IoT-SIKKERHED

Artikel

31-01-2018

IoT-SIKKERHED

Nyt projekt skal hjælpe virksomheder med at højne sikkerheden i Smart Home og andre IoT produkter.

Virksomheder skal have hjælp til at identificere de trusler der kan være i forbindelse med IoT, Smart Home og Smart Buildings – også kendt som Build 4.0. Nyt projekt skal arbejde med trusselsvurdering, sikkerhedsteknologier og udviklingsmodeller, der kan højne sikkerheden. 

Det handler om gode sikre IoT-produkter. Sagerne om de dårligt sikrede IoT-produkter står nemlig i kø. Dem kan du læse om i Alexandra Instituttets e-bog om IoT og sikkerhed. Sagerne tæller bl.a. My Friend Cayla-dukken og GPS-urene til børn, der kunne hackes. Det nye projekt har særligt fokus på IoT men også på Smart Home og Smart Buildings

30 milliarder enheder forbundet til internettet

I 2020 forventes det, at der vil være 30 milliarder enheder forbundet til internettet. Produkterne bliver en vigtig del af vores samfund og hverdag. De gør det muligt og lettere at udbrede smarte enheder og smarte tjenester. Det gør, at vi kan realisere potentialet i Smart Home, Smart Buildings og Smart Society. De mange enheder kan dog udgøre en risiko i form af udfordringer for sikkerhed og privatliv. Mange af enhederne har personlige oplysninger om os, og nogle af IoT-produkterne kan være sårbare og have svagheder i forhold til et potentielt hackerangreb. 

Virksomhederne skal derfor udstyres med værktøjer, så de selv bliver i stand til at lave en trusselsvurdering af deres IoT-produkt. Og her kan flere metoder være brugbare. Dem kommer vi til senere. 

Start med de grundlæggende sikkerhedsspørgsmål 

Inden trusselsvurderingen er det nemlig nødvendigt, at virksomhederne stiller sig selv nogle grundlæggende spørgsmål om deres produkt: 

  • Hvad er vigtigst omkring produktets sikkerhed og hvorfor? Og hvad betyder det, at et produkt er sikkert? Er det f.eks. vigtigt, at data fra produktet er hemmelige?
  • Kan produktet bruges til angreb på andre ting? Eller kan produktet lække forretningsmæssige data om producenten?
  • Er det sikkert nok i forbrugerens hænder, så hun ikke risikerer at få sine personlige oplysninger hacket? Og hvad er sandsynligheden for, at nogen overhovedet angriber vores produkt?

Spørgsmålene er mange men er enormt vigtige at stille i starten af et udviklingsprojekt, påpeger it-sikkerhedsekspert Gert Læssøe Mikkelsen fra Alexandra Instituttet. Det er vigtigt at skabe en fælles forståelse i virksomheden om IoT-sikkerhed og en kultur om, at it-sikkerhed er vigtigt og derfor bør have et centralt fokus i produktet. 

Behovet for at få virksomheder til at tænke IoT-sikkerhed er altså klart tilstede. Og metoden der bl.a. kan hjælpe er Attack Tree.

Attack Tree tager dig fra mavefornemmelse til facts 

"Attack Tree er en formaliseret metode til at vurdere, hvilke trusler der er. Du går fra at have en mavefornemmelse af, at dit produkt kan have visse svagheder til at vide, hvad de er. Attack Tree er en rigtig god metode for virksomhederne at bruge – før de går i gang med at lave produktet. Og når de så kender trusselsbilledet, kan de målrettet gå efter den rette kryptografi," siger Gert Læssøe Mikkelsen.

Projektet vil benytte kendte krypteringsværktøjer, der skal hjælpe med at afdække, hvordan værktøjerne kan blive brugt ift. smarte produkter og smarte hjem.

Avanceret kryptering 

En af disse metoder er Multiparty Computation, der gør det muligt at bruge data på tværs af organisationer uden at dele data med f.eks. konkurrenten, fordi den forbliver krypteret.

"Det kan være, at to konkurrerende producenter ikke er interesseret i at få delt deres forretningshemmeligheder om netop deres IoT-produkt. Her er Multiparty Computation god, da teknologien gør det muligt at dele og lave beregninger på data, mens de stadig er krypterede for den anden part," siger Gert Læssøe Mikkelsen.  

Andre teknologier som projektet måske vil afprøve inden for it-sikkerhed i Build 4.0 er letvægtskryptografering.

"Smarte bygninger vil typisk være udstyret med indbyggede sensorer, der f.eks. måler fugt i væggen. Men sensorerne har ikke kapacitet til at køre tunge krypteringsteknologier og vil i stedet blive udstyret med letvægtskryptografering. Formålet med at hacke noget der måler fugt i væggen kan f.eks. være, at de data der bliver taget ud kan fortælle noget om den cement, der bliver brugt – eller en anden forretningshemmelighed. Så kryptering i sensorer kan både være for at beskytte dem, der laver sensoren, og for at beskytte dem, der køber produktet", slutter Gert Læssøe Mikkelsen. 

Profilbillede af Gert Læssøe Mikkelsen
Head of Security Lab, PhD
+45 24 26 99 11
Åbogade 34, 8200 Aarhus N
Nygaard bygningen, 3. etage lokale 380

Fakta

Projektet er finansieret af innovationsnetværket Infinit og starter i februar 2018.

Projektpartnerne er virksomhederne Nilfisk, Neogrid Technologies, Seluxit, Xtel Wireless og Alexandra Instituttet samt Aalborg Universitet.

Du er velkommen til at kontakte Gert Læssøe Mikkelsen, hvis du vil vide mere om projektet. 

.