Alexandra Instituttet A/S // Aktuelt // Nyheder // Nyheder 2015 // Tre ting du som virksomhed bør overveje, når du kobler produkter til nettet

Tre ting du som virksomhed bør overveje, når du kobler produkter til nettet

15-05-2017

Tre ting du som virksomhed bør overveje, når du kobler produkter til nettet

I takt med at tingenes internet (IoT) bliver en konkurrenceparameter for industrien, bliver producenterne nødt til at tænke sikkerhed ind, lyder det fra en af vores sikkerhedseksperter.

Termostater, varmepumper og elmålere, der kan tilgås og styres via nettet. Biler der opsamler data og analyserer kørselsmønstre, der kan give en mere miljømæssig kørsel. Eller smarte armbånd, der opsamler data om vores motions- og bevægelsesmønstre. Tingenes Internet eller Internet of Things buldrer fremad i øjeblikket. Danske firmaer er også godt i gang med at opfinde eller producere løsninger, hvor ting og internetteknologi bliver koblet sammen.

IoT er simpelthen blevet en meget vigtig konkurrenceparameter, mener Gert Læssøe Mikkelsen, der har en ph.d. i kryptografi fra Aarhus Universitet og er sikkerhedsekspert på Alexandra Instituttet. Her kommer han med et bud på de største sikkerhedsudfordringer inden for IoT, og hvad man kan gøre for at tage højde for dem tidligt i produktudviklingen:

Vi kan se, at producenter i øjeblikket bliver presset til at flytte tingene over på nettet, og at det bliver en konkurrenceparameter. Forbrugerne forventer, at tingene kan gå på nettet. Det kan være alt lige fra elpærer til varmepumper, hvor folk gerne vil styre produkterne fra deres smartphone. Det er typisk producenter, der er gode til den klassiske proces. Men det er ikke længere nok, og derfor er de nødt til at indbygge flere digitale funktionaliteter.

Skrækeksemplerne er her allerede

Men i takt med at producenterne kobler tingene på nettet, opstår der helt nye sikkerhedsudfordringer. De første skrækeksempler har allerede vist sig. Det mest spektakulære eksempel er Wireds historie om, hvordan en journalist sidder i en familiefirhjulstrækker fra Chrysler, og så er der nogen, der kan styre bilen fra et andet sted. Eksemplet viser, at fabrikanterne er gode til at sørge for, at bremserne virker under normale omstændigheder, men de har ikke udvidet sikkerhedsbegrebet til at sikre sig mod alle på nettet.

1. Tingene er ikke designet til sikkerhed
En grundlæggende udfordring er, at tingene ikke er designet til sikkerhed. Der er masser af eksempler på, at sikkerhed ikke har været gennemtænkt. Det dækker et bredt spektrum af produkter, lige fra elnettet og biler til helt billige dimser.

Det samme gælder komponenter i elnettet, der er sat op, hvorefter man har ladet dem stå i 20 år. Det skaber problemer, når man man kobler elnettet på internettet. Elnettet er ikke designet til sikkerhed, og det er ikke tænkt ind, at der er nogen, der prøver at angribe det. Det er kun skabt til et lukket net.

Vi ser de samme sikkerhedsudfordringer med de små kraftvarmeværker i Danmark. Her foregik styringen over dedikerede forbindelser, og nu begynder man at bruge internettet, fordi det er simplere, billigere og skalerer bedre. Men de eksisterende protokoller er ikke lavet til at understøtte sikkerheden, når kraftvarmeværkerne kobles til internettet. De har en sikkerhedsmodel, der svarer til, hvad almindelige pc’er havde for 15 år siden.

De ting, der kommer på internettet, skal have en sikkerhedsarkitektur, der kan håndtere, at softwaren bliver opdateret, når der bliver fundet fejl i den. Man skal samtidig sørge for en ordentlig kryptering. Det lyder simpelt, men det er ofte her, det går galt, ifølge Gert Læssøe Mikkelsen.

2. Processoren er måske ikke gearet til ordentlig kryptering
I takt med at ikke kun elnettet eller varmepumper bliver koblet på internettet, men også billige produkter fra f.eks. Kina, hvor prisen er vigtig, er udfordringen ofte, at hardwaren og processorerne ikke er gearet til det, eller ikke er kraftige nok. Det kan give udfordringer ift. ordentlig kryptering. Det gælder både det beregningsmæssige, men også det, der hedder randomness - tilfældighed. Når du skal vælge en krypteringsnøgle, er det vigtigt, at andre ikke kan gætte den, og det kan man kun opnå ved at have adgang til ordentlig tilfældighed. Det har der konkret været problemer med ved billige, trådløse rutere.

3. Dit køleskab kan misbruges
Efterhånden som flere ting bliver koblet på internettet, vil der også blive opsamlet mere data om hver enkelt person. Det kan både være en hjælp i dagligdagen og give mere personlige produkter, som f.eks. at du kan få konkrete råd om mere miljøvenlig kørsel eller at få hjælp til til at røre dig mere.

Men data kan også misbruges, og produkter, som ikke umiddelbart virker interessante at hacke, kan være det alligevel. Det kan være svært at gennemskue som forbruger, hvorfor det betyder så meget, at køleskabet eller fjernsynet er sikkert. Men når tingene bliver koblet sammen, kan det give problemer, hvis en hacker får fat et sted i kæden. Det viste et eksperthold fra Pen Test Partners, da de udnyttede en svaghed i et intelligent køleskab fra Samsung, der dog endnu ikke sælges i Europa, til at få fat i login-informationerne til en Gmail-konto.

Det samme gælder en aktuel test af ni babyalarmer, der kan gå på internettet og streame data til forældrene. Testen viste, at det er alt for nemt for ondsindede hackere at skaffe sig adgang til både billede og lyd, hvor som helst i verden og dermed følge med i alt, hvad babyalarmen ser og hører.

Sådan beskytter du dine kunder

Manglende IoT-sikkerhed giver dårlig PR. Men der er en ny lovgivning på vej i forhold til beskyttelse af forbrugernes personlige data – den såkaldte persondataforordning fra EU. Den vil give markant større bøder til virksomheder, der ikke beskytter deres kunders data og deres digitale privatliv ordentligt. Forordningen forventes at blive vedtaget næste år.

Danske virksomheder er dog generelt kendt for at levere produkter af høj kvalitet, hvilket jeg håber også vil være tilfældet med de kommende internetopkoblede produkter. Dette er muligt, hvis vi tager sikkerheden seriøst fra starten af udviklingen af disse produkter. Hvis det gøres ordentligt, kan sikkerhed blive en katalysator for funktionalitet og et konkurrenceparameter, som vi f.eks. kender det fra bilbranchen. 

 
Kontakt
Head of Security Lab, PhD
+45 24 26 99 11
Åbogade 34, 8200 Aarhus N
Nygaard bygningen, 3. etage lokale 380
Nyhedsarkiv
.