Artikel top billede

Sådan kan vi få styr på de ekstreme it-sikkerheds-risici i Internet of Things

Apparater med indbygget internetadgang er en tikkende bombe under sikkerheden. Identitet kan være med til at løse problemet.

Hvem er du, kære maskine?

Det spørgsmål skal de intelligente dimser i vores liv fremover kunne besvare. For at få et sikkert Internet of Things (IoT) har vi brug for Identity of Things.

Internet of Things vokser hurtigt. Stadig flere elementer i vores hverdag kan gå på nettet og dermed betjene os mere intelligent.

Vi kan tænde for varmen i sommerhuset hjemmefra via en app, så huset er varmt, når vi ankommer.

Lægen kan fjernstyre patientens pacemaker, så dens indstillinger kan ændres, uden at det kræver en operation.

Bilen kan hente trafikinformation over nettet og lede os uden om trafikpropper.

Men de smarte dimser medfører nye sikkerhedsrisici.
For eksempel skal der være styr på, hvem der ændrer på opsætningen af pacemakeren.

Hvordan ved pacemakeren, at en kommando kommer fra patientens læge?

I sikkerhedskredse er man begyndt at tale om Identity of Things. Det handler om metoder til at identificere vores dimser.

Eksemplet med den hackede pacemaker er ekstremt.

Men behovet viser sig også i mere dagligdags teknologier.

For nylig er websteder blevet ramt af overbelastningsangreb fra botnettet Mirai.

Computerne i Mirai er ikke pc'er eller servere. I stedet er de typisk digitale videooptagere.

Mirai-programmet har let ved at inficere apparaterne. De har nemlig en standardbrugerkonto med tilhørende standardpassword.

Sikker opdatering

Mirai-botnettet demonstrerer behovet for stærkere identitet for apparater. Ligesom vi styrer menneskelige brugeres adgang til it-systemer med autentifikation, skal vi gøre det for apparaterne.

En af de store udfordringer ved Internet of Things er vedligeholdelse af firmware.

Når sikkerhedsforskere finder et sikkerhedshul, skal det lukkes. Producenten kan som regel forholdsvis hurtigt skrive en ny version af firmwaren.

Problemet kommer, når den nye version skal ud til apparaterne.
Vores dimser kører ikke et tjek for nye opdateringer en gang om måneden.

Derfor skal brugerne selv aktivt opdage, at der er kommet en ny version af firmwaren.

De skal finde ud af, hvordan de opdaterer deres dimser. Og de skal gøre det, hver gang der kommer en ny version.

Det er ikke praktisk muligt. Selv med de gode systemer til opdatering, Windows og MacOS tilbyder i dag, kører mange med forældede softwareversioner på deres pc.

Hvordan skal vi så forvente, at forbrugerne kan holde deres apparater opdateret?

Et led i Identity of Things er derfor også at etablere en sikker metode til at opdatere udstyret.

Måske kan PKI (Public Key Infrastructure) blive en del af løsningen.

Ved hjælp af digitale certifikater kan et apparat sikre sig, at det kun modtager opdateringer og kommandoer fra autoriserede kilder.

Mit personlige apparat

Et andet element i Identity of Things er forbindelsen mellem apparat og menneske.

I nogle tilfælde er der brug for at koble apparatets og dets brugers identitet sammen.

For eksempel kan en pacemaker vide, at den er indopereret i en bestemt person.

Når min bil kører ud af et parkeringshus, skal afregningssystemet være sikker på, at jeg kun bliver opkrævet for min egen parkering - ikke for andre biler, der har været parkeret der.

Mangler vi et CDR?

I USA er myndighederne opmærksomme på problemet med usikre dimser på nettet. Department of Homeland Security har for nylig udgivet en samling strategiske principper for at sikre Internet of Things.

Et grundlæggende princip er, at sikkerheden skal ind i produkterne allerede i designfasen.
I Danmark holder centrale systemer som CPR og CVR styr på identiteten af henholdsvis borgere og virksomheder. Måske er det på tide med et CDR - Centralt Dimse-Register?

Det kunne give apparaterne sikkerhed for, at de kommunikerer med den rigtige tjeneste.

Men hvis det laves forkert, åbner sådan et register for problemer med privatlivsbeskyttelsen.
Ovenstående ideer til løsninger er kun løse tanker fra min side.

Dimsernes identitetsproblem må løses i et samarbejde mellem producenter, brugere og myndigheder.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Læs også:

Når IoT-enheder er det svage led: Sådan går ransomware-hackerne på jagt i dit netværk

Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?

Alle taler om internet of things - men Danmark har slet ingen IoT-sikkerhedsplan

Internet of things er på trapperne: Fem skridt mod bedre sikkerhed

Internet of Things kommer til at ændre alt: Sådan vil du kunne koble både droner og maskiner direkte til dit ERP-system




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere