Artikel top billede

Tesla reagerede hurtigt da de fik kendskab til en sårbarhed i deres Model S - andre bilfabrikanter har valgt en noget andet tilgang.

Tre ting du skal lære af sikkerhedsproblemerne hos Tesla, Chrysler og Volkswagen

Tesla, Chrysler og Volkswagen er alle ramt af sårbarheder, men selskaberne reagerer vidt forskelligt. Vi har samlet tre regler, som de burde have fulgt - og som kan hjælpe din virksomhed med at have færre sårbare løsninger.

Angreb på din sikkerhed er som vand der løber ned af bakke: Det følger vejen med mindst modstand.

Det viste gidseltagningen af it-systemet hos Aalborg Farve og Lak, hvor hackerne kom ind i virksomheden gennem en ældre Windows XP-maskine på lageret (læs den spændende historie her).  

Og det viser aflytningen af tre amerikanske nyhedsbureauer, hvor en ukrainsk/amerikansk hackerbande fik adgang til 150.000 pressemeddelelser om aktienyheder, der endnu ikke har været offentliggjort på markedet, fordi nyhedsbureauer typisk modtager en fortrolig briefing inden store annonceringer.  

Og mens børssystemer og store virksomheders interne dokumenter er godt beskyttede, så har det svageste led været gennem nyhedsbureauernes systemer.

Dermed kunne bagmændene udnytte endnu upublicerede nyheder om virksomheder, deres produkter og markedet generelt, som ingen andre har haft viden om, når de investerede på Nasdaq og New Yorks børs.

Fortjenesten? 100 millioner dollar.

Det vi kan lære? At vi kan konstatere, at en kæde ikke er stærkere end sit svageste led. Igen.

Overdrives truslerne? Overhovedet ikke

Det var også pointen, da Intels vicedirektør og chef for Intels sikkerhedsdivision, Christopher Young, på Intels udviklerkonference, IDF 2015, i sidste uge fremhævede kompleksiteten som sikkerhedens værste fjende lige nu: 

"Cyber-security har altid handlet om at beskytte det nyeste, vi har. Fra mobil til cloud - og nu connected devices. I 2020 forudser vi, at der er mindst 200 millioner internet-of-things-enheder, som alle sammen er forbundne og potentielt sårbare."

Og mens man kan beskylde Young og mange andre professionelle sikkerhedsfolk for at overdrive problemerne, så viser de seneste sårbarheder hos bilproducenter som Tesla og Chrysler, at også eksterne enheder - som ikke er direkte computere - allerede nu er sårbare.

Artiklen fortsætter under billedet...

Det er måske ikke spor overraskende for os nu, men det er tilsyneladende en overraskelse for de ingeniører, udviklere og chefer som designede, byggede og lancerede de ramte produkter for tre, fem eller 10 år siden.

Det er en situation, som Tesla og Chrysler ikke kommer til at være alene om.

For tusindvis af internetforbundne enheder som termostater, dørlåser, biler, ure og industriprodukter strømmer lige nu ud til både forbrugere og virksomheder.

Og det er ofte enheder, som er i første generation - og skabt i en fart for at nå først ud på de nye markeder.

Samtidig er sikkerheden tilsyneladende ofte konstrueret ud fra en "Hvor der handles, der spildes"-filosofi, hvor kunderne er forsøgsdyr for firmaernes satsninger.

Det kan vi lære af Tesla, Chryslers og VWs fejl - og løsninger

Selvfølgelig kan det være svært, måske umuligt, at beskytte sine produktet og sin it-platform 100 procent, men ifølge Mark Cohen, Lenovos vicedirektør for ecosystems and cloud services, så handler det lige så meget om en mentalitetsændring:

"Først og fremmest skal man have styr på sin udvikling - og sørge for at der er tænkt sikkerhed ind hele vejen. Jeg ville ikke handle med nogen, som ikke kan overbevise mig om at sikkerheden er tænkt ind fra begyndelsen," forklarede han på et sceneinterview på IDF-messen i San Francisco.

Det er et godt udgangspunkt. Og Tesla og Chryslers forskellige reaktioner på, at deres biler kunne manipuleres er et eksempel, som vi andre kan lære af - på godt og ondt.

Tre regler for håndtering af sikkerhed

Problemet er dybest set at Tesla, Chrysler og Volkswagen - som vi kommer til om et øjeblik - har forbrudt sig mod de tre overordnede regler for produktsikkerhed:

1. Byg systemet med udgangspunkt i at det før eller siden vil blive angrebet og kompromitteret.
2. Når en sårbarhed afsløres, reagerer du hurtigt - og leverer en løsning direkte til brugeren.

3. Skjult er ikke sikkert: At skjule bagdøre, sårbarheder eller angreb er i bedste fald kortsigtet, i værste fald farligt.  

Først og fremmest forbrød bilproducenterne sig imod regel nummer et om, at en løsning skal være "Secured by design".

