(p256)
"IoT luo tietoturvalle uudenlaisia haasteita ja tietoturva alkaa jokaisen verkkoon liitetyn laitteen tunnistamisesta. Suuri uhka IoT-laitteille on verkkoliikenteen lisäksi jo laitteiden USB-portissa."
"ISO/TR 17522:2015-standardin mukaan tietoturva tarkoittaa
luottamuksellisuuden, eheyden ja saatavuuden yhdistelmää
ISO28000:2007-standardin mukaan tietoturva tarkoittaa vastustusta tahalliselle, luvattomalle
toiminnalle, joka on suunniteltu aiheuttamaan haittaa tai vahinkoa toimitusketjulle"
"Luottamuksellisuuden, eheyden sekä saatavuuden lisäksi tietoturvan muita tärkeitä konsepteja ovat muun muassa autenttisuus ja vastuuvelvollisuus.
Eheys koostuu datan eheydestä sekä järjestelmän eheydestä. Datan eheys on sitä, että informaatio muuttuu vain luvallisella ja määritetyllä tavalla. Järjestelmän eheys puolestaan tarkoittaa, että järjestelmä suorittaa tehtävänsä ilman järjestelmän luvatonta manipulointia. Saatavuus tarkoittaa, että järjestelmä toimii viiveettä ja on saatavilla sen valtuutetuille käyttäjille."
"Luottamuksellisuuteen kuuluu datan luottamuksellisuus sekä yksityisyyden suoja. Datan luottamuksellisuus sisältää sen, ettei tieto ole saatavilla luvattomille henkilöille eikä sitä
paljasteta heille. Yksityisyys tarkoittaa sitä, että henkilöiden tulisi pystyä vaikuttamaan siihen, mitä dataa heistä kerätään, kenen toimesta keräys tapahtuu ja kenen käytössä data on. Hakkerit ovat haasteena tässä luottamuksellisuuskysymyksessä.
Datan turvaus ja yksityisyys ovat tärkeimpiä asioita, joihin yritysten tulee keskittyä yhdistyneiden laitteiden keskellä."
"Kyberturvallisuus on tietoturvallisuutta sivuava termi, joka on tietoturvaa huomattavasti laajempi kokonaisuus. Yhtenä kyberturvallisuuden osa-alueena voidaan pitää tiedon turvaamista ja jatkuvuuden takaamista organisaatiossa ja sen erilaisissa mahdollisissa häiriötilanteissa. Kyberturvallisuus turvaa laajemmin kaikkea sitä kohteen tuotannon ympärillä olevaa infrastruktuuria, jota sen ylläpitäminen vaatii.
Kyberturvallisuus yhdistää laaja-alaisesti riskienhallinnan, tietoturvallisuuden, tietosuojan sekä jatkuvuuden hallinnan ja sisältää kokonaisuuksia varautumis- ja toipumissuunnitteluun mahdollisten häiriöiden varalle."
"Verkko voi vuotaa lähes joka kohdasta ja se on vain niin turvallinen kuin sen heikoin kohta. Tietoturvan tulisi olla laitteisiin ja tuotteisiin sisäänrakennettua ja se pitäisi huomioida kehityksen jokaisessa vaiheessa, jo suunnittelusta lähtien. Turvallisuuden säilyttämiseksi yritysten kannattaa suosia kirjautumista järjestelmiin, jotta ulkopuoliset eivät pääse käsiksi salaiseen tietoon."
"ISO/TS25237:2008-standardin mukaan autentikointi tarkoittaa varmuutta väitetystä
identiteetistä. Autentikointi auttaa laitteita ja datan noutopisteitä (pickup-points) tunnistamaan kenen kanssa ne kommunikoivat. Autentikoinnilla on useita mahdollisuuksia
toimia, kuten keskinäinen eli molemmin puolinen autentikointi, yksisuuntainen
autentikointi sekä ei autentikointia."
