Yrityksissä otetaan käyttöön yhä enemmän IoT-laitteita: kameroita, sensoreita, kulunvalvontaa, tuotannon mittareita ja älykkäitä kiinteistöjärjestelmiä. Hyöty on selvä, mutta samalla kasvaa riski, että verkkoon ilmestyy laitteita, joita ei hallita yhtä kurinalaisesti kuin palvelimia tai työasemia. Juuri tässä kohtaa moni pk-yritys huomaa ongelman: laitteita on paljon, vastuut ovat epäselviä ja tietoturvakäytännöt jäävät puolitiehen.
Tässä artikkelissa käymme läpi, mitä ISO 27001 tarkoittaa IoT-ympäristössä, mitkä ovat yleisimmät riskit ja miten voit edetä käytännössä kohti vaatimusten mukaista toimintaa. Saat myös selkeän etenemismallin, jonka avulla IoT-tietoturva saadaan osaksi yrityksen hallintajärjestelmää eikä irralliseksi tekniseksi projektiksi.
Miksi IoT on ISO 27001:n näkökulmasta erityinen tapaus?
IoT eli internetiin tai sisäverkkoon kytketyt laitteet poikkeavat perinteisistä IT-laitteista yhdellä tärkeällä tavalla: niitä hankitaan usein liiketoiminnan tarpeeseen, ei tietohallinnon prosessin kautta. Siksi verkkoon voi päätyä laitteita, joiden oletussalasanat ovat vaihtamatta, ohjelmistoversiot vanhentuneita tai lokitietoja ei kerätä lainkaan.
ISO 27001 ei anna listaa yksittäisistä IoT-laitteista, jotka pitäisi suojata tietyllä tavalla. Sen sijaan standardi vaatii, että organisaatio tunnistaa riskit, määrittää hallintakeinot ja osoittaa, että toimintaa johdetaan järjestelmällisesti. Käytännössä tämä tarkoittaa, että myös IoT-laitteet kuuluvat saman tietoturvan johtamisen piiriin kuin muutkin tietovarannot ja järjestelmät.
IoT-ympäristössä kannattaa tarkistaa ainakin nämä perusasiat:
- Onko kaikista verkkoon liitetyistä laitteista ajantasainen luettelo?
- Tiedetäänkö, kuka omistaa laitteen ja kuka vastaa sen ylläpidosta?
- Vaihdetaanko oletustunnukset ennen käyttöönottoa?
- Päivitetäänkö laiteohjelmisto eli firmware säännöllisesti, esimerkiksi 30 päivän sisällä kriittisestä päivityksestä?
- Erotellaanko IoT-laitteet omalle verkkoalueelleen tai VLAN-segmenttiin?
- Tallennetaanko tapahtumalokeja vähintään 90 päivän ajalta?
Huomio
ISO 27001 ei ole vain IT-osaston standardi. Jos IoT-laitteita hankkii kiinteistötiimi, tuotanto tai liiketoiminta, myös niiden riskit ja vastuut pitää tuoda samaan johtamismalliin.
Mitkä IoT-riskit korostuvat pk-yrityksessä?
Pk-yrityksessä ongelma ei yleensä ole teknologian puute vaan hallinnan puute. Laitteita voi olla vain 20–200, mutta jo se riittää tekemään kokonaisuudesta vaikeasti hallittavan, jos prosessit puuttuvat. Yksi valvomaton kamera tai etäyhteydellä toimiva sensori voi avata hyökkääjälle reitin sisäverkkoon.
