Mitä kuuluu 5G:lle? – Yleistä haihattelua kyberturvallisuuden perään
5G-radiolinkkiverkko, sanottiin siitä mitä tahansa, tuo se kuitenkin lisää kaivattua kaistaa ja bittinopeutta. Vasteajan lyheneminen taas mahdollistaa uudenlaisia älykkäitä interaktiivisia palveluja. Älykäs sähköverkko tai etäautomaatio tarvitsevat pienen viipeen luotettavia yhteyksiä. Vasteajan lyheneminen 5G:ssä tulee tarpeeseen.
Liikennevolyymi voi buustata hyökkäystä nettiin liitettyä kohdetta vastaan. Oleellista huolenaihetta 5G tarjoaa, jos ja kun sitä käytetään teollisuuden, älykaupunkien, liikenteen tai muussa elinkeinoelämän tarpeissa. Se voisi toimia digihaavoittuvuuden sisäänkäyntinä. Tällaista puhutaan. Kyberrikollisuudessa yhdistyvät perinteisen materiaalisen maailman varkaudet, tuhoteot, kiristys ja niin edelleen.
Erikoisverkot pitää kuitenkin jonkin palomuurin tai yhdyskäytävän kautta liittää Internetiin, muistuttaa Tekniikan Maailmassa, Aalto yliopiston tietoliikenne- ja tietoverkot -tiedekunnan professori, Raimo Kantola. Hän pitää ongelmana sitä, että verkkoliitäntää vastaan voi hyökätä vaikkapa kuluttajalaitteita hyödyntämällä.
Voiko, ja jos voi, millä ehdoilla?
Tämä, vaikkakin nyt professorilta, on jokseenkin yleinen näkemys erikoisverkoista, ja niiden tietoturvasta. Ensimmäisen sukupolven IoT oli turvaton, myönnetään, IP auki verkossa, sen kun vain korkkaa. Anturin kotimaana näkyy usein Kiina, ja laitteen hinta muutama euroa.
Sitten tuli LoRa ja sen LoRaWan –ympäristön 128-bittinen yksilöllinen salausvain. Kaiken piti ratketa. LoRa-anturin ohjemyyntihinta saattaa olla jotakuinkin 20-kertainen verrattuna vanhaan IoT-rihkamaan. Mutta kuinka ollakaan laitteen salausavaimen numerosarja (network session key) on painettu lapulle pahvisen anturipaketin kylkeen. Tietoturvan kannalta arveluttavaa.
LoRaWan-verkoissa voidaan jo nyt havaita liikettä, joka viittaa idioottivarmana pidetyn salauksen haavoittuvuuteen. Jostakin radiolinkkiverkkoon päästään tekemään network session key –kyselyjä. Ikään kuin ne toimisivat bottien kautta tietokantaan listattuina. 128-bittisestä kryptauksesta huolimatta LoRa-mittalaiteanturiin on mahdollista ottaa yhteyttä.
Jyväskylän yliopiston IoTsta liiketoimintaa –projektissa LoRaWan-verkkoon oli koodattuna laskuritunnistin, yksinkertainen counter, joka blokkasi toistuvat numerosarjakyselyt. Siihen, että anturin salausavain ei olekaan kovin salainen, hankekoordinaattori hymähtää. Tämän mukaan se on lähinnä kulttuurillinen erikoisuus – kun ostetaan tavaraa Kiinasta.
Kiinasta antureita ostetaan niiden halvan hinnan takia, mutta jos ne vuotavat dataa, mitä hyötyä niistä on – Lisää liikennemääriä maantiellä? Mitä sillä datalla kukaan tekee?
NB-Iot on samaa sukua kuin LoRa, 28-bittinen 5G-valmius, mutta sitä kalliimpi ja professionaalisempi. Sen käynnistyminen kuitenkin on takellellut pahemman kerran. Standardien uusiuduttua yksi toisensa jälkeen Narrowband-anturit vanhenivat pari kertaa varastoihin ennen kuin ne ehtivät markkinoille. Pietarsaarelainen Herrfors yhä käynnistelee NB-IoT -älysähkömittariaprojektiaan, josta se tiedotti jo vuosi pari sitten.
Joillekin, kuten minulle, tietoturvassa kyse on periaatteesta. Teknisesti ylivertainen Huawei-luurini on täynnä mielenkiintoisia asetuksia. Eräässä – suorastaan hellyttävässä – laite kysyy lupaa lähettää kaikki data kiinalaiseen pilveen, turvaan. Turvaan, keneltä?