Artikel top billede

Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?

ComputerViews: Sikkerheden i de enheder, der konstant forbindes til nettet, er noget nær katastrofal. Og det bliver bare værre og værre i takt med, at antallet af IoT-enheder eksploderer. Kan en bøde for et dårligt password eller en manglende opdatering være løsningen?

ComputerViews: Internet of Things - eller bare IoT - er et af tidens mest hippe it-ord.

Det dækker over (simple) enheder, der kobles på nettet for at opnå en eller anden smart funktion eller effekt.

Men når en enhed kan kommunikere via nettet, så kan den ofte også hackes eller misbruges af lyssky personer.

Et helt dugfriskt og konkret eksempel er det DDoS-angreb, der forleden lagde enorme tjenester som Twitter, PayPal og Spotyfi ned.

Overbelastningsangrebet blev foretaget via IoT-enheder.

Læs den historie her: Printere og videokameraer nyt mål for hackerne: IoT-udstyr lægger Amazon, Spotify og Twitter ned i stort angreb

I forbindelse med angrebet sagde it-sikkerhedsekspert Peter Kruse fra virksomheden CSIS, at "kampen om IoT-enhederne er i fuld gang mellem de forskellige botnet."

De it-kriminelle (og måske også efterretningstjenester) har altså lugtet lunten, og de gør sig nu klar til at erobre enhederne for at udnytte dem til eksempelvis DDoS-angreb eller til masseovervågning.

Sikkerhedsmandens vurdering er, at vi kun lige har skimtet toppen af isbjerget, når det handler om, at banditter vil udnytte de mange net-dingenoter, der løbende kobles på.

Et andet eksempel på den dårlige sikkerhed i IoT-løsningerne er fundet af det danske sikkerhedsfirma FortConsult.

Firmaet har fundet en grel fejl i en forbindelsesprotokol ved navn MQTT, der binder milliarder af enheder sammen i Internet of Things-netværket.

MQTT-protokollen stammer fra 1998, og er en protokol til letvægter-kommunikationen. Dermed er den ret god til at lade sensorer og andre små enheder kommunikere ubesværet over internetværket. Det knap så gode er dog opsætningen af MQTT, som kan skabe enorme sårbarheder.

FortConsult forklarer, at det grundlæggende handler om en fejlopsætning i MQTT, der betyder, at kommunikationen kan opfanges, ændres og sendes videre til andre - eventuelt i en manipuleret form.

Det betyder altså, at milliarder af enheders kommunikation potentielt er sårbar, hvis kommunikationen bliver tilgået af onde sjæle.

Læs mere om her: Dansk sikkerhedsfirma slår alarm: "Jeg har fundet et atomkraftværk, hvor man kunne hæve strålingsniveauet og et fængsel, hvor fængselsdørene kan åbnes fra en server"

Ulven ser altså ud til at være på vej, som flere sikkerhedsfolk har råbt op om i den senere tid.

Eksplosion i antallet af net-dimser

Der er masser af smarte funktioner og forretningsmæssige fordele forbundet med IoT-fremtiden, og analysehusene spår da også net-opkoblingerne en meget lys fremtid.

IDC forventer eksempelvis, at det verdensomspændende marked for IoT-løsninger vil vokse fra 13 milliarder kroner i 2013 til 47 milliarder kroner i 2020.

Gartner estimerer, at IoT-produkt og -serviceleverandører vil være i stand til at generere ekstraindtægter, som vil overstige 2.000 milliarder danske kroner i 2020.

Selv om vi står stadig på kanten til IoT-løsningerne, er der allerede tegnet et billede af den næste generation, hvor antallet af net-dimser vil eksplodere endnu kraftigere.

World Economic Forum kalder det for Internet of Nanothings, der er en videreudvikling af Internet of Things med mindre og smartere sensorer.

Forskerne er begyndt at krympe sensorerne, så de eksempelvis kan implementeres i den menneskelige krop, hvilket World Economic Forum vurderer til at være det første skridt i retning af Internet of Nanothings.

Læs mere om det her: Vil præge din hverdag i de kommende år: Her er årets 10 hotteste teknologier med størst betydning

De store ekstraindtægter som analysehusene spår om, tænder et vækstlys i øjnene på enhver forretningsmand. Det er helt naturligt.

