Turun ammattikorkeakoulun ICT-yksikön johtava yliopettaja Jarkko Paavola testaa tiimeineen IoT Campuksen Cyber Test Labissa yritysten IoT-laitteiden haavoittuvuuksia. Testien avulla yritykset voivat parantaa kyberturvallisuuttaan.
Turun AMK:n Cyber Test Lab jatkaa testauksia pk-yritysten tietoturvallisuuden lisäämiseksi
Salon IoT Campuksella on viimeisen kahden vuoden aikana testattu IoT-tietoturvallisuutta osana Turun yliopiston, Kaakkois-Suomen ammattikorkeakoulun ja Turun ammattikorkeakoulun yhteishanketta. Se on tarjonnut apua muun muassa pk-yritysten liiketoiminnan kehittämiselle. Laboratorion sijoittumisen taustalla on ollut Salon vahva yrityskenttä ja kaupungin korkea tahtotila kyberturvallisuuden lisäämiseksi.
Testausta digitaalisissa ympäristöissä
Cyber Test Labin toiminnan keskiössä ovat olleet kyberturvallisuustestauspalvelujen kehittäminen. EAKR-rahoitteisessa KyberVALIOT-hankkeessa on kartoitettu pk-yritysten tietoturvallisuutta niin yritysten rajapinnassa kuin virtuaalisissa ympäristöissäkin. Salossa testattavana ovat olleet yritysten IoT-laitteet.
“Testaus lähtee tavallisesti käyntiin niin, että sovimme yrityksen kanssa, millaisen laitteen tai sovelluksen tietoturvaa ryhdytään testaamaan. Sitten kartoitamme mitä voimme tehdä. Selvitämme millaista dataa yritykseltä voidaan kaapata, missä piilee haavoittuvuuksia ja otamme laitteen tai palvelun sitä kautta hallintaan”, kertoo Turun ammattikorkeakoulun ICT-yksikön johtava yliopettaja Jarkko Paavola.
Paavola johtaa Salon IoT Campuksen Cyber Test Labissa toimivaa Wireless Communications and Cybersecurity -tutkimusryhmää. Hän kertoo, että laboratorion menetelmillä voidaan testata, millaista tietoa on kaapattavissa vaikkapa verkkoon liitetyistä valvontakameroista.
“Tällä hetkellä testauskohteina ovat älylukotteollisuuden automaatiokomponentit. Olemme tehneet testejä esimerkiksi junan sisäovien toimintaa ohjaavalla komponentilla. Niiden kontrollointi ei välttämättä lähtökohtaisesti kuulosta tärkeältä, mutta älylaitteita koskevassa tietoturvassa kaikki liittyy kaikkeen. Haavoittuvuus yhdessä järjestelmän osassa voi johtaa tietoturvan vaarantumisen koko junan järjestelmässä. Sama periaate koskee kotien älyjärjestelmiä. Älykodin laitteilla voidaan esimerkiksi optimoida sähkön kulutusta, mutta samalla voidaan aiheuttaa tietoturvariski, jos laitteen tietoturvassa on puutteita. Aina siis kun puhutaan digitalisaatiosta, tulevat tietoturvakysymykset vastaan”, Paavola sanoo.
Ymmärrystä yritysten tietoturvamurtojen ehkäisemiseen
Kaksivuotisessa KyberVALIOT-hankkeessa on pyritty kokonaisvaltaisesti kartoittamaan yritysten tietoturvaa uhkaavia tekijöitä. Testausajat ovat olleet tapauskohtaisia, mutta tavallisesti prosessi on kestänyt pari viikkoa. Siihen kuuluvat suunnittelu, testaus ja raportointi. Mitä monimutkaisempi laite, sitä enemmän testaus on vienyt aikaa.
Kun testaukset on tehty, yritysten tehtäväksi jää tarvittavien korjaavien toimenpiteiden toteuttaminen. Jos yritykset haluavat sertifioida laitteensa kyberturvallisuuden, voivat he hakea esimerkiksi Traficomin tarjoamaa tietoturvamerkkiä. Se lisää luottamusta myös yrityksen asiakkaiden ja yhteistyökumppanien silmissä.
Muotoseikkoja oleellisempaa on kuitenkin itse turvallisuus ja siihen varautuminen. “Huolellisilla toimilla yritykset voivat korjata haavoittuvuuksia. Testaus on tehtävä ajoissa, sillä heikko tietoturva voi tulla yrityksille kalliiksi, kun vahinko on jo tapahtunut”, Paavola tietää.
Sattuva esimerkki kyberturvallisuutta koskevasta huolettomuudesta näkyy esimerkiksi Vastaamon hiljattaisessa tietoturvamurrossa. Sen myötä Cyber Test Labiin on tullut viikoittain yhteydenottoja yrityksiltä. Paavola sanoo, että asiantuntijatyöllä Vastaamonkin tapauksen kaltainen murto on estettävissä.
Päätöswebinaarista tietä uusille avauksille
KyberVALIOT-hanke päättyy vuoden lopussa. Sitä ennen järjestetään hankkeen päätöswebinaari, joka tarjoaa käytännönläheisen katsauksen kyberturvallisuuteen ja erityisesti IoT-laitteiden kasvavaan suosioon. 15.12. järjestettävässä webinaarissa huippuasiantuntijat kertovat kyberturvallisuuden trendeistä ja tapahtumista sekä antavat ohjeita yrityksille ja yksityisille.
“Webinaarissa kerromme, millaista kehitystä hanke on saanut aikaan viimeisen kahden vuoden aikana. Mukana on edustajia eri tahoilta, joten näkökulmia kyberturvallisuuteen tarjotaan niin viranomaisilta, yritysmaailmasta kuin tutkijoiltakin. Webinaari on suunnattu kaikille, jotka ovat kiinnostuneita edistämään yrityksensä tai organisaationsa kyberturva-asioita.”
Vaikka hanke päättyy, ei Cyber Test Lab katoa IoT Campukselta. “Jatkamme tietoturvallisuuden kehittämistä yritysten kanssa. Tähän asti on ollut hieno huomata, kuinka korkea tahtotila Salon kaupungilla on kyberturvallisuuden lisäämiseksi. Uusia avauksia on vireillä ja tuleville hankkeille on rahoitushakemuksia vetämässä”, Paavola sanoo.
Ilmoittaudu 15.12 webinaariin Jatkuvasti uusiutuva kyberturva – eilen, nyt, huomenna