16. maj 2019

Internet of Things er et slaraffenland for hackere

Af: Lasse Andersen

Foto: Colourbox

I takt med at Internet of Things (IoT) bliver udbredt stiger risikoen for cyberkriminalitet, fordi hackernes angrebsflade bliver større. Det konkluderer Center for Cybersikkerhed i en netop offentliggjort trusselsvurdering. Derfor bør rådgivning om cybersikkerhed altid følge med IoT-installationer, lyder det fra IoT-ekspert.

Inden for de seneste år er der herhjemme blevet implementeret nye netværk, som Narrowband IoT, Sigfox og LoRaWAN, der sammen med internettet og mobilnettet understøtter den hastige udbygning af Internet of Things (IoT).

Teknologien giver en række nye muligheder, som gavner samfundet, men udviklingen åbner også for en større angrebsflade for hackere.  Sådan lyder konklusionen i Center for Cybersikkerheds seneste trusselsvurdering, som blev offentliggjort i marts.

I vurderingen bliver det blandt andet påpeget, at IoT-enheder ofte er sårbare, fordi de bliver udviklet med et specifikt formål for øje. Dermed er de netværksfunktioner, som muliggør enhedernes kommunikation via internettet, kun sekundære funktionaliteter. Det betyder, at enhederne ofte har en utilstrækkelig netværkssikkerhed sammenlignet med traditionelt it-udstyr, der er udviklet med det hovedformål at blive koblet på internettet.

Derudover giver IoT-enhederne udfordringer i forhold til sikkerhedsopdateringer.

– Mange IoT-enheder ikke designet til at kunne modtage sikkerhedsopdateringer. Det betyder, at de sårbarheder, der bliver opdaget i produktets levetid, ikke kan rettes, og derfor kan udnyttes af hackere, så længe produktet er i brug. Det er især et problem for IoT-enheder, der er designet til at kunne fungere i flere år uden menneskelig indblanding, lyder det i trusselsvurderingen.

Brug tjekliste
Sikkerhedsrisikoen skal naturligvis tages alvorligt, fordi Internet of Things, i modsætning til det traditionelle internet, består af ting. Det betyder i sagens natur, at hackeres manipulation med signaler kan medføre fysiske ødelæggelser. Derfor er det meget vigtigt, at de installatører, som beskæftiger sig med IoT-markedet, har tilstrækkelig viden til at rådgive kunderne om sikkerhedsrisici, mener Jeppe Pilgaard Bjerre, der er sikkerheds- og IoT-specialist hos Force Technology.

– Man skal starte med at indse, at man aldrig bliver 100 procent sikker. Men det er stort set altid muligt at opsætte en fornuftig grad af sikkerhed. Problemet er bare, at det i rigtig mange tilfælde ikke bliver gjort. Selv helt basale tiltag som at skifte væk fra standard login-oplysninger og sørge for, at det kun er de rigtige porte i et netværk, der er åbne, bliver forsømt, siger Jeppe Pilgaard Bjerre.

Han anbefaler derfor, at man opererer med en tjekliste, hver gang man installerer et produkt, som bliver koblet på et eksisterende netværk.

– Hvis du for eksempel monterer et overvågningskamera, som bliver tilsluttet en virksomheds netværk, så skal it-afdelingen orienteres om placering, hvad enheden er, samt hvad den skal have adgang til på netværket, så risici minimeres. På den måde bør man have en liste, som man skal igennem hver gang, man installerer en IoT-enhed. Det skal være lige så naturligt at tjekke it-sikkerheden, som at tjekke om kapslingsklasse og tilledninger er i orden. Installationen er ikke korrekt før it-sikkerheden er på plads, siger Jeppe Pilgaard Bjerre og fortsætter:

– Og hvis der er nogle ting krav på tjeklisten, som af den ene eller anden grund ikke kan opfyldes, så skal det dokumenteres, hvorfor de ikke er opfyldt. Det er vigtigt, at afvigelser bliver dokumenteret, så de er sporbare.

Kundens valg
Jeppe Pilgaard Bjerre oplever, at der efterhånden er en forståelse af, at det er vigtigt at sikre sig mod cyberangreb i de danske virksomheder. Det betyder dog ikke nødvendigvis, at virksomhederne er klar til at betale for at sikre sig ordentligt. Han opfordrer derfor installatørerne til at rådgive deres kunder i tilstrækkelig grad, så de i hvert fald tager deres beslutning på et oplyst grundlag.

– Ude i virksomhederne er der en rimelig forståelse af, at cyberkriminalitet er en trussel, som reelt kan lægge en virksomhed ned og koste mange penge. Men kunden kan jo sagtens kende til en risiko og vurdere, at det er for omkostningstungt at sikre sig mod den. Så må man bare tage problemerne, hvis de opstår, og det er jo helt fair, hvis man bare er blevet rådgivet grundigt nok, så man tager beslutningen med åbne øjne.