Vaativa ala ja vaativaa tekstiä, asiantuntijoiden on taattava järjestelmien toimivuus, satunnaiselle harrastajalle riittävät peruskäsitteet:
(Esim.) asiakkaiden yksilöinti (identifiointi), todentaminen (autentikointi) ja valtuuttaminen (auktorisointi)
Autentikointi on vahva tunnistautumistapa!
http://www.theseus.fi/bitstream/handle/10024/140342/Hietala_Risto.pdf
Aitouden varmistus NFC:n avulla
Risto Hietala 2017 CENTRIA-AMMATTIKORKEAKOULU
"Teknisesti helpoin tapa toteuttaa aitouden varmistus on kirjoittaa NFC-tagille teksti, joka
on yksilöllinen eri tageissa. Vertaamalla tätä tekstiä tietokannassa olevaan voidaan tuotteen
aitous varmistaa. Tässä menetelmässä etuna on tagien edullisuus ja aitouden varmistukseen käytettävän järjestelmän yksinkertaisuus. Tagit ovat edullisempia, koska niissä ei tarvitse olla edistyksellisiä ominaisuuksia ja tagien valmistaja voi kirjoittaa tageissa olevat tekstit jo valmistusvaiheessa."
"Tämä menetelmä on kuitenkin helposti murrettavissa, sillä tagissa oleva teksti on helppo
lukea millä tahansa NFC:n lukuohjelmalla ja teksti on helppo kirjoittaa mille tahansa
muulle NFC-tagille. Menetelmää voidaan parantaa paljon käyttämällä hyväksi NFC-tagin yksilöllistä id:tä. Jokaiselle NFC-tagien valmistajalle on annettu oma alueensa, jolta he voivat tehdä id:tä. On kuitenkin olemassa laitteita, kuten Proxmark III, jotka on suunniteltu emuloimaan NFC-tageja. Näillä laitteilla voidaan kopioida ja emuloida NFC-tagia täydellisesti. Tällä tavoin myös yksilöllinen id voidaan väärentää. Valmistajille annettu id-numeroiden avaruus on myös rajallinen, joten valmistajat saattavat tulevaisuudessa käyttää id:t uudelleen."
"Varmennusta voidaan parantaa käyttämällä NFC-tagien lukuun omaa ohjelmaa. Tällöin
voidaan käyttää hyväksi NFC-tageissa olevan mikrosirun sisäisiä komentoja, jotka vaihte-
levat valmistajan ja tagi-tyypin mukaan. Tämän menetelmän murtamiseen joudutaan kopioimaan NFC-tagilla oleva siru kokonaisuudessaan. Koska sirujen valmistukseen vaaditaan erikoistunut laitteisto, on tämä hyvin kallista."
"Markkinoilla on myös olemassa NFC-tageja, joiden ominaisuuksiin kuuluu tietojen salaus.
Tällöin NFC-tagia ei voida lukea tai kirjoittaa, jos sitä ei ensin avata koodiavaimella.
Tässä menetelmässä kuitenkin on vaikeutena, että on pidettävä myöskin listaa nfc:n liitty-
västä koodiavaimesta."
"Toisin kuin sisäänkirjautumiseen pohjautuvissa järjestelmissä tuotteen ostaneen asiakkaan
tietoja ei välttämättä tarvita, joten menetelmä on asiakkaan tietoturvan kannalta parempi.
Valmistajan kannalta järjestelmä takaa heille, että koska sovelluksen käyttöön vaaditaan
fyysinen NFC-tagi, ohjelman käyttäjällä on todella kyseinen tuote, eikä kyseessä ole
vain tiettyä sisäänkirjautumistietoa käyttävä käyttäjä, sillä kyseinen kirjautumistieto voi-
daan jakaa erittäin helposti."
https://www.theseus.fi/bitstream/handle/10024/11934/2008-03-19-08.pdf?sequence=1
214FIN IOT – TURVALLISUUSVAATIMUKSET
Nina Mäntynen (jatkoa)"IoT luo tietoturvalle uudenlaisia haasteita ja tietoturva alkaa jokaisen verkkoon liitetyn laitteen tunnistamisesta. Suuri uhka IoT-laitteille on verkkoliikenteen lisäksi jo laitteiden USB-portissa."
