Tietoturvatiedotteet

Näistä aineksista syntyy toimivaa IoT:tä

Tunnisteet: tietoturva, kyberturvallisuus, esineiden internet iot, tietosuoja, yksityisyydensuoja

Muistathan älypesukoneen, -lämpöpumpun ja turvakameran varmaan? Ja sykemittarin, roskasäiliön harmaan? Mutta laite tää sulta ehkäpä hankkimatta jää. Toimivia ja turvallisia IoT-laitteita on toistaiseksi tarjolla vähän. Nyt esittelemme ominaisuuksia, jotka voisivat tehdä Iot-ratkaisusta menestyvän.

Tunnistat IoT-laitteen esimerkiksi verkkoliittimistä, SIM-korteista tai siitä, että laite pyytää syöttämään WLANin salasanan. Laite kytkeytyy internetiin pääsääntöisesti langattoman lähiverkon, mobiiliverkon tai kiinteän sisäverkon avulla. Laitetta voi säätää puhelimella, tabletilla tai sen tietoja voi tarkastella selaimella verkkopalvelusta. Paljon näppäriä ominaisuuksia, jotka voivat tehdä arjesta ketterämpää.

Kotimainen ratkaisu, joka parantaa kaikenikäisten elämänlaatua globaalisti

Jotta IoT-laite voisi menestyä, sen pitäisi voida parantaa elämänlaatua tai esimerkiksi helpottaa työntekoa. Toimiva IoT ei kuulu vain digiin kasvaneille sukupolville, vaan myös senioreille on tarjottava helppokäyttöisiä mutta turvallisia ratkaisuja.

Otetaan esimerkiksi kokkolalaisen yrityksen ikäihmisille tarkoitetut älykuntosalit. Näiden Iot-laitteiden tarpeellisuus on huomattu ulkomailla asti. Laitteet on suunniteltu ensisijaisesti senioreille muun muassa tasapainoharjoittelua varten. Ne tunnistavat treenaajan ja osaavat säätää asetukset ja vastuksen hänelle sopiviksi. Kunto-ohjaaja voi puolestaan tietokoneensa näytöltä seurata harjoittelun edistymistä ja antaa tarvittaessa palautetta. Harjoittelun avulla ikäihmisten pitäisi pysyä paremmin pystyssä ja poissa leikkauspöydiltä. Samankaltaisiin tavoitteisiin tähdätään myös muun muassa älykkäillä valaistusratkaisuilla.

Entäpä älykäs IoT-lehmä? Ainakin useiden karjankasvattajien elämää on helpottunut lehmän kaulaan ripustettavan älypanta, joka tarkkailee lehmän liikehdintää ja siten kiima-aikaa. Kun h-hetki koittaa, panta lähettää hälytyksen navetan valvomoon, jolloin keinosiementäjän voi kutsua paikalle juuri oikeaan aikaan. Ennen älypantaa lehmän kiiman määrittely oli hankalampaa, ja karjankasvattaja hoiti työn itse - todennäköisesti monen yrityksen ja erehdyksen kautta. IoT:n edut myös maidontuotannossa ovat selvät, sillä älylehmien avulla voidaan jakaa tietoa navetan valvomoon myös lypsykoneiden toiminnasta ja maidon laadusta.

On helppo kannattaa älylaitteita, jotka ovat maailmalla menestyviä ja kotimaisia innovaatioita. Myös kansantaloudellisesta näkökulmasta terveyttä ja työntekoa tukevat IoT-ratkaisut ovat tervetulleita.

Tarpeellinen ja älykäs on rakenteiltaan tietoturvallinen

Jos älylaitteen haluaa osaksi arkeaan, todellisten hyötyjen lisäksi sen on oltava turvallinen ja näppäräkäyttöinen. Hienoa olisi, jos tietoturvallisuus olisi IoT-tuotteissa lähes itsestään selvyys - ominaisuus, jonka perusteella kuluttaja voisi tehdä lopullisen ostopäätöksen. Myös kauppiaan pitäisi osata kertoa asiakkaalleen älylaitteen turvallisuusominaisuuksista.

Koska älylaite on kuin tietokone, siihen täytyy olla tarjolla päivityksiä ja haavoittuvuuksien paikkauksia, jotka ovat vaivattomasti käyttäjän saatavilla. Parhaassa tapauksessa laitevalmistaja pitäisi huolta laitteen turvallisuudesta ajantasaisin ja automaattisin päivityksin. Sama pätee myös oletussalasanojen vaihtoon niin, että se kävisi mahdollisimman yksinkertaisesti ja oikea paikka löytyisi käyttöjärjestelmästä helposti. Ylipäänsä IoT-laitteen oletusasetusten pitää olla tietoturvallisia.

