Artikel top billede

Sådan kan vi få styr på de ekstreme it-sikkerheds-risici i Internet of Things

Apparater med indbygget internetadgang er en tikkende bombe under sikkerheden. Identitet kan være med til at løse problemet.

Hvem er du, kære maskine?

Det spørgsmål skal de intelligente dimser i vores liv fremover kunne besvare. For at få et sikkert Internet of Things (IoT) har vi brug for Identity of Things.

Internet of Things vokser hurtigt. Stadig flere elementer i vores hverdag kan gå på nettet og dermed betjene os mere intelligent.

Vi kan tænde for varmen i sommerhuset hjemmefra via en app, så huset er varmt, når vi ankommer.

Lægen kan fjernstyre patientens pacemaker, så dens indstillinger kan ændres, uden at det kræver en operation.

Bilen kan hente trafikinformation over nettet og lede os uden om trafikpropper.

Men de smarte dimser medfører nye sikkerhedsrisici.
For eksempel skal der være styr på, hvem der ændrer på opsætningen af pacemakeren.

Hvordan ved pacemakeren, at en kommando kommer fra patientens læge?

I sikkerhedskredse er man begyndt at tale om Identity of Things. Det handler om metoder til at identificere vores dimser.

Eksemplet med den hackede pacemaker er ekstremt.

Men behovet viser sig også i mere dagligdags teknologier.

For nylig er websteder blevet ramt af overbelastningsangreb fra botnettet Mirai.

Computerne i Mirai er ikke pc'er eller servere. I stedet er de typisk digitale videooptagere.

Mirai-programmet har let ved at inficere apparaterne. De har nemlig en standardbrugerkonto med tilhørende standardpassword.

Sikker opdatering

Mirai-botnettet demonstrerer behovet for stærkere identitet for apparater. Ligesom vi styrer menneskelige brugeres adgang til it-systemer med autentifikation, skal vi gøre det for apparaterne.

En af de store udfordringer ved Internet of Things er vedligeholdelse af firmware.

Når sikkerhedsforskere finder et sikkerhedshul, skal det lukkes. Producenten kan som regel forholdsvis hurtigt skrive en ny version af firmwaren.

Problemet kommer, når den nye version skal ud til apparaterne.
Vores dimser kører ikke et tjek for nye opdateringer en gang om måneden.

Derfor skal brugerne selv aktivt opdage, at der er kommet en ny version af firmwaren.

De skal finde ud af, hvordan de opdaterer deres dimser. Og de skal gøre det, hver gang der kommer en ny version.

Det er ikke praktisk muligt. Selv med de gode systemer til opdatering, Windows og MacOS tilbyder i dag, kører mange med forældede softwareversioner på deres pc.

Hvordan skal vi så forvente, at forbrugerne kan holde deres apparater opdateret?

Et led i Identity of Things er derfor også at etablere en sikker metode til at opdatere udstyret.

Måske kan PKI (Public Key Infrastructure) blive en del af løsningen.

Ved hjælp af digitale certifikater kan et apparat sikre sig, at det kun modtager opdateringer og kommandoer fra autoriserede kilder.

Mit personlige apparat

Et andet element i Identity of Things er forbindelsen mellem apparat og menneske.

I nogle tilfælde er der brug for at koble apparatets og dets brugers identitet sammen.

For eksempel kan en pacemaker vide, at den er indopereret i en bestemt person.

Når min bil kører ud af et parkeringshus, skal afregningssystemet være sikker på, at jeg kun bliver opkrævet for min egen parkering - ikke for andre biler, der har været parkeret der.

Mangler vi et CDR?

I USA er myndighederne opmærksomme på problemet med usikre dimser på nettet. Department of Homeland Security har for nylig udgivet en samling strategiske principper for at sikre Internet of Things.

Et grundlæggende princip er, at sikkerheden skal ind i produkterne allerede i designfasen.
I Danmark holder centrale systemer som CPR og CVR styr på identiteten af henholdsvis borgere og virksomheder. Måske er det på tide med et CDR - Centralt Dimse-Register?

Det kunne give apparaterne sikkerhed for, at de kommunikerer med den rigtige tjeneste.

Men hvis det laves forkert, åbner sådan et register for problemer med privatlivsbeskyttelsen.
Ovenstående ideer til løsninger er kun løse tanker fra min side.

Dimsernes identitetsproblem må løses i et samarbejde mellem producenter, brugere og myndigheder.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Læs også:

Når IoT-enheder er det svage led: Sådan går ransomware-hackerne på jagt i dit netværk

Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?

Alle taler om internet of things - men Danmark har slet ingen IoT-sikkerhedsplan

Internet of things er på trapperne: Fem skridt mod bedre sikkerhed

Internet of Things kommer til at ændre alt: Sådan vil du kunne koble både droner og maskiner direkte til dit ERP-system




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere