Kaikki artikkelit yrityksille

Zero Trust takaa globaalien IoT-ratkaisujen tietoturvan – näin se toimii

5 min
Kuvituskuva. Kuvituskuva.

IT-järjestelmän hyökkäyspinnalla tarkoitetaan niitä kohtia, joihin kyberhyökkäys voidaan kohdistaa. Hyökkäyspinta on sitä isompi, mitä isommasta IoT-ratkaisusta puhutaan. Zero Trust on tietoturvamalli, joka auttaa IoT-riskien keskitetyssä hallinnassa myös globaalilla tasolla. Lue, miten luotettavan kumppanin avulla toteutettu Zero Trust -malli toimii IoT-ratkaisuissa.

IoT-tietoturva on perinteisesti perustunut olettamukseen, että verkon sisäpuoliset yhteydet ovat turvallisia. On luotettu siihen, että verkon sisäiset yhteydet ovat valmiiksi todennettuja. Tämä oletus ei kuitenkaan välttämättä pidä paikkaansa, vaan tarkoittaa paremminkin, että verkkoon murtautuneilla kyberrikollisilla on laaja pääsy kaikkialle – ja heidän paikantamisensa on vaikeaa.

Zero Trust -periaate perustuu vastakkaiseen tietoturvakäsitykseen: sen mukaan mihinkään ei kannata luottaa sokeasti. Yhtäkään käyttäjää tai resurssia ei voi olettaa turvalliseksi, vaan jokainen istunto tai tiedonsiirto on tarkistettava ja todennettava. Käytännössä se tarkoittaa tiukkaa käyttöoikeuksien valvontaa, vahvaa todentamista ja kaiken verkkoliikenteen jatkuvaa seurantaa.

Suljetussa verkossa tämä ei ole temppu eikä mikään, mutta useimmissa globaaleissa IoT-projekteissa käytetään mobiiliverkkoyhteyksiä. Yritykset tarvitsevat siis verkko-operaattoreita, joilla on kullakin omat verkkonsa ja tietoturvansa. Jos operaattorikumppaneita on paljon, myös potentiaalisten tietoturva-aukkojen määrä kasvaa. Mahdollisuudet valvoa verkkoliikennettä ovat vähäiset.

”Jokaisella verkko-operaattorilla on omat API-rajapinnat ja tietoturvaprosessit. Se tarkoittaa suurempaa hyökkäyspintaa, koska virheitä voi tapahtua niin monessa paikassa”, Telian Senior Business Manager Arttu Rantala sanoo. 

Hän suosittelee kaikille tietoturvaperiaatteeksi Zero Trust -suojausmallia. Mutta miten yritykset voivat ottaa Zero Trust -periaatteen käyttöön verkoissa, joita ne eivät itse valvo? Rantalan mukaan vastaus on yksinkertainen: valitsemalla yhden luotettavan Globaalin IoT-verkkoyhteyskumppanin.

”Kumppani varmistaa, että kaikki yrityksen käyttämät operaattorit eri markkinoilla ovat ottaneet tarvittavat suojaustoimet käyttöön hyökkäyspinnan minimoimiseksi. Me Telialla toimimme juuri näin”, Rantala toteaa.

Verkon reuna-alueisiin perustuvat suojausmenettelyt eivät välttämättä havaitse kehittyneitä uhkia, jolloin IoT-ratkaisu voi altistua riskeille. Zero Trust rajoittaa altistumista näille uhkille. Näin yritys voi keskittyä skaalattavuuteen, automaatioon ja globaalin IoT-ratkaisun tarjoamiin laajempiin hyötyihin.

Näin Zero Trust toimii globaaleissa IoT-ratkaisuissa

Zero Trust -malliin sisältyy kaikkien verkossa toimivien resurssien ja käyttäjien jatkuva varmentaminen ja todentaminen. Seuraavassa on esitelty viisi keskeistä Zero Trust -mallin toimintaperiaatetta.

1. Turvallinen SIM-korttien aktivointi

Zero Trust -suojauksen varmistaminen SIM-yhteyksissä on globaalien IoT-ratkaisujen ensimmäinen haaste, koska eSIM-korttien etäaktivointi edellyttää henkilö- ja tunnistetietojen lähettämistä verkossa. Aktivoinnin aikana joudutaan jakamaan paljon arkaluonteisia tietoja ja suojausavaimia.

 ”Yksikin vaarantunut SIM-kortti voi aiheuttaa riskin koko verkolle”, Rantala muistuttaa.

Globaalit mobiiliverkon yhteistyöjärjestöt GSM Association ja 3GPP tarjoavat standardeja, jotka suojaavat SIM-korttien etäaktivointia tehokkaasti. Verkko-operaattorien kannattaa noudattaa viimeisintä SGP-standardia, jotta ne voivat varmistaa yhteensopivan ja turvallisen SIM-korttien aktivoinnin.  

2. Turvalliset SMS- ja datayhteydet

Toinen haaste on SMS- ja datayhteyksien pitäminen suojattuina. Nämä yhteydet käyttävät muun muassa 2G-, 3G- tai LTE-verkkoteknologioita, jotka linkittävät laitteen taustajärjestelmään ja päinvastoin. 

