Artikel top billede

Sådan kan vi få styr på de ekstreme it-sikkerheds-risici i Internet of Things

Apparater med indbygget internetadgang er en tikkende bombe under sikkerheden. Identitet kan være med til at løse problemet.

Hvem er du, kære maskine?

Det spørgsmål skal de intelligente dimser i vores liv fremover kunne besvare. For at få et sikkert Internet of Things (IoT) har vi brug for Identity of Things.

Internet of Things vokser hurtigt. Stadig flere elementer i vores hverdag kan gå på nettet og dermed betjene os mere intelligent.

Vi kan tænde for varmen i sommerhuset hjemmefra via en app, så huset er varmt, når vi ankommer.

Lægen kan fjernstyre patientens pacemaker, så dens indstillinger kan ændres, uden at det kræver en operation.

Bilen kan hente trafikinformation over nettet og lede os uden om trafikpropper.

Men de smarte dimser medfører nye sikkerhedsrisici.
For eksempel skal der være styr på, hvem der ændrer på opsætningen af pacemakeren.

Hvordan ved pacemakeren, at en kommando kommer fra patientens læge?

I sikkerhedskredse er man begyndt at tale om Identity of Things. Det handler om metoder til at identificere vores dimser.

Eksemplet med den hackede pacemaker er ekstremt.

Men behovet viser sig også i mere dagligdags teknologier.

For nylig er websteder blevet ramt af overbelastningsangreb fra botnettet Mirai.

Computerne i Mirai er ikke pc'er eller servere. I stedet er de typisk digitale videooptagere.

Mirai-programmet har let ved at inficere apparaterne. De har nemlig en standardbrugerkonto med tilhørende standardpassword.

Sikker opdatering

Mirai-botnettet demonstrerer behovet for stærkere identitet for apparater. Ligesom vi styrer menneskelige brugeres adgang til it-systemer med autentifikation, skal vi gøre det for apparaterne.

En af de store udfordringer ved Internet of Things er vedligeholdelse af firmware.

Når sikkerhedsforskere finder et sikkerhedshul, skal det lukkes. Producenten kan som regel forholdsvis hurtigt skrive en ny version af firmwaren.

Problemet kommer, når den nye version skal ud til apparaterne.
Vores dimser kører ikke et tjek for nye opdateringer en gang om måneden.

Derfor skal brugerne selv aktivt opdage, at der er kommet en ny version af firmwaren.

De skal finde ud af, hvordan de opdaterer deres dimser. Og de skal gøre det, hver gang der kommer en ny version.

Det er ikke praktisk muligt. Selv med de gode systemer til opdatering, Windows og MacOS tilbyder i dag, kører mange med forældede softwareversioner på deres pc.

Hvordan skal vi så forvente, at forbrugerne kan holde deres apparater opdateret?

Et led i Identity of Things er derfor også at etablere en sikker metode til at opdatere udstyret.

Måske kan PKI (Public Key Infrastructure) blive en del af løsningen.

Ved hjælp af digitale certifikater kan et apparat sikre sig, at det kun modtager opdateringer og kommandoer fra autoriserede kilder.

Mit personlige apparat

Et andet element i Identity of Things er forbindelsen mellem apparat og menneske.

I nogle tilfælde er der brug for at koble apparatets og dets brugers identitet sammen.

For eksempel kan en pacemaker vide, at den er indopereret i en bestemt person.

Når min bil kører ud af et parkeringshus, skal afregningssystemet være sikker på, at jeg kun bliver opkrævet for min egen parkering - ikke for andre biler, der har været parkeret der.

Mangler vi et CDR?

I USA er myndighederne opmærksomme på problemet med usikre dimser på nettet. Department of Homeland Security har for nylig udgivet en samling strategiske principper for at sikre Internet of Things.

Et grundlæggende princip er, at sikkerheden skal ind i produkterne allerede i designfasen.
I Danmark holder centrale systemer som CPR og CVR styr på identiteten af henholdsvis borgere og virksomheder. Måske er det på tide med et CDR - Centralt Dimse-Register?

Det kunne give apparaterne sikkerhed for, at de kommunikerer med den rigtige tjeneste.

Men hvis det laves forkert, åbner sådan et register for problemer med privatlivsbeskyttelsen.
Ovenstående ideer til løsninger er kun løse tanker fra min side.

Dimsernes identitetsproblem må løses i et samarbejde mellem producenter, brugere og myndigheder.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Læs også:

Når IoT-enheder er det svage led: Sådan går ransomware-hackerne på jagt i dit netværk

Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?

Alle taler om internet of things - men Danmark har slet ingen IoT-sikkerhedsplan

Internet of things er på trapperne: Fem skridt mod bedre sikkerhed

Internet of Things kommer til at ændre alt: Sådan vil du kunne koble både droner og maskiner direkte til dit ERP-system




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere