Der har på det seneste været en masse snak om "the Internet of Things" (IoT). Snakken har gået på, hvilke forretningsmuligheder det tilbyder, og de fordele det potentielt kan bringe for offentligheden og ikke mindst sikkerheden for alles privatliv og data.
IoT er en naturlig del af overgangen fra Machine to Machine-kommunikation (M2M) over IoT frem til "the Internet of Everything" (IoE).
Der er tre drivkræfter for dette - udbredelsen af internetforbundene enheder på et globalt plan, den eksplosive vækst af platformuafhængige applikationer og veletablerede netværksteknologier, som ville kunne forbinde milliarder af forskellige enheder billigt og uden besvær.
Real-time-indsigt og intelligens, 24/7-tilgængelighed samt automatisering og omkostningseffektivitet er blandt de mange fordele, IoT tilbyder, og både virksomheder, statslige organer og forbrugerne kan drage fordel af det.
Markedsmulighederne er enorme. Det forventes, at der vil være omkring 26 milliarder enheder inden 2020.
For eksempel estimerer Gartner, at IoT-produkt og -serviceleverandører vil være i stand til at generere ekstraindtægter, som vil overstige 2.000 milliarder danske kroner i 2020. IDC forventer, at det verdens-omspændende marked for IoT-løsninger vil vokse fra 13 milliarder kroner i 2013 til 47 milliarder kroner i 2020.
Datatab gennem IoT er en trussel mod forretningen
IoT vil transformere den måde, vi gør tingene på - hvad end det er kommunikation mellem mennesker, samarbejde eller handel. Flere innovative løsninger og tjenester vil opstå på bagrund af IoT.
Ulempen er dog, at IoT også vil medføre betydeligt højere sikkerhedsrisici. Først og fremmest vil IoT lægge tonsvis af personlige informationer og aktiviteter online. Disse informationer og aktiviteter vil med lethed kunne komme i fare på grund af to forhold:
- IoT vil medbringe en voldsomt forøget eksponering af netværket
- Softwaren, som styrer IoT enheder, er ofte usikker og kan uden for meget besvær hackes.
Dette kan være en farlig kombination, især i en tid, hvor brugere og medarbejdere forventer, at firmaer beskytter vores personlige data.
Virksomheder har ansvaret for både at beskytte egne forretningsaktiver og kunde- og medarbejderinformation om indkomst-, købs- og søge-historik samt mange andre sensitive informationer.
Skiftet fra "blot" at sikre brugere mod uautoriseret kreditkort-transaktioner til sikring af personlig information og data finder sted på globalt plan. Et brud på disse forpligtigelser kunne få store negative konsekvenser for en virksomhed.
En nylig, global IoT-undersøgelse foretaget af Fortinet viser for eksempel, at 62 procent af de adspurgte ville føle sig ekstremt krænkede og enormt vrede til et punkt, hvor de ville skride til handling, hvis de fandt ud af, at en IoT enhed i deres eget hjem hemmeligt indsamlede personlig information om dem selv og delte denne information med andre.
66 procent af de adspurgte svarede, at hvis en kendt IoT-enhed indsamler data, er det kun dem selv og personer, de har givet adgang, som bør se disse data.
Den seneste tids skriverier om Samsung-tv, som "aflytter brugerne", bekræfter i øvrigt klart resultaterne af denne undersøgelse.
IoT enheder kan nemt hackes
Det kræver ikke den stor ekspertise at bryde ind i en IoT-enhed, da de som regel kører forskellige open source-operativsystemer.
I de fleste tilfælde kører IoT-enheder med nye protokoller såsom Universal Plug'n Play (UPnP), som har langt flere mangler og svagheder end de ældre mere veletablerede protokoller.
Dernæst er det meget sjældent, at IoT-producenter designer og bygger enheder med sikkerhed i tankerne. Dette betyder også, at når en enhed bliver hacket eller udsat for et angreb, har virksomhederne ikke den store mulighed for at forhindre det.
Microsoft og Adobe - to store softwareleverandører - har som bekendt utallige gange været udsat for hackerangreb.
For at mindske dette problem har de opbygget en sikker udviklingscyklus, som får hyppige opdateringer for at gøre softwaren endnu mere sikker. Hvis et angreb skulle ske, står en række hold klar til at kæmpe imod - disse hold kaldes 'product security incident response teams' (PSIRTs).
Ud over dette har de største softwareleverandører indbygget mange sikkerheds-tjek i deres produkter, hvilket mindsker risikoen for et succesfuldt angreb.
Adobe Reader indeholder nu for eksempel en "Sandboks" for at give en højere grad af beskyttelse for angreb.
Denne slags forsvar har IoT-enheder sjældent indbygget. Tilmed vil der med tiden kun komme en større kompleksitet og integration af IoT-enheder, hvilket vil betyde at, de vil kunne være endnu mere udsat for sikkerhedsfejl.
Størstedelen af disse fejl vil højst sandsynlig ske gennem traditionelle web-baserede grafiske brugergrænseflader, som styrer IoT-enheden.
Fortinet's forskningsteam for ukendte trusler "FortiGuard Labs", har allerede fundet ud af, at hackere er begyndt at gå efter utraditionelle mål som IoT-enheder. Antallet af angreb er endnu ikke så stort, men det vil uden tvivl blive større i de kommende måneder og år.
IoT-enheder er et let mål for hackere, da det kun er de færreste virksomheder, som har en "PSIRT" gruppe på plads på dette område. Dette betyder, at et hackerangreb mod IoT-enheder har en langt større mulighed for at blive succesfuldt og stå på i længere tid.
Hvis en enhed forbundet til internettet har lagringsplads, hukommelse og en processor, er den en perfekt kandidat til et hackerangreb.
Det ses til tider, at en IoT-enhed virker som en slags "affyringsrampe" til et større, mere betydningsfuldt angreb til det interne netværk.
Netværks-baseret kontrol er den eneste mulighed for at sikre IoT
De fleste IoT-enheder har ikke en antivirus-kontrol, som er sat op af leverandøren - og selv om de havde, ville det være ekstremt svært at styre på grund af størrelsen og kompleksiteten i hele IoT-økosystemet.
Dette betyder, at netværks-baseret kontrol er den eneste mulighed for at sikre IoT. Alle netværk behøver en sikkerheds-applikation, som er så intelligent, at den kan gå ned i dybden og undersøge al kode, som er blevet skrevet til disse utraditionelle platforme.
Dette kalder vi for "platform agnostic inspection" (platforms-uafhængig kontrol) og er den bedste måde at skalere sikkerhed sammen med IoT.
For hvert eneste dataanmodning skal denne service være i stand til at kunne fastslå tre kritiske informationer: Hvem er brugeren, hvor er brugeren på vej hen, og hvilke data har brugeren brug for?
Det betyder, at netværket skal omfatte traditionelle netværksbeskyttelses-teknologier som firewalls, forebyggelse af ulovlig indtrængning, webfiltrering og antimalware-løsninger.
Disse ting skal være på plads for at håndhæve regler, kontrollere programmer og forhindre tab af data. Det er også ekstremt vigtigt, at alt bliver inspiceret på grund af det voksende omfang af angreb. Trusler kan gemme sig næsten overalt - de kan endda være gemt i ellers legitime trafikstrømme.
Kun med sådanne intelligente løsninger, samt veldefinerede regler og opmærksomme it-sikkerhedsmedarbejdere, kan virksomheder vinde den svære og hårde kamp for IoT-sikkerhed og holde forretningen på ret køl.