Pähkäiletkö tuotteen tietoturvaa ostoksilla? Tietoturvamerkki helpottaa ostopäätöstä

Anne Oikarinen

Anne Oikarinen

Senior Security Consultant and Content Creator

March 30, 2020 at 09:08

Elektroniikkaostoksilla ahdistaa. Vaikka hyllyjen välissä ei olekaan välttämätöntä tungeksia verkko-ostosten helppouden vuoksi, hiki tulee silti hattuun. Ostoksista voi tulla tuskastuttava kokemus kun tehon, koon, äänenvoimakkuuden, takuuvuosien ja värin lisäksi pitäisi metsästää tietoa siitä, pystyykö laitteen päivittämään, vuotaako se tiedot nettiin vai louhiiko se kryptovaluuttaa jääpalojen sijasta.

Tietoturva mietityttää ostoksilla

Pari vuotta sitten uuden älytelevision ostamisesta oli tulla pitkä projekti. Nähtyäni uutisen telkkariin pesiytyneestä kiristyshaittaohjelmasta halusin selvittää kiinnostavien mallien käyttöjärjestelmäversion ja päivitysten julkaisutahdin. Android vai webOS? Viime keväänä robotti-imurien vertailu oli lähes yhtä vaivalloista: vaikutti siltä, että joudun tekemään kompromissin imurointitehon ja yksityisyyteni välillä.

Älykoti, jossa on esineiden internetin laitteita, voi olla myös turvallinen
Esineiden internetin laitteita pullollaan oleva älykoti voi olla myös tietoturvallinen

Olisi hauskaa hankkia kaikenlaisia esineiden internetin vempeleitä kotiin, mutta se, että olen tietoturvakonsultti, ei helpota asiaa. En voi ummistaa silmiäni ja unohtaa, mitä tiedän tietoturvasta. En voi olla miettimättä, onkohan tämä tuote yhtä reikäinen kuin viime viikolla testaamani vastaava, tai käyttääköhän tuo tuote samaa tekniikkaa kuin se, josta kollegani nappasi viime kuussa bug bounty -palkkiot. Vaikka osaisinkin tutkia tuoteturvallisuutta itse, kyllä minäkin haluan katsoa uudella älytelkkarillani elokuvia enkä tuijottaa sen verkkoliikennettä analysaattorilla.

Vuosia sitten joku kollegoistani heitti ilmaan, että olisipa mukavaa, jos kuluttajatuotteille olisi käytössä esimerkiksi CE-merkkiä vastaava, tietoturvan tasoa kuvaava merkki. Kyberturvallisuuskeskus laittoikin rattaat pyörimään ja nyt sellainen on: suomalainen tietoturvamerkki. Mitä tietoturvamerkki kertoo tuotteen tietoturvasta? Entä miten yritys voi saada tuotteelleen merkin?

Tietoturvamerkki perustuu auditointiin

Kun alun perin kuulin, että tietoturvamerkki perustuu yrityksen tekemään itsearviointiin, en ollut täysin vakuuttunut. Tuskinpa firmat tekevät tahallaan tuotteista turvattomia, mutta tietoturvaongelmat voivat johtua myös tiedon puutteesta tai huolimattomuudesta.

Tuotteeseen voi jäädä aukkoja myös sen vuoksi, ettei tietoturvaa ole huomioitu suunnitteluvaiheessa riittävän hyvin eikä pohdittu mahdollisia väärinkäyttötapauksia. ”Eihän kukaan käyttäjä näin tekisi” -ajattelutavalla ei pötkitä pitkälle. Lisäksi kyberrikolliset etsivät jatkuvasti netistä haavoittuvia älylaitteita automaattisilla työkaluilla.

Nyt tietoturvamerkin vaatimuksia on kuitenkin muutettu ja itsearvioinnin lisäksi tuotteen tai palvelun tulee läpäistä teknistä tietoturvatestausta sisältävä kolmannen osapuolen tarkastus. Nixun itsenäinen tytäryhtiö Nixu Certification Oy on Kyberturvallisuuskeskuksen hyväksymä tietoturvallisuuden arviointilaitos ja jatkossa yksi yrityksistä, jotka tekevät tietoturvamerkkiin oikeuttavia auditointeja. Auditointikriteeristö perustuu kansainväliseen ETSI-standardiin ja testattavat rajapinnat ja muu tarkastuksen sisältö määritellään kullekin tuotteelle mielekkääksi. Tarkasteltaviin asioihin kuuluvat mm. pääsynhallinta, tiedon turvallinen siirto ja säilytys, ohjelmistoturvallisuus, tietosuoja, verkkopalveluiden ja rajapintojen turvallisuus ja turvalliset oletusasetukset. Nämä osa-alueet ovatkin varsin tyypillisiä ongelma-alueita, joiden testaamisesta Nixulla on paljon kokemusta.

Sopivan tietoturvatason mittari

Vaikka tarkistettavien aihepiirien lista on pitkä, tietoturvamerkin tarkoitus on saada kuluttajalaitteiden tietoturva sopivalle tasolle kohtuullisilla kustannuksilla. Tarkoitus ei ole ruuvata tietoturvaa armeijatason asetuksiin tai suojautua valtiollisten tahojen hyökkäyksiltä. Sen sijaan uhkaskenaariot mietitään arkipäivän käytön kannalta: Tietoturvamerkin saanut tuote on ensisijaisesti suojassa automatisoiduilta hyökkäyksiltä, joita kyberrikolliset kohdistavat netissä oleviin suojaamattomiin laitteisiin. Tietoturvamerkkiä varten tarkistetaan myös, että lähipiirin kiusantekijät tai script kiddiet eivät pääse loukkaamaan älylaitteen käyttäjän tietosuojaa liian helposti. Huomionarvoinen seikka on myös se, että tietoturvamerkin edellytyksenä ovat oletuksena turvalliset asetukset sekä tae tietoturvapäivitysten jatkumisesta tietyn aikaa. Muutama laite on jo saanut tietoturvamerkin, mutta useammalla muullakin tuotteella olisi varmasti valmiuksia.

 

Oletko kiinnostunut tietoturvamerkin saamisesta kehittämällesi älykkäälle tuotteelle Tarkista merkin vaatimukset ja ota yhteyttä tietoturvatestauksesta sopimiseksi.