Väitös älytilojen tietoturvasta

Diplomi-insinööri Antti Evesti väittelee Oulun yliopistossa 31.1.2014. Tietotekniikan alaan kuuluvan väitöskirjan otsikko on Adaptive security in smart spaces (Älytilojen mukautuva tietoturva).

Vastaväittäjänä toimii professori Kai Koskimies Tampereen teknillisestä yliopistosta ja kustoksena professori Jukka Riekki. Väitöstilaisuus alkaa Linnanmaalla OP-salissa (L 10) kello 12.

Väitöstyössä kehitettiin ratkaisu, jolla ohjelmistot pystyvät säilyttämään vaaditun tietoturvatason myös muuttuvissa ympäristöissä. Muuttuvissa ympäristöissä uusia laitteita ja palveluita ilmestyy sekä olemassa olevia ryhdytään käyttämään uudella tavalla. Esimerkkinä voidaan mainita tilanne, jossa asunnon lämpötila-anturin mittaustulos näytetään asukkaalle. Myöhemmin samaa anturitietoa ryhdytään käyttämään myös kodin lämmitysjärjestelmän ohjaamiseen. Jälkimmäinen käyttötilanne vaatii tietoturvan huomioimista, jotta ulkopuoliset eivät pääse vaikuttamaan lämmitysjärjestelmän toimintaan. Tietoturvan näkökulmasta muutokset ovat haastavia, koska kaikkia mahdollisia muutoksia ei voida ennakoida ohjelmistoa suunniteltaessa. Kehitetyn ratkaisun avulla ohjelmistot pystyvät reagoimaan havaittuihin muutoksiin mukauttamalla tietoturvamekanismeja automaattisesti suorituksen aikana.

Mukautuvan tietoturvan saavuttaminen edellyttää, että ohjelmisto kykenee havaitsemaan tietoturvaan vaikuttavat muutokset ja vastaamaan niihin. Tietoturvaan vaikuttavia parametreja on satoja, alkaen yksittäisen loppukäyttäjän tekemistä valinnoista ja päätyen käytettävän salausalgoritmin parametreihin. Tämän vuoksi on tarkkailtava sopivaa parametrijoukkoa ja tehtävä havaintojen perusteella oikeita päätelmiä vallitsevasta tietoturvatilanteesta. Väitöstyössä kehitetty menetelmä tukee tietoturvahavaintojen tekemistä ja niiden hyödyntämistä automaattisessa päätöksenteossa.

Perinteisesti tietoturvaan vaikuttavat tekijät huomioidaan ohjelmiston suunnittelun aikana perustuen suunnittelijoiden tietämykseen ja kokemukseen. Automaattisesti mukautuva tietoturva vaatii, että osa tästä tietoturvatietämyksestä on esitetty ohjelmiston ymmärtämässä muodossa. Tätä tarkoitusta varten työssä on kehitetty tietämyskanta tietoturvatiedon esittämiseen.

Väitöstyö on toteutettu käyttäen viittä tapaustutkimusta, joissa on kehitetty ohjelmistoarkkitehtuuri ja tietämyskanta mukautuvalle tietoturvalle. Sekä arkkitehtuuri että tietämyskanta on kehitetty ohjelmiston suunnitteluaikaisen ja suorituksenaikaisen käytön näkökulmista. Mukautuvan tietoturvan avulla sovelluskehittäjät voivat siirtää osan tietoturvaan liittyvästä päätöksenteosta suunnitteluvaiheesta suorituksenaikaiseen tilanteeseen, jolloin suoritusympäristö tunnetaan parhaiten. Lisäksi sovelluskehittäjät voivat laajentaa sovelluksensa käyttöä uusille alueille, joiden tietoturvavaatimukset poikkeavat alkuperäisestä käyttötilanteesta. Loppukäyttäjälle mukautuva tietoturva näkyy erityisesti parempana käytettävyytenä ja suorituskykynä.