Tyypilliset IoT-riskit voi jakaa viiteen ryhmään:
| Riski | Käytännön esimerkki | Vaikutus liiketoimintaan | Suositeltu mittari |
|---|---|---|---|
| Heikko tunnistautuminen | Oletussalasana jää käyttöön | Luvaton pääsy laitteeseen tai verkkoon | 100 % laitteista ilman oletustunnuksia |
| Puuttuvat päivitykset | Firmwarea ei päivitetä vuoteen | Tunnettu haavoittuvuus jää auki | Kriittiset päivitykset 30 päivässä |
| Epäselvä omistajuus | Kukaan ei tiedä, kuka vastaa laitteesta | Vikatilanteet ja poistot viivästyvät | 100 % laitteista nimetty omistaja |
| Verkon puutteellinen erottelu | Kamera samassa verkossa taloushallinnon kanssa | Sivuttaisliike hyökkäyksessä helpottuu | 0 kriittistä IoT-laitetta toimistoverkossa |
| Elinkaaren hallinnan puute | Käytöstä poistettu laite jää verkkoon | Turha hyökkäyspinta kasvaa | Tunnukset ja yhteydet pois 24 tunnissa poistosta |
Kun teet riskiarviointia, älä yritä arvioida kaikkea kerralla. Usein riittää, että tunnistat ensin 3–5 keskeistä riskiä per IoT-kokonaisuus. Esimerkiksi kulunvalvonta, kameravalvonta ja tuotannon sensorit kannattaa käsitellä erillisinä kokonaisuuksina, koska niiden vaikutukset ja vaatimukset eroavat toisistaan.
Mitä ISO 27001 käytännössä edellyttää IoT-ympäristöltä?
Hallintajärjestelmä tarkoittaa käytännössä sitä, että tietoturvaa johdetaan sovituilla menettelyillä, vastuilla, mittareilla ja jatkuvalla parantamisella. IoT:n kohdalla tämä näkyy erityisesti omaisuuden hallinnassa, riskienhallinnassa, käyttöoikeuksissa, muutosten hallinnassa ja toimittajien ohjauksessa.
Jos yrityksesi käyttää IoT-laitteita, seuraavat osa-alueet kannattaa kuvata selkeästi:
- Soveltamisala: mitkä IoT-laitteet, verkot, toimipisteet ja palvelut kuuluvat mukaan
- Omaisuusluettelo: mitä laitteita on, missä ne ovat ja mitä tietoa ne käsittelevät
- Vastuut: kuka hankkii, hyväksyy, ylläpitää ja poistaa laitteen käytöstä
- Riskienhallinta: miten riskit arvioidaan ja milloin ne käsitellään uudelleen
- Käyttöoikeudet: kuka saa hallita laitetta ja miten oikeudet poistetaan
- Toimittajahallinta: mitä vaaditaan laitetoimittajalta tai ylläpitokumppanilta
- Poikkeamien hallinta: mitä tehdään, jos laite käyttäytyy poikkeavasti tai joutuu hyökkäyksen kohteeksi
Moni kysyy, pitääkö jokaisesta sensorista tehdä raskas dokumentaatio. Ei tarvitse. Tärkeämpää on, että käytössä on yhtenäinen malli. Esimerkiksi saman valmistajan lämpötila-anturit voidaan käsitellä yhtenä laiteluokkana, jos niiden käyttötarkoitus, riskit ja hallintakeinot ovat samat.
Vinkki
Aloita yhdestä IoT-luokasta, kuten kameroista tai kulunvalvontalaitteista. Kun saat yhdelle laiteluokalle omistajan, riskit, päivitysmallin ja poistoprosessin kuntoon, sama malli on helppo kopioida muihin laitteisiin.
Toimittajat ratkaisevat enemmän kuin moni ajattelee
IoT-turvallisuus ei ole vain omien asetusten varassa. Usein laitteeseen liittyy pilvipalvelu, mobiilisovellus, etäylläpito tai ulkoinen asennuskumppani. Siksi toimittajahallinta on ISO 27001:n näkökulmasta kriittinen osa kokonaisuutta.
Kysy toimittajalta vähintään nämä asiat ennen hankintaa:
- Kuinka pitkään laitteelle tarjotaan tietoturvapäivityksiä, esimerkiksi 3 vuotta vai 5 vuotta?
