Värkvõrgu ajastu: kas Sa oled kodus üksi?

 (27)
Tartu Ülikooli nutilabor
Nutikodu võib väljenduda ka kõigest nutikas pistikupesas, kuid mida rohkem on seadmeid, seda suuremad on riskidFoto: Hendrik Osula

Asjade internet või IoT (Internet of Things) on viimase aja moesõna. Valdkond kasvab hirmuäratava kiirusega ning erinevatel andmetel on järgmiseks aastaks inimesed üle maailma soetanud endale kodudesse üle 20 miljardi IoT seadme. Üksteisega informatsiooni jagavad ja vahetavad seadmed on praeguseks uus normaalsus, mis tõstatab kohe hulga turvalisusega seotud teemasid, kirjutab Karin Härmat Tallinna Tehnikaülikooli ajakirjas Mente et Manu.

Tallinna Tehnikaülikooli arvutisüsteemide instituudi teaduri Mairo Leieri hinnangul võime praegust olukorda hinnates kindlad olla, et asjade internet on endiselt populaarsust kogumas ning uued lahendused ootavad kasutusele võtmist. „Mõned eksperdid on julgenud väita, et järgmise kümnendi jooksul jõuab internetti mitukümmend miljardit seadet ehk üle saja seadme sekundis,“ toob ta välja kõneka ennustuse.

Lisaks argiseadmetele on tõenäoliselt oodata tööstusseadmete pilvetoomist vastavalt automatiseeritud tööstuse neljandale versioonile (Industry 4.0) ning eelmisel aastal TalTechi linnakus käivitunud 5G andmesidevõrku ehitatakse üles justnimelt arvestades sinna kolivaid võimalikke nn asju.

Seotud lood:

Moodne kodu on targem kui peremees...

Kui randmel kantavad aktiivsusmonitorid on väga tavalised, siis praeguse aja nutikodust võib leida näiteks soojuspumba, mis jälgib elektribörsil olevat hinda ning leiab kõige sobivama paketi. Või siis reguleerib nutikodu automaatselt koduse õhusoojuse allapoole ajaks, mil oled puhkusereisil. Enne seda on sinu auto õppinud kasutuskogemuse järgi, millal sa kodust lahkud, ning teeb aegsasti salongi soojaks. Kui tuled aga puhkuselt tagasi, tuvastab välisuks omaniku näo järgi ning targad valgustid süttivad automaatselt nendes ruumides, kus elanikud liiguvad. Õhtuse hambapesu andmed liiguvad IoT hambaharja ja rakenduse kaudu automaatselt hambaarstini, kelle ülesanne on jälgida patsiendi suuhügieeni harjumusi ning kutsuda vajadusel vastuvõtule. Argipäeviti suudab külmkapp sinu eest e-poest kaubad tellida ja kodu välisuks avaneb kulleri saabudes, kes saab esikusse asjad maha panna tänu sellele, et nutikodu võtab koduvalve maha ainult esiku piirkonnast. Samamoodi liiguvad internetti näiteks haljastusega seotud teemad, nagu muruniitmine ja -kastmine ning sügislehtede või lumekoristus. Mairo Leieri sõnul ei ole enam kaugel aeg, kui tänavatele tulevad isejuhtivad lumelükkamise või tänavakoristuse masinad. Nagu näete, on rakendusi ja teenuseid, mis nutikoduga kaasas käivad, juba praegu kümneid ja kümneid ning see turg kasvab kiiresti.

Kuid mida ikkagi tähendab see, kui oled endale koju ostnud internetti ühendatud köögitehnika, pesumasina, kõlarid, valvekaamerad, meditsiiniseadmed, beebi- ja aktiivsusmonitorid või küttelahendused?

TalTechi Asjade Interneti Arenduskeskuse blogist võib lugeda, et inimestega seotud informatsiooni kogumine paneb paljusid esmalt kulme kergitama ja tekitab küsimusi, mis eesmärgil võidakse neid andmeid hiljem kasutada. Tegemist on õigustatud küsimusega, millega ülemaailmselt riiklikel tasanditel aktiivselt tegeletakse: kuidas säilitada inimeste privaatsus? Kindlasti ei hakka suuremat sorti andmete analüüs asjade poolt toimuma kohe ja praegu, vaid pigem ilmuvad uued lahendused meie kõrvale järk-järgult, kooskõlas turvastandardite, tehnoloogia arengu ja kohanemisvõimega.

