Søg

Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?

ComputerViews: Sikkerheden i de enheder, der konstant forbindes til nettet, er noget nær katastrofal. Og det bliver bare værre og værre i takt med, at antallet af IoT-enheder eksploderer. Kan en bøde for et dårligt password eller en manglende opdatering være løsningen?

26. oktober 2016 kl. 10.03
Artikel top billede
Nicolai Devantier Nicolai Devantier Journalist

ComputerViews: Internet of Things - eller bare IoT - er et af tidens mest hippe it-ord.

Det dækker over (simple) enheder, der kobles på nettet for at opnå en eller anden smart funktion eller effekt.

Men når en enhed kan kommunikere via nettet, så kan den ofte også hackes eller misbruges af lyssky personer.

Et helt dugfriskt og konkret eksempel er det DDoS-angreb, der forleden lagde enorme tjenester som Twitter, PayPal og Spotyfi ned.

Overbelastningsangrebet blev foretaget via IoT-enheder.

Læs den historie her: Printere og videokameraer nyt mål for hackerne: IoT-udstyr lægger Amazon, Spotify og Twitter ned i stort angreb

I forbindelse med angrebet sagde it-sikkerhedsekspert Peter Kruse fra virksomheden CSIS, at "kampen om IoT-enhederne er i fuld gang mellem de forskellige botnet."

De it-kriminelle (og måske også efterretningstjenester) har altså lugtet lunten, og de gør sig nu klar til at erobre enhederne for at udnytte dem til eksempelvis DDoS-angreb eller til masseovervågning.

Sikkerhedsmandens vurdering er, at vi kun lige har skimtet toppen af isbjerget, når det handler om, at banditter vil udnytte de mange net-dingenoter, der løbende kobles på.

Et andet eksempel på den dårlige sikkerhed i IoT-løsningerne er fundet af det danske sikkerhedsfirma FortConsult.

Firmaet har fundet en grel fejl i en forbindelsesprotokol ved navn MQTT, der binder milliarder af enheder sammen i Internet of Things-netværket.

MQTT-protokollen stammer fra 1998, og er en protokol til letvægter-kommunikationen. Dermed er den ret god til at lade sensorer og andre små enheder kommunikere ubesværet over internetværket. Det knap så gode er dog opsætningen af MQTT, som kan skabe enorme sårbarheder.

FortConsult forklarer, at det grundlæggende handler om en fejlopsætning i MQTT, der betyder, at kommunikationen kan opfanges, ændres og sendes videre til andre - eventuelt i en manipuleret form.

Det betyder altså, at milliarder af enheders kommunikation potentielt er sårbar, hvis kommunikationen bliver tilgået af onde sjæle.

Læs mere om her: Dansk sikkerhedsfirma slår alarm: "Jeg har fundet et atomkraftværk, hvor man kunne hæve strålingsniveauet og et fængsel, hvor fængselsdørene kan åbnes fra en server"

Ulven ser altså ud til at være på vej, som flere sikkerhedsfolk har råbt op om i den senere tid.

Eksplosion i antallet af net-dimser

Der er masser af smarte funktioner og forretningsmæssige fordele forbundet med IoT-fremtiden, og analysehusene spår da også net-opkoblingerne en meget lys fremtid.

IDC forventer eksempelvis, at det verdensomspændende marked for IoT-løsninger vil vokse fra 13 milliarder kroner i 2013 til 47 milliarder kroner i 2020.

Gartner estimerer, at IoT-produkt og -serviceleverandører vil være i stand til at generere ekstraindtægter, som vil overstige 2.000 milliarder danske kroner i 2020.

Selv om vi står stadig på kanten til IoT-løsningerne, er der allerede tegnet et billede af den næste generation, hvor antallet af net-dimser vil eksplodere endnu kraftigere.

World Economic Forum kalder det for Internet of Nanothings, der er en videreudvikling af Internet of Things med mindre og smartere sensorer.

Forskerne er begyndt at krympe sensorerne, så de eksempelvis kan implementeres i den menneskelige krop, hvilket World Economic Forum vurderer til at være det første skridt i retning af Internet of Nanothings.

