Søg

Sikkerhed i Internet of Things

Sikkerhed i Internet of Things. IoT er ved at blive stort, men hvad med sikkerheden på tingenes internet?.

21. december 2015 kl. 09.21
Artikel top billede

(Foto: Computerworld)

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

IoT er ved at blive stort, men hvad med sikkerheden på tingenes internet?

I de seneste to år har vi hørt en masse om Internet of Things (IoT), og vi har fået armbåndsure, der kan gå på internettet og lave telefonkald. Hvad vi ikke har hørt så meget om, er den sikkerhed, der bør være forbundet IoT. I denne artikel vil jeg give mit bud på, hvad der er nødvendigt på sikkerhedsområdet inden for IoT.

For sikkerhed er der brug for. Vi har allerede set, hvordan apps til mobiltelefoner indsamler data om os i baggrunden, og vi kan regne med, at det samme vil gøre sig gældende i de forskellige IoT-devices, vi vil se i de kommende år. Med IoT vil de data, der er tilgængelige om os, stige eksplosivt, og det er et område, som man ikke skal tilgå ukritisk. Forestil dig en situation hvor du har et smartwatch med gps, en fitness-tracker der snakker med dine smarte sko og et køleskab, der automatisk bestiller varer baseret på, hvad du normalt spiser. Disse data vil højst sandsynligt være interessante for et forsikringsselskab, der udbyder livsforsikringer? De vil så kunne se, at du er glad for cheesekager og motionerer mindre end flertallet, så din livsforsikring vil komme til at koste en formue sammenlignet med en, der ikke spiser cheesekager og motionerer mere. Er det fair? Og kommer den slags dit forsikringsselskab ved?

Implementering af sikkerhed i IoT
Det er disse overvejelser, og overvejelser om de data vi selv gemmer på disse IoT-devices, der er værd at dykke nærmere ned i. For som tiden går, vil disse devices kunne lagre mere og mere data. Data som vi uden tvivl gerne vil holde for os selv. Hvad skal vi så kunne forvente fra de selskaber, der udvikler disse IoT- devices? I disse tider hvor der nærmest er en guldgraverstemning blandt dem, der kommer først til marked med devices, skal vi nok ikke regne med, at sikkerheden er blandt de ting, der er brugt flest ressourcer på.

Men hvad med de producenter, der kommer til, efterhånden som markedet modnes mere? Sikkerhed bliver vel en integreret del af IoT? Det vil sikkerheden uden tvivl blive, men sikkerhed i IoT er ikke nødvendigvis så nem at gå til. Bare tænk på hvor mange enheder, der lige pludseligt vil skulle kommunikere med hinanden, og med de personer du ønsker at dele data med. Her er tale om en kompleksitet, vi ikke har set tidligere. Og at sørge for at vores data ikke bliver delt uforvarende eller via et hul i softwaren, bliver tilsvarende kompliceret. Men lad os kikke på mulighederne for at implementere sikkerhed i IoT, som vi kan regne med.

Som jeg ser det, er der fem områder, hvor sikkerheden skal tænkes ind fra starten:

• Devices-sikkerhed
• Netværkssikkerhed
• Serversikkerhed
• Datasikkerhed
• Sikkerhed i selve operativsystemet på devicet


Når det kommer til sikkerhed for selve devicet, så gælder der de samme regler, som der gør for mobiltelefonen. Som nævnt tidligere, så vil alle disse IoT-devices blive stærkere og stærkere og dermed blive i stand til at gemme mere data om os. I ’gamle’ dage hvis du mistede et ur eller fik det stjålet, så havde du bare mistet et ur. Hvis du mister dit smartwatch, så har du mistet mere end det. Du har også mistet de data, der var om dig på dit smartwatch. Her brugte jeg et smartwatch som eksempel, men et IoT-device vil utvivlsomt blive brugt på dit arbejde, og måske endda synkroniseres med computeren på dit skrivebord. Dermed bliver IoT pludseligt til en trussel for din arbejdsplads. De data, du har på dit IoT-device, kan krypteres, men hvad nu hvis du har fået malware på dit device? Malware, der bare ligger og venter på, at du skal tilslutte det til netværket på din arbejdsplads? Der er altså flere ting, der gør sig gældende for selve devicet: Fysisk sikkerhed – mens du bærer devicet giver det en vis sikkerhed, for får en anden person fysisk adgang til devicet, så vil vedkommende også have al den tid til rådighed, der skal til for at bryde ind på det. Kryptering – et IoT-device skal tilbyde en funktion, der krypterer de data, som vi lægger på disse devices.

