoille eivät oikein iske tulta sytytystulppiin:
RD Velhon sulautetut ratkaisut -ryhmästä arvioidaan, että Narrow Bandista ”ei saa hyvää kohujuttua”.
Okei, olikohan sellaista tekeillä? Kysymys koski, miten ja millaisilla menetelmillä ja testeillä uusi verkkoympäristö on varmistettu tietoturvalliseksi?
VTT:n Oulun yksikön testeissä NB-IoT on osa 4G-verkkoa, jonka SIM-ratkaisu on NB:n käyttöalusta, ja näin ollen ”sieltä tulee pohja tietoturvalle”.
Raskaansarjan tietoturvaa ei testata. VTT:n käsityksen mukaan ”mitään VPN-tunneleita ei ehkä tarvita”. VTT:llä kysymyksiä ohjataan eteenpäin sen kyberturvallisuutta tutkivaan Kyberpalvelut-kolonnaan, joka auttaa asiakkaitaan rakentamaan turvallisia sulautettuja järjestelmiä eri laitteille, ovat ne sitten älypuhelimia, reitittimiä, ympäristöantureita tai älykkään sähköverkon komponentteja. Narrow Bandia VTT:llä ei kuitenkaan ole tutkittu, koska sitä koskevaa tilausta ei ole tehnyt yksikään alan toimija.
Haloo!
Tietoturva ei nappaa teemana, vaikka isossa kuvassa meillä on läsnä kybermaailma, jossa prosessoreihin hyökkäävät vaaralliset haittakoodit: Mirain sekä sen koodista nyt synnytetty toisen polven versio Okiru.
Ne ovat täällä, ja saastuttavat prosessoreita, eritoten ARC-suorittimia.
Entä mitä pitäisi ajatella siitä, mitä lukee maailmalla it- ja tekniikkalehdissä? Kuten Wiredissä, esimerkit kyberuhkista ovat raflaavia: autoja, työkoneita, jopa sairaalaan morfiinia potilaalle annosteleva infuusiopumppu on etäkrakkeroitu toimimaan hyökkääjän haluamalla teholla ja tavalla.
Miksi sitten tällainen uusi mobiilitekniikka? Käytännöllisiä syitä löytyy useita.
Parhaimmillaan NB-IoT on kohteissa, joissa siirrettävä data on vähäistä, kuten mittarilukemat, lämpötilat, kosteusarvot tai venttiilisäätötiedot. Tällöin dataa lähetetään joko ennalta määritellyin periodein tai raja-arvon ylityksen jälkeen.
Jopa 50 kilometrin kantomatkan ja erinomaisen kuuluvuutensa ansiosta NB-IoT:ta voidaan hyödyntää myös heikomman kuuluvuuden paikoissa, esimerkiksi kellareissa.
Laajasti asennetut lyhyen kantaman radioliitännät Bluetooth ja ZigBee eivät sovi skenaarioille, jotka vaativat pitkän kantaman suorituskykyä ja alhaista virrankulutusta.
Lisäämme nyt hieman läpinäkyvyyttä asiaan raportoimalla selvityksestä, jonka perusteella NB-IoT kestää vertailun muihin esineinternetin alustatekniikkoihin.
Vuonna 2017 julkaistu Franklin Heath Ltd:n tuottama raportti LPWA Technology Security Comparison korottaa Narrow Band -standardin tietoturvaltaan muita tekniikoita, kuten LTE-M, EC-GSM-IoT, LoRaWAN ja Sigfox, paremmaksi. Paremmuus näkyy muun muassa vesimittarin datayhteydessä ja älykkään katuvalaistuksen ohjauksessa.
NB ei ole helposti bottien krakkeroitavissa. Tämä taas ei tarkoita raportin mukaan, etteikö mikä tahansa langaton internetin yli toimiva kaksisuuntainen dataa lähettävä IP olisi kohdennetusti murrettavissa.
Keskeinen torjuttava uhka on, ettei mittari tai sensori päädy bottiverkoiksi kutsuttuja kaapattujen laitteiden armeijoihin.
Näitä käytetään esimerkiksi palvelunestohyökkäyksiin. Epäselväksi on usein jäänyt, mitä reittiä ja kuinka helposti esimerkiksi prosessorivirukset iskevät laitteisiin.
Tarvitsemme eräänlaista perustason tietoturvaoppia näiden uhkien analysoimiseen: teemme, minkä voimme niitä kyberuhkia vastaan, jotka ovat ymmärrettäviä ja joita vastaan voimme suojautua, ja jätämme loput herran haltuun. Tämä erottelu on kuin kyberaikaan sovellettu Franciscus Assisilaisen oppi asioiden jakamisesta niihin, joihin voimme vaikuttaa, ja niihin, joihin emme voi vaikuttaa.
