TIETOISKU: Salaus ja tietoturva IoT-ratkaisuissa – miten laiteliitäntä?

Mitä tapahtuisi jos ulkopuolinen saisi luettua keräämäsi datan tai pääsisi kiinni teollisuuslaitoksen järjestelmiin. Yritystiedoilla voi olla liiketaloudellisia vaikutuksia, mutta jo joku pääsee ohjamaan tuotantoprosessiasi vaikutukset voivat olla todella suuria.

Suomessa on monia automaatiojärjestelmiä joita lähes kuka vaan pääsisi vapaasti ohjaamaan halutessaan kun vain tietää laitteen IP-osoitteen. Maailmassa on hyvin monia Internetiin liitettyjä laitteita joissa ei ole mitään varsinaista käyttäjän tunnistusta ja/tai niissä käytetään yleisesti tiedossa olevia valmistajien oletussalasanoja.

Teollinen internet ei ole asiana uusi, sillä verkkoihin kytkettyjä laitteita ja järjestelmiä on ollut jo parin vuosikymmenen ajan. Teollisen internetin ratkaisut voidaankin karkeasti jakaa koneohjauksiin ja valvontajärjestelmiin liittyvistä SCADA/M2M (Supervisory Control And Data Acquisition / Machine-to-Machine) periytyviin ratkaisuihin ja uusiin IoT-ratkaisuihin sekä näiden yhdistelmiin.

Teollinen Internet on sateenvarjotermi, jonka alle mahtuu suuri joukko erilaisia tekniikoita. Yhdistävänä tekijöinä näille eri tekniikoille on TCP/IP-tietoliikenteen käyttö. Tyypillinen teollisuuden Internet-ratkaisu sisältää sekä TCP/IP:tä käyttäviä osia sekä osia joissa sitä vielä käytetä. Luonnollisesti tietoturvallisuuden kannalta TCP/IP:tä käyttävät osat ovat keskeisessä asemassa, mutta muitakaan osia ei voida jättää kokonaan huomiotta.

Monet uudet kuluttajille suunnatut IoT-ratkaisut perustuvat paljolti nykyisen Internet-maailman perustekniikoihin. Siksi niissä käytetään luvattoman paljon protokollia, jotka eivät ole täysin turvallisia. Tällaisia ovat esimerkiksi HTTP, FTP, Telnet, Mobus TCP sekä suurin osa etäsarjaporttiprotokollista. Niitä voi käyttää vain Internetistä luotettavasti erotetussa verkossa.

Turvattomista protokollista kannattaa silti hankkiutua eroon korvaamalla ne turvallisemmilla kunnollisen tunnistuksen ja salauksen tarjoavilla tietoliikeprotokollilla. Esimerkiksi Web-selaukseen on tarjolla palvelimen tunnistuksen ja liikenteen salauksen tarjoava HTTPS-protokolla, joka kuljettaa HTTP-yhteyden datan TLS (Transport Layer Security) -menetelmää käyttäen.

Nykyiset Telnet- ja FTP-palvelut kannattaa korvata SSH- ja SCP-protokollilla, jotka tarjoavat luotettavan tunnistuksen ja tiedon salauksen. Jos protokollaa ei voi vaihtaa, paras tapa on suojata Internetin yli kulkeva liikenne VPN (Virtual Private Network) -tekniikkalla.

Teollisen Internetin ratkaisuihin liittyy edelleen haasteita. Esimerkiksi miten pitää tiedot turvassa niin itse laitteessa, siirrettäessä niitä verkon yli pilvipalveluun sekä säilöä niitä turvallisesti verkon pilvipalvelussa. Palvelinestohyökkäykset ovat edelleen riski, koska IoT -laitteita vastaan voidaan hyökätä tai niitä voidaan käyttää muita järjestelmiä vastaan hyökkäämiseen.

Siirtyminen uuteen IoT-maailmaan ei tapahdu hetkessä, sillä teollisuuden tietoverkoissa on vielä pitkään eri ikäisiä laitteita. Vanhemmissa laitteissa ei aina ole mitään sisäänrakennettuja turvaominaisuuksia. Tällaisen vanhemman laitteen voi silti kytkeä turvallisesti verkkoon, jos verkon ja laitteen väliin asennetaan erillinen tietoliikennöintilaite.

Teollisen internetin salaus- ja tietoturvatekniikat olivat esillä lokakuun Teknologia15-tapahtuman Tietoiskulavalla. Niistä olivat puhumassa  Tomi Engdahl helsinkiläisestä Netcontrol Oy:stä, jossa hän toimii suunnittelijana sekä elektroniikkasuunnittelija Krister Wikström Infomatix Ky:stä.

Molempien esityskalvot ovat ladattavissa täältä: IoT-tietoturvaa käsittelevät Tomi Engdahlin esityskalvot (981 kt, pdf) ja Krister Wikströmin Teollisen internetin IoT-liitännät (1,18Mt, pdf).