Det er en tilgang, som betyder, at man fra begyndelsen af udviklingen af en løsning tager højde for, at produktets elementer kan og vil komme under angreb - også selv om angrebet, i Teslas tilfælde, først kræver, at man bryder ind i bilen, åbner instrumentbrættet og tiltvinger sig adgang til underholdningssystemet Du kan læse hele historien hos Wired her.

Tesla fortjener dog ros for at have adskilt underholdningssystemet fra bilens centrale systemer, hvilket antyder, at der undervejs i udviklingsprocessen har været tænkt over sikkerheden.

Det er imidlertid, da sårbarhederne blev offentliggjort, at bilfirmaerne for alvor viste deres forskellige tilgang til sikkerheden.

For ifølge Teslas nordiske kommunikationschef, Esben Pedersen, havde Tesla inden for 24 timer en opdatering klar - og distribueret den til samtlige Model S-ejere i verden.

Selv hvis ejeren vælger at ignorere opdateringen, gennemtvinger bilen selv alle sikkerhedsopdateringer inden for 14 dage efter modtagelsen. 

Artiklen fortsætter under billedet...

Chrysler måtte til gengæld, ifølge magasinet Wired, sende 1,4 millioner USB-nøgler ud til de berørte ejere af Jeep-modellen efter først at have danset omkring den varme grød i flere uger.

Det er et klokkeklart brud på regel nummer to om at reagere hurtigt.

Selvfølgelig er der forskel på bilerne, hvor Tesla kan udnytte allways-on 3G-forbindelsen deres bil, men det er netop pointen: Det handler om at kunne reagere hurtigt. For angreb vil ske før eller siden.

Så er det bedre at reagere hurtigt som Tesla end at skulle til at putte millioner af USB-nøgler i kuverter.

Og det er helt galt at bryde regel nummer tre, som Volkswagen for nyligt er blevet afsløret i at gøre ved at skjule en sårbarhed  i to år med rettens hjælp - og så håbe at problemet bare forsvinder af sig selv. Læs mere om den sag her.

Så mens Tesla har det svært med regel nummer et om at bygge løsninger sikre fra begyndelsen af, og Chrysler også har det svært med regel nummer to om at reagere hurtigt, så har Volkswagen forbrudt sig mod den tredje regel: Skjult er ikke sikkert.

Du skal se hele dit produkt eller it-setup som én platform

Ingeniørerne eller udviklerne hos Tesla, Chrysler eller Volkswagen er som udgangspunkt hverken dumme eller dårlige. Så hvad er det, som sker siden vi igen og igen ser sårbarheder i selv dyre og udbredte produkter?

Ifølge Mark Cohen, vicepræsident for ecosystems and Cloud services hos Lenovo, så er det en mentalitetsændring, som der skal til:

"Uanset hvad folk sige, så betyder version 1 rigtigt meget. For sikkerheden skal bygges ind fra begyndelsen af, og ikke skrues på senere."

Især hæfter Cohen sig ved at mange producenter, som i dag benytter standardkomponenter i nye sammenhænge - som Tesla, hvis indbyggede webbrowser savnede et par kritiske opdateringer - skal vænne sig til at tænke ud over det enkelte produkt:

"For at have sikkerheden med, så skal du tænke dit produkt eller din service som en platform, der skal arbejdes med i lang tid fremover - og ikke bare noget som skal skydes afsted."

Både Cohen fra Lenovo og Young fra Intel medgiver, at det ikke er en nem eller nødvendigvis billig opgave at tænke sikkerhed ind fra begyndelsen - ikke mindst i takt med at både antallet og kompleksiteten af produkter og løsninger stiger.

Men de når frem til, at der er ikke nogen vej uden om: Svaret er, at sikkerheden skal med helt i designfasen - og når indbruddet er sket: En øget agilitet i udviklingen og en øget gennemsigtighed i relationen til kunderne.

Læs mere om hvordan du får en agil udviklingsafdeling: Mere fart på udviklingsafdelingen: "Det handler om at skabe en motor, som hele tiden kan levere"



Premium
Tech-giganters regnskaber overgik forventningerne, men investorerne frygter for fremtiden
Computerviews: De store tech-giganter har igen haft et kvartal med massiv vækst. Men selskabernes regnskaber blev modtaget køligt på aktiemarkeder, der frygter, at tiden efter coronakrisen vil byde på lavere vækstrater.
Computerworld
Hent opdateringerne nu: Apple lapper gabende sikkerhedshuller til iPhone, iPad og Mac
En sårbarhed gjorde det muligt for hackere at overtage kontrollen med din iPhone, iPad eller Mac. Det er 13. gang i år, at Apple lukker en nuldagssårbarhed.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Når AI sætter sig ved rattet: Sådan passer infrastrukturen på sig selv
Selvkørende IT-infrastruktur styrker skaleringsmuligheder og ressourceudnyttelse. Dette whitepaper giver overblik over proces og muligheder.