Operaattoreiden älykkäät palomuurit parantavat taloautomaation tietoturvaa

20.3.2017

Operaattoreiden tarjoamat verkkoliikenteen suodatuspalvelut ja palomuurit parantavat taloautomaation tietoturvaa, mutta eivät ratkaise kaikkia ongelmia. Saastuneet laitteet eristetään verkosta tarvittaessa nopeasti.

Elisa Oyj:n turvallisuusjohtaja Jaakko Walleniuksen mukaan Suomesta löytyi viime vuoden marraskuun lopulla lukuisia Mirai-haittaohjelman saastuttamia valvontakameroita ja muita IOT-laitteita, joita myös Elisa joutui eristämään verkostaan ”suuria määriä”.

Operaattorit suorittavat jatkuvasti verkkojen puhtaanapitoa ja saastuttavat laitteet poistetaan verkosta tarvittaessa erittäin nopeasti. Nykyisessä IP-kameroiden maailmassa se tarkoittaa käytännössä sitä, että kameravalvontajärjestelmä saattaa lakata toimimasta hyvin lyhyen varoitusajan jälkeen ja jättää kohteen ilman reaaliaikaista etävalvontaa. Tartunnan saaneen laitteen löydyttyä operaattorilla ei ole kuitenkaan muuta mahdollisuutta kuin toimia nopeasti, sillä muuten haittaohjelma tai virus voi levitä nopeasti edelleen lukuisiin muihin laitteisiin.

– Suomalaiset operaattorit suhtautuvat näihin asioihin vakavasti. Kuka tahansa voi kuitenkin ostaa mitä tahansa laitteita mistä tahansa ja liittää ne itse verkkoon. Meillä ei ole tähän tietenkään mitään muuta sanottavaa, kuin että jos ne alkavat sylkeä pahuutta verkkoon, niin sitten me puutumme asiaan verkon puhdistuspuolen kautta, Wallenius sanoo.

Elisan ”puhdistuspuoli” eli tietoturvapoikkeamien hallintayksikkö on keskitetty yhtiön Helsingin Pasilassa olevan pääkonttorin yläkerroksessa sijaitsevaan Cyber Security & Service Operations Centeriin eli CSOC-palveluhallintakeskukseen. Samoissa tiloissa hoidetaan kaikki Elisan Suomessa olevan tietoliikenneverkon ympärivuorokautinen valvonta ja ohjaus.

  
IP-kamera vaatii aina salasanan

Walleniuksen mukaan operaattorin tarjoama palomuuri on hyvä ensiaskel kiinteistön sisäisen tietoturvan parantamisessa, mutta se ei vielä yksinään riitä. Myös kaikki kotiautomaatiojärjestelmään kuuluvat laitteet – niin kuin kaikki muutkin IOT-laitteet – on tärkeää suojata aina myös riittävän monimutkaisilla salasanoilla.

Jos laite ei mahdollista salasanan käyttöä, ei asiakkaan kannata ostaa eikä myyjän myydä kyseistä tuotetta. Tehdasasetus- ja oletussalasana pitää muistaa vaihtaa aina ennen laitteen liittämistä verkkoon. Esimerkiksi aiemmin mainittu, verkkosivuja vastaan tehtävissä palvelunestohyökkäyksissä käytettävä Mirai-haittaohjelma pääsi leviämään lukuisiin koneisiin ja laitteisiin yksinkertaistetusti sanottuna etsimällä verkosta avoimia laitteita ja syöttämällä sen jälkeen niihin automaattisesti yleisimpiä tunnussalasanayhdistelmiä (kuten admin/123456) ja tiedossa olevia oletussalasanoja.

Viestintäviraston mukaan tämä riitti saastuttamaan Suomessa yli 16 000 laitetta muutamassa päivässä.

Nykyisin usein jo varsin yksinkertaistenkin laitteiden liittäminen verkkoon onnistuu jatkuvasti helpommin ja nopeammin, mutta vastaavasti laitteiden tietoturvaan ja yhteyksien suojaukseen ei osata tai huomata kiinnittää aina riittävästi huomiota. Walleniuksen mukaan IOT-laitteissa yleistynyt, eri laitteiden sujuvaan verkkoon liittämiseen ja verkon yli ohjaamiseen kehitetty, UPNP-verkkoprotokolla (Universal Plug and Play) aiheuttaa jatkuvasti enemmän haasteita tietoturvalle.

