IoT from cyber security perspective

Abstract

The number of IoT devices is increasing all the time, and these devices are used practically in all areas of everyday life. Therefore, securing the IoT devices is gaining more and more importance. The selected research method was divided into two-parts. The first part was about conducting to study and investigating the environment and devices of the Internet of Things from architectural perspective; what is available on the market, what kind of appliances are used and for what purposes. This part also includes the basic rules for protecting such an environment against possible cyber vulnerabilities and attacks. The second part of the thesis consists of a practical case study against a cloud based IoT appliance. That IoT appliance consist of active sensors and servers related to the collecting data from sensors and cooling using which is controlled by the sensors data. This part also included possible attack vectors against that live environment. The case study part also focused on different kinds of vulnerabilities are aimed at IoT environments. The important part of case study was to define recommendations of basic functions for protecting the IoT environment. Additionally, the recommendations were defined for the management level to improve the security controls at organizational level against cyber security risks. As a conclusion, the case study showed that the Internet of Things environments are also under substantial risk of cyber threats. Therefore, the needed security processes and their implementation are very highly recommended. The minimum recommendation is to keep software modules updated.

Nykyisin IoT-laitteita on monilla elämänalueilla eri yhteyksissä, niin kuluttajatuotteissa kuin teollisuuden puolella. Valittu tutkimusmetodi jakautui kahteen osaan. Ensimmäisessä osassa perehdyttiin IoT- laitteiden arkkitehtuuriin ja mahdollisiin käyttökohteisiin. Käytiin läpi yleisiä suojausmenetelmiä, joilla voidaan parantaa IoT-laitteiden kyberturvallisuutta. Toisessa osassa työtä tutkittiin IoT-ympäristön kyberturvallisuutta, joka oli toteutettu JYVSECTEC:in RGCE-pilvipalvelussa. Kyseisessä ympäristössä oli kaksi lämpötila-anturia, joiden tuottamalla datalla ohjattiin jäähdytinyksikköä.Tutkimuksessa keskityttiin pohtimaan mahdollisia hyökkäysvektoreita kyseistä ympäristöä vastaan. Tutkimuksessa suoritettiin käytännössä haavoittuvuustyökalujen ajaminen kyseistä ympäristöä vastaan. Tehtyjen haavoittuvuustestausten perusteella ympäristölle tehtiin suositukset ympäristön turvallisuutta parantamaan. Tutkimuksen perusteella tehtiin myös suosituksia hallintotasolle siitä, kuinka tarvittavat prosessit ja menettelytavat tulee olla etukäteen määriteltyinä ja kommunikointi ongelmatilanteissa sovittuna. Johtopäätöksenä tutkimuksen perusteella voidaan todeta, että IoT-laitteet ovat nykyisin houkuttelevia kohteita mahdollisille ulkopuolelta tuleville verkkohyökkäksille. Siten niiden kyberturvallisuutta ei saa unohtaa eikä laiminlyödä. Vähintään suositellaan tehtäväksi ohjelmistojen säännölliset päivitykset kyberturvallisuutta parantamaan.