Produkter, der er koblet til internettet, kommer til at oversvømme os i de kommende år og derfor er der god grund til at tage en debat om, hvordan vi gør sikkerheden mere robust og om det overhovedet er nødvendigt at forsyne så mange enheder med en netforbindelse.
IoT-enheder kan defineres som et objekt eller en enhed, som automatisk sender og modtager data via internettet, hvilket eksempelvis omfatter sensorer og enheder, der interagerer med mennesker eller deler informationer mellem maskiner.
Biler og bamser på nettet
Adgangen til internettet indbygges i større og større omfang i enhederne og det er efter min overbevisning ikke altid en ideel løsning.
På nogle områder benyttes funktionalitet eksempelvis som et salgsargument i form af en ”smart funktion”, som de andre producenter ikke tilbyder.
Det er det da sikkert også smart eller sjovt, at dine bamse kan forbinde til nettet, men der følger en forpligtigelse med både for forbrugeren og for producenten.
Når en enhed går på nettet, så skal den anvendte software være sikker og den skal opdateres i takt med, at der kommer nye sårbarheder. Ligeledes skal du selv sætte enheden op med stærke adgangskoder frem for standardindstillingerne.
Koden skal løbende renoveres
Erfaringerne viser desværre, at mange producenter ikke opdaterer deres eksisterende produkter. Det er stadig et stort sikkerhedsproblem i it-branchen og jeg vil stille mig meget tvivlende overfor, om det er bedre i legetøjsbranchen eller andre brancher, der kobler deres enheder på nettet.
Der er selvfølgelig også masser af områder, hvor IoT-enheder giver rigtig god mening. Men problemstillingen er den samme – der skal være en løbende renovering af koden til produkterne.
Om kontrollen med dette skal foregå via en mærknings- eller certificeringsordning eller på en helt tredje måde kan diskuteres, men vi er nødt til ikke alene at tage debatten blandt producenterne, forbrugerne og udviklerne, men også fra politisk side for at finde en løsning på sikkerhedsudfordringen.
I Rådet for Digital Sikkerhed har vi diskuteret problemstillingen og i den forbindelse nedsat en arbejdsgruppe, der skal se på fremtidens retningslinjer.
Grunden til bekymring
Vi skal bekymre os fordi enheder som eksempelvis biler, legetøj, apparater, wearables, sundhedspleje eller hjemmesikkerhed i mange tilfælde indeholder sensorer, der sender information, som kan udløse yderligere handlinger. Det kan være energistyring i hjemmet eller at holde styr på dine kondivaner og søvnrutiner.
På plussiden kan det være med til at give os et behageligt og måske endda et længere liv, men omkostningen er, at der hele tiden deles informationer og sikkerheden omkring dem er langt fra altid god nok.
Manglende informationssikkerhed er selvfølgelig ikke noget nyt, men med IoT-enhederne øges omfanget voldsomt.
De sammenkoblinger, der skabes i forbindelse med IoT, giver potentielt angribere mulighed for at inficere meget store grupper af enheder på en gang, og derved kan kriminelle få adgang til store datamængder eller anvende enhederne i enorme botnet, som kan angribe med stor kraft.
Et konkret eksempel er botnettet Reaper, som for et par år siden anvendte kendte sårbarheder til at inficere IoT-enheder som routere, kameraer og disksystemer. I DKCERTs Trendrapport 2019 har vi også set på overbelastningsangreb og usikre IoT-enheder har vist sig som en effektiv platform for denne angrebstype. Du kan finde rapporten her.
Det kan du selv gøre
IoT kan uden tvivl gøre vores liv lettere, og der er mange fordele, men vi kan kun høste dem, hvis de internetaktiverede enheder er sikre og betroede.
I den forbindelse bør du overveje følgende fire trin:
- Kontroller dine sikkerhedsindstillinger:
De fleste IoT-enheder tilbyder funktioner, så du kan skræddersy sikkerheden til dine behov og krav. Det er vigtigt, at du undersøger (sikkerheds)indstillingerne og vælger løsninger, der giver en robust enhed. Dette er ikke en engangsopgave, da den skal foretages løbende.
- Opdater dine enheder med de nyeste rettelser
Når en producent udsender opdateringer, der lukker sårbarheder, skal der patches. Sørg altid for at få installeret de nyeste rettelser fra producenten med det samme.
- Tilslut dig kun hvis det er nødvendigt
Når en enhed er forbundet til internettet, så er den også forbundet til millioner af andre computere, hvilket er en potentiel adgangsbillet for en angriber. Overvej om der er behov for kontinuerlig forbindelse eller, om der overhovedet er behov for internetforbindelse.
- Brug stærke adgangskoder og undlad standardopsætninger
Adgangskoden er ofte den eneste barriere mellem dig, dine personlige oplysninger og en angriber. Ret derfor altid standardopsætningen, der ofte kan brydes meget nemt. Det forbedrer sikkerheden betydeligt. Brug stærke adgangskoder på mindst 12 tegn og gerne mange flere, hvis det er en kode, der er gemt i IoT-udstyret.
Oprindelig bragt på Computerworld Online den 30. august 2019.