Vastuullinen IoT-laitevalmistaja käyttäisi esimerkiksi Bug bounty -ohjelmaa, jolloin laitteiden turvallisuusominaisuuksia testattaisiin aktiivisesti, mutta vastuullisesti. Näin tietoturvapuutteet ehdittäisiin paikata ja estää esimerkiksi verkkorikollisten suunnitelmat laitteen kaappaamisesta osaksi bot-verkkoa.

Tarvitsemme toimivia ja turvallisia viestintäverkkoja. Näitä ominaisuuksia myös verkkoon kytkettävien IoT-laitteiden pitäisi tukea. Ne eivät saa olla materiaalia bot-verkoille, massiivisille palvelunestohyökkäyksille, tietovuodoille tai kiristyshaittaohjelmatartunnoille.

Suunniteltu ja koottu käyttäjän yksityisyyttä arvostaen, standardien mukaisesti

Käyttäjälle olisi kerrottava, mitä tietoja hänestä kerätään ja mihin tarkoitukseen. Myydäänkö käyttäjätietoja eteenpäin? Käyttäjälle pitäisi myös antaa mahdollisuus estää tietojensa kerääminen, tallentaminen ja jakaminen, jos hän niin haluaisi. Tämän ei pitäisi estää laitteen käyttöä siinä tarkoituksessa, johon se on hankittu.

Arvostettavaa olisi, että yksityisiä tietoja kerättäisiin vain tarpeen mukaan. Tavoitteena voisi olla esimerkiksi kunnan tai kaupungin terveyspalvelujen turvaaminen ja kehittäminen. Tietojen kerääminen vain varmuuden vuoksi tai jälleenmyyntitarkoituksessa ei auta laitteen käyttäjää. Kun tietoja kerätään, tallennetaan ja säilytetään fiksusti, samalla pienenee identiteettivarkauden riski, jos älylaitteen sisältämät yksityiset tiedot päätyisivät rikollisten käsiin.

Erityisesti lapsille suunnatuissa älylaitteissa, joiden avulla vanhemmat voivat esimerkiksi paikantaa jälkikasvunsa, turvallisuus ja yksityisyydensuoja on oltava testauksin todistettua. Tällaisen laitteen välittämän tiedon on pysyttävä eheänä. Laite ja sen käyttö ei missään nimessä saa luoda turhaa turvallisuuden tunnetta ominaisuuksilla, joita ei ole perusteellisesti testattu.

Mahdollisimman monipuolisen testausprosessin läpikäyneen IoT-laitteen voisi tunnistaa vaikkapa sertifiointitarrasta. Ideaalitilanteessa kauppoihin asti pääsisivat vain laitteet, jotka täyttävät tietyt pakolliset turvallisuusstandardit ja noudattavat ainakin EU-lainsäädäntöä.

Onko tarpeellista, toimivaa ja turvallista IoT:tä olemassa?

Ainekset ovat olemassa ja mielenkiintoisia kehitys- ja tutkimusprojekteja on menossa. Joka tapauksessa, ainakin toistaiseksi, tunnemme liian vähän IoT-laitteita tai -ratkaisuja, jotka ovat turvallisuuden näkökulmasta toimivia.

Läpilyöneitä Iot-ratkaisuja toki on. Muun muassa HSL-alueen joukkoliikenneverkko on valtava IoT-järjestelmä, jossa osaa liikennevälineistä voi seurata reaaliaikaisesti verkkoselaimen kautta. Esimerkiksi bussissa pysäkin nimen näyttävät laitteet ovat IoT:tä. Oulussa, Tampereella ja monissa Itä-Suomen kaupungeissa käytetään IoT-järjestelmää, joka jakaa hälytysajossa oleville paloautoille vihreitä liikennevaloaaltoja. Etäluettavat talojen älysähkömittaritkin alkavat olla valtavirtaa.

Hyvin toimivaa IoT:tä emme välttämättä edes huomaa. Taustalle jäävien älyratkaisujen turvallisuutta ei kuitenkaan pidä unohtaa. Älykäs on myös turvallista.


Artikkeli aloittaa marraskuun IoT-teemakuukauden. Luvassa on asiantuntijablogi ja videoklippejä, joissa keskustellaan ajankohtaisista IoT-kysymyksistä.