Tämänkin haasteen voi ratkaista valitsemalla verkkoyhteyskumppanin, joka tarjoaa verkko-operaattorien APN-palvelujen ja SMS-yhteyksien tarkoin harkittuja integrointeja ja luo omia APN- ja SMS Hub -yhdyskäytäviä kaikkialla maailmassa. Nämä yhdyskäytävät turvaavat Zero Trust -suojauskäytännöt myös yrityksen tasolla.

Telia varmistaa, että valmiiksi integroidun verkko-operaattorin SMS- ja tiedonsiirtoyhteyksiä koskevat suojaustoimet on tarkistettu.

”Tarjoamme myös tukitiimeillemme ja yrityskäyttäjille työkalut, joilla tietoturvaa voidaan jatkuvasti seurata ja luoda hälytyksiä epätavallisesta toiminnasta. Yritykset voivat yhdellä klikkauksella seurata käyttämiään verkko-operaattoreita ja varmistaa siirrettävien tietojen turvallisuuden”, Rantala vakuuttaa.

Kun yritykset voivat määritellä tiedonsiirron päätepisteet ja valvoa tiedonsiirron lähdettä ja kohdetta, ne pystyvät kattavasti seuraamaan suojaus- ja reitityskäytäntöjään kaikissa käyttämissään mobiiliverkoissa. 

3. Turvalliset alustat yhteyksien hallintaan

Globaaleissa IoT-toteutuksissa useita verkko-operaattoreita on integroitava samaan CMP-alustaan (Connectivity Management Platform, CMP). Näin yritykset voivat valvoa liittymien elinkaarta ja yhteyksiä API-rajapinnan ja graafisen käyttöliittymän kautta.

Jokaisella verkko-operaattorilla on kuitenkin oma API-rajapintansa ja käyttöliittymänsä. Ilman globaalia kumppania yritys joutuu opettelemaan kunkin alustan tietoturvaprotokollat ja varmistamaan erilaisin hallinnollisin toimin, että asianmukainen tietoturva on aina käytössä ja ajan tasalla.

”Telia tarjoaa yhden hallintakonsolin ja yhden API-integroinnin päätepisteen. Tämä tarkoittaa, että alustamme on integroitu käytettävien verkko-operaattoreiden CMP-alustoihin. Varmistamme myös integraatioiden turvallisuuden ja vakauden”, Rantala sanoo.

”Yritysten on helpompi valita yhteistyökumppaniksi yksi palveluntarjoaja ja integroitua vain yhteen CMP-alustaan useiden alustojen sijaan. Tämä varmistaa prosessien ja integroinnin turvallisuuden.”

4. Tietoturvan automatisointi globaalissa mittakaavassa

Yhden kumppanin valinnassa on tietoturvan näkökulmasta myös se hyöty, että virheiden mahdollisuus pienenee. Suojauskäytännöt tarvitsee määrittää vain yhden kerran, ja yhteysalusta automatisoi niiden käyttöönoton kaikkien verkko-operaattorien järjestelmissä. 

 ”Yritysten käyttöönottomenettelyt ja SIM-korttien tilaus on automatisoitu. Kaikki tietoturvakäytännöt ja VPN-palvelujen luonnit toimivat itsepalveluperiaatteella. Ne tehdään vain kerran, ja alusta välittää konfiguraation kaikkien verkko-operaattorien järjestelmiin, joten inhimillisten virheiden mahdollisuus on mahdollisimman pieni”, Rantala summaa.

5. Riippumattomuus tietystä pilvipalvelusta ja verkko-operaattorista

Arttu Rantala muistuttaa, että yritysten kannattaa valita kumppani, joka tarjoaa redundanssia eli toisteisuutta päällekkäisten verkkosopimusten avulla.

Globaalien IoT-järjestelmien on suojattava tallennettua ja siirrettävää dataa, ja niiden on myös oltava äärimmäisen luotettavia. Jos yritys antaa kaikkien yhteyksiensä hallinnan yhden pilvipalveluntarjoajan tai datakeskuksen hoidettavaksi, liiketoiminnan jatkuvuus voi vaarantua. Yksi luonnonkatastrofi tai kansallisen tason turvallisuustapahtuma voi kaataa koko IoT-ratkaisun.

 ”Jos asiakkaan IoT-laitteissa on vain yhden verkko-operaattorin liittymä ja operaattorin infrastruktuuri kaatuu, IoT-laitteiden yhteys katkeaa”, Rantala selittää.

”Ongelma voidaan ratkaista redundanssilla eli tarjoamalla keskeisillä markkinoilla useita liittymiä, jotka toimivat varalla, mikäli jonkin operaattorin verkko ei ole käytettävissä.”

Ota yhteyttä IoT-ratkaisujen tietoturva-asioissa!

 

Zero Trust – yrityksen tietoturvan kulmakivi

Miksi yrityksen kannattaa rakentaa Zero Trustin mukainen toimintaympäristö, ja miten rakentaminen kannattaa aloittaa?

Katso webinaari
Lisää samasta aiheesta

Artikkelin aihealueet

IoT Tietoturva