Sådan gør du: IoT-produkter skal være lukket land for hackere
Tingenes internet buldrer frem, og det gælder også udstyr, du som installatør installerer hos dine kunder. Læs her om, hvorfor du skal tage sikkerhed i IoT seriøst. Og hvordan du reducerer risikoen for, at dine kunders IoT-udstyr ikke kan hackes.
”Forbundethed til internettet åbner også en dør eller bagdør for mulige ubudne gæster i form af hackere, der typisk er drevet af ét af tre motiver: Økonomisk kriminalitet, industrispionage eller aktivisme/terror/statslig indblanding”, fortæller Gert Læssøe Mikkelsen. Arkivfoto. .
Det vrimler med dem. I privatboliger, erhvervsbygninger og offentlige bygninger. Små IoT-enheder der er placeret i lysarmaturer, køleskabe, termostater, målere, adgangskontroludstyr, CTS-enheder, alskens sensorer, overvågningskameraer, indbrudsalarmer og så videre. De er en del af tingenes internet (internet of things, IoT) og er forbundet med en masse andre ting.
IoT er ikke fremtidsmusik. For eksempel har Ralf Schweickardt fra Legrand, der er leverandør af elektrisk installation og datanetværk i bygninger, tidligere udtalt til magasinet Installatør:
”Vi vil gerne understrege, at mulighederne allerede er her, IoT er ikke kun fremtidsmusik, det er allerede en del af folks hverdagsliv. Vi har aktuelt 20-30 IoT-enheder til hjemmet. I 2020 vil der være over 100”.
Det giver god mening og kan give en masse værdi til både brugere af bygningen, producenter af produkter, forbrugsselskaber, der let kan aflæse forbrugsmålinger, og serviceafdelinger, der automatisk får et varsel, når der er behov for at vedligeholde eller opdatere. Og meget andet. Det er fantastisk.
”Der er ingen tvivl om, at der i takt med den galopperende udbredelse af IoT-produkter, også vil være et kraftigt voksende behov hos installatørernes privat- og erhvervskunder for rådgivning, viden og konkret hjælp”, fortæller Gert Læssøe Mikkelsen. Foto: Alexandra Instituttet. .
Pas på de ubudne gæster
”Men forbundethed til internettet åbner også en dør eller bagdør for mulige ubudne gæster i form af hackere, der typisk er drevet af ét af tre motiver: økonomisk kriminalitet, industrispionage eller aktivisme/terror/statslig indblanding. Når vi taler produkter installeret i private boliger og erhvervsbygninger, er der typisk tale om økonomisk kriminalitet og industrispionage”, fortæller Gert Læssøe Mikkelsen, der er chef for Security Lab på Alexandra Instituttet.
Forsvarets Efterretningstjenestes Center for Cybersikkerhed udgiver hvert år en vurdering af trusselsbilledet mod Danmark, og i den seneste rapport fra 2019 fastslår centeret:
”Teknologiske udviklinger, såsom Internet of Things og kunstig intelligens, vil medføre nye muligheder til gavn for samfundet, men vil også åbne for en større angrebsflade for hackere. Der vil også være en øget risiko for, at cyberangreb kan medføre fysiske ødelæggelser, da enheder koblet til internettet i højere grad styrer fysiske systemer”.
Trusselsbilledet for cybersikkerhed
Trusselsvurderingsenheden ved Center for Cybersikkerhed fra marts 2019 lyder:
Truslen fra cyberspionage er MEGET HØJ. Truslen er særligt udtalt mod de dele af staten, der beskæftiger sig med udenrigs, sikkerheds- og forsvarspolitik. Truslen er også rettet mod myndigheder og virksomheder i samfundsvigtige sektorer, da hver sektor har forskellige typer viden, som fremmede stater har interesse i. Flere stater forsøger at udføre cyberspionage mod danske interesser, og det er en udvikling, der fortsætter, i takt med at flere stater opbygger og udvikler deres cyberkapaciteter.