Lähteitä ja lisälukemista

Päivityshistoria

  • 09.11.2017 klo 13:26
    Julkaistu
Lue lisää

Viestintävirasto julkaisi varoituksen WiFi-verkkojen salauksessa paljastuneista haavoittuvuuksista

Tunnisteet: tietoturva, wlan

Viestintävirasto julkaisi keltaisen varoituksen WiFi-verkkojen WPA2-toteutukseen liittyvistä haavoittuvuuksista.

Langattomissa WiFi-verkossa käytetyn WPA2-salausmenetelmän kättelyn toteutuksessa on paljastunut haavoittuvuuksia, joiden avulla on mahdollista purkaa langattoman verkon käyttämä salaus. Menetelmiä haavoittuvuuksien hyväksikäyttämiseksi ei ole julkaistu. Haavoittuvuuksista on julkaistu Viestintäviraston vuoden kolmas varoitus.

Päivityshistoria

  • 16.10.2017 klo 16:25
    Julkaistu
Lue lisää

Yksityisyyden rajat säädetään tarkasti

Tunnisteet: tietoturva, kyberturvallisuus, tietosuoja, yksityisyydensuoja

Yksityisyyttämme ja luottamuksellista viestintäämme suojataan runsaalla EU- ja kansallisella lainsäädännöllä. Se vaikuttaa jokapäiväiseen elämäämme, siksi aihe on tärkeä ja ajankohtainen.

Eilen kaupassa asioidessasi kävelit ehkä valvontakameran ohi ja vilautit kassalla etukorttia. Tulitko ajatelleeksi, että samalla sinua koskevia yksilöiviä tietoja tallentui jonnekin? Entäpä kaverille lähettämäsi viesti? Jotta sinua koskevia tietoja ja luottamuksellista viestintääsi käsiteltäisiin oikein, tarvitaan säätelyä.

Kuva: Lainsäädännön kannalta yksityisyytemme rajat voidaan rakentaa kolmeen eri tasoon, jonka ytimessä ovat perusoikeutemme.

Vankka pohja perus- ja ihmisoikeuksissa

Yksityisyyden ja luottamuksellisen viestin suoja ovat perustuslaissa (731/1999) turvattuja oikeuksiamme. Näitä oikeuksia suojataan myös useissa Suomea velvoittavissa kansainvälisissä sopimuksissa kuten Euroopan ihmisoikeussopimuksessa (SopS 9/1990) tai YK:n kansalais- ja poliittisia oikeuksia koskevassa yleissopimuksessa (SopS 7-8/1976).

Lakeja säädettäessä ja sovellettaessa perus- ja ihmisoikeuksia ei voi sivuttaa.

Sähköistä viestintää suojaa tietoyhteiskuntakaari

Tietoyhteiskuntakaaren (TYK 917/2014) yhtenä keskeisenä tavoitteena on turvata sähköisen viestinnän luottamuksellisuutta ja yksityisyyden suojaa. Yksityisyyden suojaa koskeva sääntely koskee viestinnän välittäjiä, eli teleyrityksiä, yhteisötilaajia ja niitä, jotka välittävät sähköistä viestintää muuhun kuin henkilökohtaisiin tai niihin verrattaviin yksityisiin tarkoituksiin.

Luottamuksellisia viestejä ja välitystietoja voivat käsitellä viestinnän osapuolet eli viestin lähettäjä ja vastaanottaja. Viestintää voivat käsitellä myös muut kuin lähettäjä ja vastaanottaja, mutta vain laissa tarkkaan säädetyillä edellytyksillä.

Viestintävirasto valvoo esimerkiksi välitystietojen käsittelyn ja viestintäpalvelujen tietoturvallisuutta koskevien säännösten noudattamista, jotka perustuvat tietoyhteiskuntakaaren ja sen nojalla annettuihin säännöksiin ja määräyksiin.

Tietosuojavaltuutettu valvoo henkilötietojen käsittelyä

Henkilötietolaki (523/1999) on säädetty toteuttamaan yksityiselämän suojaa sekä muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä. Laissa säännellään henkilötietojen käsittelyn yleisistä edellytyksistä, rekisterinpitäjien velvoitteista, rekisteröityjen oikeuksista, lakiin liittyvästä valvonnasta sekä lain säännösten rikkomiseen liittyvistä mahdollisista sanktioista.