"ISO/TR 17522:2015-standardin mukaan tietoturva tarkoittaa
luottamuksellisuuden, eheyden ja saatavuuden yhdistelmää
ISO28000:2007-standardin mukaan tietoturva tarkoittaa vastustusta tahalliselle, luvattomalle
toiminnalle, joka on suunniteltu aiheuttamaan haittaa tai vahinkoa toimitusketjulle"
"Luottamuksellisuuden, eheyden sekä saatavuuden lisäksi tietoturvan muita tärkeitä konsepteja ovat muun muassa autenttisuus ja vastuuvelvollisuus.
Eheys koostuu datan eheydestä sekä järjestelmän eheydestä. Datan eheys on sitä, että informaatio muuttuu vain luvallisella ja määritetyllä tavalla. Järjestelmän eheys puolestaan tarkoittaa, että järjestelmä suorittaa tehtävänsä ilman järjestelmän luvatonta manipulointia. Saatavuus tarkoittaa, että järjestelmä toimii viiveettä ja on saatavilla sen valtuutetuille käyttäjille."
"Luottamuksellisuuteen kuuluu datan luottamuksellisuus sekä yksityisyyden suoja. Datan luottamuksellisuus sisältää sen, ettei tieto ole saatavilla luvattomille henkilöille eikä sitä
paljasteta heille. Yksityisyys tarkoittaa sitä, että henkilöiden tulisi pystyä vaikuttamaan siihen, mitä dataa heistä kerätään, kenen toimesta keräys tapahtuu ja kenen käytössä data on. Hakkerit ovat haasteena tässä luottamuksellisuuskysymyksessä.
Datan turvaus ja yksityisyys ovat tärkeimpiä asioita, joihin yritysten tulee keskittyä yhdistyneiden laitteiden keskellä."
"Kyberturvallisuus on tietoturvallisuutta sivuava termi, joka on tietoturvaa huomattavasti laajempi kokonaisuus. Yhtenä kyberturvallisuuden osa-alueena voidaan pitää tiedon turvaamista ja jatkuvuuden takaamista organisaatiossa ja sen erilaisissa mahdollisissa häiriötilanteissa. Kyberturvallisuus turvaa laajemmin kaikkea sitä kohteen tuotannon ympärillä olevaa infrastruktuuria, jota sen ylläpitäminen vaatii.
Kyberturvallisuus yhdistää laaja-alaisesti riskienhallinnan, tietoturvallisuuden, tietosuojan sekä jatkuvuuden hallinnan ja sisältää kokonaisuuksia varautumis- ja toipumissuunnitteluun mahdollisten häiriöiden varalle."
"Verkko voi vuotaa lähes joka kohdasta ja se on vain niin turvallinen kuin sen heikoin kohta. Tietoturvan tulisi olla laitteisiin ja tuotteisiin sisäänrakennettua ja se pitäisi huomioida kehityksen jokaisessa vaiheessa, jo suunnittelusta lähtien. Turvallisuuden säilyttämiseksi yritysten kannattaa suosia kirjautumista järjestelmiin, jotta ulkopuoliset eivät pääse käsiksi salaiseen tietoon."
"ISO/TS25237:2008-standardin mukaan autentikointi tarkoittaa varmuutta väitetystä
identiteetistä. Autentikointi auttaa laitteita ja datan noutopisteitä (pickup-points) tunnistamaan kenen kanssa ne kommunikoivat. Autentikoinnilla on useita mahdollisuuksia
toimia, kuten keskinäinen eli molemmin puolinen autentikointi, yksisuuntainen
autentikointi sekä ei autentikointia."