...aga mitte turvaküsimustes

Loe veel

Jaan Priisalu TalTechi küberkriminalistika ja -julgeoleku keskusest ütleb, et turvalisuse teema peale tuleb hakata mõtlema kohe, kui oled endale ostnud mõne asja, mis läheb võrku või räägib teise elektroonilise vidinaga. Ta lisab, et asjade internetist ei saa praegusel ajal loobuda, kuna tänapäeva autodeski on juba 150 mikroprotsessorit, mis pidevalt salvestavad mingisuguseid andmeid. Samamoodi on kõikide teiste internetti ühendatud asjadega ning neid kasutavad inimesed ei pruugi endale teadvustada, mida aktiivsusmonitorist pärit terviseandmetega ette võetakse, kui need on kuhugi pilve üles laetud. „Tõeline turvaprobleem tekib siis, kui asjad hakkavad tegema midagi, mida sa ei soovi,“ räägib Priisalu. Ta selgitab, et kõik koduga seotud andmed on väga suur privaatsusrisk ning ettevaatlik tuleb olla kõigi andmetega, mis pilve lähevad. „Mõtle hoolega järele, kas soovid kõiki nutikoduga seotud andmeid internetis hoida. Põhimõtteliselt võid neid ka kohtvõrgus vaadata,“ soovitab küberturbeteadlane.

Kui turvakaamera või halvemal juhul beebimonitori pildi „pilve“ lased, siis saad ise kodust eemal olles küll infot näha, kuid sa ei tea, kes neid andmeid veel vaatab. Kohtvõrgus on võimalik turvakaamera pildile ligipääsu piirata ja ka aru saada, kui keegi sinu käest seda pilti varastab, kuid ka sina saad infole ligi vaid koduvõrgus. Pilves on sul teenusepakkujalt lubadus andmeid hästi hoida, kuid ei ole lootustki kontrollida, kas ta seda ka tegelikult teeb või milleks ja kellele ta neid andmeid veel jagab.

Muidugi ei taga kohtvõrgu kasutamine täielikku turvalisust ja teinekord on pilve kasutamine vajalik, seetõttu tuleks enda vajadused ja pakutavate lahenduste turvariskid läbi kaaluda. „Kui vastu saadav hüve on väike, siis tasub kaaluda, kas võimalik leke on selle eest mõistlik hind,“ soovitab Priisalu ja lisab olulise hoiatuse: „Kiputakse tootma asju, mille puhul sunnitakse kasutajat sisu pilve laadima – selliseid ei tasu osta, kus ennast ei saa kaitsta muidu, kui seadet välja lülitades.“

Kui asjade interneti seadmed ei ole küberkurjategijate eest kaitstud, siis on võimalik näha kõike, mis kellegi koduses võrgus toimub. Nii võib põhimõtteliselt võrku siseneda ka üle nutika lambipirni ja rünnata teisi koduvõrgus paiknevaid seadmeid. Jaan Priisalu selgitab, et isegi kui andmeid ei ole, siis keegi võib soovida kasutada võõrast salvestus- või arvutusvõimsust. „Selliste rünnakute vastu peaks oma IoT asjad ära tsoneerima ehk paigaldama alamvõrkudesse, kuid tulemüürimine on väga tüütu ja seda ei viitsi inimesed tavaliselt teha,“ märgib Priisalu. Kõik seadmeomanikud võiksid turvalisuse aspektist endale selgeks teha, kuidas aru saada, et mõnda tema seadet on rünnatud ja mida sel puhul teha. Seda võiks võrrelda koduse tulekustutiga, mida igaüks peab oskama vajadusel kasutada.

IoT seadmed on küberpahanduste väravaks

Moodsa pesumasinaga saad suhelda üle interneti, kuid ole kindel, et pesumasinale "uusi sõpru" pole tekkinud.

