Home » Samfunnssikkerhet og beredskap » Tingenes Internett: En kjempeutfordring for sikkerhet og personvern
Sponset

UiO, SINTEF og Datatilsynet skaper løsninger.

De fleste anvendelser av Tingenes Internett (IoT) vil være som sensorer for innsamling av data. Ofte vil disse dataene være relatert til mennesker, som dermed gjør at dataene regnes som personopplysninger.

– Det raskt økende antall IoT-dingser vil skape en tsunami av personopplysninger, som igjen kan medføre enorme konsekvenser i henhold til lovverket for de som samler inn personopplysninger, sier fagdirektør Veronica Buer i Datatilsynet.

– Innsamling av personopplysninger skal ha et hjemmelsgrunnlag, enten via lov eller via samtykke. Samtykke fra den det samles inn personopplysninger om, kan for eksempel gjøres via et web-grensesnitt. Dette kan være vanskelig å få til for tingenes internett, og det må derfor kanskje gjøres på andre og nye måter, fortsetter Buer.

– Når det oppstår motstridende interesser ved digitale tjenester er det ikke alltid at personvern vinner, sier masterstudent Mayouran på UiO.

– Som oftest vil innovatører prioritere nyskapende funksjonelle løsninger. Dette skyldes blant annet kravet om å levere resultater innen begrensede tidsrammer og ressurser. Dermed blir utviklere ofte presset til å prioritere personvern lavere enn funksjonalitet og brukeropplevelse, fortsetter Mayouran.

Som en del av sin masteroppgave har Mayouran utviklet en modenhetstest, et viktig element for å sjekke samsvar mellom kravene til personvern, herunder krav til informasjonssikkerhet og funksjonalitet i utvikling av IoT-tjenester. Førsteamanuensis Nils Gruschka fra UiO og fagdirektør Veronica Buer fra Datatilsynet er veiledere for Mayouran. Løsningen han jobber med består av en smart webtjeneste som vurderer personvern, og samtidig gir spesifikke og skreddersydde anbefalinger om hvordan virksomheter kan utvikle IoT-tjenester med innebygd personvern. Tanken bak denne løsningen er å gi virksomhetene god veiledning basert på Datatilsynets veileder for «Programvareutvikling med innebygd personvern».

– Forhåpentligvis vil denne løsningen gjøre det praktisk og enkelt å ivareta personvern og informasjonssikkerhet i IoT, sier Mayouran.

– Innebygd personvern krever at du har på plass et rammeverk for utvikling. Modenhetstesten som Mayouran har utviklet i forbindelse med sin masteroppgave kan være et viktig bidrag for IoT-utviklere for å sjekke at de er i samsvar med regelverket, sier Buer.

Aida Omerovic og Gencer Erdogan i SINTEF. Foto: UiO/Øystein Christiansen

IoT skaper både muligheter og risikoer

Tingenes internett (IoT), betyr at alle slags dingser kobles til Internett. Når disse enhetene ikke bare er smarttelefoner og nettbrett, men også for eksempel sensorer i smarte hjem, i industrien, i kjøretøy, og på mennesker og dyr, kan vi lage avanserte tjenester som aldri før var mulig.

– Potensialet for verdiskaping gjør at IoT er under stadig oppblomstring. Samtidig skaper dette en enorm eksponering for nye risikoer. Dataene blir potensielt mer sensitive. Mennesker, kritiske tjenester og infrastrukturer blir mer sårbare. Digital innovasjon er en del av fremtiden, og vi er avhengig av å kunne stole på tjenestene. IoT må utvikles med innebygd sikkerhet, sier seniorforsker Aida Omerovic fra forskningsinstituttet SINTEF.

– Samtidig er ikke teknologi alene tilstrekkelig for å håndtere risikoene. Sikkerhet og personvern må også blant annet ivaretas gjennom god beredskap, prosesser og bevissthet, legger hun til.

– Disse aspektene går hånd i hånd og kompetansen står i sentrum for å lykkes med sikkerhetsstyringen, fortsetter Omerovic.

– IoT-tjenester vil ofte være skybasert og inkludere mange aktører og ulike datasentre rundt omkring på Internett. Dette gjør at IoT får en stor eksponeringsflate overfor digitale trusler, sier forsker Gencer Erdogan på SINTEF.

– Smidig utvikling av skybaserte tjenester kalles gjerne DevOps, som betyr å kombinere utvikling (Dev) og drift (Ops). Når det samtidig gjøres med innebygd sikkerhet heter det DevSecOps, sier Erdogan.

– SINTEF jobber nettopp med å lage verktøy for risikobasert, sikker, smidig utvikling av IoT-tjenester legger han til.

Omerovic og Erdogan fremhever også viktigheten av utdanning i digital sikkerhet. De er begge veiledere for UiO-studenter på master- og doktorgradsnivå, og i samarbeid med EU-prosjektet CYBERWISER.eu utvikler de løsninger for effektiv læring og kontinuerlig oppdatering av sikkerhetskompetanse.

Undervisning i digital sikkerhet på UiO

– IT-eksperter må ha kunnskap om digital sikkerhet på samme måte som bygningsarkitekter må ha kunnskap om brannsikkerhet, sier professor Audun Jøsang ved Institutt for informatikk (IFI) på UiO.

– Vi utdanner informatikere med god kompetanse i digital sikkerhet. Som IT-eksperter i industrien vil de sørge for at nye IoT-tjenester har innebygd sikkerhet og personvern. UiO har et komplett undervisningstilbud i informasjonssikkerhet både på bachelor- og masternivå. Faget «etisk hacking» er svært populært blant studentene på IFI, sier PhD-student Tamas Bisztray.

– Her lærer studentene de samme teknikkene som nettopp brukes av hackere. Noen syns kanskje dette er kontroversielt, men det burde det ikke være, sier faglærer Laszlo Erdödi.

Laszlo Erdödi, faglærer ved UiO. Han har og bygget opp UiOs Hacking Arena nettside «hackingarena.no». Foto: UiO/Audun Jøsang

For å kunne forsvare seg mot hackere er det helt nødvendig å ha kunnskap om metodene som kriminelle hackere benytter. Derfor er det viktig å lære etisk hacking når man studerer informasjonssikkerhet. Forskjellen mellom en hacker og en etisk hacker er forskjellen mellom å være kriminell og lovlydig profesjonell. Hackere bryter seg inn i andres systemer for egen vinning uten å spørre om lov, noe som er kriminelt. En etisk hacker derimot bryter seg inn i systemer på oppdrag fra systemets eier for å avdekke mulige svakheter, noe som er en jobb for profesjonelle. Etisk hacking kalles gjerne pen-testing (penetration testing) på fagspråket, og pen-testing av IoT-enheter er også noe studentene lærer på UiO.

Av Audun Jøsang (UiO), Veronica Buer (Datatilsynet), Aida Omerovic (SINTEF), Gencer Erdogan (SINTEF)

Neste artikkel