Sikkerhedsmanden Mikko Hyppönen har været i København for at tale om IoT-fremtiden.

Sikkerhedsekspert advarer: Vi er i gang med at smadre det internet, vi kender i dag

Producenterne af internetopkoblede enheder skal tvinges til at forbedre sikkerheden, for brugerne er ligeglade. Sker det ikke, så risikerer vi, at det internet, vi kender i dag, bliver smadret, lyder det fra den finske sikkerhedsmand Mikko Hyppönen.

Interview: Internettet har gennem de sidste 25 år eksponeret os for masser af nye sikkerhedstrusler, men der er ingen tvivl om, at nettet har bragt os langt flere gode ting end dårlige ting.

Tænk bare på de nye forretningsmuligheder, forbindelser mellem mennesker eller underholdning, der matcher din personlige smag.

Men når man spørger den finske sikkerhedsekspert Mikko Hyppönen fra firmaet F-Secure, som Computerworld mødte, da han var på besøg i hovedstaden for nyligt, så kan den næste internet-bølge ligefrem true det net, som vi kender og elsker.

"IoT sucks," lyder det tørt fra de finske læber med henvisning til, at Internet of Things (IoT) potentielt er lidt af en stinker. 

"Der, hvor sikkerheden omkring Internet of things er lige nu, udgør de opkoblede enheder en direkte trussel mod hele internettet," lyder hans vurdering.

Læs også: Han var med til at afsløre Stuxnet: "Der er tonsvis af spionageprogrammer"

Viljen er der ikke
Hans pointe er, at it-sikkerheden ikke kan følge med i det samme tempo, som enhederne bliver koblet på nettet. Og der er heller ikke den nødvendige vilje til at ændre på det hos hverken brugere eller producenter.

"Når du køber en ny, smart vaskemaskine, er cyber-sikkerhed ikke med i overvejelserne. Det handler om pris, størrelse eller farve. It-sikkerhed kommer slet ikke på banen."

Men kan vi ikke stole på, at leverandørerne bibringer deres produkter den nødvendige sikkerhed?

"De skal sikre den højest mulige indtjening. Da sikkerhed ikke er et salgsargument, der kan give en højere pris, så bruger de det mindst mulige beløb på at sørge for, at deres enheder er sikre, hvilket i praksis ofte betyder, at de er pivusikre," siger han.

De firmaer, der leverer produkterne, kender godt til sikkerhed. Brugerne får således ikke stød af den net-opkoblede vaskemaskine, der heller ikke pludselig bryder i brand. Den del af sikkerheden er nemlig helt på plads.

"Disse firmaer har en lang tradition for at udvikle sikre produkter, men de har ingen tradition for it-sikkerhed. Mange aner intet om it-sikkerhed, men smider lystigt produkterne på nettet," siger Mikko Hyppönen.

Da internettet brød igennem for 25 år siden, anede vi heller ikke, hvor den udvikling ville ende, men trods sikkerhedstrusler så er der jo langt flere gode ting end dårlige ting. Kan det ikke blive den samme udvikling for IoT?

"Jo, det kan det godt. Det håber jeg. Men det kommer ikke til at ske af sig selv. De virksomheder, der leverer internetopkoblede enheder - hvilket om kort tid vil være næsten alle - skal tvinges til at forbedre sikkerheden."

Skal de have bøder, eller hvad er løsningen?

"Jeg hader regler, men vi er nødt til at have regler for håndtering af sikkerhed i IoT-enheder. Det er den eneste vej, jeg kan se lige nu. Producenterne skal hæfte for deres produkter og de problemer, der eventuelt opstår i forbindelse med dem."

Kan du give et eksempel?

"Hvis din brødrister er skyld i, at dit hus brænder ned, så hæfter producenten for skaderne og skal betale erstatning. Men hvis den samme brødrister bruges i et DDoS-angreb og lægger internettet ned, så hæfter firmaet ikke. Hvis produktet ikke er sikkert nok, så bør producenten have et ansvar og betale for skaderne."

Den løsning vil i praksis betyde, at softwarefirmaer skal hæfte for skader i forbindelse med deres produkter. Du er jo selv ansat i et softwarefirma, så skyder du ikke dig selv i foden?