- Voidaanko oletustunnukset vaihtaa ja tukeeko laite vahvaa tunnistautumista?
- Missä laitteen keräämä data säilytetään?
- Onko etäyhteys pakollinen vai voidaanko se rajata?
- Saadaanko lokit ulos keskitettyyn valvontaan?
- Miten haavoittuvuuksista ilmoitetaan asiakkaalle?
Jos toimittaja ei pysty vastaamaan näihin peruskysymyksiin, kyse ei ole vain hankinnan epäselvyydestä vaan aidosta tietoturvariskistä. Käytännössä huono toimittajavalinta voi sitoa yrityksesi laitteeseen, jota ei voi päivittää, valvoa tai poistaa hallitusti.
| Toimittajakriteeri | Minimitaso | Hyvä taso | Erinomainen taso |
|---|---|---|---|
| Päivitystuki | 12 kk | 36 kk | 60 kk |
| Tunnistautuminen | Salasanan vaihto mahdollista | Roolipohjaiset tunnukset | Monivaiheinen tunnistautuminen |
| Lokitus | Perusloki laitteessa | Lokien vienti keskitetysti | Reaaliaikainen valvontaintegraatio |
| Etäylläpito | Aina päällä | Rajattavissa IP-osoitteilla | Tarvittaessa avattava, lokitettu yhteys |
| Datan sijainti | Ei tarkkaa tietoa | EU/ETA-alue | Sopimuksella määritelty ja auditoitava |
Näin etenet kohti ISO 27001:n mukaista IoT-turvallisuutta
Tee IoT-laitteista näkyviä
Kerää 2–4 viikon aikana lista kaikista verkkoon kytketyistä IoT-laitteista. Merkitse vähintään laitteen nimi, sijainti, omistaja, verkkoyhteys, toimittaja ja käyttötarkoitus. Jos et tiedä, mitä verkossa on, et voi myöskään hallita riskejä tai osoittaa vaatimustenmukaisuutta.
Arvioi riskit laiteluokittain
Jaa laitteet esimerkiksi kameroihin, sensoreihin, kulunvalvontaan ja tuotannon laitteisiin. Arvioi jokaisesta luokasta 3–5 keskeistä riskiä ja pisteytä ne vaikutuksen ja todennäköisyyden perusteella asteikolla 1–5. Valitse tämän jälkeen hallintakeinot vain merkittävimpiin riskeihin, jotta työ pysyy hallittavana.
Määritä vähimmäisvaatimukset käyttöönotolle
Tee lyhyt käyttöönoton tarkistuslista, jota noudatetaan jokaiselle uudelle IoT-laitteelle. Listaan kannattaa sisällyttää ainakin oletussalasanan vaihto, verkon segmentointi, tarpeettomien palveluiden poisto, lokituksen aktivointi ja päivitystason tarkistus ennen tuotantokäyttöä. Tavoitteena on, että 100 % uusista laitteista käy saman hyväksyntäpolun läpi.
Rakenna ylläpidolle selkeä rytmi
Sovi kuukausittainen tai vähintään neljännesvuosittainen katselmus, jossa tarkistetaan päivitykset, poikkeamat ja käytöstä poistettavat laitteet. Käytännön hyvä tavoite on, että kriittiset haavoittuvuudet käsitellään 30 päivän sisällä ja käytöstä poistettujen laitteiden tunnukset sekä verkkoyhteydet suljetaan 24 tunnin sisällä.
Liitä IoT osaksi ISO 27001 -hallintajärjestelmää
Dokumentoi vastuut, riskit, kontrollit ja mittarit samaan malliin kuin muu tietoturva. Kun IoT näkyy johdon katselmuksessa, sisäisissä auditoinneissa ja poikkeamien käsittelyssä, siitä tulee hallittu osa kokonaisuutta eikä irrallinen tekninen saareke.
