Sikkerhedsmanden Mikko Hyppönen har været i København for at tale om IoT-fremtiden.

Sikkerhedsekspert advarer: Vi er i gang med at smadre det internet, vi kender i dag

Producenterne af internetopkoblede enheder skal tvinges til at forbedre sikkerheden, for brugerne er ligeglade. Sker det ikke, så risikerer vi, at det internet, vi kender i dag, bliver smadret, lyder det fra den finske sikkerhedsmand Mikko Hyppönen.

Interview: Internettet har gennem de sidste 25 år eksponeret os for masser af nye sikkerhedstrusler, men der er ingen tvivl om, at nettet har bragt os langt flere gode ting end dårlige ting.

Tænk bare på de nye forretningsmuligheder, forbindelser mellem mennesker eller underholdning, der matcher din personlige smag.

Men når man spørger den finske sikkerhedsekspert Mikko Hyppönen fra firmaet F-Secure, som Computerworld mødte, da han var på besøg i hovedstaden for nyligt, så kan den næste internet-bølge ligefrem true det net, som vi kender og elsker.

"IoT sucks," lyder det tørt fra de finske læber med henvisning til, at Internet of Things (IoT) potentielt er lidt af en stinker. 

"Der, hvor sikkerheden omkring Internet of things er lige nu, udgør de opkoblede enheder en direkte trussel mod hele internettet," lyder hans vurdering.

Læs også: Han var med til at afsløre Stuxnet: "Der er tonsvis af spionageprogrammer"

Viljen er der ikke
Hans pointe er, at it-sikkerheden ikke kan følge med i det samme tempo, som enhederne bliver koblet på nettet. Og der er heller ikke den nødvendige vilje til at ændre på det hos hverken brugere eller producenter.

"Når du køber en ny, smart vaskemaskine, er cyber-sikkerhed ikke med i overvejelserne. Det handler om pris, størrelse eller farve. It-sikkerhed kommer slet ikke på banen."

Men kan vi ikke stole på, at leverandørerne bibringer deres produkter den nødvendige sikkerhed?

"De skal sikre den højest mulige indtjening. Da sikkerhed ikke er et salgsargument, der kan give en højere pris, så bruger de det mindst mulige beløb på at sørge for, at deres enheder er sikre, hvilket i praksis ofte betyder, at de er pivusikre," siger han.

De firmaer, der leverer produkterne, kender godt til sikkerhed. Brugerne får således ikke stød af den net-opkoblede vaskemaskine, der heller ikke pludselig bryder i brand. Den del af sikkerheden er nemlig helt på plads.

"Disse firmaer har en lang tradition for at udvikle sikre produkter, men de har ingen tradition for it-sikkerhed. Mange aner intet om it-sikkerhed, men smider lystigt produkterne på nettet," siger Mikko Hyppönen.

Da internettet brød igennem for 25 år siden, anede vi heller ikke, hvor den udvikling ville ende, men trods sikkerhedstrusler så er der jo langt flere gode ting end dårlige ting. Kan det ikke blive den samme udvikling for IoT?

"Jo, det kan det godt. Det håber jeg. Men det kommer ikke til at ske af sig selv. De virksomheder, der leverer internetopkoblede enheder - hvilket om kort tid vil være næsten alle - skal tvinges til at forbedre sikkerheden."

Skal de have bøder, eller hvad er løsningen?

"Jeg hader regler, men vi er nødt til at have regler for håndtering af sikkerhed i IoT-enheder. Det er den eneste vej, jeg kan se lige nu. Producenterne skal hæfte for deres produkter og de problemer, der eventuelt opstår i forbindelse med dem."

Kan du give et eksempel?

"Hvis din brødrister er skyld i, at dit hus brænder ned, så hæfter producenten for skaderne og skal betale erstatning. Men hvis den samme brødrister bruges i et DDoS-angreb og lægger internettet ned, så hæfter firmaet ikke. Hvis produktet ikke er sikkert nok, så bør producenten have et ansvar og betale for skaderne."

Den løsning vil i praksis betyde, at softwarefirmaer skal hæfte for skader i forbindelse med deres produkter. Du er jo selv ansat i et softwarefirma, så skyder du ikke dig selv i foden?

"Jo, jeg vil hade den løsning ud fra et arbejdsmæssigt perspektiv, men den er nødvendig."

Intet "wake up call" endnu
Ifølge Bitdefender er det kun to procent af alle IoT-enheder, der har et dårligt - eller slet intet password. Det lyder som et ganske lille antal.

Læs den historie her.

"Det er svært at sætte et antal på, og antallet vil eksplodere. Lad os tage et konkret eksempel. Det angreb, der for kort tid siden ramte Dyn og lagde en række store internettjenester ned, ser jeg langt fra som et "wake up call". Det var stort, men det bliver hurtigt glemt, og det kommer ikke til at ændre på noget."

Læs om det angreb her: Printere og videokameraer nyt mål for hackerne: IoT-udstyr lægger Amazon, Spotify og Twitter ned i stort angreb

Hvorfor? Det lagde trods alt Amazon, Spotify, PayPal og en stribe andre store spillere ned.

"De IoT-enheder, der blev brugt til det DDoS-angreb, er stadig usikre fremover. Brugerne kunne ikke være mere ligeglade. Selv om de godt ved, at deres enheder er usikre, henter de ikke en software-rettelse til deres tv eller webkamera. Det fortsætter uændret."

Hvad skal der så til, før vi får et "wake up call"?

"Når det rammer dig. Når du får en besked om, at din bil ikke kan køre, før du har betalt et antal Bitcoin, fordi bilen er lukket ned af ransomware. Når de eksempler begynder at dukke op, så tror jeg, der bliver opmærksomhed på IoT-sikkerheden," lyder vurderingen.

Så har brugerne vel også et sikkerhedsansvar på linje med producenterne. Skal man give dem en bøde eller på anden måde straffe den almindelige bruger for dårlig sikkerhed på de enheder som vedkommende kobler på nettet?

Læs også: Læs også: Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?

"Nej. Vi kan ikke fikse brugerne. Ligegyldig hvor mange gange it-sikkerhedsfolk siger, at der skal opdateres, så er der er en stor gruppe, der ikke gør det. Det er producenterne, der skal tvinge brugerne til at skifte password og sikre den fornødne sikkerhed."

Skyldes de mange net-opkoblede enheder i bund og grund, at producenterne vil indsamle oplysninger gennem dem om brugerne og faktisk ikke har interesse i sikkerhed?

"IoT-revolutionen kommer, om vi vil det eller ej. Alle enheder bliver koblet på nettet i fremtiden. Derfor skal sikkerheden være på plads, ligegyldigt hvad formålet med en enhed er. Så kan man diskutere, om det er rimeligt, at et fjernsyn kan bruges til at indsamle data om brugeren. Men dette handler om sikkerheden."

Hvad med EU? Skal der komme regler herfra?

"Ja gerne. Men erfaringen siger, at det er en langsommelig proces. Hvis vi venter på EU-regler, så kommer der til at være et stort gab, hvor it-sikkerheden sejler."

Læs også:
Han var med til at afsløre Stuxnet: "Der er tonsvis af spionageprogrammer"

Læs også: Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?

Printere og videokameraer nyt mål for hackerne: IoT-udstyr lægger Amazon, Spotify og Twitter ned i stort angreb



Premium
Pandora-CIO har gennemført massiv cloud-migrering i foråret: "Vi har simpelthen foretaget en åben hjerteoperation under coronakrisen"
Interview: Ved årets udgang er 70 procent af Pandoras it-landskab flyttet i skyen. Dermed når CIO Peter Cabello Holmberg i mål med planerne fra sommeren 2020 trods coronakrisen. "Vi har gennemført en række massive migreringer her under coronakrisen," siger han.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Sådan: Giv medarbejderne frit valg og øg arbejdsglæden
Mange virksomheder udleverer stadig samme smartphone, laptop eller tablet til alle medarbejderne. Det kan koste dyrt på produktivitet, effektivitet, arbejdsglæde – og reelt også medføre ressourcespild, massivt øget administration og øgede sikkerhedsrisici. Men det behøver slet ikke at koste ekstra, hvis du giver medarbejderne indflydelse på, hvilke enheder de skal arbejde på. Tværtimod kan du med en gennemtænkt choose-your-own-device-aftale stille præcis det udvalg af enheder og tilbehør til rådighed, som både lever op til medarbejdernes forventninger og virksomhedens sikkerhedskrav.