Erilaisia IOT-laitteita otetaan yhä enenevässä määrin käyttöön kotien ja kiinteistöjen ylläpidon avuksi sekä asumismukavuuden ja turvallisuuden lisäämiseksi. Näitä laitteita ohjataan ja niiden tuottamia tietoja tarkastellaan verkkopalveluiden ja älypuhelinsovellusten kautta. Niistä lähtöisin oleva informaatio lämpötila- ja kosteusarvoista liiketunnistimien ja turvakameroiden tuottamaan dataan tallentuu laitteita tukeviin pilvipalveluihin. Niihin lähetettävät ohjauskomennot, vaikkapa lämpöpumpun ohjaamiseksi kulkevat julkisessa internetissä.
Ei ihme, että näiden uusien tulokkaiden tietoturvallisuus on noussut tapetille. Kuluttajaa askarruttavat kysymykset siitä, ovatko juuri minun kotiini liittyvät tiedot turvassa? Voisiko joku laitteiden kautta päästä käsiksi kotini lämmitys- ja ilmastointijärjestelmän ohjauksiin? Voisiko joku valjastaa kotini liiketunnistimen ja valvontakameran omaan käyttöönsä ja selvittää, koska olen kotona ja koska en? Erilaisia uhkakuvia on helppo luoda.
IOT-laitteita ja palveluita tuottavien yritysten on otettava nämä huolet tosissaan ja vastattava niihin toimivilla teknisillä ratkaisuilla. Tietoturva ei ole kiinni jostain yksittäisestä ”turvallisuuskikasta”, vaan edellyttää yrityksiltä turvallisuuden huomioon ottamista tuote- ja palvelukehityksensä kaikilla tasoilla.
Tietoturvassa on kysymys sekä teknologiasta, että prosesseista. Ajatellaan vaikka IOT-laitteen verkosta saamia komentoja ja sitä, miten voidaan varmistua, että niitä ei ole muutettu ja että ne tulevat oikeasta lähteestä. Toisaalta tuotteeseen tehtyjen teknologiavalintojen täytyy tukea tätä. Tämä tarkoittaa sellaisten kryptografiaa tukevien komponenttien käyttöä laitteessa, että yksittäiselle laitteelle lähtevät viestit voidaan allekirjoittaa pilvipalvelimessa ja laite voi sitten todentaa, että komennot tulevat oikeasta paikasta palvelimen julkisella avaimella. Toisaalta kyse on prosesseista. Yrityksen on kyettävä kehittämään työkalut ja toimintatavat, joiden avulla yritys voi kansainvälisessä toimintaympäristössä jaella avaimet turvallisesti.
Entä mitä yrityksen pitää tehdä, että varmistetaan IOT-laitteiden pilvipalveluun lähettämät viestit oikeiksi tai estetään, että jokin taho onnistuisi kaappaamaan IOT-laitteen omaan käyttöönsä. Jälleen palataan teknologiaan ja prosesseihin. Laite voi allekirjoittaa lähettämänsä viestit omalla salaisella avaimellaan ja yrityksen pitää hallita prosessit, joissa laitekohtaiset julkiset avaimet jaellaan turvallisesti.
Pelkkä allekirjoittaminen ja avainten hyvä hallinta ei riitä kaiken kommunikaation osalta. Myös erilaiset yksinkertaiset valvontakamerat ovat IOT-laitteita. Niiden osalta on tärkeää se, että kuvat ovat salattuja. Tässä turvalliseksi koetut salausstandardit - kuten SSL - ovat mahdollisia ratkaisuja. Jälleen yrityksen tekemien teknologiavalintojen pitää tukea tätä.
Tietoturvassa löytyy aina parannettavaa. Olemme tottuneet siihen että voimme päivittää tietokoneemme ja älypuhelimemme. Monasti päivityksen syy on tietoturva. Myös IOT-laitteet ovat tietokoneita. Näin ollen päivitettävyys on tärkeä ominaisuus IOT-laitteessa - oli syynä sitten laitteen tietoturvan parannukset tai uudet ominaisuudet.
Tietoturva on vastuullisessa yrityksessä esillä joka päivä ja joka tasolla.