Tulostusversio

4/2010

Tietoturva: Internet on mobiiliverkon pahantekijä

Teksti: Marjo Rautvuori

Internetin käyttö matkapuhelinverkoissa on tuonut uudenlaisia tietoturvauhkia. Niiden toteutumisen vaara kasvaa, kun älypuhelinten määrä nousee, internetin käyttö älypuhelimilla lisääntyy, ja verkot päätelaitteineen monimutkaistuvat.

Matkapuhelinverkkojen tietoturvaa on totuttu pitämään hyvänä, kuuluvathan verkot operaattorien infrastruktuuriin ja ovat niiden hallinnassa.

"Mobiiliverkkoon kohdistuvien hyökkäysten pitää käytännössä tulla sisältä päin, kuten hyökkäykset teollisia järjestelmiä vastaan. Mahdollinen hyökkäys edellyttää järjestelmän arkkitehtuurin syvällistä tuntemista. Komponentit eivät ole saavutettavissa julkisesta internetistä, toisin kuin PC-tietokoneisiin kohdistetut virukset ja haittaohjelmat, joiden tekemiseen löytyy netistä valmista aineistoakin", sanoo tietoverkkotekniikan professori Jukka Manner Aalto-yliopiston tietoliikenne- ja tietoverkkotekniikan laitokselta.

Internet sen sijaan on syntynyt tutkijoiden kokeellisesta ympäristöstä, jota lähdettiin kehittämään kaveriin luottaen. Netin tulo älypuhelimiin tuokin mobiiliverkkoon ihan uudenlaisia tietoturvauhkia.

Eri tekniikat samaan verkkoon

Verkkotekniikoiden kehittyminen parantaa tietoturvaa mutta tuo myös uusia haasteita.

Esimerkiksi GSM-verkot ovat toisen sukupolven (2G) mobiiliverkkoja. 2G:n perusperiaate on, että verkko tunnistaa luotettavasti päätelaitteen, mutta päätelaite ei tunnista luotettavasti verkkoa. 2G:n jälkeen tulleissa 3G-verkoissa ja niistä eteenpäin myös päätelaite tunnistaa luotettavasti verkon.

"Näiltä osin voidaan sanoa, että 3G-verkkojen tietoturva on paremmin hoidettu kuin 2G:n. Käytännössä 2G-verkoissa on periaatteessa teknisesti mahdollista, että kännykkä liittyy niin sanottuun valetukiasemaan ja altistuu näin esimerkiksi salakuuntelulle. Tämä edellyttää kuitenkin verkon ilmarajapinnan salauksen murtamista. Tiedossani ei ole, että tällaisia valetukiasemia olisi käytetty oikeudettomasti Suomessa", toteaa tietoturva-asiantuntija Pasi Hänninen Viestintävirastosta.

Toisaalta, DNA:n osastopäällikön Antti Jokisen mukaan verkkotekniikkoja ollaan yhdistelemässä siten, että jatkossa 2G, 3G ja myöhemmin LTE toimivat käytännössä kaikki samassa verkossa.

"Seuraavan sukupolven matkapuhelinverkko eli LTE (Long Term Evolution) toimii kokonaan IP-pohjaisena, joten se tuo mukanaan paljon miettimistä tietoturva-asioihin", Jokinen sanoo.

Käytännössä tämä tarkoittaa sitä, että kaikki verkon elementit voivat olla väliportaiden kautta saavutettavissa myös julkisesta internetistä, ellei tietoturvaan kiinnitetä erityishuomiota.

Viestintävirasto on myöntänyt teleoperaattoreille LTE-verkkoihin tarvittavat radioluvat. Ensimmäinen, TeliaSoneran LTE-verkko on avautunut koekäyttöön pilottiasiakkaanaan Turun kaupunki. Tekniikan ei uskota tulevan kaupallisesti merkittävään käyttöön vielä moneen vuoteen.

Netin kautta uusia uhkia

Kun verkkoja, sovelluksia ja laitteita liitetään julkiseen verkkoon, tietomurtojen ja väärinkäytösten mahdollisuudet ovat aina olemassa.

”Esimerkiksi yrityksen puhelinvaihteeseen murtautuminen mahdollistaa laajan väärinkäytön. Uudet, internetiin liitetyt, IP-pohjaiset laitteet ovat helposti riskialtis kohde. Järjestelmät ovat usein asiakkaiden omia, ja operaattori tarjoaa ainoastaan tarvittavat yhteydet. Tietoturvan vastuurajapinnat on tärkeä ymmärtää tällaisessa tilanteessa, jotta vältytään taloudellisilta vahingoilta ja niiden aiheuttamilta kiistoilta”, Antti Jokinen toteaa.

