Ikke glem sikkerheten på tingenes internett

Smarte byer, tilkoblede enheter og styring ved hjelp av kunstig intelligens er teknologier med en lysende fremtid. Det er bred enighet om at verdipotensialet er enormt; samfunnet vil spares for store summer, samtidig som levestandarden vår blir bedre. 

- Mulighetene her er så store at vi er nødt til å realisere dem. Internet of Things vil eksplodere og benevnelsen «Internet of Everything» er allerede etablert, men jeg tror det vil gjøre vondt på veien. Akkurat nå ser mange mørkt på det, men jeg er ikke en av dem – ikke i det lange løp, sier Rolv R. Hauge, ansvarlig for telekom-sikkerhet i Telenor Norge.

– Situasjonen vil bli verre før den blir bedre, men for mye står på spill til at status quo på IoT-sikkerhet vil kunne vedvare. 

De mørke skyene den mangeårige sikkerhetseksperten viser til har blant annet sin årsak i at verken trusselbildet, sikkerhetsbehovet eller sikkerhetsutfordringene er godt forstått av de involverte aktørene, og incentiver og risiko ikke er plassert der det er best mulighet til å påvirke sikkerheten. Antallet IoT-enheter vokser allerede med ekstrem fart, og ny kommunikasjonsteknologi stimulerer til ytterligere vekst. Parallelt øker misbruket av enhetene eksponentielt, mens IoT-sikkerheten jevnt over er dårlig og utvikles alt for langsomt, ifølge Hauge.

– Mange av Internet of Things-aktørene, både de som lager produktene, appene og IT-systemene, har et håpløst naivt og lite kompetent forhold til IT-sikkerhet, sier sikkerhetsekspert Rolv R. Hauge i Telenor. 

Den mangeårige sikkerhetseksperten loser oss gjennom flere av utfordringene IoT, og hva du som aktør i bransjen bør være bevisst på. Etterhvert som IoT brer stadig mer om seg, kan nemlig mobilnettet få en sentral rolle i arbeidet med sikkerheten.

Internet of Things begrepet favner svært vidt, og «tingen» kan være alle mulige gjenstander, fra stridsvogner til leketøy. Selv enkelte mennesker er i dag koblet til internett via en pacemaker. Eller sporingsbrikker i kuer, som i et tilfelle i Danmark ble hacket og gjort om til et botnet; enorme nettverk av små datamaskiner som brukes for å angripe både selskaper og stater. 

Lekebamser ble hacket  
I år ble det også avdekket at leketøys-produsenten Spiral Toys, som solgte en oppkoblet kosebamse for barn, heller ikke var sikret og kunne misbrukes til avlytting. Attpåtil ble kontoinformasjonen til 800.000 brukere og 2,2 millioner lydopptak fra kosebamsene lekket fra en usikret database knyttet til den medfølgende appen. 

– Det er ikke det at produsentene i IoT-verdikjeden ikke bryr seg om sikkerheten, men mange aner ikke hvordan de går frem. Det er mange aktører i denne bransjen som er flinke til å lage leketøy, biler eller kameraer, men som historisk sett ikke har trengt å ha særlig kompetanse på cybersikkerhet. Inntil nå.  

Bilbransjen tar grep 
Som et eksempel på en bransje som har tatt dette til seg og nå forstår utfordringen, trekker Hauge frem bilbransjen. En bil har i alle år vært en uavhengig enhet på fire hjul, men da de ble koblet til Internett uten god sikkerhet, og uten at systemene i bilen var designet for det, ble de raskt et yndet mål. Alt fra å åpne dørlåsen til å regulere bremser og gass kunne plutselig gjøres fra hvor som helst i verden.

– Bilbransjen er et eksempel der det virkelig tas grep nå. Det skyldes dels at de har incentiver til det – ikke bare gjennom mulig dårlig publisitet som følge av bil-hacking, men fordi de allerede har regulatoriske rammebetingelser som holder dem ansvarlig for kundenes trygghet ved bruk av bilene. Det skal ikke mer enn et par alvorlige hendelser til for at sluttkundene kommer til å forvente at produktene de kjøper er trygge. På samme måte som at elektrisk utstyr er CE-merket, som en garanti for at de ikke tar fyr når du kobler dem til strøm.

Én utfordring er at selve tingen som er koblet til nett kan hackes, så uvedkommende kan se webkameraet i hjemmet ditt eller gjøre lydopptak gjennom et leketøy. En annen og vesentlig større utfordring er at disse tingene også kan misbrukes til å gjøre noe helt annet enn den opprinnelige funksjonen. 

– Hackerne tenker utenfor boksen, og ser hvordan denne tingen kan utgjøre en trussel utenfor bruksområdet den er laget for. Det vanligste akkurat nå er at sårbare ting utnyttes til å lage botnet, sier Hauge og fortsetter:

– Det som også skjer er at tilsynelatende harmløse konsumentprodukter tas med på jobb og blir koblet til et kontornett. Da kan den hendige dingsen plutselig brukes som et springbrett for å kompromittere bedriften og dens IT-systemer, for eksempel for å drive industrispionasje.