AOD17_sikkerhedszonen

Vores IoT-devices vil kommunikere over internettet og dermed være sårbare overfor aflytning. Fuldstændigt som vores normale internetkommunikation er. Forskellen er, at nu vil vi være i besiddelse af et utal af IoT-devices, der vil kommunikere med hinanden, og devices fra andre mennesker. VPN har i årevis været svaret på at sikre vores Internetkommunkation, hvis vi ikke var interesserede i, at den skulle aflyttes. På et IoT-device vil et fuldt VPN uden tvivl være for hård en belastning for både hardware og batteri. Når det så er sagt, så vil der være mange situationer, hvor vores IoT-devices ikke skal kommunikere åbent med internet eller andre devices, og her er en eller anden form for kryptering igen på sin plads, uden at det nødvendigvis bliver til en fuld VPN-løsning.

Du undrer dig sikkert over, hvorfor jeg bringer serversikkerhed på banen i forbindelse med sikkerhed for IoT. Langt de fleste IoT-devices vil være ganske små og derfor ikke være i stand til at bringe den store regnekraft på banen. Hvis et sådant device skal kunne tilbyde en service, så skal det tilgå skyen, og i skyen kører der servere. Kommunikationen med disse servere skal være sikker, som jeg nævnte under punkt nummer to, men de servere, der hjælper devices med at tilbyde services, skal også være sikre. Fuldstændigt som servere skal være det i dag. Data gemt på serverne skal altså være krypteret, serveren skal patches jævnligt, og den skal ikke køre flere services end nødvendigt. Standard serversikkerhed naturligvis, men det skal tænkes ind i den nye situation, hvor en server måske leverer services til mange IoT-devices ejet af forskellige mennesker.

Jeg har tidligere nævnt datasikkerhed i andre dele af denne artikel. Datasikkerhed skal ses på flere forskellige måder alt afhængigt af, hvor data befinder sig i situationen. Befinder data sig på devicet? Serveren? Eller er data i transit imellem device og server? På device og server skal data være krypteret, og det samme gælder, når data bliver overført imellem device og server.

Man skelner typisk imellem disse to tilstande ved at se på det, som data i hvile, altså gemt et eller andet sted, og data i transit. Skal vores data være sikrede i alle tilstande, så skal de krypteres.

Operativsystemsikkerhed er vanskeligt, som vi har set de sidste mange år. Et utal af patches bliver frigivet af de forskellige leverandører af operativsystemer hvert år. Et IoT-device vil også køre en eller anden form for operativsystem. Det vil være operativsystemet, der er ansvarlig for f.eks. krypteringen af vores data og for adgangen til devicet. Et operativsystem er lige så sårbart overfor huller i programmeringen som al anden software, og med den udbredelse vi vil se af IoT-devices i de kommende år, vil sikkerheden af disse operativsystemer være af afgørende vigtighed. Ikke bare for sikkerheden af selve devicet men i lige så høj grad for sikkerheden af de apps, der vil blive udviklet til alle disse nye devices. Vi har allerede set, hvordan en dårligt udviklet app (eller bevidst dårligt udviklet app) til en mobiltelefon kan kompromittere vores data. Et utal af apps vil blive udviklet til et utal af forskellige IoT-devices, og det vil være operativsystemet, der skal holde styr på dem og vores data. Her skal vi tillige være klar over, at alle vores IoT-devices formentligt vil køre forskellige operativsystemer. Derfor vil interoperabilitet imellem disse operativsystemer være vigtig, sammen med sikkerhed af denne interoperabilitet.

