Arkipäiväinen älykello voi pahimmillaan olla ranteessa kannettava jäljityslaite – lenkkireitti voi paljastaa yllättäviä sijaintitietoja

Älykello on ranteessa myös pääministeri Sanna Marinilla (sd.), joka pohti, voisiko hänen toiseen virkapuhelimeensa menevät valtioneuvoston tilannekeskuksen viestit lähettää myös hänen eduskuntapuhelimeensa, jonka viestit välittyvät hänen älykelloonsa. Pääministerin tavoittaminen viesteillä nousi puheenaiheeksi, kun häntä ei heti tavoitettu illanvietosta Helsingin yössä, jotta hänelle olisi voitu kertoa korona-altistumisesta.

Tietoturvariskejä on sekä älykelloissa että älypuhelimissa. Kumpikaan niistä ei tietoturva-asiantuntijoiden mukaan sovellu salaisten tai muuten arkaluonteisten tietojen käsittelyyn.

–  Nämä luottamuksellisemmat asiat, ei niitä enää tämmöisillä taskussa tai ranteessa kulkevilla laitteilla juurikaan lueskella eikä myöskään muokata, sanoo kyberturvallisuuskeskuksen ylijohtaja Sauli Pahlman liikenne- ja viestintäministeriö Traficomista.

Pahlman ei suoriltaan tyrmää älykellon käyttöä. Hyvien älypuhelimen ja -kellon yhteiskäytöllä voi esimerkiksi määrittää asetukset niin, että suurempaa tietoturvaa vaativista asioista voi saada kelloon vain niin sanotun notifikaation eli ilmoituksen siitä, että esimerkiksi turvasähköpostiin on tullut ilmoitus.

Sama pätee tekstiviesteihin. Niiden saapumisesta voi halutessaan saada älykelloon ilmoituksen, mutta itse viesti täytyisi lukea perinteisesti puhelimen näytöltä.

Salaisuudet pidetään pois älylaitteista ja kännyköistä

Nykyisin yrityksissä ja organisaatioissa, kuten eduskunnassa tai ministeriöissä, on tietoturvaohjeistukset, joita noudatetaan. Ohjeistukset ovat avainasemassa siinä, minkälaisia tietoja milläkin laitteilla käsitellään.

Suurimpia valtion- tai yrityssalaisuuksia harvoin käsitellään älylaitteilla ollenkaan.

–  Jos puhelimen ja älykellon asetukset ja tietoturvaohjeistus on kunnossa, suurimmat salaisuudet pysyvät molemmista laitteista poissa. Silloin siinä ei ole oikeastaan merkittävää eroa, että kumpaa laitetta sitä käyttääkään, kertoo Pahlman.

–  Jos valtion luottamuksellisia tietoja ajatellaan, käytännössä jo sitä matkapuhelinta pidetään tyypillisesti sen verran riskinä, että matkapuhelimeenkaan ei sitten välitetä kovin kummoisia salaisuuksia.

Pahlmanin mukaan esimerkiksi Suomen valtiolla on käytössä neliportaiset turvaluokitustasot. Tasojen välillä on merkittävät erot tietojen suojassapitotarpeessa, eikä korkeimman suojaustarpeen tai turvaluokituksen tietoja välitetä ollenkaan arkipäivän viestintävälineisiin.

Poliitikon ja yritysjohtajan tulisi tehdä uhka-analyysi laitteen käytöstä

Tietoturvayhtiö F-Securen vanhemman johtavan tutkijan Jarno Niemelän mukaan poliitikon tai vaikka suuren ja merkittävän yrityksen johtajan tulisi harkita kahdesti, minkälaisissa tilanteissa älykelloa käyttää, vai käyttääkö ollenkaan.

–  Kuka on, missä on, mitä tekee, miten tekee. Nämä kaikki vaikuttaa. Korkeassa asemassa olevalla täytyy olla jatkuva uhka-analyysi takaraivossa, sanoo Niemelä.

Niemelä muistuttaa, että salaisten tietojen tai viestien vuotamisen lisäksi älykellojen käytössä voi olla niin sanottujen korkean profiilin ihmisille myös muita riskejä.

Monet älykelloista tavallaan keskustelevat kellon käyttäjän älypuhelimen kanssa bluetooth-yhteyden avulla. Normaalisti päällä ollessaan bluetooth-laite lähettää oma tunnus-id:tään eli ikään kuin omaa henkilökohtaista osoitettaan, jotta yhteys muihin laitteisiin muodostuisi nopeasti. Mikäli bluetoothin sammuttaa, laitteiden välinen yhteys ei muodostu yhtä saumattomasti.

