Verkkoon kytkettyjen IoT-laitteiden tietoturvaongelmat

Abstract

Esineiden internet eli IoT (Internet of Things) on kasvanut viime vuosina yhä laaja-alaisemmin eri aloilla. IoT-laitteita käytetään nykyisin niin terveydenhuollossa kuin älykaupungeissakin. Kuitenkin myös kotioloissa käytettävät IoT-laitteet ovat lisääntyneet merkittävästi. Verkkoihin kytketyt laitteet ovat tuoneet tavallisten käyttäjien ulottuville kehittyneitä, hyödyllisiä ja älykkäitä palveluita. Kuitenkin yksityisyydensuoja ja IoT-laitteiden haavoittuvuudet ovat nousseet pinnalle tehdyissä tutkimuksissa. Tässä tutkielmassa perehdyn tarkemmin tietoturvaongelmiin sekä siihen, kuinka näiltä ongelmilta tulisi suojautua. Tutkimuksen keskeinen osa-alue on tietoturvaongelmat eri ympäristöissä. Tällä tarkoitetaan IoT-laitteiden sovelluskerrosten arkkitehtuuria, teknisiä haasteita sekä muita yleisiä riskejä, joita laitteiden käyttöön liittyy. Tietoturvaongelmat voivat aiheuttaa vakavia seurauksia käyttäjän yksityisyydensuojan rikkoutumiseen. Tämän vuoksi paneudun tässä tutkielmassa lisäksi siihen, millaisia suojaustapoja voidaan hyödyntää riskien välttämiseksi. Tutkielma on toteutettu kvalitatiivisena kirjallisuuskatsauksena ja sen tärkeimmät tukimuskysymykset ovat: ”Millaisia tietoturvariskejä IoT-laitteet pitävät sisällään?” ja ”Miten näiltä riskeiltä tulisi suojautua?”. Tutkiessani erilaisia tietoturvariskejä kävi ilmi, että riskit ovat hyvin monitasoisia. Osa riskeistä nivoutui selkeästi käyttäjän huolimattomuuteen tai välinpitämättömyyteen. Huomattava osa tunnistetuista tietoturvariskeistä ja -haavoittuvuuksista liittyi kuitenkin IoT-arkkitehtuurin eri kerroksissa esiintyviin ongelmiin. Näiden tunnistettujen riskien tietoturvahaasteet eivät kuitenkaan olleet ainoa ongelma. Laitteiden turvallisuuden takaamiseksi myös laitevalmistajien aktiivisella toiminnalla on suuri merkitys turvallisuuden parantamiseksi. Tutkielman toisessa pääteemassa eli suojaamisen parantamisessa nousi esiin laitevalmistajien vastuu myydyistä IoT-laitteista. Tähän ei kuitenkaan yksistään kannata nojautua, vaan myös käyttäjien tavat ja osaaminen huolehtia laitteidensa suojaamisesta ja tietoturvasta on tärkeässä asemassa tietojen väärinkäyttämisen ehkäisyssä. Näiden kahden suojaamistavan yhdistämisellä on parhaat edellytykset laitteiden tietoturvalliseen käyttöön. Tämän tutkimuksen tuloksena on, että nykyisellään olevat IoT-laitteet vaativat parempaa suojaustasoa, vaikka resursseja tälle ei vielä ole. Jatkuvat teknologian muutokset tuovat lisähaasteita niin laitevalmistajille, käyttäjille kuin lainsäädännöllekin.

The Internet of Things (IoT) has grown more widely in various fields in recent years. IoT devices are currently used as in health care and smart cities. However, also IoT devices used at home have seen tremendous growth. Network connected devices have brought advanced, intelligent, and useful services to ordinary users. However, privacy concerns and vulnerabilities in IoT devices have stand out in previous studies. In this research, I will look more closely at security issues, and how to protect against these problems. A key area of this research is security problems in different environments. This covers the architecture of the application layers, technical challenges and other general challenges associated with the use of the IoT devices. Security issues may cause serious consequences in violation of user privacy. Therefore, in this study I will also look what kind of options can be used to avoid those risks. The research has been implemented as a qualitative literature review and its main research questions are: “What kind of security risks does IoT involve?” and “How to protect against those risks?”. While I was researching different security risks, it turned out that the risks are a very wide variety. Some of the risks clearly linked to the negligence or indifference of the user. However, a significant part of the identified security risks and -vulnerabilities was related to issues with different layers of architecture. The security challenges identified by these were not the only problem. Also, to ensure the safety of devices, the active involvement of manufacturers is one of the most important things how to improve security. The second main theme of the research, which is to improve protection, the responsibility for the devices sold by manufacturer stood out. This is not to be trusted alone, but users’ habits and skills to protect and secure their own devices plays an important role in preventing the misuse of their data. Combining these two methods is the best way to use IoT devices securely. The result of this research is that current IoT devices require a better standard of security, although there are no resources for this. Ongoing technological changes bring additional challenges for device manufacturers, users, and legislation.