IoT-tietoturvaoppimisympäristön kehittäminen

Abstract

Esineiden internet (IoT - Internet of Things) tarkoittaa "esineiden" yhdistämistä internetiin. Esineet voivat olla erilaisia laitteita kuten älykello, auto, robotti-imuri, IP-kamera, älykoti IoT-laitteet tai vaikkapa kahvinkeitin. Langattomat sensoriverkot (WSN) koostuvat erilaisista langattomista mittausyksiköistä, jotka mittaavat ja keräävät tietoa ympäristöstään. Vaikka IoT tarjoaa tehokkaita ja joustavia ratkaisuja moniin tosielämän haasteisiin, on tietoturvaan liittyviä ratkaisuja syytä kyseenalaistaa. Tilannetta pahentaa entisestään, kun yhdistettyjen laitteiden määrä kasvaa eksponentiaalisesti. Tämän seurauksena tietoturvasta ja yksityisyydestä on tullut merkittävä haaste IoT-järjestelmille. Tässä Pro gradu -tutkielmassa tutkittiin millainen on IoT-tietoturvaosaamisen tarvekartoituksen ja pedagogisen mallin mukaisesti toimiva ja ratkaisukeskeiseen oppimiseen parhaiten soveltuva oppimisympäristö. Painotus tutkimuksessa kohdistui IoT-järjestelmien ja erityisesti langattomien sensoriverkkojen tietoturva- ja yksityisyyshaasteisiin käytetyn teknologian ja arkkitehtuurin näkökulmaan. Tässä Pro gradu -tutkielmassa keskityttiin oppimisympäristön suunnitteluun ja toteuttamiseen kehittämistutkimuksen menetelmin. Kehitetyssä oppimisympäristössä on mahdollista toteuttaa opetusta langattomien sensoriverkkojen ja IoT-järjestelmien kohdistuviin haavoittuvuuksiin ja haavoittuvuuksien vaikutuksiin luottamuksellisuuteen, eheyteen ja saatavuuteen. Kehitystyön tuloksena toteutettiin useita IoT-laitteita ja Internet-verkon toimilaitteita sisältävä oppimisympäristö, joka voidaan tarvittaessa irrottaa julkisesta Internetistä. Oppimisympäristön kehityssykleissä suunniteltiin ja pilotoitiin useita erilaisia oppimistehtäviä. Kehityssykleissä analysoitiin myös oppimistehtävien soveltuvuutta IoT-järjestelmän tieto- ja kyberturvallisuuden testausmenetelmien opettamiseen. Parhaaksi vaihtoehdoksi todettiin IoT-järjestelmän tietoturvan opettaminen siten, että opetus toteutetaan noudattamalla penetraatiotestauksen menetelmiä. Didaktinen malli noudattaa Kajaanin ammattikorkeakoulussa käytössä olevaa sosiokonstruktivististä oppimiskäsitystä, jossa korostetaan tekemällä oppimista teoreettisen tiedon pohjalta. Työn tuloksena saatiin myös ymmärrystä siitä, mitä osaamista opiskelijoilla tulee olla ennen IoT-tietoturvakurssin suorittamista. Merkittävin osaamisvaatimus liittyi tietoverkkoihin ja tietoliikenneteknologian osaamiseen.

Internet of Things (IoT) means the connection of "objects" to the Internet. The objects can be various devices such as a smart watch, a car and a robot vacuum cleaner, especially an IP camera, smart home devices or even a coffee maker. Wire- less sensor networks (WSNs) consist of a variety of wireless measurement units that measure and collect information about their environment. While IoT provides effective and flexible solutions to many real-life challenges, security-related solutions are questionable. The situation is exacerbated as the number of connected devices increases exponentially. As a result, security and privacy have become a major challenge for IoT systems. This Master’s thesis examined the learning environment that works in accordance with the needs assessment and pedagogical model of IoT security expertise and is best suited for solutioncentered learning. The emphasis in the study was on the technology and architecture used to address the security and privacy challenges of IoT systems, and in particular wireless sensor networks. This Master’s thesis focused on the design and implementation of a learning environment using development research methods. In a developed learning environment, it is possible to teach about the vulnerabilities of wireless sensor networks and IoT systems and the impact of the vulnerabilities on confidentiality, integrity and availability. As a result of the development work, a learning environment with several IoT devices and Internet network actuators was implemented, which can be disconnected from the public Internet if necessary. Several different learning tasks were planned and piloted in the development cycles of the learning environment. The development cycles also analyzed the suitability of learning tasks for teaching IoT network, datasecurity and cybersecurity testing methods. The best option was to teach the security of the IoT system by following the penetration testing methods. The didactic model follows the socio-constructivist concept of learning used at Kajaani University of Applied Sciences, which emphasizes learning by doing it on the basis of theoretical knowledge. The work also resulted in an understanding of what skills students should have before completing an IoT security course. The most significant competence requirement was related to competence in wireless networks and telecommunications technology.