– UPNP-protokolla on suunniteltu hyvin, mutta se on siitä viheliäinen, että se avaa reiän palomuuriin aina, kun esimerkiksi kamera ottaa yhteyden pilvipalveluun. Vaikka reikä on vain kyseiseen kameraan, päästään sitä kautta palomuurin sisälle ja samalla kaikki näyttää toimivan ihan niin kuin pitääkin, Wallenius kertoo.

  
Verkkoliikenteen suodatus lisää turvaa

Suomalaiset operaattorit tarjoavat asiakkailleen nykyisin kehittyneitä pakettisuodatus- ja palomuuripalveluita, joihin voidaan liittää myös erittäin tiukkoja sallitun liikenteen rajoituksia. Operaattoreiden haittaohjelmatunnisteet suodattavat automaattisesti kaikki tunnetut madot ja virukset ja osaavat tunnistaa ja estää suuren osan hyökkäyksistä. Lisäksi kaikki liikenne vaarallisiksi tiedetyille sivuille estetään automaattisesti.

Elisan Service Managementin apulaisjohtaja Markus Kinnusen mukaan tämä on yrityksille erittäin hyvä ja kustannustehokas tietoturvan tason kohennustapa. Esimerkiksi taloautomaatiojärjestelmälle voidaan hankkia operaattorilta myös oma, erillinen liittymä, jonka sallittu liikenne voidaan rajata VPN-yhteyksillä tiukasti esimerkiksi käyttäjän kännykän, laitteiston pilvipalvelun sekä laitetarjoajan päivityssivun väliseksi.

Maksullisen palomuuri- ja haittaohjelmien torjuntapalvelun hankkiminen on todennäköisesti helpoin tapa kohentaa verkkoon liitettyjen järjestelmien tietoturvaa. Koska liikenne suodatetaan operaattoreiden konesaleissa, kaikki haittaohjelmatunnisteet ja virustietokannat ovat jatkuvasti ajan tasalla ilman erillistä päivitystarvetta. Asiakkaan tarpeiden mukaan räätälöitävä palvelu maksaa tyypillisesti joitakin kymmeniä euroja kuukaudessa.

Vastaavat palomuurit ja virustorjuntaohjelmistot on mahdollista hankkia edullisemmin itse, mutta asiakkaalle luovutettavissa ratkaisuissa järjestelmän päivitysvastuun ulkoistaminen operaattorille on usein suositeltava vaihtoehto.

Operaattoreiden palveluksessa on nykyisin myös entistä enemmän tietoturva-asiantuntijoita, joilta voi ostaa konsulttipalveluita järjestelmien tietoturvan varmistamiseen. Palvelu maksaa, mutta kustannukset kannattaa suhteuttaa vakuutusmaksujen tapaan hyökkäyksistä mahdollisesti aiheutuviin kustannuksiin.

”Jättäkää turvattomat kamerat ostamatta”

Melanie Rieback

Elisa Oyj:n toimittajille Pasilassa 10.2. järjestämässä kyberturvallisuus-keskustelutilaisuudessa puhuneen Radically Open Security -tietoturvayhteisön johtaja Melanie Riebackin mukaan paras tapa parantaa IOT-laitteiden yleistä tietoturvaa olisi opastaa kuluttajat tunnistamaan riskilaitteet niin hyvin, että he osaisivat välttää niiden ostamista.

– Jos teille myydään turvattomia verkkokameroita, niin ratkaisu on jättää ne ostamatta.

Amsterdamin avoimen yliopiston tietotekniikan apulaisprofessorina aiemmin toiminut Rieback suosittelee ihmisiä tutustumaan myös laitevalmistajien tuotesivuihin. Mikäli IP-laitteen tietoturvaominaisuuksia ei eritellä sivuilla mitenkään eikä laitteisiin ole saatavissa tietoturvapäivityksiä, ei laitetta kannata välttämättä hankkia. Tämä pätee myös kaikkiin taloautomaatiojärjestelmiin liitettäviin IP-laitteisiin.