Annonce
Erhverv

Webkameraet, harddiskoptageren og babyalarmen udgør en sikkerhedsrisiko

Internet-opkoblede enheder er blevet en del af vores hverdag.

Alt lige fra højttalere, ure og webkameraer til biler, brødristere, termometre og elpærer bliver i dag koblet til nettet. Men IoT-produkterne er typisk for dårligt sikret, og dermed er de også mere udsat for digitale trusler fra hackere.

Over de seneste par år har vi set en kraftig stigning i cyberangreb, hvor netopkoblede enheder som for eksempel babyalarmer, videokameraer og airconditionanlæg er blevet udnyttet af hackere til uheldige formål. Her udgør IoT et dobbeltsidet sværd, fordi det er ikke kun de enkelte IoT-enheder, der er udsat for angreb.

Sikkerhedshuller i IoT-enhederne kan også udnyttes til at forstyrre resten af nettet.

Annonce

Dobbeltsidet trussel

Det alvorligste eksempel, der er kendt af offentligheden, er Mirai-angrebet. Det lagde i 2016 store dele af nettet ned, herunder tjenester som HBO, Netflix og Spotify.

Hackerne udnyttede sårbarheder i IoT-enheder, og fordi der var nogen, der ikke havde ændret password, kunne de ret nemt hacke sig ind i mindst 500.000 webkameraer og harddiskoptagere. Derefter brugte de enhederne til at angribe den bagvedliggende infrastruktur på nettet.

Vi har også set mere avancerede eksempler, hvor det eksempelvis er muligt at hacke robotter til hjemmebrug, så de kan angribe fysisk. Forskere fra Örebro Universitet og DTU undersøgte den menneskelignende robot “Pepper” fra Softbank Group og fandt masser af sikkerhedshuller, der betød, at man kunne gøre robotten til et fysisk våben.

I et andet eksempel udnyttede hackerne et IoT-termometer, der sad i et akvarium, som stod i lobbyen på et amerikansk casino. Det interessante er, at selv om man havde styr sikkerheden andre steder i virksomheden, så fandt hackerne en sårbarhed i termometret, som de kunne bruge til at få fodfæste i netværket og udføre angreb på den traditionelle IT.

Tænk sikkerhed fra start

Det er et meget godt fingerpeg om, at selv uskyldige IoT-enheder som harddiskoptagere eller webkameraer er udsatte over for cybertrusler. Det er en udvikling, som både producenter og forbrugere skal være opmærksomme på.

Når producenterne begynder at fremstille IoT-produkter, har de meget fokus på funktionalitet, men de er også nødt til at have fokus på sikkerhed. Og det kan være en ny udfordring for dem, fordi truslerne er anderledes end dem, de kender som traditionelle producenter.

Det er derfor afgørende, at man tænker IoT-sikkerhed ind fra starten. Fordi hvis virksomhederne stiller krav til, hvordan man modvirker truslerne, er det også nemmere at undgå de wild-west tilstande, som er udbredt i dag.

Danske virksomheder er i forvejen kendt for at levere produkter af høj kvalitet. Men når disse kvalitetsprodukter bliver koblet til nettet, udgør de pludseligt et mål for potentielle hackere, og dermed stiger behovet for viden om digital produktsikkerhed.

Forløb for 20 virksomheder

Alexandra Instituttet står i spidsen for en nyt projekt, der skal styrke cybersikkerheden i danske IoT-produkter. Projektet er et samarbejde med Force Technology, DTU Compute og IT-Universitetet.

Her bliver 20 danske virksomheder gennem målrettede forløb klædt på til at levere mere sikre løsninger og produkter. Målet er at stille de danske virksomheder bedre i den internationale konkurrence.

Fælles for virksomhederne er, at de alle er i gang eller har planer om at udvikle digitale produkter. Halvdelen har IoT-erfaring, mens den anden halvdel ikke er vant til at tænke i digital produktsikkerhed.

Erfaringerne skal bredes ud til virksomheder i hele landet, så sikkerheden får et markant løft. Det skal blandt andet ske gennem udvikling af et screeningsværktøj og gennem udbredelse af ny viden om de internationale certificeringer, der bliver stadig mere betydningsfulde for virksomhederne.

