IoT-sikkerhet del 1: En Introduksjon til IoT
Alle som ikke har bodd under en stein de siste årene har hørt uttrykket Internet of Things - tingenes internett. Men hva innebærer det egentlig?
Dette er første artikkel av en serie i tre deler som gir en innføring i sikkerhetsaspekter ved IoT. Innleggene vil diskutere hva som er spesielt med akkurat dette, hva hovedutfordringene er og hvordan vi kan gjøre sikrere valg når vi investerer i IoT.
«Tingene» i IoT er fysiske gjenstander som bearbeider eller overvåker noe, og som kan kommunisere over internett. Eksempler inkluderer roboter på fabrikker og lagre, selvkjørende biler, smarte strømmålere, atomsentrifuger, droner, kjøleskap, ringeklokker og lyspærer. IoT har fått stor oppmerksomhet, men har du også fått med deg sikkerhetsutfordringene?
Det er alltid sikkerhetsrisiko involvert i it, men siden IoT-feltet er umodent og i rask vekst, får vi fort et litt uklart bilde av hvilken risiko vi står ovenfor. Overskriftene har vært dramatiske, med uttrykk som «Internet of Threats» og «Insecurity of Things». Det kan virke som IoT er belastet med et sikkerhetsmessig dårlig rykte. Hva handler alt dette om?
Sikkerhetsrisiko
Det er liten tvil om at sikkerhet stadig får mer oppmerksomhet, spesielt innen forretnings-it. Forretningsapplikasjoner er ofte så komplekse at å gjøre dem 100 prosent sikre er praktisk umulig. Det finnes ingen absolutt sikkerhet når kompleksiteten er høy nok.
Selv om en bestemt sikkerhetsteknologi kan være «umulig» å knekke, utgjør denne kun en liten del av et stort puslespill. Når en infrastruktur vokser i antall systemer - leverandører, nettverk, datasentre og eksterne grensesnitt - og i tillegg får et bredt spekter av involvert personell, setter kompleksiteten grenser for hvor sikre vi klarer å være.
Dermed blir vi vant til at selv veletablerte selskaper verden over mister kundedata, for eksempel har kredittkortdata forsvunnet i milliontall. Hackere finner som regel en vei inn hvis de prøver hardt nok. Sikkerhetsbruddene er ofte resultat av dårlig sikkerhetsstyring, men også selskaper med stort fokus på sikkerhet må aksepterer en viss risiko hver dag.
Sikkerhet kan sies å være en prosess med formål å håndtere denne risikoen. Virkemidlene i prosessen kan være tekniske, som kryptering, og ikke-tekniske, som for eksempel å tegne en forsikring mot cyberangrep. Alt dette er kjent stoff. Men hva er så spesielt med IoT?
Det fysiske domenet
Selv om tradisjonelle sikkerhetsutfordringer er gjeldende også for IoT, er det flere aspekter med sistnevnte som gjør det unikt. En av hovedårsakene til dette er at vi i IoT introduserer digital kontroll over fysiske prosesser, for eksempel bilkjøring eller administrasjon av et strømnett, som igjen betyr at trusler mot sikkerheten kan få større implikasjoner i den fysiske virkeligheten. Å tukle med maskiner og sensorer i IoT kan forårsake fysisk skade.
IoT-hacking kan for eksempel skape problemer for et fly i luften. Eller avbryte behandlingen av en sykehuspasient som er avhengig av intelligent medisinsk utstyr. Et tjenestenektangrep (Denial-of-service) mot en internettilkoblet pacemaker, illustrert i TV-serien “Homeland”, er et ekstremt men ikke urealistisk eksempel hvis sikkerhet ikke var inkludert i designet av pacemakeren.
Tradisjonelle sikkerhetsområder, som konfidensialitet og integritet, kan innen IoT bli utilstrekkelig. Menneskelig etikk er i ferd med å strekkes. Biler blir smarte “moralske maskiner”, som på millisekunder må kunne gjøre beslutninger om hvilke liv som skal reddes og ikke rett før en ulykke.
Insecurity of Things
Slik markedet fungerer i IoT i dag, tar teknologisk innovasjon innersvingen på bevissthet og kunnskap innen sikkerhet. Sikkerhetsekspertene havner i baksetet, mens kappkjøringen handler om funksjonalitet. Mange nye leverandører strømmer til markedet, med lite til ingen sikkerhetserfaring. Gartner anslår at innen 2017, vil 50 prosent av alle IoT-løsninger komme fra start-up-selskaper mindre enn tre år gamle. Og ikke overraskende kan vi innen 2020 forvente at mer enn 25 prosent av alle identifiserte sikkerhetshendelser involverer IoT.
Vi ser flere eksempler i nyhetene allerede, som angrepene på energimarkedet i USA, og vi ser at ikke engang atomkraftverk er trygge for IoT-relaterte sårbarheter. Aller mest kjent er Stuxnet-angrepet mot Irans atomprogram.
Det ble også vist at for et populært IoT-kamera tok det bare 98 sekunder fra enheten ble koblet på internett, til den var infisert med skadevare. Dette er mindre tid enn de fleste ville brukt på å bytte administrasjonspassordet på enheten. De infiserte IoT-enhetene blir brukt til å angripe andre mål, som del av «botnets». Mest kjent i disse dager er kanskje Mirai, med sitt angrep på DynDNS og en kjent sikkerhetsjournalist.
Sikkerhet som ettertanke
Sikkerhet har blitt en ettertanke i utviklingen av dagens IoT-løsninger, og vi ser konsekvensene allerede. Sikkerhetsrisikoen forsvinner ikke, men vil kunne reduseres etter hvert som forståelsen økes både hos kunder og leverandører.
Sikkerhetsbrudd kan skade et selskaps eiendeler, renommé og markedsposisjon generelt. Det kan enkelt rive ned hardt opparbeidet «digital tillit» mellom bedrift og kunde. De som vil, kan la seg skremme av denne videoen, som viser hvordan hackere tar full kontroll over en Jeep Cherokee. Neppe god reklame for produsenten.
På den andre siden: Innen IoT er det i dag kort vei til at sikkerhet kan differensiere et produkt fra konkurrenter. Den som ser dette som en mulighet er på rett spor.