Yleisimmät virheet, jotka hidastavat etenemistä
Suurin virhe on ajatella, että IoT on vain tekninen asennusprojekti. Todellisuudessa ongelmat syntyvät usein vasta käyttöönoton jälkeen: kukaan ei päivitä laitteita, tunnuksia ei poisteta henkilövaihdoksissa ja toimittajan etäyhteys jää pysyvästi auki.
Vältä erityisesti näitä virheitä:
- Laitteita hankitaan ilman tietoturvan hyväksyntää
- Sama ylläpitotunnus on usean toimittajan käytössä
- IoT-laitteet sijoitetaan samaan verkkoon työasemien kanssa
- Käytöstä poistettu laite jää virtoihin ja verkkoon kuukausiksi
- Dokumentaatio tehdään auditointia varten, mutta sitä ei käytetä arjessa
Varoitus
Yleinen sudenkuoppa on kopioida ISO 27001 -kontrollit paperille ilman, että niitä sidotaan oikeisiin laitteisiin, vastuisiin ja aikarajoihin. Auditoinnissa ratkaisee se, pystyttekö näyttämään käytännön toteutuksen, ei vain yleisen politiikan.
Miten onnistumista kannattaa mitata?
Ilman mittareita IoT-turvallisuus jää helposti tunteen varaan. Pk-yritykselle riittää usein pieni mutta johdonmukainen mittaristo, jota seurataan esimerkiksi kuukausittain tai neljännesvuosittain.
Hyvä aloituspaketti sisältää nämä mittarit:
| Mittari | Tavoitetaso | Seurantaväli |
|---|---|---|
| Inventoidut IoT-laitteet kaikista arvioiduista laitteista | 95–100 % | Kuukausittain |
| Laitteet, joilla nimetty omistaja | 100 % | Kuukausittain |
| Kriittiset päivitykset määräajassa | 90 %+ | Kuukausittain |
| Käytöstä poistettujen laitteiden tunnusten sulku | 24 h | Tapauskohtaisesti |
| Poikkeamien käsittelyaika | 1–5 työpäivää vakavuudesta riippuen | Kuukausittain |
Jos yritykselläsi on jo käytössä ISO 9001 tai muu johtamisjärjestelmä, mittarien seuranta kannattaa liittää samaan johtamisen rytmiin. Tämä helpottaa arkea ja vähentää erillisten prosessien määrää. Tietoturvapankki auttaa juuri tässä: yhdistämään vaatimukset, dokumentaation ja käytännön tekemisen yhdeksi hallituksi kokonaisuudeksi.
Myös konserni- ja kumppaniympäristöissä yhtenäinen toimintamalli helpottaa työtä. Softapankki Oy:n ja QMClouds Oy:n kehittämissä ratkaisuissa sama ajatus näkyy laajemminkin: Laatupankki — Konsernin laadunhallinnan tuotemerkki tukee johtamisjärjestelmien käytännön toteutusta, ja tietoturvan puolella sama systematiikka auttaa viemään ISO 27001:n osaksi arkea.
Yhteenveto
- IoT-laitteet pitää tuoda saman hallintajärjestelmän piiriin kuin muu IT, jotta riskit, vastuut ja kontrollit ovat hallittuja.
- Aloita näkyvyydestä: inventoi laitteet, nimeä omistajat ja tunnista 3–5 keskeistä riskiä per laiteluokka.
- Määritä selkeät vähimmäisvaatimukset, kuten oletustunnusten poisto, verkon segmentointi ja kriittiset päivitykset 30 päivässä.
- Mittaa onnistumista konkreettisesti, esimerkiksi omistajuuden kattavuudella, päivitysasteella ja tunnusten poistolla 24 tunnin sisällä.
- ISO 27001:n mukainen IoT-turvallisuus ei synny paperista vaan toistettavista käytännöistä, joita seurataan ja parannetaan jatkuvasti.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.