6 tips om sikkerhed til Internet of Things

Sådan undgår du, at Internet of Things bliver et slaraffenland for cyberkriminelle.

IoT-sikkerhed

Foto: Colourbox

Internet of Things (IoT), også kaldet Tingenes Internet, bliver en stadigt større del af det digitale økosystem. Både for private forbrugere og for virksomheder. Dybest set dækker begrebet over, at fysiske objekter tilkobles digitale netværk, herunder internettet, hvorfra deres virtuelle repræsentationer kan modtage og afsende data. IoT-enheder kan være alt fra internetforbundne intelligente pærer (f.eks. Philips Hue) og smart-tv i private hjem over opkoblede elmålere i intelligente elforsyningsnet (smart grid) til store industrimaskiner i produktionsvirksomheder udstyret med internetopkoblede sensorer.

Allerede i dag findes der rundt regnet 10 milliarder internetforbundne fysiske enheder, og det tal vil stige eksponentielt i de kommende år. Med andre ord er IoT kommet for at blive, og desværre betyder det også, at det bliver mere attraktivt for hackere at forsøge at skaffe sig adgang til og misbruge eller overtage kontrollen med forskellige typer af enheder. Indtil videre har det ikke været voldsomt svært.

IoT er attraktivt for cyberkriminelle
På hackerkonferencen 33C3 i Hamburg fortalte sikkerhedsekspert Netanel Rubin i sit oplæg om "smarte byer, smart energi og dum sikkerhed" om hvor enkelt det er for hackere at skaffe sig adgang til forbrugeres opkoblede elmåler og derigennem til øvrige smarte enheder, som er installeret i hjemmet.

- Bare forestil dig at vågne op om morgenen og opdage, at du er blevet frarøvet alle dine ejendele af en tyv, der ikke engang behøvede at bryde ind, fordi han kunne kontrollere og åbne din smarte hoveddørlås via din elmåler, advarede sikkerhedseksperten i en artikel, som man for få måneder siden kunne læse i PROSAbladet, og på Version2.dk kunne man i marts måned læse om "Weeping Angel"-softwaren, der er udviklet af CIA og kan bruges til at udspionere ejere af smart-tv'er fra Samsung ved at overtage tv'ets indbyggede mikrofon og webkamera. Man skal ikke have meget fantasi til at forestille sig, hvor attraktivt det ville være for hackere at forsøge at overtage et komplet IoT-forbundet maskinpark i en produktionsvirksomhed for derefter at afpresse firmaet for penge.

Her er de seks vigtigste IoT-sikkerhedsteknologier
Sikkerhed bør altså prioriteres væsentligt højere i fremtiden, hvis ikke IoT skal ende med at blive et paradis for cyberkriminelle. Det kræver investeringer i teknologier og løsninger, som afhjælper de mange sikkerhedsmæssige udfordringer IoT, står over for i dag, skriver Forrester Research i rapporten, "A Mix Of New And Existing Technologies Help Secure IoT Deployments", der er udgivet i samarbejde med TechRadar. Her gennemgås en række forskellige IoT-sikkerhedsteknologier, som i følge Forrester er de mest relevante i processen henimod at øge det generelle IoT-sikkerhedsniveau. For, som Forrester skriver, “there is no single, magic security bullet that can easily fix all IoT security issues.”

For enhver virksomhed, der vil eller allerede er i gang med IoT, er det obligatorisk at tage stilling til, om sikkerheden er på plads, og her er rapporten fra Forrester Research et godt sted at starte. Blandt de omtalte sikkerhedsteknologier i rapporten har magasinet Forbes udpeget de seks vigtigste, der alle er eksisterende teknologier, og herudover kan vi i følge Forrester regne med stor innovation på området i den nærmeste fremtid. Især vil der være et udtalt behov for vertikale og industrispecifikke løsninger, ikke mindst i forhold til produktionsvirksomheder.

Men blandt de løsninger og teknologier, som IT-beslutningstagere bør kende allerede nu, vurderer magasinet Forbes altså de følgende seks som de vigtigste for IoT-sikkerheden:

1) IoT netværkssikkerhed: Formålet er at beskytte det lokale netværk, som forbinder IoT-enheder til internettet. Denne form for netværkssikkerhed er en større udfordring end sædvanligt, da IoT medfører et større antal kommunikationsprotokoller, standarder og enhedsfunktionalitet, hvilket skaber større kompleksitet.

2) IoT autentifikation: Formålet er at brugere skal kunne godkende en IoT-enhed til adgang til internettet. Teknologien skal kunne håndtere flere brugere af samme konkrete enhed (det kunne f.eks. være en internetforbundet bil) og flere forskellige autentifikationsmetoder (f.eks. almindelige passwords eller pinkoder, digitale certifikater eller sågar biometrisk godkendelse). I industrivirksomheder o. lign. sammenhænge skal teknologien også kunne håndtere maskine-til-maskine autentifikation uden menneskelig involvering.

3) IoT kryptering: Formålet er at kryptere og dermed sikre både lagret data og data, der transmitteres mellem IoT-enheder og servere på internettet. Dels for at bevare integriteten af de pågældende data og dels for at forhindre hackere i at få uberettiget adgang. På grund af de mange IoT-forbundne enheders forskellige beskaffenhed er udfordringen at standardisere protokoller og krypteringsplatforme.

4) IoT Public Key Infrastructure: Formålet er at skaffe IoT-forbundne enheder den samme grad af sikkerhed, som hvis man tilgår sin netbank eller foretager elektroniske betalinger via internettet. Det kræver udvekskling og håndtering af offentlige og private nøgler via Public Key Infrastructure (PKI), hvilket bl.a. sikrer at begge parter i en transaktion er entydigt identificeret, og at ingen uvedkommende personer kan opfange den transmitterede information.

5) IoT sikkerhedsmonitorering: Formålet er at overvåge og standardisere data fra IoT-enheder, således at der skaffes troværdig rapportering, som samtidig indbefatter opfordring og forslag til reaktion, hvis systemet opdager uregelmæssigheder eller usædvanlig aktivitet. Denne type af løsninger gør i stigende grad brug af machine learning, kunstig intelligens (AI) og Big Data, hvilket er nødvendigt for at levere bedre forecasting, herunder at identificere IoT-specifikke angreb.

6) IoT API sikkerhed: Formålet er at beskytte overførsler af data mellem IoT-enheder, servere på internettet og diverse såkaldte API'er (Application Programming Interface), hvilket populært sagt bl.a. betyder apps og websider. Det indebærer f.eks. at det sikres, at kun autoriserede IoT-enheder og -udviklere kommunikerer med en given app eller webside samt at der beskyttes mod angreb og forsøg på hacking.

Hold dig opdateret...

Tilmeld dig vores nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration til, hvordan du forankrer den digitale transformation i din virksomhed – direkte i din indbakke.