Lähiminevikust võime leida hulga näiteid, kui küberkurjategijad on kasutanud asjade interneti seadmeid, et korraldada rünnakuid ning viia rivist välja nii koduseid ruutereid kui ka globaalsete ettevõtete kodulehti. 2018. aastal nakatas VPNFilter pahavara üle poole miljoni ruuteri ligi 50 riigis. Selle abil on võimalik nakatada koduseid seadmeid, mis on ühendatud ruuteriga, mis seejärel võib muutuda kasutamiskõlbmatuks. Samuti võib see koguda ruuterist läbi käivaid andmeid, blokeerida võrguliiklust või varastada salasõnu.

Kolm aastat tagasi organiseerisid kolm noort meest USAs sadu tuhandeid IoT seadmeid nakatanud Mirai botneti rünnaku, mille tõttu katkestasid mõneks ajaks töö näiteks Net­flix, Spotify, Paypal ja globaal­ne internetiteenuseid pakkuv ettevõte Dyn. Mirai botnet kasutas ära vahetamata jäänud koduste IoT seadmete ja ruuterite tootjapoolseid kasutajanimesid (admin) ja paroole (user). Selle tõttu muutusid seadmed eemalt juhitavateks süsteemideks ning pahavara kasutas küberrünnaku elluviimiseks ära sadade tuhandete IoT seadmete andmetöötlusvõimsust.

Üks pahavara loojatest, tollal 21-aastane IT-tudeng Paras Jha muutis Miraiga kasutuskõlbmatuks näiteks oma koduülikooli arvutisüsteemid ning suutis edasi lükata ühe eksami, millel ta pidi osalema. Vähe sellest, mehed asutasid ka ettevõtte, mis pakkus küberturvalisuse teenust samale pahavarale, mille nad just olid loonud. Kolmik saadi peagi kätte ning 2018. aastal mõistis kohus neile viis aastat tingimisi vanglakaristust, 2500 tundi ühiskondlikult kasulikku tööd ning 127 000 dollarit valuraha kuriteos kannatanutele. Tänu koostööle FBIga vähendas Paras Jha oma karistust ning nõustab nüüd ametivõime teiste küberkurjategijate kättesaamiseks ja ennetustöö tegemiseks.

Kui internetti ühendatud seinakontakti saab üle võrgu sisse-välja lülitada, saab selle kaudu muudki teha.

Internetti on ühendatud kommunaalteenuste tarbimise mõõtmine ning elektri- ja gaasinäitude teatamiseks ei pea suurem osa Eesti elanikke enam midagi tegema, kuna need jõuavad automaatselt teenuseosutajani. See on mugav kindlasti nii tarbijale kui ka tootjale ning võimaldab paremini mõõta tarbimist ning automatiseerida arvete väljastamist. Viimasega nägid kümmekond aastat tagasi suurt vaeva USA veefirmad, kui kliendid hakkasid ühtäkki saama ülisuuri veearveid. Inimesed nii Atlantas, Clevelandis, Charlotte’is või Tampas olid harjunud 100 kuni 200 dollariliste veearvetega. kui ootamatult kasvasid numbrid 1000 kuni 7000 dollarini. Selgus, et automaatsed veearvestid olid paigaldatud ja taadeldud valesti ning mitmesuguste süsteemivigade tõttu jõudsid inimesteni kordades suuremad veearved. Siit edasi mõeldes võime ainult fantaseerida, kui suure pahanduse võiksid küberkurjategijad korda saata, kui neil õnnestuks sisse häkkida Eesti inimeste elektri- või gaasiarvestitesse.

Ise pead tark olema!

Kuidas aga nutikodu seadmed, nagu ruuterid või turvakaamerad, häkkeritele kättesaadavaks saavad? Enamasti ei ole neil sisseehitatud turvasüsteemi ning IoT seadmete tootjate jaoks ei ole see olnud ka prioriteet. Nii ei ole asjade interneti seadmetel tugevat turvasüsteemi ega tarkvarauuenduse võimalusi ning kasutatakse vaikimisi salvestatud paroole.

Jaan Priisalu sõnul saavad inimesed turvalisuse teema peale juba siis mõelda, kui seadmeid ostavad, valides tuntud tootjate IoT seadmeid vaid hea mainega veebisaitidelt. „Nii et kui midagi peaks juhtuma, siis on võimalik pöörduda ka tegelikult vastutava ettevõtte poole, kelle jaoks muutuvad küberturvalisusega seotud juhtumid maineküsimuseks,“ selgitab Priisalu.

Target