Interview: Internettet har gennem de sidste 25 år eksponeret os for masser af nye sikkerhedstrusler, men der er ingen tvivl om, at nettet har bragt os langt flere gode ting end dårlige ting.
Tænk bare på de nye forretningsmuligheder, forbindelser mellem mennesker eller underholdning, der matcher din personlige smag.
Men når man spørger den finske sikkerhedsekspert Mikko Hyppönen fra firmaet F-Secure, som Computerworld mødte, da han var på besøg i hovedstaden for nyligt, så kan den næste internet-bølge ligefrem true det net, som vi kender og elsker.
"IoT sucks," lyder det tørt fra de finske læber med henvisning til, at Internet of Things (IoT) potentielt er lidt af en stinker.
"Der, hvor sikkerheden omkring Internet of things er lige nu, udgør de opkoblede enheder en direkte trussel mod hele internettet," lyder hans vurdering.
Læs også: Han var med til at afsløre Stuxnet: "Der er tonsvis af spionageprogrammer"
Viljen er der ikke
Hans pointe er, at it-sikkerheden ikke kan følge med i det samme tempo, som enhederne bliver koblet på nettet. Og der er heller ikke den nødvendige vilje til at ændre på det hos hverken brugere eller producenter.
"Når du køber en ny, smart vaskemaskine, er cyber-sikkerhed ikke med i overvejelserne. Det handler om pris, størrelse eller farve. It-sikkerhed kommer slet ikke på banen."
Men kan vi ikke stole på, at leverandørerne bibringer deres produkter den nødvendige sikkerhed?
"De skal sikre den højest mulige indtjening. Da sikkerhed ikke er et salgsargument, der kan give en højere pris, så bruger de det mindst mulige beløb på at sørge for, at deres enheder er sikre, hvilket i praksis ofte betyder, at de er pivusikre," siger han.
De firmaer, der leverer produkterne, kender godt til sikkerhed. Brugerne får således ikke stød af den net-opkoblede vaskemaskine, der heller ikke pludselig bryder i brand. Den del af sikkerheden er nemlig helt på plads.
"Disse firmaer har en lang tradition for at udvikle sikre produkter, men de har ingen tradition for it-sikkerhed. Mange aner intet om it-sikkerhed, men smider lystigt produkterne på nettet," siger Mikko Hyppönen.
Da internettet brød igennem for 25 år siden, anede vi heller ikke, hvor den udvikling ville ende, men trods sikkerhedstrusler så er der jo langt flere gode ting end dårlige ting. Kan det ikke blive den samme udvikling for IoT?
"Jo, det kan det godt. Det håber jeg. Men det kommer ikke til at ske af sig selv. De virksomheder, der leverer internetopkoblede enheder - hvilket om kort tid vil være næsten alle - skal tvinges til at forbedre sikkerheden."
Skal de have bøder, eller hvad er løsningen?
"Jeg hader regler, men vi er nødt til at have regler for håndtering af sikkerhed i IoT-enheder. Det er den eneste vej, jeg kan se lige nu. Producenterne skal hæfte for deres produkter og de problemer, der eventuelt opstår i forbindelse med dem."
Kan du give et eksempel?
"Hvis din brødrister er skyld i, at dit hus brænder ned, så hæfter producenten for skaderne og skal betale erstatning. Men hvis den samme brødrister bruges i et DDoS-angreb og lægger internettet ned, så hæfter firmaet ikke. Hvis produktet ikke er sikkert nok, så bør producenten have et ansvar og betale for skaderne."
Den løsning vil i praksis betyde, at softwarefirmaer skal hæfte for skader i forbindelse med deres produkter. Du er jo selv ansat i et softwarefirma, så skyder du ikke dig selv i foden?
"Jo, jeg vil hade den løsning ud fra et arbejdsmæssigt perspektiv, men den er nødvendig."
Intet "wake up call" endnu
Ifølge Bitdefender er det kun to procent af alle IoT-enheder, der har et dårligt - eller slet intet password. Det lyder som et ganske lille antal.
"Det er svært at sætte et antal på, og antallet vil eksplodere. Lad os tage et konkret eksempel. Det angreb, der for kort tid siden ramte Dyn og lagde en række store internettjenester ned, ser jeg langt fra som et "wake up call". Det var stort, men det bliver hurtigt glemt, og det kommer ikke til at ændre på noget."
Læs om det angreb her: Printere og videokameraer nyt mål for hackerne: IoT-udstyr lægger Amazon, Spotify og Twitter ned i stort angreb
Hvorfor? Det lagde trods alt Amazon, Spotify, PayPal og en stribe andre store spillere ned.
"De IoT-enheder, der blev brugt til det DDoS-angreb, er stadig usikre fremover. Brugerne kunne ikke være mere ligeglade. Selv om de godt ved, at deres enheder er usikre, henter de ikke en software-rettelse til deres tv eller webkamera. Det fortsætter uændret."
Hvad skal der så til, før vi får et "wake up call"?
"Når det rammer dig. Når du får en besked om, at din bil ikke kan køre, før du har betalt et antal Bitcoin, fordi bilen er lukket ned af ransomware. Når de eksempler begynder at dukke op, så tror jeg, der bliver opmærksomhed på IoT-sikkerheden," lyder vurderingen.
Så har brugerne vel også et sikkerhedsansvar på linje med producenterne. Skal man give dem en bøde eller på anden måde straffe den almindelige bruger for dårlig sikkerhed på de enheder som vedkommende kobler på nettet?
Læs også: Læs også: Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?
"Nej. Vi kan ikke fikse brugerne. Ligegyldig hvor mange gange it-sikkerhedsfolk siger, at der skal opdateres, så er der er en stor gruppe, der ikke gør det. Det er producenterne, der skal tvinge brugerne til at skifte password og sikre den fornødne sikkerhed."
Skyldes de mange net-opkoblede enheder i bund og grund, at producenterne vil indsamle oplysninger gennem dem om brugerne og faktisk ikke har interesse i sikkerhed?
"IoT-revolutionen kommer, om vi vil det eller ej. Alle enheder bliver koblet på nettet i fremtiden. Derfor skal sikkerheden være på plads, ligegyldigt hvad formålet med en enhed er. Så kan man diskutere, om det er rimeligt, at et fjernsyn kan bruges til at indsamle data om brugeren. Men dette handler om sikkerheden."
Hvad med EU? Skal der komme regler herfra?
"Ja gerne. Men erfaringen siger, at det er en langsommelig proces. Hvis vi venter på EU-regler, så kommer der til at være et stort gab, hvor it-sikkerheden sejler."
Læs også:
Han var med til at afsløre Stuxnet: "Der er tonsvis af spionageprogrammer"
Læs også: Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?