Læs mere om det her: Vil præge din hverdag i de kommende år: Her er årets 10 hotteste teknologier med størst betydning

De store ekstraindtægter som analysehusene spår om, tænder et vækstlys i øjnene på enhver forretningsmand. Det er helt naturligt.

Sikkerhedsudfordringen fra erhvervslivet bliver nok heller ikke den største hurdle, da vi må have en forventning om, at erhvervslivet tager sikkerheden i deres IoT-løsninger meget alvorligt.

Den store udfordring for sikkerheden ligger hos dig og mig, altså den almindelige forbruger af elektronik.

Når badevægten, fitness-uret eller vinkøleskabet kobles på nettet, og vi lige glemmer at ændre det standard-password, som kan knækkes på ganske få sekunder af de it-kriminelle, der gerne vil have adgang til enhederne.

Peter Kruse formulerer det således:

"Det er et faktum at mange brugere, som køber disse smarte gadgets, ikke sikrer deres udstyr og skifter standard-password, og derfor misbruges af selv-replikerende kode, som overtager kontrollen med disse enheder."

Sikkerhedsfirmaet Bitdefender vurderer, at to procent af de smarte enheder har et elendig eller slet intet password.

To procent lyder måske ikke af meget, men det løber alligevel op.

Gartner siger, at der i øjeblikket er 6,4 milliarder IoT-enheder. To procent af det antal bliver 128 millioner usikre IoT-dimser, der står pivåbne.

Tre ting, der skal forbedres

Vi ved, at antallet af enheder vil eksplodere, og at sikkerheden ikke er god nok.

Det bliver med andre ord værre og værre.

Der er tre steder, hvor der skal drejes alvorligt på sikkerhedsskruen, hvis vi vil vende den udvikling.

For det første skal producenterne af net-opkoblede enheder stramme sig godt og grundigt an.

Vinkøleskabet eller ungernes bamser, der kobles på nettet, skal forsynes med sikkerhed. Der skal være en udførlig manual, der fortæller, hvordan man kan sikrer produktet på en enkel og fornuftig vis.

Den næste udfordring ligger også hos producenterne og handler om software og opdateringer.

Det kan ikke nytte, at den software, der tilknyttes til et produkt, bare 'glemmes' af udviklerne, når produktet er blevet solgt. Der skal opdateringer til. Hvis der ikke opdateres, vil det klassiske sikkerhedsproblem med dårlig og usikker software eskalere i takt med antallet af enheder, der er på nettet.

Den tredje udfordring ligger hos forbrugeren.

Det er ikke godt nok, at vi ikke gider/kan sætte tingene op på en sikker måde. Producenterne skal hjælpe til med at gøre opsætningen så enkel som mulig, men forbrugeren har ansvaret for at få ændret 'Admin' til et fornuftigt password.

Ligegyldig om det gælder hjemmets router eller en net-opkoblet fitness-dims.

Ligeledes har forbrugeren ansvaret for, at få enhederne opdateret med den nyeste software, der kan lukke de sårbarheder, der altid vil opstå over tid.

Skal der password-bøder til?

Det store spørgsmål er så: Hvordan gør vi det?

Hvis vi tage de store briller på, har EU besluttet sig for at stramme sikkerhedsregler i forbindelse med General Data Protection Regulation-reformen (GDPR) for firmaer, der ikke selv kan finde ud af at overholde sikkerheden.

Der er tale om kæmpe bøder. Det kan koste helt op til 148 millioner kroner (20 millioner euro) eller fire procent af den årlige omsætning i bøde.

Er det også den model, som vi skal vælge til private?

En password-bøde til dem, der ikke kan finde ud af at skifte standard-opsætningen til et fornuftigt password?

Eller en bøde for manglende opdateringer?

Det kunne eksempelvis være en afgift på linje med den p-afgift, der opkræves, hvis du parkerer ulovligt.

Straf er naturligvis ikke en motivationsfaktor, men truslen om en bøde genopliver ofte hukommelsen, så man får tingene gjort. EU-forordningen bygger på samme antagelse, så hvis det virker i erhvervslivet, så virker det vel også blandt almindelige brugere.