Vaativa ala ja vaativaa tekstiä, asiantuntijoiden on taattava järjestelmien toimivuus, satunnaiselle harrastajalle riittävät peruskäsitteet:
(Esim.) asiakkaiden yksilöinti (identifiointi), todentaminen (autentikointi) ja valtuuttaminen (auktorisointi)
Autentikointi on vahva tunnistautumistapa!
http://www.theseus.fi/bitstream/handle/10024/140342/Hietala_Risto.pdf
Aitouden varmistus NFC:n avulla
Risto Hietala 2017 CENTRIA-AMMATTIKORKEAKOULU
"Teknisesti helpoin tapa toteuttaa aitouden varmistus on kirjoittaa NFC-tagille teksti, joka
on yksilöllinen eri tageissa. Vertaamalla tätä tekstiä tietokannassa olevaan voidaan tuotteen
aitous varmistaa. Tässä menetelmässä etuna on tagien edullisuus ja aitouden varmistukseen käytettävän järjestelmän yksinkertaisuus. Tagit ovat edullisempia, koska niissä ei tarvitse olla edistyksellisiä ominaisuuksia ja tagien valmistaja voi kirjoittaa tageissa olevat tekstit jo valmistusvaiheessa."
"Tämä menetelmä on kuitenkin helposti murrettavissa, sillä tagissa oleva teksti on helppo
lukea millä tahansa NFC:n lukuohjelmalla ja teksti on helppo kirjoittaa mille tahansa
muulle NFC-tagille. Menetelmää voidaan parantaa paljon käyttämällä hyväksi NFC-tagin yksilöllistä id:tä. Jokaiselle NFC-tagien valmistajalle on annettu oma alueensa, jolta he voivat tehdä id:tä. On kuitenkin olemassa laitteita, kuten Proxmark III, jotka on suunniteltu emuloimaan NFC-tageja. Näillä laitteilla voidaan kopioida ja emuloida NFC-tagia täydellisesti. Tällä tavoin myös yksilöllinen id voidaan väärentää. Valmistajille annettu id-numeroiden avaruus on myös rajallinen, joten valmistajat saattavat tulevaisuudessa käyttää id:t uudelleen."
"Varmennusta voidaan parantaa käyttämällä NFC-tagien lukuun omaa ohjelmaa. Tällöin
voidaan käyttää hyväksi NFC-tageissa olevan mikrosirun sisäisiä komentoja, jotka vaihte-
levat valmistajan ja tagi-tyypin mukaan. Tämän menetelmän murtamiseen joudutaan kopioimaan NFC-tagilla oleva siru kokonaisuudessaan. Koska sirujen valmistukseen vaaditaan erikoistunut laitteisto, on tämä hyvin kallista."
"Markkinoilla on myös olemassa NFC-tageja, joiden ominaisuuksiin kuuluu tietojen salaus.
Tällöin NFC-tagia ei voida lukea tai kirjoittaa, jos sitä ei ensin avata koodiavaimella.
Tässä menetelmässä kuitenkin on vaikeutena, että on pidettävä myöskin listaa nfc:n liitty-
västä koodiavaimesta."
"Toisin kuin sisäänkirjautumiseen pohjautuvissa järjestelmissä tuotteen ostaneen asiakkaan
tietoja ei välttämättä tarvita, joten menetelmä on asiakkaan tietoturvan kannalta parempi.
Valmistajan kannalta järjestelmä takaa heille, että koska sovelluksen käyttöön vaaditaan
fyysinen NFC-tagi, ohjelman käyttäjällä on todella kyseinen tuote, eikä kyseessä ole
vain tiettyä sisäänkirjautumistietoa käyttävä käyttäjä, sillä kyseinen kirjautumistieto voi-
daan jakaa erittäin helposti."
https://www.theseus.fi/bitstream/handle/10024/11934/2008-03-19-08.pdf?sequence=1