Truslen fra cyberkriminalitet er MEGET HØJ. Myndigheder og virksomheder i samtlige sektorer i Danmark kan forvente løbende at blive udsat for cyberkriminalitet. Visse typer cyberkriminalitet kan have alvorlige konsekvenser for myndigheder og virksomheder i samfundsvigtige sektorer og derfor for det danske samfund.
Truslen fra cyberaktivisme er MIDDEL. Cyberaktivister retter sjældent deres fokus mod danske myndigheder og virksomheder. Nogle hackergrupper og individer i cyberaktivistiske netværk har dog væsentlige kapaciteter. Truslen kan derfor stige pludseligt, hvis danske myndigheder eller virksomheder kommer i cyberaktivisters søgelys.
Truslen fra cyberterror er LAV. Militante ekstremister har i få tilfælde vist interesse i at udføre cyberterror, men de har fortsat ikke kapacitet til dette.
Svært, men pokkers vigtigt
”Sikkerhed i IoT-produkter er svært at gennemskue, og det er derfor forståeligt, at området stadig ikke er særlig udviklet og måske heller ikke får den store opmærksomhed endnu. Men der er ingen tvivl om, at der i takt med den galopperende udbredelse af IoT-produkter, også vil være et kraftigt voksende behov hos installatørernes privat- og erhvervskunder for rådgivning, viden og konkret hjælp”, fortæller Gert Læssøe Mikkelsen.
Der er også et stort forretningspotentiale i serviceaftaler på IoT-produkter. For eksempel har Philips Lighting tidligere fortalt magasinet Installatør, at de forventer, at det i de fleste tilfælde vil være installatørerne selv, der indgår serviceaftaler med slutkunderne:
”Installatørerne får dermed en yderligere komponent til at fastholde kunderne. I stedet for at installere og så først se hinanden igen ti år senere”, fortalte Martin Lytken, channel marketing manager, Philips Lighting.
Typiske sikkerhedsbrister
En af de mest typiske sikkerhedsbrister i IoT-produkter installeret i bygninger er ifølge Gert Læssøe Mikkelsen en adgangskode, der er installeret per default og ikke bliver ændret af bruger eller installatør. En anden ofte set sikkerhedsbrist er de såkaldte Denial of Service-angreb, hvor en router, harddisk-optager eller anden internetforbundet enhed bliver oversvømmet med datasignaler i en grad, så produktet bliver overbebyrdet og lagt ned, så det ikke fungerer. Andre typiske sikkerhedsbrister er uinviteret adgang til overvågningskameraer – typisk fordi adgangskoden ikke er ændret fra default-opstillingen – eller såkaldt ransomware, der bliver installeret på kritiske produkter med hensigt at afpresse en virksomhed for løsesumspenge.
Syv kritiske spørgsmål til sikkerheden
Gert Læssøe Mikkelsen lister en række konkrete spørgsmål, som installatøren med fordel kan interesse sig for. Installatøren kan muligvis bruge spørgsmålene over for leverandøren af produktet, og han eller hun kan også med fordel forberede sig på disse syv spørgsmål fra bekymrede slutkunder:
Er produktet udstyret med default adgangskode, der skal ændres til slutkunde-specificeret kode?
Skal eller bliver software i produktet løbende opdateret (så mulige nye sikkerhedshuller bliver lukket)?
Kender du leverandøren, og hvordan er leverandørens omdømme?
Hvordan er risikovurderingen på dette produkt i forhold til anvendelsen hos kunden? Låsen til cykelskuret er mindre kritisk end låsen til hoveddøren, som igen er mindre kritisk end låsen til banken.
Er der relevante standarder eller retningslinjer for sikkerhed for dette produktområde? Standarder, retningslinjer, guides og best practices bliver p.t. udviklet, og der er mange nye på vej.
Overraskende mange produkter og industrianlæg er i dag online – gælder det også hos den kunde, du skal installere hos i dag? Det er ikke altid, kunden selv er opmærksom på det.
Hvad er den seneste udvikling for præcis dette produktområde? Udviklingen går hurtigt, IoT buldrer frem, og der er al mulig grund til løbende at følge med.