Operaattorin näkökulmasta saastunut älypuhelin tai PC-laite taas usein aiheuttaa operaattorin verkkoon turhaa liikennettä ja altistaa liittymän omistajan rikollisen toiminnan uhriksi.

Jokinen korjaa sen harhaluulon, että älypuhelin olisi netissä vain, kun käyttäjä todella sinne haluaa:

”Varsinkin uusimmissa puhelimissa on vakiona valtava määrä sovelluksia, kuten uutiset ja Facebook, joihin laite hakee päivityksiä kaiken aikaa. Tietoturvan suhteen oletuksena on syytä pitää jatkossa sitä, että laite on aina nettiyhteydessä. Tietoturvasta huolehtiminen on siis paikallaan myös matkapuhelimissa niihin saatavilla olevilla virustorjuntaohjelmistoilla.”

Vakoojasovellukset tekevät tuloaan

Älypuhelinten haittaohjelmariski on toistaiseksi pysynyt pienenä. Esimerkiksi Viestintäviraston tietoon on Pasi Hännisen mukaan tullut tänä vuonna muutama mobiilipäätelaitteiden haavoittuvuus.

Mobiilivirusten kehittymättömyyteen on tähän asti vaikuttanut älypuhelinten suhteellisen pieni määrä, käyttöjärjestelmien yksinkertaisuus, sekä yksittäisen, laajalle levinneen käyttöjärjestelmän puute. PC-koneille tehdyt virukset ovat tähän asti olleet taloudellisesti kannattavampia ja helpompia tehdä. Tilanne on kuitenkin jo oleellisesti muuttunut ja on edelleen muuttumassa.

”Älypuhelimet ovat menossa samaan suuntaan. Ne yleistyvät, ja tekniset toteutusratkaisut ovat sellaisia, että ne jättävät tilaa ilkeyksille. Sovellusohjelmissakin saattaa olla reikiä, sillä aikataulu- ja hintapaineet asettavat ohjelmistoyhtiöille kovia paineita. Ne tulevat markkinoille usein keskeneräisinä”, Jukka Manner toteaa.

F-Securen tietoturva-asiantuntija Erkki Mustonen muistuttaa silti, että käyttäjän suurin tietoturvauhka on yhä puhelimen katoaminen tai varastaminen.

Kehityssuuntana on kuitenkin erilaisten vakoiluominaisuuksien ilmeneminen:

”Puhelimen paikannus, tekstiviestien etäsiirrot, puhelu- ja muiden tietojen vakoilu ja muut tekniikat ovat jo nähtävissä niin sanotuissa vakoojasovelluksissa. Niitä levitetään joksikin muuksi sovellukseksi naamioituna”, Mustonen sanoo.

Laki sallii välttämättömät tietoturvatoimet

Mobiiliverkkojen tietoturvaan sovellettavia, Viestintäviraston valvomia lakipykäliä on sähköisen viestinnän tietosuojalaissa ja viestintämarkkinalaissa. Neuvotteleva virkamies Timo Kievari liikenne- ja viestintäministeriöstä muistuttaa, että tietoturvavelvoitteet ovat samat käytetystä tekniikasta riippumatta, joten erillisiä mobiiliverkkoa koskevia velvoitteita ei lainsäädännössä ole.

”Pykälillä velvoitetaan operaattorit ja palveluntarjoajat huolehtimaan palveluidensa tietoturvallisuudesta, ja laissa määritellään ne välttämättömät toimenpiteet, joihin nämä voivat ryhtyä tietoturvan varmistamiseksi”, Kievari sanoo.

Välttämättömiä toimia ovat muun muassa verkkoliikenteen automaattinen analyysi ja tarvittaessa siihen puuttuminen esimerkiksi estämällä liikenne tai kytkemällä jokin verkon osa irti.

Lue myös

Tietoturva: Lähiverkoissakin on omat vaaransa »
Tietoturva: Tuotanto tähtäimessä »
Tietoturva: Standardeilla mittaa tietoturvasta »
Tietoturva: Mistä näitä standardeja oikein tulee? »
Tietoturva: Viestintävirastolle tietoturvasertifikaatti »
Tietoturva: Tuotanto tähtäimessä »
Tietoturva: SUPO selvittää yritysten luotettavuutta »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.