Den tredje utfordringen med sikkerhet innen Internet of Things som Hauge trekker frem, er at tingene i økene grad blir produsert av tradisjonelle produksjonsbedrifter. Dette er typisk selskaper som aldri har vært et IT-selskap, men en produsent av biler, leketøy eller kjøkkenutstyr. Disse selskapene har av naturlige årsaker ikke et våkent forhold til cybersikkerhet, fordi de aldri har drevet med IT tidligere – og kanskje fortsatt ikke har forstått hva det innebærer at de nå gjør det.

– Tenk både på selve enheten, styringssystemet til den, appen og den tekniske infrastrukturen. Alle disse områdene har sine design- og, ikke minst, livsløpsutfordringer som stiller krav til organisasjonen, prosessene og kompetansen hos produsenten. Alle bedrifter som lager IoT-produkter må skjønne at de har havnet i IT-bransjen, og da må tenke cybersikkerhet. Det vil også være nytt for mange produsenter at de proaktivt må følge opp tingens sikkerhet i hele dens tiltenkte levetid – til forskjell fra å bare håndtere reklamasjon hvis den går i stykker, sier Hauge.

– Det viktigste er å erkjenne at du har havnet i IT-bransjen, og at du da trenger å få IT- og cybersikkerhetskompetanse inn i din egen organisasjon. Det er ikke mangel på anbefalinger, standarder og retningslinjer som kan gi et ganske sikkert IoT-produkt, men disse må forstås og følges.

Parallelt med at tingene i Internet of Things med svak sikkerhet blir utnyttet, har også angriperne blitt stadig mer kompetente.

– Vi ser en økning i hvor sofistikerte de organiserte kriminelle er. Tidligere var det bare nasjoner som hadde tilgang til så avanserte verktøy som vi nå ser at organiserte kriminelle tar i bruk, sier Hauge. 

– Risikoeksponering og relevante trusselaktørers motivasjon og evner må ikke bare vurderes ut fra at tingene påvirker virksomheter og brukere, men også ut fra skadepotensialet mot samfunnet som en helhet. Internet of Things-enheter er eller blir å finne i alle verdikjeder og bransjer, og angrep mot løsningene de er tilknyttet har stort potensiale til å påvirke samfunnskritiske funksjoner og sentrale aspekter i vår forventning til et normalt liv. 

I forbindelse med fremveksten av IoT-baserte botnet har det blir svært tydelig at det i tillegg til kunnskap og teknisk instrumentering for sikkerhet, også mangler incentiver og ansvarsplassering, i følge Hauge:

– Eierne av IP-kameraer og videoopptakere som er innrullert i et botnet og misbrukes til DDoS-angrep, er ikke selv klar over at de har et problem.  Tingen virker jo fortsatt, sier han, og fortsetter: 

– Selv om det hadde vært mulig for brukerne å treffe preventive tiltak i forkant, som for eksempel endre standardpassord, og reaktive tiltak i etterkant som å oppgradere firmware, har de ingen incentiver for å gjøre det. Det blir jo heller ikke bedre av at begge disse mulighetene mangler på mange av de angrepne tingene, sier Hauge oppgitt. 

– Og selv om mulighet til oppgradering av programvaren er der, er det jo slett ikke sikkert at leverandøren fortsatt gir ut sikkerhetsoppdateringer til den aktuelle tingen, mens eieren likevel gjerne vil fortsette å bruke den.

Fordi preventiv sikring ikke er nok, blir sikkerhetsovervåkning helt sentralt. Du må forvente at endepunkter i et nettverk, som tingene jo er, kan bli kompromittert, og bygge sikkerhetsovervåkning for å avdekke det.

– Tradisjonelle endepunkter, som PC-er og servere, overvåker vi gjerne både gjennom instrumentering av selve endepunktet, og analyse av trafikken som går til og fra. Ofte er imidlertid både mulighetene til instrumentering av selve tingen for sikkerhetsovervåkning, og aktivering av omfattende logging fra den, svært begrensede eller ikke-eksisterende. Da står vi igjen med trafikken, sier Hauge. 

Internet er overalt, og det er både enkelt og billig å etablere konnektivitet ved å eksponere tingen direkte til internett. 

– Ikke alle ting bør eksponeres direkte til internett eller kommunisere i samme trafikkplan som «alt annet», sier Hauge, og fortsetter: – Både segmentering og minimering av angrepsflate er veletablerte sikkerhetsprinsipper som vi også bør følge for IoT. 

Beskyttelse gjennom tilkoblingen 
Med sikkerhetsutfordringer knyttet til alle ledd i IoT-løsningene, både selve tingen, appen, databasen, styringssystemene og mer, er det mye å holde kontroll på. Men det er ett ledd i verdikjeden som relativt enkelt kan kontrolleres, og automatisk gi deg bedre sikkerhet: en trygg og god kommunikasjonskobling.

– Nå kommer det to nye kommunikasjonsstandarder i 4G-nettet, som er bygget for Internet of Things. Mobilnettbasert kommunikasjonslinje muliggjør både lavere eksponering på Internett og bedre segregering av kommunikasjonen, forteller Hauge.