Suomi aloitti älylaitteiden turvallisuuden varmistamisen ensimmäisenä Euroopassa. Mitä uusi Tietoturvamerkki kertoo käytännössä, Kyberturvallisuuskeskuksen erityisasiantuntija Saana Seppänen?

Tietoturvamerkki on suunnattu ensisijaisesti kuluttajille. Merkki kertoo siitä, että tuote tai palvelu täyttää Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen asettamat tietoturvavaatimukset. Käytännössä laitteen toteutuksessa on otettu huomioon yleisimmät tietoturvauhat.

Paraskaan tietoturva ei ole aukoton eikä kaikilta hyökkääjiltä suojautumaan pyrkiminen ole mahdollista tai tarkoituksenmukaista. Merkin yksi tarkoitus onkin lisätä tietoturvatietoisuutta ja ymmärrystä siitä, miten ja millaisia tietoja kannattaa suojata.

Kuinka yleisiä tietoturvaloukkaukset ovat?

Haittaohjelmahavaintoja raportoitiin vuonna 2019 kymmeniä tuhansia. Toissa vuonna yli puolet kuluttajien haittahavainnoista oli IoT-laitteissa, eli laitteista, jotka ovat yhteydessä verkkoon. Kun verkkoon yhdistettyjen latteiden määrä kasvaa, niin myös uhkamahdollisuus tietoturvaverkkoon kasvaa.

Millaisia kuluttajaan kohdistuvat tietoturvaloukkaukset tavallisesti ovat?

Vieras valtio ei yleensä ole kiinnostunut yksittäisen kuluttajan laitteista, mutta muut tahot saattavat olla. Kuluttajalaitteita saatetaan ”koputella” eli yritetään tunkeutua laitteille tai ottaa laite etähallintaan. Kuluttaja ei välttämättä edes huomaa, että hänen laitteensa on myös jonkun toisen käytössä. Älylaitteen kutsumaton vieras voi näkyä esimerkiksi laitteen pienenä hidastumisena.

Kuluttajan näkökulmasta suurin yksittäinen uhka on yksityisten tietojen leviäminen. Älylaitteissa on usein kameroita ja mikrofoneja, joten niillä pystyy seuraamaan hyvinkin intiimejä asioita. Moni saattaa ajatella, että itsellään ei ole mitään mielenkiintoista tai mitään salattavaa, mutta fakta on se, että harva lopulta haluaa omien yksityisasioidensa päätyvän muiden tietoon. Usein henkilökohtaiset rajansa ymmärtää vasta silloin kun on menettänyt jotain henkilökohtaisia tietojaan ulkopuolisille.

Millaiset tuotteet voivat saada Tietoturvamerkin? Miten?

Lyhyesti kuluttajalaitteet. Tietoturvamerkin ulkopuolelle on tietoisesti jätetty esimerkiksi yritysten käyttämät IoT-laitteet, sillä niihin kohdistuu erilaisia uhkia.

Kun yritys hakee Tietoturvamerkkiä tuotteelleen tai palvelulleen, tulee sen toimittaa vaatimustenmukaisuuslomakkeen tiedot tuotteen tai palvelun ominaisuuksista. Jos yritys kauppaa esimerkiksi älyjääkaappeja kuluttajille, Kyberturvallisuuskeskus arvioi lomakkeen tiedot ja testaa tuotteen tietoturvaominaisuudet. Kun toimitetut tiedot ja laitteen ominaisuudet katsotaan riittäviksi, voidaan tuotteelle myöntää Tietoturvamerkki.

Kuinka monelle tuotteelle on myönnetty Tietoturvamerkki?

Tietoturvamerkit on toistaiseksi myönnetty Cozifyn Hub-älykotisovellukselle, DNA:n Wattinen-älylämmityspalvelulle ja Polar Electron Ignite fitness -älykellolle. Tällä hetkellä testataan useita eri tuotteita ja palveluita, mutta tuloksia ei vielä ole.

Tuote- ja palvelutestaus vie aikaa, sillä valmistajalta tarvitaan paljon yksityiskohtaista teknistä tietoa. Koska Tietoturvamerkillä on ollut paljon kysyntää, olemme miettineet testauksen ulkoistamista, mutta Kyberturvallisuuskeskus myöntää merkin jatkossakin.

Tietoturvamerkillä on myös maailmanlaajuisesti kysyntää. Yhteistä kansainvälistä tietoturvastandardia tai -sertifikaattia ei ole tähän asti ollut, mikä vaikutti osaltaan siihen, miksi suomalaisina viranomaisina halusimme merkin kehittää. Euroopassa kehitetään parhaillaan yhteistä ratkaisua, johon pyrimme vaikuttamaan Tietoturvamerkistä saatujen kokemusten perusteella.

Miten älylaitteiden tietoturvallisuutta voi itse parantaa?

Helppoja ja tärkeitä keinoja ovat salasanojen vaihtaminen sekä laite- ja sovelluspäivitykset säännöllisesti.

Jos ostaa uuden älylaitteen, kuluttajan olisi hyvä jo kaupantekohetkellä yrittää selvittää, onko laitteeseen ja sen palveluihin saatavilla päivityksiä ja jos on, kuinka pitkään. Verkossa olevien älylaitteiden tietoturva happanee käytännössä heti, kun niihin ei ole saatavilla uusia päivityksiä.

Kyberturvallisuuskeskuksessa olemme tehneet tarkkaa työtä siinä, että Tietoturvamerkkiä ei myönnetä pidemmäksi aikaan kuin laitteelle on saatavilla päivityksiä. Tämä liittyy myös kestävyys- ja ympäristöajatteluun: kahden viikon älylaitteita ei pitäisi valmistaa tai myydä.

Millainen on Tietoturvamerkin tarve tulevaisuudessa?

Älylaitteiden käyttö lisääntyy koko ajan, joten tietoturvallisuus on tulevaisuudessakin hyvin tärkeä aihe. Tietoturvamerkin yksi tavoite on parantaa tietoturvallisuustietoisuutta yleisesti. Tietoturvamerkki on ensimmäinen viranomaisarvio siitä, mikä on riittävä taso tietoturvalle. Tulevaisuudessa nämä asiat varmasti tarkentuvat myös lainsäädännössä.

Joku on sanonut, että Suomessa on maailman puhtaimmat tietoverkot. Se saattaa olla liioittelua, mutta voimme pyrkiä siihen, että niin olisi ainakin tulevaisuudessa. Haluamme olla tietoturvallisuuden pioneereja.

Omistaja-asiakkaana voit suojata tietokoneesi ja tablettisi F-Securen tietoturvalla etuhintaan.