Isoja muutoksia älylaitteiden tietoturvaan – radiolaitedirektiivi päivittyy elokuussa

Pohjimmiltaan päivittyvässä direktiivissä on kyse siitä, älylaitteet eivät vahingoittaisi tietoverkkoja tai muita verkkoon liitettyjä laitteita. Esimerkiksi syksyllä 2024 Nordeaa vastaan kohdistui vakavia palvelunestohyökkäyksiä, joissa hyödynnettiin tavallisten kuluttajien kotiverkoissa olevia laitteita, jotka oli kaapattu osaksi bottiverkkoa. 

Kyberturvallisuuden päivittyviin säädöksiin perehtynyt asiantuntija Iikka Taanila Huldilta kertoo, että vastaavanlaisista hyökkäyksistä raportoidaan kiihtyvää tahtia. Yhteinen nimittäjä hyökkäyksille löytyy huonosti suojatuista, tietoturva-aukkoja sisältävistä kodin älylaitteista, jotka on liitetty Internetiin. Tällaisia voivat olla esimerkiksi valvontakamerat, reitittimet tai pesukoneet.  

Älylaitteiden riskit – mitä on tapahtunut? 

Taanilan mukaan on pitkään nähty kasvavana trendinä, että kyberrikolliset hyödyntävät yhä enemmän ihmisten arkikäytössä olevia älylaitteita palvelunestohyökkäyksiin. Syynä on ihmisten kasvava mukavuudenhalu – kodeissa on yhä enemmän älylaitteita helpottamassa arkea, usein kymmeniä eri laitteita. 

– Mikäs sen mukavampaa kuin oma siivousrobotti, joka jaksaa päivästä toiseen pitää keittiön lattian puhtaana. Kodin älylaitteista ei kuitenkaan tarvitse löytyä kuin yksi mätä omena, ja olet huomaamattasi osana kymmenien tuhansien laitteiden bottiverkkoa, joka pahimmillaan saattaa lamaannuttaa juuri sinulle tärkeän palvelun, kuten verkkopankin, toiminnan, Taanila toteaa. 

Taanilan mukaan älylaitteiden tietoturvahaavoittuvuuksien hyödyntämisessä ei aina myöskään ole kyse palvelunestohyökkäyksistä. Huonosti suojattujen älylaitteiden, kuten kodin valvontakameran kautta voi olla mahdollista seurata kodin arkea. Pahimmillaan tätä tietoa voidaan käyttää esimerkiksi kotiisi murtautumiseen. 

Haavoittuvuudet uhkaavat myös yrityksiä 

Kotitalouksien lisäksi myös yritykset hyödyntävät enenevissä määrin älylaitteita. Yrityksissä palvelunestohyökkäystä huomattavasti suurempana uhkana on Taanilan mukaan pääsy yrityksen liiketoimintakriittisiin järjestelmiin. Esimerkiksi vuonna 2017 Las Vegasin kasinolla olevasta älyakvaariosta löytyi haavoittuvuus, jonka avulla hakkerit pääsivät sisään yrityksen verkkoon ja varastivat huomattavan määrän asiakastietoja. 

– Monet laitteet on suunniteltu nopeaan ja helppoon käyttöön, mutta niiden pitkäaikaiseen turvallisuuteen ei aina panosteta riittävästi. Markkinoilta löytyy valitettavia esimerkkejä, joissa älylaitteen valmistaja on lopettanut ohjelmistopäivitykset jo muutaman vuoden sisällä tuotelanseerauksen jälkeen, vaikka laitteella saattaisi olla kymmenenkin vuotta käyttöikää, Taanila kommentoi. 

Uudet säädökset tuovat merkittäviä tietoturvaparannuksia 

Elokuussa voimaan astuva radiolaitedirektiivin päivitys kiristää langattomien älylaitteiden tietoturvavaatimuksia ja lisää valmistajien vastuuta. Jatkossa kodin valvontakamerat ja siivousrobotit, kuten myös teollisuuden langattomat mittalaitteet, on suunniteltava tiukkojen tietoturvastandardien mukaisesti. Muun muassa riskiarviot, tietoturvatestaukset ja tietoturvan huomioiminen koko tuotteen elinkaaren ajan tulevat olennaisiksi osiksi valmistajien tuotekehitysprosesseja. 

– Tulevaisuudessa kuluttajien ja yritysasiakkaiden ei tarvitse arvuutella, onko ostamani älylaite suunniteltu parhaiden tietoturvakäytäntöjen mukaisesti. Vain vaatimukset täyttävät laitteet pääsevät EU:n markkinoille, Taanila kertoo. 

Tietoturva on yhteinen vastuu 

Älylaitteiden tietoturva ei ole pelkästään valmistajien vastuulla. Myös kuluttajien ja yritysten, kuten järjestelmien ylläpitäjien, on huolehdittava siitä, että laitteet pysyvät ajan tasalla. Ilman säännöllisiä ohjelmisto- ja tietoturvapäivityksiä laitteet voivat altistua kyberhyökkäyksille. 

– Puoli vuotta sitten ostetussa älylaitteessa voi olla haavoittuvuus, jota hakkerit osaavat hyödyntää, jos laitteeseen tarjolla olevaa korjaavaa päivitystä ei ole asennettu, Taanila varoittaa. 

Hän muistuttaa, että tietoturvapäivitykset eivät ole vain suosituksia – ne ovat välttämättömiä. Päivitykset suojaavat hyökkäyksiltä ja varmistavat laitteiden turvallisuuden. Jos ne jäävät tekemättä, riskinä ei ole vain oman laitteen tietoturva, vaan myös lähiympäristö, yritys ja asiakkaat voivat altistua kyberuhille.  

– Onneksi osa valmistajista on jo kehittänyt laitteita, jotka päivittyvät automaattisesti ilman käyttäjän erillistä toimenpidettä, hän lisää. 

Täysin aukotonta tietoturvaa ei kuitenkaan ole. Siksi on tärkeää, että tietoturva-asiantuntijat tekevät jatkuvasti parhaansa suojatakseen laitteita – sillä myös rikolliset kehittävät jatkuvasti uusia tapoja murtaa suojauksia. 

– Uskon, että uudet tietoturvasäännökset tuovat markkinoille entistä turvallisempia laitteita, jonka seurauksena myös tietoverkoista tulee entistä luotettavampia. Samalla kuluttajien kasvava tietoturvatietoisuus auttaa tekemään arjesta ja älylaitteiden käytöstä entistä turvallisempaa, Taanila toteaa.