Henkilötietolaissa muun muassa kerrotaan, milloin ja millä ehdoin henkilötietoja voi käsitellä. Rekisterinpitäjä puolestaan velvoitetaan käsittelemään henkilötietoja huolellisesti ja suojaamaan näitä.

Lain noudattamista valvoo tietosuojavaltuutettu. Esimerkiksi tietosuojavaltuutetun verkkosivuilla on kattavasti tietoa erilaisista henkilötietojen käsittelyyn liittyvistä kysymyksistä.

Erityissääntelyllä määritellään yksityisyyden tarkat rajat

Yksityisyyden suojaa koskevaa erityissääntelyä on Suomessa paljon. Tähän säädäntöön kuuluvat muun muassa Työelämän tietosuojalaki (759/2004) ja laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Työelämän tietosuojalain tarkoituksena on säännellä yksityiselämän suojaa työympäristössä niin yksityisellä kuin julkisellakin puolella. Laki on huomioitava jo työnhaussa, koska sitä sovelletaan osittain myös työnhakijoihin. Laissa säädetään muun muassa työntekijän ja työnhakijan henkilötietojen keräämisen yleisistä edellytyksistä.

Työnantaja saa esimerkiksi käsitellä vain työntekijän työsuhteen kannalta tarpeellisia henkilötietoja. Lisäksi laissa on sääntelyä esimerkiksi siitä, miten työnantaja saa käyttää kameravalvontaa työpaikalla ja millaiset edellytykset on täytyttävä, jotta työnantaja voi käsitellä työntekijöiden sähköpostiviestintää. Työsuojeluviranomaiset valvovat lain noudattamista yhdessä tietosuojavaltuutetun kanssa.

Laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä on säännöksiä sosiaali- ja terveydenhuollon asiakastietojen salassapidosta, luovutuksesta, arkistoinnista ja asiakkaan oikeuksista saada tietoa omista asiakastiedoistaan. Säännökset on huomioitava, kun esimerkiksi sinua koskevia potilastietoja käsitellään.

Aivan viime kädessä yksityisyyttämme suojataan myös muun muassa rikoslain (39/1889) säännöksillä.

EU-sääntely yhtenäistää henkilötietojen käsittelyä ja tuo mukanaan tuntuvia sanktioita

EU:n yleisen tietosuoja-asetuksen (679/2016), GDPR (General Data Protection Regulation), soveltaminen alkaa 25.5.2018. Tuolloin henkilötietoja on käsiteltävä asetuksen mukaisesti. Lisäksi valmisteilla on uusi sähköisen viestinnän tietosuoja-asetus eli e-Privacy-asetus

GDPR tulee korvaamaan voimassa olevan henkilötietodirektiivin (46/1995/EY) ja e-Privacy-asetuksella korvattaisiin puolestaan sähköisen viestinnän tietosuojadirektiivi (58/2002/EY).

Yleinen tietosuoja-asetus ja sähköisen viestinnän tietosuoja-asetus sisältävät nykyistä lainsäädäntöämme vastaavia yksityisyyttä ja luottamuksellisen viestin suojaa koskevia säännöksiä.

Molempia asetuksia tullaan soveltamaan kaikissa EU:n jäsenvaltioissa. Jatkossa yksityisyyden tai viestinnän luottamuksellisuuden kannalta on sama, ollaanko Suomessa tai vaikkapa Saksassa.

Yleisellä tietosuoja-asetuksella halutaan lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa mahdollisuutta valvoa omien henkilötietojen käsittelyä. Esimerkiksi rekisterinpitäjän on ilmoitettava tietoturvaloukkauksista, joissa henkilötietojen luottamuksellisuus on vaarantunut. Jos henkilötietoja käsitellään asetuksen vastaisesti, seuraamukset ovat tuntuvat - jopa 4 % yrityksen maailmanlaajuisesta liikevaihdosta. Suurille yrityksille tämä voi tarkoittaa miljoonien eurojen sanktioita.

Sähköisen viestinnän tietosuoja-asetuksen tarkoituksena on puolestaan edistää luottamuksellisuuden ja yksityisyyden suojan toteutumista sähköisessä viestinnässä, olipa kyse koneiden tai ihmisten välisestä viestinnästä. Tämäkin ehdotus yhdenmukaistaisi sähköisen viestinnän lainsäädäntöä EU:ssa.

Lisätietoja

Päivityshistoria

  • 29.09.2017 klo 14:24
    Julkaistu
Lue lisää
.