De næste år bliver prøveklud
At IoT vil blive et gigantisk marked, er der ikke tvivl om, og det er kun fantasien, der sætter grænser for, hvad IoT kan bruges til. De kommende år vil vise, hvor megen sikkerhed de forskellige leverandører af IoT-devices har tænkt ind i dem. IoT-sikkerhed vil blive en kompleks sag at holde styr på, både fordi der vil være så mange devices, der kommunikerer, men også fordi der vil være så mange forskellige typer af devices, og de vil blive brugt i mange forskellige sammenhænge.

Når vi pludseligt har så mange forskellige devices, der kommunikerer på kryds og tværs, så vil det også gøre de muligheder for angreb, der allerede eksisterer meget større. Meget af ansvaret for at sikre alle disse IoT-devices vil ligge på leverandørerne, men et lige så stort ansvar vil komme til at ligge på os selv. Det er os, der er i besiddelse af disse devices og dermed ansvarlige for, at de ikke bliver stjålet f.eks. De næste år vil blive interessante fra et sikkerhedssynspunkt, og vi vil naturligvis følge udviklingen.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Roskilde Universitet

    IT-Infrastruktur systemadministrator

    Region Sjælland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Senior projektkonsulent til program Digital og Operativ Transformation

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger chef for Lokal It - Region Øst

    Københavnsområdet

    BEC

    Business analyst (Senior)- Core Banking

    Region Sjælland

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Strategisk It-sikkerhedsdag 2026 - København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Andre events | København

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Få et klart overblik over AI’s reelle effekt i danske virksomheder. Arrangementet giver unge talenter og ambitiøse medarbejdere viden, der løfter karrieren, skærper beslutninger og gør dig klar til at præge den digitale udvikling. Læs mere og...

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Sikkerhed | Aarhus C

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem tre spor og styrk både indsigt og netværk. Deltag i Aarhus 22. januar.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Rasmus Stage Sørensen som Operations Director. Han kommer fra en stilling som Partner & Director, Delivery hos Impact Commerce. Han er uddannet kandidat it i communication and organization på Aarhus University. Han har tidligere beskæftiget sig med med at drive leveranceorganisationer. Nyt job

    Rasmus Stage Sørensen

    Norriq Danmark A/S

    Sebastian Rübner-Petersen, 32 år, Juniorkonsulent hos Gammelbys, er pr. 1. september 2025 forfremmet til Kommunikationskonsulent. Han skal fremover især beskæftige sig med Projektledelse, kommunikationsstrategier og implementering af AI. Forfremmelse

    Sebastian Rübner-Petersen

    Gammelbys

    Sentia har pr. 1. oktober 2025 ansat Morten Jørgensen som Chief Commercial Officer. Han skal især beskæftige sig med udbygning af Sentias markedsposition og forretningsområder med det overordnede ansvar for den kommercielle organisation. Han kommer fra en stilling som Forretningsdirektør hos Emagine. Nyt job

    Morten Jørgensen

    Sentia

    Norriq Danmark A/S har pr. 1. september 2025 ansat Søren Vindfelt Røn som Data & AI Consultant. Han skal især beskæftige sig med at effektivisere, planlægge og implementere innovative, digitale løsninger for Norriqs kunder. Han kommer fra en stilling som Co-founder & CMO hos DrinkSaver. Han er uddannet Masters of science på Københavns IT-Universitet. Nyt job

    Søren Vindfelt Røn

    Norriq Danmark A/S

    Se mere fra navnenyt

    Mest læste

    1 Microsoft erkender: Nylige Windows-opdateringer afbryder særlig type forbindelser
    2 NNIT advarer om faldende omsætning og dropper vigtigt mål for 2027: Resultaterne er "forværret"
    3 Star Wars som du nok aldrig har set den før
    4 Den nye version af Microsoft SQL Server er på gaden med en stribe nye funktioner: Den gamle version udgår snart
    5 Nu kræver Meta penge for at dele links på Facebook, Instagram og WhatsApp
    6 Nørgaard: Tak Microsoft - I redder Danmark
    7 Ansatte i GitHub Danmark svømmer i penge: Det Microsoft-ejede selskab bruger 56 millioner kroner på 40 ansatte
    8 Systematic tromler frem: Mere end fordobler sit trecifrede millionoverskud

    Se seneste uge