Sådan sikres IoT
Figur 1: Kode for praksis for forbrugerens IoT-sikkerhed Kilde: Institut for Digital Kultur, Medier og Sport
IoT'en spredes, med omkring 66% af de organisationer, der i øjeblikket bruger IoT og en installeringsbase på omkring 17 milliarder enheder.
Analytikerfirmaet Gartner mener, at udgifterne stiger fra en anslået 1,5 mia. Dollar i 2018 til over 3 mia. USD i 2020 med en anslået 30 mia. Enheder, der stiger til 75 mia. I 2025.
Indtil for nylig var der få standarder eller forskrifter for cybersikkerhed af IoT-enheder og systemer. Traditionelle informations- og cybersikkerhedsmetoder, som f.eks. ISO 27001 og NIST Cyber Security Framework, blev designet til virksomheder, og selvom de er relevante, giver de ikke den fokuserede vejledning, der kræves for effektiv IoT-sikkerhed.
IoT cyber hændelser
Et yderligere problem er, at mange af disse produkter manglede effektive sikkerhedsforanstaltninger i haste for at udvikle og markedsføre IoT-enheder. Derfor er et stort antal af de implementerede løsninger usikre og har åbne sikkerhedsproblemer.
Gartner 2018-undersøgelsen viste, at næsten 20% af organisationerne havde set mindst et IOT-baseret angreb de seneste tre år. Disse omfattede i 2016 Mirai botnet, som kompromitterede sårbare enheder som CCTV kameraer og hjemme routere og var vant til at udføre en række distribuerede afslag på serviceangreb (DDoS), herunder en på nogle kerne-internettjenester, som resulterede i, at tjenester var Ikke tilgængelig for brugere i Europa og USA.
I et andet angreb blev kundedata stjålet fra et kasino gennem et usikkert internetforbundet termometer i en akvarium.
I løbet af de sidste par år har Brickerbot malware inficeret IoT-enheder, der har dårlig sikkerhed og overskriver firmware med tilfældige data, hvilket gør enhederne ubrugelige.
Flere forsvar
I september 2018 vedtog Californien en lov, hvori det hedder, at enhver producent af en enhed, der forbinder direkte eller indirekte med internettet, skal udstyre det med "rimelige" sikkerhedsfunktioner, der er designet til at forhindre uautoriseret adgang og modifikation. Amerikanske føderale lovgivere har mindst fem udkast til lovforslag om lovgivningen om cyber-sikkerhed i gang.
EU har offentliggjort retningslinjer for bedste praksis og sikkerhedskrav, og i oktober offentliggjorde Det Forenede Kongeriges Institut for Kultur, Medier og Sport en kodeks for forbrugernes sikkerhed. Dette fremmer 13 retningslinjer for passende IoT-sikkerhed (figur 1).
I den bredere EU har ENISA (Den Europæiske Unions Agentur for Netværks- og Informationssikkerhed) udgivet Baseline Security Recommendations for IoT med særlig fokus på kritisk national infrastruktur. Industriinitiativer har inkluderet IoT Security Foundation's Code of Practice, som danner grundlag for test og certificering af IoT-sikkerhed.
Selv om disse er en god start, er problemet, at disse praksis i EU ikke er obligatoriske. Regulatorer skal udarbejde, hvordan effektive standarder og praksis kan håndhæves pragmatisk. Opgaven for IoT-enhedsproducenter er at sikre, at produkterne er "sikre ved design og som standard".
Historisk set har industrien været langsom til at vedtage sikkerhedsstandarder, hvilket fører til behovet for regulering. Med et sådant aktivt marked kan leverandører vende sikkerhed fra at være en bekostning og en opgave til en konkurrencemæssig fordel. Manglende vedtagelse af god praksis frivilligt vil sandsynligvis udløse en overreaktion, idet der indføres restriktive og strenge regler. Selv om formelt akkreditering eller certificering for IoT er en eller anden måde, skal leverandørerne selvcertificere deres produkter og tjenester. Der er ingen undskyldning for leverandører at levere enheder og systemer med uprøvet sikkerhed.
IoT-forbrugere skal også være mere krævende om de sikkerhedskrav, de forventer af produkter, og være rede til at kontrollere, hvad de bliver tilbudt. Dette vil give udbydere reelle incitamenter til at inkludere sikkerhed ved design og som standard.
Figur 2: Sikring af tillid og sikkerhed i IOT
Selv når individuelle produkter er sikret eller certificeret, er end-to-end-løsningen ikke nødvendigvis sikker. Organisationer, der integrerer eller bruger IoT-løsninger, skal stadig være overbevist om, at det er sikret. Dette indebærer forståelse af sikkerheds- og forretningsmæssige risici, der sikrer en sikker arkitektur, der er en ende-til-ende, og at testen er blevet udført for at opfylde alle krav til privatlivets fred (figur 2).
IoT tilbyder klare forretningsmæssige fordele, men producenter, forbrugere og tilsynsmyndigheder har alle brug for at handle nu for at give den rette sikkerhed.
