Langattomien turvakameroiden tietoturva
Saarinen, Aleksi (2025)
2025
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025110527154
https://urn.fi/URN:NBN:fi:amk-2025110527154
Tiivistelmä
Tutkimuksessa tarkasteltiin internettiin kytkettävien kameroiden eli IoT-kameroiden tietoturvan tasoa tavallisen loppukäyttäjän näkökulmasta. Työn taustalla oli huoli IoT-laitteiden tietoturvasta ja niiden yleistymisen myötä lisääntyvistä yksityisyyteen sekä tietosuojaan kohdistuvista riskeistä. Tavoitteena oli tunnistaa yleisimmät uhat ja puutteet sekä selvittää, löytyykö niitä myös edullisista kameroista. Työ rajattiin koskemaan IoT-laitteita, ei tietokoneita tai muuta tietotekniikkaa.
Työn teoreettinen viitekehys muodostui IoT-laitteiden toiminnan ja tietoturvan perusteista, yleisimmistä IoT-laitteiden haavoittuvuuksista sekä EU:n sääntelystä. Työssä kuvattiin, miten erinäiset haavoittuvuudet altistavat laitteita värinkäytölle. Lisäksi tarkasteltiin Kyberkestävyyssäädöstä ja yleistä tuoteturvallisuusasetusta, sekä miten niiden tavoitteet vaikuttavat tietoturvan parantamiseksi.
Empiirisessä osassa tutkittiin IoT-kameroiden tietoturvan tasoa nykypäivänä, sekä minkälaisia uhkia niihin kohdistuu. Tutkittiin myös edullisen IoT-kameran tietoturvaa käytännön testein. Kameraan kokeiltiin erilaisia hyökkäysmenetelmiä, kuten ”evil twin”-hyökkäys ja salasanan murtaminen. Kokeilussa havaittiin, että RTSP-palvelu lähetti livekuvaa ilman tunnistautumista, vaikka laite oli suojattu salasanalla.
Johtopäätöksenä todettiin, että IoT-laitteiden tietoturvaa ei ole huomioitu riittävästi tuotekehityksessä, eikä markkinoiden itsesääntely riitä takaamaan riittävää tietoturvan tasoa. Jotta tietoturvan taso saadaan riittävän korkeaksi, täytyy laitevalmistajia ohjata lainsäädännöllisesti oikeaan suuntaan. Käyttäjiä tulisi myös valistaa laitteiden tietoturvallisessa käytössä. EU:n tasolla lainsäädäntö on menossa parempaan suuntaan ja myös laitevalmistajat ovat heränneet tietoturvan puutteen aiheuttamiin ongelmiin.
Työn teoreettinen viitekehys muodostui IoT-laitteiden toiminnan ja tietoturvan perusteista, yleisimmistä IoT-laitteiden haavoittuvuuksista sekä EU:n sääntelystä. Työssä kuvattiin, miten erinäiset haavoittuvuudet altistavat laitteita värinkäytölle. Lisäksi tarkasteltiin Kyberkestävyyssäädöstä ja yleistä tuoteturvallisuusasetusta, sekä miten niiden tavoitteet vaikuttavat tietoturvan parantamiseksi.
Empiirisessä osassa tutkittiin IoT-kameroiden tietoturvan tasoa nykypäivänä, sekä minkälaisia uhkia niihin kohdistuu. Tutkittiin myös edullisen IoT-kameran tietoturvaa käytännön testein. Kameraan kokeiltiin erilaisia hyökkäysmenetelmiä, kuten ”evil twin”-hyökkäys ja salasanan murtaminen. Kokeilussa havaittiin, että RTSP-palvelu lähetti livekuvaa ilman tunnistautumista, vaikka laite oli suojattu salasanalla.
Johtopäätöksenä todettiin, että IoT-laitteiden tietoturvaa ei ole huomioitu riittävästi tuotekehityksessä, eikä markkinoiden itsesääntely riitä takaamaan riittävää tietoturvan tasoa. Jotta tietoturvan taso saadaan riittävän korkeaksi, täytyy laitevalmistajia ohjata lainsäädännöllisesti oikeaan suuntaan. Käyttäjiä tulisi myös valistaa laitteiden tietoturvallisessa käytössä. EU:n tasolla lainsäädäntö on menossa parempaan suuntaan ja myös laitevalmistajat ovat heränneet tietoturvan puutteen aiheuttamiin ongelmiin.