Som en del af projektet gennemfører man også et omfattende modenhedsstudie, hvori man interviewer 30 danske virksomheder om såvel tekniske som forretningsmæssige og organisatoriske aspekter af IoT-sikkerhed. Resultatet bliver et modenhedsværktøj, som virksomheder kan bruge til at vurdere og styrke deres IoT-sikkerhed.

Ungt felt uden standarder

Projektet er fortsat i sin indledende fase, men allerede nu kan vi se, at IoT-sikkerhed i dag er der, hvor almindelig it-sikkerhed var for 10-20 år siden. Men måden, man hacker på, er på mange måder den samme.

Mange virksomheder kæmper med at finde det rette niveau af IoT-sikkerhed. Både fordi feltet er så ungt, og fordi der ikke findes standarder, man kan læne sig op ad. Det betyder, at hackerne har et stort forspring.

Noget andet vi kan se er, at IoT-sikkerhed ikke bare handler om den tekniske sikring af produkter og systemer. Det handler også om organisering, og det har mange virksomheder store udfordringer med. Blandt andet fordi IoT-sikkerhed går på tværs af de klassiske organiseringer og kompetencer.

Folk i udviklingsafdelingen har fokus på traditionel produktsikkerhed, og folk i it sørger for, at din pc kører. Men hvem har ansvaret, når produkterne kommer på nettet?

Der, hvor IoT også er forskelligt fra it, er den fysiske dimension. Man skal forholde sig til, om nogen kan bryde ind i ens devices ved at pille dem fra hinanden, og om det kan have konsekvenser i den fysiske verden.

Det er virksomhederne ikke nødvendigvis opmærksomme på.

Vi kan også se, at virksomhedernes kunder spørger ind til IoT-sikkerhed på en måde, som de ikke gør til almindelig it-sikkerhed. Og IoT-sikkerhed er afgørende for skalerbarhed og udvikling af nye forretningsmodeller.

Det gør, at IoT-sikkerhed i den grad er forretningskritisk.

Sådan sikrer I jeres IoT-enheder

  • Tænk sikkerhed ind fra starten. Man ser nogle gange produkter, hvor der ikke er tænkt på IoT-sikkerheden, men at den er forsøgt ‘klistret på’ efterfølgende. Det er problematisk, dyrere at implementere og giver dårligere sikkerhed i produktet.
  • Stil de rigtige krav til leverandørerne, og forstå teknikken i det udstyr, der anvendes.
  • Krypter kommunikationen mellem IoT-produktet og omverdenen. Når dit produkt kommer på nettet og kommunikerer med andre ting end sig selv, skal du sørge for, at det kun er dem, det er tiltænkt, der kan følge med i kommunikationen.
  • Sørg for at have en plan for sikkerhedsopdatering af dit produkt. Det gælder både, hvis du selv finder fejl i produktet, og hvis andre gør.
  • Få styr på bruger- og device-autentificering. Det er dit ansvar at få brugeren til at ændre default passwordet. Du skal tænke det ind allerede i designprocessen. Det kan for eksempel være, at brugeren ikke kan få adgang til produktet, før hun ændrer passwordet.
  • Afklar, hvor i virksomheden IoT og IoT-sikkerhed “bor”; hvem har ansvaret, er de rette kompetencer til stede, og hvilke procedurer er der for at holde sikkerheden opdateret?

Kronikken

Kronikken er skrevet af Gert Læssøe Mikkelsen, leder af Alexandra Instituttets Security Lab. Han står i spidsen for CIDI (Cybersecure IoT in Danish Industry), der skal styrke cybersikkerheden i danske IoT-produkter. Det er stadig muligt at søge om optagelse i projektet, hvis man er interesseret. I projektet skal man:

  • Afdække digitale produkters cybersikkerhedsniveau.
  • Gøre det nemmere at opnå et sikkert digitalt produkt med det rette sikkerhedsniveau.
  • Udforske den forretningsmæssige gevinst ved digital produktsikkerhed.
  • Øge viden om relevante standarder og certificeringer.
  • Udbrede erfaringer om, hvordan virksomheder bevarer kvalitetsbrand i den digitale verden.
Annonce
Annonce
Annonce
Annonce
Annonce
Forsiden netop nu
Odense

Hold jer væk: Ældre dieselbiler får adgang forbudt i det centrale Odense

Annonce