Home » Digital sikkerhet » Internet of things eller internet of shit?
Digital sikkerhet

Internet of things eller internet of shit?

Torgeir Waterhouse, Direktør internett og nye medier i IKT-Norge.

Teknologien er der og hypen og visjonene har vi hørt om lenge. Endelig begynner fokuset å dreie seg mot løsningene og hvordan vi skal utnytte mulighetene. Da må det også handle om hvordan vi skal utnytte mulighetene sikkert nok, og om vi skal koble things eller shit til internett.

Antallet IoT-enheter på nettet vokser stadig. Konsulenthus og rapportforfattere konkurrerer om å overgå hverandre i antall enheter og størrelsen på markedet. Det ønsker å selge inn et markedsføringsdrevet forsøk på å fremstå som både kulest og mest moderne.

Det høyst nødvendige fokuset på sikkerhet, både i IoT-enhetene og hele kjeden, er fraværende eller prioritert for lavt. Ganske sammenfallende med statusen til IKT-sikkerhet ellers. Det er også en av grunnene til at vi som deltok i arbeidet med NOUen «Sikkerhet i alle ledd», foreslo krav til sikkerhet i tilkoblede produkter.

På nett må de være sikret

I juni 2016 publiserte The Motherboard artikkelen «In the Future, Hackers Will Build Zombie Armies from Internet-Connected Toasters». For det er nettopp teknologi med prosessorer, lagringskapasitet og nettverkstilkobling som, sammen med sensorer, er kjernen i “things” som er på internett.

Er de på nett må de være sikret kontinuerlig, eller så er de usikre. Er de usikre vil de før eller siden bli misbrukt eller satt ut av drift. Det har skjedd, og vil skje om igjen og om igjen.

The Motherboard omtalte et eksempel på dette i september 2016, og dermed fortalte de oss i praksis at den «fremtiden» de snakket om i juni 2016 kom allerede tre måneder senere. I september 2016 ble 1.5 millioner webkameraer benyttet til å gjennomføre flere angrep. Helt enkelt fordi de ikke kunne oppdaterers med ny programvare, og dermed var helt åpne for å bli både angrepet og tatt kontroll over til eget formål av en tredjepart. Et klassisk eksempel på internet of shit – og internet of shit er farlig for oss.

Å lykkes med internet of things

Å unngå «internet of shit» og lykkes med internet of things handler i hovedsak om kompetanse, beslutninger og tilnærming til teknologianvendelse basert på prinsipper som for eksempel Najsonal sikkerhetsmyndighets grunnprinnsipper for IKT-sikkerhet. Jo mer av teknologibeslutningene du overlater til markedsførere og reklamebyrå uten tung teknologi- og sikkerhetskompetanse, jo mer øker sannsynligheten for at du havner i problemer.

I 2018 fikk vi, som forventet, mange stygge eksempler på hvor galt det kan gå: Mange så spektakulære at de fremstår som et plot fra Hollywood, der det er vanskelig å se for seg at alt kan være mulig.

Kontroll på eget nettverk

I tillegg til vurdering av hvilke things eller ting det er hensiktsmessig å ta i bruk, og en vurdering av sikkerheten i dem, er det helt avgjørende å ha kontroll på eget nettverk; hva som er koblet til det, hvordan det er delt inn i soner og hvilken trafikk som er i nettet.

I fjor ble det kjent hvordan et casino i Las Vegas erfarte konsekvensen av å ha usikrede internett-tilkoblede produkter i eget nett. Kriminelle skaffet seg tilgang til casinoets nettverk ved at de fant frem til et internett-tilkoblet termometer. Et termometer i et akvarium som noen hadde koblet til nett. Det er ikke noe poeng å diskutere om det var nødvendig eller ikke, hvilken verdi for hvem og så videre. Den relevante diskusjonen er hvorfor det var koblet til casinoets interne nettverk. Fordi det var det, klarte de kriminelle både å sikre seg casinoets high roller database, og kryptere den så casinoet selv ikke lenger hadde tilgang til dataen om noen av de viktigste kundene sine. Hvilke risikovurderinger var gjort? Hvilke teknologiske vurderinger var gjort?

Må ta sikkerhet på alvor

Et godt eksempel på hvordan dårlige beslutninger leder til store problemer er historien om da Maersk besluttet å ikke holde Windowsmaskiner oppdatert, og ble offer for «Not Petya». I dette tilfellet var det ikke snakk om IoT, men prinsippet er det samme. Fordi Maersk ikke tok sikkerhet på alvor var hele redieriet ute av drift. Hele rederiet! Et strømbrudd i Ghana gjorde at en server var offline under angrepet, noe som reddet gigant-rederiet fra å gjøre som en viss norsk fregatt.

Uansett tjenester, tradisjonener, organisering og om vi drifter og sikrer teknolgien selv eller har satt det bort, må vi se på vår egen kompetanse og evne til håndtering, og stille oss selv vanskelige spørsmål. Forstår vi teknologien? Forstår vi konsekvensen av den? Forstår vi den tekniske gjelden vår? Forstår vi konteksten av teknologien og bruken den inngår i? Forstår vi våre egne interne mekanismers kompetanse og points of failure?

[1] https://www.nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/

Av: Torgeir Waterhouse, Direktør internett og nye medier i IKT-Norge

Next article