Men hvad siger du?

Hvordan skal vi forbedre sikkerheden når IoT for alvor slår igennem? Eller ser du slet ikke et sikkerhedsproblem i forbindelse med IoT?

Læs også: Producenter af næste teknologi-bølge blæser på sikkerhed - kan blive en alvorlig trussel mod dig

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger IT-supporterelever til lokal IT Servicecenter på flyvestation Skrydstrup

    Sydjylland

    Akademikernes A-kasse

    Backend-udvikler / Senior developer til drift og videreudvikling af Akademikernes A-kasses systemer

    Københavnsområdet

    BEC

    Java software engineer (regular)

    Region Sjælland

    Supporters A/S

    It-driftskonsulent i Jylland

    Midtjylland

    Se flere it-stillinger
    Computerworld Summit 2026 - København

    Event: Computerworld Summit 2026 - København

    Digital transformation | København

    Styrk din digitale strategi med konkret brug af AI og ny teknologi. Mød 250 it-professionelle, få indsigter, løsninger og netværk på én dag. Computerworld Summit i København viser hvordan teknologi skaber forretningsværdi – her og nu.

    28. april 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Christian Pedersen, emagine Consulting A/S, er pr. 1. februar 2026 udnævnt som Chief AI Officer. Han beskæftiger sig med opkvalificere emagines ansatte, udvikle interne AI-værktøjer og levere AI-projekter for kunderne. Som leder af et nye AI-team skal han også udvikle og lancere AI-produkter til markedet. Udnævnelse

    Christian Pedersen

    emagine Consulting A/S

    IT Confidence A/S har pr. 1. oktober 2025 ansat Johan Léfelius som it-konsulent. Han skal især beskæftige sig med med support, drift og vedligeholdelse af kunders it-miljøer samt udvikling af sikre og stabile løsninger. Han kommer fra en stilling som kundeservicemedarbejder hos Telia Company Danmark A/S. Han er uddannet (under uddannelse) som datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kundeservice, salg og teknisk support. Nyt job

    Johan Léfelius

    IT Confidence A/S

    Forte Advice har pr. 5. januar 2026 ansat Claes Frederiksen som Commercial Director. Claes skal især beskæftige sig med at løfte den kommercielle modenhed i teknologiprojekter og sikre, at teknologi bliver brugt som strategisk løftestang. Claes kommer fra en stilling som Senior Client Partnership Director, Nordics hos Valtech. Claes har tidligere beskæftiget sig med teknologivalg og platformstrategi til teknologidrevet forretningsudvikling og marketing initiativer. Nyt job

    Claes Frederiksen

    Forte Advice

    Netip A/S har pr. 1. november 2025 ansat Laura Bøjer som Consultant, GRC & Cybersecurity på afd. Thisted. Hun kommer fra en stilling som Assistant Consultant hos PwC i Hellerup. Hun er uddannet med en kandidat i Business Administration & Information System på Copenhagen Business School. Nyt job

    Laura Bøjer

    Netip A/S

    Se mere fra navnenyt

    Mest læste

    1 Nørgaard: Derfor nærmer enden sig for Trump
    2 Store offentlige it-leverandører betaler ikke skat i Danmark – dog er der én positiv undtagelse
    3 Peter Kruse dumper den nye cyberstrategi med et brag: Budgettet bør firedobles - også overser den ét centralt problem
    4 Europæisk mail-tjeneste klar med knald-tilbud til alle grønlændere: Få en krypteret kontorpakke for blot én euro
    5 Microsofts ejere har tabt 430 milliarder dollar på få timer: Her er årsagen til det største kursfald i seks år
    6 Elon Musk vil fusionere SpaceX og xAI / MobilePay-svindlere på spil / Capgemini i modvind for kontrakt med ICE.
    7 Apple køber AI-musikselskab: Den andenstørste handel i selskabets historie
    8 Disse 10 it-selskaber betaler mest i selskabsskat i Danmark: Se om din arbejdsgiver er med på listen

    Se seneste uge