"Jo, jeg vil hade den løsning ud fra et arbejdsmæssigt perspektiv, men den er nødvendig."

Intet "wake up call" endnu
Ifølge Bitdefender er det kun to procent af alle IoT-enheder, der har et dårligt - eller slet intet password. Det lyder som et ganske lille antal.

Læs den historie her.

"Det er svært at sætte et antal på, og antallet vil eksplodere. Lad os tage et konkret eksempel. Det angreb, der for kort tid siden ramte Dyn og lagde en række store internettjenester ned, ser jeg langt fra som et "wake up call". Det var stort, men det bliver hurtigt glemt, og det kommer ikke til at ændre på noget."

Læs om det angreb her: Printere og videokameraer nyt mål for hackerne: IoT-udstyr lægger Amazon, Spotify og Twitter ned i stort angreb

Hvorfor? Det lagde trods alt Amazon, Spotify, PayPal og en stribe andre store spillere ned.

"De IoT-enheder, der blev brugt til det DDoS-angreb, er stadig usikre fremover. Brugerne kunne ikke være mere ligeglade. Selv om de godt ved, at deres enheder er usikre, henter de ikke en software-rettelse til deres tv eller webkamera. Det fortsætter uændret."

Hvad skal der så til, før vi får et "wake up call"?

"Når det rammer dig. Når du får en besked om, at din bil ikke kan køre, før du har betalt et antal Bitcoin, fordi bilen er lukket ned af ransomware. Når de eksempler begynder at dukke op, så tror jeg, der bliver opmærksomhed på IoT-sikkerheden," lyder vurderingen.

Så har brugerne vel også et sikkerhedsansvar på linje med producenterne. Skal man give dem en bøde eller på anden måde straffe den almindelige bruger for dårlig sikkerhed på de enheder som vedkommende kobler på nettet?

Læs også: Læs også: Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?

"Nej. Vi kan ikke fikse brugerne. Ligegyldig hvor mange gange it-sikkerhedsfolk siger, at der skal opdateres, så er der er en stor gruppe, der ikke gør det. Det er producenterne, der skal tvinge brugerne til at skifte password og sikre den fornødne sikkerhed."

Skyldes de mange net-opkoblede enheder i bund og grund, at producenterne vil indsamle oplysninger gennem dem om brugerne og faktisk ikke har interesse i sikkerhed?

"IoT-revolutionen kommer, om vi vil det eller ej. Alle enheder bliver koblet på nettet i fremtiden. Derfor skal sikkerheden være på plads, ligegyldigt hvad formålet med en enhed er. Så kan man diskutere, om det er rimeligt, at et fjernsyn kan bruges til at indsamle data om brugeren. Men dette handler om sikkerheden."

Hvad med EU? Skal der komme regler herfra?

"Ja gerne. Men erfaringen siger, at det er en langsommelig proces. Hvis vi venter på EU-regler, så kommer der til at være et stort gab, hvor it-sikkerheden sejler."

Læs også:
Han var med til at afsløre Stuxnet: "Der er tonsvis af spionageprogrammer"

Læs også: Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?

Printere og videokameraer nyt mål for hackerne: IoT-udstyr lægger Amazon, Spotify og Twitter ned i stort angreb



Computerworld
Alka lancerer eget mobilselskab - trykker priserne helt i bund: "For os handler det ikke om at tjene penge"
Forsikringsselskabet Alka lancerer eget mobilselskab, der ifølge selskabet bliver Danmarks billigste.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Sådan øger du medarbejdertilfredshed og produktivitet
En af de mest effektive måder at øge medarbejdernes produktivitet og tilfredshed med arbejdspladsen er ved at give frit valg mellem Windows eller Mac, når der skal vælges arbejdscomputer. Samtidig mindskes presset på supporten, mens sikkerhedsniveauet højnes. Med en client-as-a-service aftale kan du lade medarbejderne selv træffe valget, men uden at uden at det behøver at være udfordrende eller ressourcekrævende for virksomheden. Eksempelvis kan du lade partneren håndtere alt fra finansiering, leverance, klargøring og implementering til support og lifecycle-management. Læs mere i denne hvidbog.