Sikkerhedsudfordringen fra erhvervslivet bliver nok heller ikke den største hurdle, da vi må have en forventning om, at erhvervslivet tager sikkerheden i deres IoT-løsninger meget alvorligt.

Den store udfordring for sikkerheden ligger hos dig og mig, altså den almindelige forbruger af elektronik.

Når badevægten, fitness-uret eller vinkøleskabet kobles på nettet, og vi lige glemmer at ændre det standard-password, som kan knækkes på ganske få sekunder af de it-kriminelle, der gerne vil have adgang til enhederne.

Peter Kruse formulerer det således:

"Det er et faktum at mange brugere, som køber disse smarte gadgets, ikke sikrer deres udstyr og skifter standard-password, og derfor misbruges af selv-replikerende kode, som overtager kontrollen med disse enheder."

Sikkerhedsfirmaet Bitdefender vurderer, at to procent af de smarte enheder har et elendig eller slet intet password.

To procent lyder måske ikke af meget, men det løber alligevel op.

Gartner siger, at der i øjeblikket er 6,4 milliarder IoT-enheder. To procent af det antal bliver 128 millioner usikre IoT-dimser, der står pivåbne.

Tre ting, der skal forbedres

Vi ved, at antallet af enheder vil eksplodere, og at sikkerheden ikke er god nok.

Det bliver med andre ord værre og værre.

Der er tre steder, hvor der skal drejes alvorligt på sikkerhedsskruen, hvis vi vil vende den udvikling.

For det første skal producenterne af net-opkoblede enheder stramme sig godt og grundigt an.

Vinkøleskabet eller ungernes bamser, der kobles på nettet, skal forsynes med sikkerhed. Der skal være en udførlig manual, der fortæller, hvordan man kan sikrer produktet på en enkel og fornuftig vis.

Den næste udfordring ligger også hos producenterne og handler om software og opdateringer.

Det kan ikke nytte, at den software, der tilknyttes til et produkt, bare 'glemmes' af udviklerne, når produktet er blevet solgt. Der skal opdateringer til. Hvis der ikke opdateres, vil det klassiske sikkerhedsproblem med dårlig og usikker software eskalere i takt med antallet af enheder, der er på nettet.

Den tredje udfordring ligger hos forbrugeren.

Det er ikke godt nok, at vi ikke gider/kan sætte tingene op på en sikker måde. Producenterne skal hjælpe til med at gøre opsætningen så enkel som mulig, men forbrugeren har ansvaret for at få ændret 'Admin' til et fornuftigt password.

Ligegyldig om det gælder hjemmets router eller en net-opkoblet fitness-dims.

Ligeledes har forbrugeren ansvaret for, at få enhederne opdateret med den nyeste software, der kan lukke de sårbarheder, der altid vil opstå over tid.

Skal der password-bøder til?

Det store spørgsmål er så: Hvordan gør vi det?

Hvis vi tage de store briller på, har EU besluttet sig for at stramme sikkerhedsregler i forbindelse med General Data Protection Regulation-reformen (GDPR) for firmaer, der ikke selv kan finde ud af at overholde sikkerheden.

Der er tale om kæmpe bøder. Det kan koste helt op til 148 millioner kroner (20 millioner euro) eller fire procent af den årlige omsætning i bøde.

Er det også den model, som vi skal vælge til private?

En password-bøde til dem, der ikke kan finde ud af at skifte standard-opsætningen til et fornuftigt password?

Eller en bøde for manglende opdateringer?

Det kunne eksempelvis være en afgift på linje med den p-afgift, der opkræves, hvis du parkerer ulovligt.

Straf er naturligvis ikke en motivationsfaktor, men truslen om en bøde genopliver ofte hukommelsen, så man får tingene gjort. EU-forordningen bygger på samme antagelse, så hvis det virker i erhvervslivet, så virker det vel også blandt almindelige brugere.

Men hvad siger du?

Hvordan skal vi forbedre sikkerheden når IoT for alvor slår igennem? Eller ser du slet ikke et sikkerhedsproblem i forbindelse med IoT?

Læs også: Producenter af næste teknologi-bølge blæser på sikkerhed - kan blive en alvorlig trussel mod dig