Miten kyberturva-asiantuntija hankkii ilmalämpöpumpun? Tarvitseehan asiantuntijan pitää pää kylmänä kesälläkin!

Tuote-esitteessä mainittu ”Vakiona Wi-Fi” laittoi ajatukset rullaamaan. Merkintä suorastaan aktivoi asiantuntijan riskikeskuksen.

Kaikkihan me tiedämme, että ilmalämpöpumpun ostaminen on kaamea savotta, jos laitteita lähtee vertailemaan. Kyberasiantuntijalla on vielä kivisempi tie edessä!

Pohdiskelin tätä asiaa LinkedIn-kirjoituksessani ja aihe herätti keskustelua. LinkedInissä kirjoitukseni oli hieman huumorimielessä kirjailtu, mutta vakavampikin pohdinta on paikallaan.

Mitä tekemistä kyberillä on ilmalämpöpumppujen kanssa?

Luin erään ilmalämpöpumpun esitettä. Siellä mainitaan ainakin Wifi, älypuhelimeen asennettava sovellus, keskitetty pilvipalvelu jopa satojen laitteiden yhtäaikaiseen hallintaan, käyttäjien ja käyttöoikeuksien määrittely ja mahdollisuus kytkeä ilmalämpöpumppu äänikomentojen taakse.

Kuulet jo varmaan, miten kyberasiantuntijan aivot raksuttaa: turvalliset yhteydet, sovellusturvallisuus, keskitetty kaappaus – eikun hallinta, DDOS, IAM, remote exploit, äänen kuuntelu, tietosuoja…

37-sivuinen manuaali auki ja lisätutkimuksia tekemään. Ensin 16 sivua varoituksia ja yleistietoa. 10 sivua liittyen näihin kyberjuttuihin. Laite muodostaa Access Pointin sisäverkkoon. WPA2 on tuettu. Laite hakee kerran päivässä tietoa päivityksistä valmistajan kotisivuilta. Huh! Missään ei tosin kerrota, että kuinka pitkään.

Miksi ilmalämpöpumppu on riski kyberturvallisuudelle?

Kyberturvallisuuden näkökulmasta ilmalämpöpumppu on IoT-laite, joka viilentää tiloja. Kun laite kytketään verkkoon, niin silloin tilanteessa pätee samat lainalaisuudet, kuin tietokoneissa ja muissa älylaitteissa.

Keskeisin ongelma on se, että turvattomaksi muuttunut IoT-laite voi avata pääsyn organisaation verkkoon ja altistaa muutkin esim. sisäverkon laitteet ja palvelut hyökkäyksille.

Palomuurin takana oleva palvelin onkin yhtäkkiä tavoitettavissa ulkoverkosta, kun liikenne kiertää murretun IoT-laitteen kautta.

Murrettuja laitteita voidaan käyttää myös hyökkäysvälineinä toisiin yrityksiin. Kun hyökkääjällä on hallussaan tuhansia IoT-laitteita, näillä voidaan toteuttaa esimerkiksi palvelunestohyökkäyksiä.

Laite muuttuu turvattomaksi, kun siitä löydetään tietoturvahaavoittuvuus. Tietoturvaongelman korjaaminen vaatii tietoturvapäivityksen tai laitteen nettiominaisuuksien kytkemisen pois päältä. Ja kun aika kuluu, niin valmistaja ei välttämättä enää tee laitteelle tietoturvapäivityksiä.

Miten huomioin IoT-laitteen turvallisuuden?

Ilmalämpöpumppu on IoT-laite, joten sen turvaamiseen sopivat samat periaatteet, kuin muidenkin IoT-laitteiden turvaamiseen:

Pidä IoT-laite päivitettynä. Tarkista säännöllisesti saatavilla olevat päivitykset. Tai aseta laite päivittymään automaattisesti.

Vaihda laitteen oletussalasanat. Esimerkiksi pääkäyttäjätunnus on usein mallia ”admin” ja salasana ”admin” tms. Näitä rikollinen testaa ensimmäiseksi. Vaihda salasana joksikin muuksi.

Tilaa itsellesi laitteeseen liittyvät päivitystiedotteet laitevalmistajalta. Näin pysyt perillä siitä, millaisia päivityksiä laitteeseen on tarjolla.

Tee erillinen verkko IoT-laitteille. Yritysympäristössä tämä on perusasia. Laitteita ja palveluita voidaan asettaa eri verkkoihin, jolloin niiden välillä ei ole verkkoliikennettä. Jos IoT-laite muuttuu turvattomaksi, se ei riskeeraa verkkoympäristön muita laitteita, palvelimia ja palveluita.

Tarvitsetko IoT-ominaisuuksia? Esimerkiksi ilmalämpöpumpun osalta voi miettiä, tarvitseeko laitetta käyttää etänä. Vai riittäisikö, että laitetta käytetään vain paikallisesti? ”Muuten vain” laitteita ei kannata verkkoon kytkeä.

Salli vain tarvittavat toiminnot. IoT-laitteissa voi olla erilaisia toimintoja oletuksena päällä käytön helpottamiseksi. Varmista, että turhat toiminnot ovat pois päältä.

Käytä laitteita, jotka ovat saaneet Kyberturvallisuuskeskuksen myöntämän tietoturvamerkin. Ilmalämpöpumppujen osalta tällaista ei valitettavasti löytynyt. Joten ei muuta kuin itse konffaamaan. Lue tästä, mikä on tietoturvamerkki?

Eikös tämä ole vähän foliohattujuttuja?

No, äkkiseltään ne voisi sellaiselta kuulostaa. Mutta. Nettiin kytketty laite on käytännössä aina riski. Suoraan nettiin näkyvät laitteet ovat jatkuvasti hyökkäyksen kohteena. Oli se sitten tietokone tai ilmalämpöpumppu.

Netissä on paljon esimerkkejä siitä, miten erilaisia laitteita vastaan hyökätään.

Kasvava ongelma on yksi syy sille, miksi Tietoturvamerkki on olemassa.

Ilmalämpöpumppu hyvä esimerkki siitä, kun kotiin tarkoitettu laite aiheuttaa riskin myös työpaikalle. Samoja laitteita otetaan käyttöön kotitoimistoissa ja työpaikan toimistotiloissa.

Elämme erikoista aikaa. Firman tietoturvapäällikön pitää olla perillä yhä erikoisemmista laitteista ja niiden perustoiminnallisuuksista.