Bluetooth on suosittu yhteystapa siksi, että se kuluttaa vähemmän virtaa kuin wifi-verkkoyhteys. Paremmissa älykelloissa yhteystavan voi yleensä valita.

Bluetooth-teknologialla toimiva laite on mahdollista tunnistaa sen tunnus-id:n perusteella. Signaalitietojen perusteella kelloa ranteessaan pitävä ihminen voi olla mahdollista jäljittää.

Pahimmillaan älykello voisi Niemelän mukaan toimia jäljityslaitteena.

–  Kun kerran pystyy katsomaan, että tuossa on tuo henkilö ja nyt näkyy tämä kellon id, niin sen jälkeen sitä voidaan seurata ihan kaikkialla, missä se menee. Wifin kautta tilanne on aika pitkälle sama, kertoo Niemelä.

Niemelän mukaan esimerkiksi Yhdysvaltain varapresidentti Kamala Harris ei käytä tämän vuoksi lainkaan edes bluetooth-teknologialla toimivia kuulokkeita.

Lenkkireitti voi paljastaa yllättäviä sijaintitietoja

Tavalliselle kaduntallaajalle älykello on parhaimmillaan hyödyllinen. Jotkut kellot voivat mitata entistä tarkemmin esimerkiksi sydämen sykettä, mistä saattaa joissain tapauksissa olla konkreettistakin hyötyä kellon sensoritekniikan huomatessa, että kaikki ei ole kunnossa.

Kyberturvallisuuskeskuksen Pahlmanin mukaan nykyään voi aika hyvin luottaa, että esimerkiksi terveystiedot pysyvät vain kellon omistajan tiedossa.

–  Se on sitten ihmisestä kiinni, miten henkilökohtaisena näitä pitää. Mutta tietovuotoja ei enää juurikaan ole ollut. Paikkatiedot voi näistä olla se sensitiivisempi, mutta harvoinpa sitä lenkilläkään missään kovin salaisessa paikassa käy, sanoo Pahlman.

Lenkkeilytietojen jakamisestakin voi tietyissä tapauksissa koitua hankaluuksia. Muutama vuosi sitten syntyi pienoinen kohu, kun kuntoilijoiden käyttämän Strava-sovelluksen lokitiedoista paljastui vahingossa sotilastukikohtia Syyriassa ja Afganistanissa. Sotilaat olivat juosseet tukikohdissa sovellusta käyttäen, mistä piirtyi GPS:n ja paikannustietojen avulla tukikohtien rajat Stravan julkiseen karttaan.

–  Jos siellä juostaan tällaista neliönmuotoista lenkkiä ja kartan mukaan tyhjällä pläntillä, niin kyllä siinä aika nopeasti laskee yksi plus yksi, että täällä on varmaan jotakin, sanoo F-Securen Niemelä.

Suojaus on kaiken A ja O

Tietoturvassa olennaista on laitteen suojaus, oli laite mikä hyvänsä. Asiantuntijoiden mukaan tärkeää olisi suojata laite hyvin esimerkiksi pin-koodilla. Mikäli älykello tai -puhelin häviää, ei tuntematon ihminen pääse pin-koodia tietämättä suoraan laitteen sisältämiin tietoihin käsiksi.

Lisäksi älylaitteen tietoturvaan vaikuttaa se, miten sitä käyttää.

–  Hyvänkin kellon turvatason pystyy pilaamaan yhdellä huonolla ohjelmalla, tiivistää Niemelä.

Jos älykelloon asentaa muita ohjelmia kuin mitä kellon mukana tulee valmiina, kannattaa käyttöehdoista tarkistaa, minkälaista tietoa ohjelma kerää. Lisäksi olisi hyvä selvittää se, minne tieto tallennetaan. Vaikka ohjelma itsessään olisi turvallinen tietoturvan kannalta, voi se tallentaa tiedon sellaiselle palvelimelle, jonka tietoturva vuotaa.

–  Älypuhelin on siinä mielessä suuremmassa vaarassa, että sillä tulee tehtyä enemmän asioita ja sinne tulee asennettua enemmän ohjelmia. Siinä mielessä älypuhelin on suurempi riski, sanoo Niemelä.

Sovellusohjelmien valikoimisen ohella laitteen päivittäminen on tärkeää. Esimerkiksi älypuhelinten päivityksissä on usein korjattu myös mahdollisia tietoturva-aukkoja.

Mikäli omien tietojen tietoturva kiinnostaa, kannattaa älykellokaupoilla välttää kaikkein halvimpia tuotteita. Niissä harvoin on kiinnitetty erityistä huomiota ohjelmiston tietoturvallisuuteen tai ohjelmien päivitettävyyteen.

–  Näissä pätee kuten ihan tavallista, että mitä enemmän maksat, sitä parempaa saat, sanoo Niemelä.