Kenet päästät verkkoosi?

  • Aki Anttila

Internet of Things -buumin myötä yhä useampi laite on varustettu verkkoyhteydellä. Kotona näitä voivat olla pelikonsoleiden ja televisioiden lisäksi jääkaapit, keittiön pienet koneet, pesukoneet, valvontakamerat ja itkuhälyttimet. Näiden osalta tilanne on erittäin ongelmallinen, sillä kotikäyttäjällä ei ole tyypillisesti minkäänlaista mahdollisuutta ymmärtää niiden toimintaa verkkotasolla ja normaalisti niiden käyttäjätunnukset ja salasanat ovat oletusarvoissa, jos niitä on ylipäätänsä mahdollista muuttaa. Tähän heikkouteen perustui muutama viikko sitten tapahtunut globaali DDoS-hyökkäys (Distributed Denial of Service), missä arviolta 100 000 pääasiassa kuluttajalaitetta generoi jopa 1,2 terabittiä sekunnissa hyökkäysliikennettä. Hyökkäys kohdistui Internetin DNS-infrastruktuuriin (Domain Name System), jonka varassa lepää suuri osa peruskäyttäjän hyödyntämistä palveluista.

Kotikuluttajan on suhteellisen haastava muuttaa laitteiden toimintaa, joten vastuu hyökkäyksien estämisestä on pitkälle niiden valmistajien ja myös kuluttajia palvelevien operaattoreiden harteilla. Valmistajat voivat suhtautua tietoturvaan nykyisen "pakollisen pahan" sijasta tuotteiden erottautumis- ja kilpailuetutekijänä. Operaattoreiden taas soisi huolehtivan yhdyskäytävätasolla, ettei kuluttajaverkoista pääse järisyttäviä määriä hyökkäysliikennettä eteenpäin. Tämä on tietysti suhteellisen haasteellista, koska kuluttajaliittymissä yhdyskäytävälaitteiden hinnat on ajettu niin alas, että niiden ominaisuudet ovat lähinnä itkettävän ja naurettavan välimaastossa, kun puhutaan nykypäivän tietoturvavaatimuksista. Viime kädessä kuitenkin näistä laitteista ja niiden käyttämisestä vastaa kuitenkin loppukäyttäjä, oli kyseessä sitten tavallinen kuluttaja tai elinkeinon harjoittaja. Tästä syystä onkin tärkeää pyrkiä tunnistamaan omassa verkossa mahdollisesti piilevät puutteellisella tietoturvalla varustetut laitteet, jotka voivat vaarantaa loppukäyttäjän lisäksi myös ison joukon muita Internetin käyttäjiä.

Vaikka tämä suuria otsikoita aiheuttanut Mirai-botnet -verkkoon pohjautunut hyökkäys lähtikin liikkeelle pääsääntöisesti kuluttajien laitteista, on vastaavanlaisia ongelmia myös yritysverkoissa. Yhä suurempi osa yrityksissä käytettävistä laitteista on tavalla tai toisella liitettynä Internetiin. Suhteellisen normaalien toimistokalusteiden, kuten tulostimien, jääkaappien ja vastaavien lisäksi suuri määrä tuotantolaitteita sisältää nykyisin komponentin, joka tarvitsee yhteyden ulkomaailmaan. Tyypillisesti tämä komponentti on laitteen valmistajan tapa tuottaa esimerkiksi laitteen kuntoon, ennakoivaan huoltoon ja etähuoltoon liittyviä palveluita.

Perinteisesti laitteille on tarjottu mahdollisuus etäyhteyksiin esimerkiksi erillisten Internet-yhteyksien kautta. Tämän vuoksi varsinkin tuotantolaitoksissa voi ristikytkentäkaapeista löytyä mitä ihmeellisempiä operaattorilaitteita, joiden yhteyksistä kenelläkään ei ole mitään havaintoa. Kukaan ei siis tiedä, mihin yhteydet päättyvät ja mikä on niiden tietoturvan taso. Pahimmillaan tuotantolaite on toisella karvalla kytketty tällaiseen epämääräiseen Internetiin ja toisella tuotantolaitoksen sisäverkkoon. Joten turvattoman verkon ja tuotantoverkon väliin jää ainoastaan laitteen valmistajan käyttämä tietokone, joka voi olla esimerkiksi päivittämätön Windows-kone jostain vuosien takaa.

Koska emme pysty kääntämään kelloa taaksepäin, tulee meidän pohtia, miten saamme rakennettua keskitetysti tietoturvallisen järjestelyn näiden laitteiden etäyhteyksille. Rakentamisessa on viisi päävaihetta; Tarpeiden kartoittaminen, ratkaisuvaihtoehtojen mallintaminen, päätöksen tekeminen, järjestelmän implementointi ja yhteyksien siirtäminen uudelle alustalle.

Tarvekartoituksessa etsitään kaikki yhteyksiä tarvitsevat nykyiset laitteet, sekä ennakoidaan tulevia tarpeita. Vaikka nykyisiin laitteisiin voi riittää pelkät kevyet etäyhteydet esimerkiksi RDP-session muodossa, voi olla että tulevaisuudessa ennakoiva huolto vaatii HD-tason kamerayhteydet esimerkiksi osien kulumisen seurantaan. Kaikki tarpeet dokumentoidaan ja niiden pohjalta lähdetään etsimään ratkaisuvaihtoehtoja. Tyypillisesti näitä löytyy muutamia erilaisia ja jokaisessa on omat hyvät ja huonot puolensa. Varsinainen päätöksenteko pohjautuu realistiseen näkemykseen eri vaihtoehtojen ominaisuuksista.

Kun päätös on tehty, rakennetaan haluttu järjestelmä. Tässä yhteydessä käy toisinaan niin, että nykyisen verkon rakenteisiin täytyy koskea jonkin verran, jotta uusi etäyhteysjärjestelmä saadaan toimimaan toivotulla tavalla. Joskus uusi kokonaisuus solahtaa vanhan sisään ilman erityisiä toimenpiteitä. Viimeisenä kokonaisuutena on siirtää irrallisten Internet-yhteyksien perässä olevat laitteet hyödyntämään uutta, tietoturvallista järjestelmää.

Edellä mainitun kokonaisuuden tekeminen voi kestää kalenteriajassa 3-6 kuukautta, harvoin vähemmän ja toisinaan enemmän. Resursseja sen tekemiseen voi olla organisaatiossa itsessään, mutta palvelutalot, kuten Santa Monica Networks Oy, auttavat mielellään. Kokeneet konsulttimme ovat tehneet useita vastaavia ratkaisuita ja pystyvät tarvekartoituksen kautta laatimaan ehdotuksen, joka poistaa irralliset, tietoturvattomat, yhteydet verkosta ja siirtää laitteiden etähallinnan seuraavalle tasolle.