Systemutveckling

IoT och Security of Things

Läs om aspekter och saker att tänka på kring säkerhet, samt riskerna kring att man ser IoT som något helt nytt och annorlunda från hur vi brukar tänka kring IT och säkerhet.

Vad menas när något är Smart eller Connected? Egentligen så pratar vi om saker som är uppkopplade till Internet. Så hur kommunicerar de? Vilka portar är öppna? Användes kryptering? Hur görs Authentication? De här delarna är mycket viktiga för säkerhet, men av någon anledning så tror vi ibland att de inte gäller när vi pratar IoT.

En studie som HP gjorde under 2015 visade på säkerhetsbrister i samtliga IoT devices som testades. Lärdomen är inte så mycket i vilka specifika brister som påvisades, utan att området säkerhet är eftersatt, och något som måste upp på bordet inom IoT.

“Framtidens market leaders inom IoT kommer att utmärka sig inte bara genom innovation, utan också genom hur de hanterar säkerhet”.

Sjävklart kommer innovation att skapa många nya aktörer på marknaden, och med största säkerhet så kommer dessa att få ett starkt kassaflöde under lång tid. Men samtidigt ska man vara medveten om att när dessa produkter vinner mark så blir de också intressanta för personer med mindre goda avsikter att utforska säkerhetsluckor. Detta har varit ett faktum under ganska lång tid, och på gott och ont något som är en del av hur mänskligheten fungerar.

Det är också intressant att tänka på konsekvenserna av säkerhetsbrister på samma sätt som vi tänker miljöpåverkan. Om en tillverkare inte bryr sig om säkerhet för att deras produkter inte innebär någon direkt risk, så kan deras produkter istället användas som ett medel för att göra attacker mot något annat mål.

Idag hör vi relativt sällan om hur bot-nätverk utför digitala attacker mot specifika företag eller länder. Samtidigt så vet vi att dessa attacker köps och säljs på darknet och andra områden där det i stort sett är omöjligt att stoppa denna affärsverksamhet. Det man ska tänka på är att många personer faktiskt är delaktiga i dessa attacker, även om de inte själva vet om det. Det kan röra sig om malware eller virus som har lyckats ta sig in på deras datorer, säkerhetsluckor eller direkt ansvarslöst användande. Detta har även börjat sprida sig till mobila devices, och kommer definitivt att sprida sig till IoT devices också.

Det är här som the Open Web Application Security project (OWASP) och deras underprojekt IoT sub-project kommer till räddning. Som en del av deras arbete så tillhandahåller de en checklista för att testa säkerhet på en IoT device vilket är till stor hjälp för att identifiera och förstå många aspekter inom IoT security.

Ett annat mycket bra initiativ kommer från “I Am The Cavalry”. Deras budskap är att vårt beroende på datorteknik ökar snabbare änb vår förmåga att skydda oss från hot. Om man har intresse för IoT security så rekommenderar jag dem verkligen, eftersom de tar upp väldigt konkreta best practises inom ett antal fokusområden.

Man behöver inte vara alltför pessimistiskt lagd för att börja tänka vad följderna skulle kunna bli efter att världen fått uppleva ett antal massiva IoT attacker, antingen i form av breda attacker på hela länder eller samhällstjänster, eller i form av mer inriktade attacker på specifika företag eller produkttyper.

Hur lång tid tar det innan regeringar börjar prata om regulatoriska krav för att möta ett massivt (och ökande) problem? Direktiv om datalagring är något som vi alla känner till i dagsläget, och frågan är vad som skulle krävas innan tillverkare inom IoT får liknande direktiv för hur man implementerar (och underhåller) aspekter inom säkerhet.

“Det är bara en fråga om när IoT Security, av nödvändighet, kommer att bli reglerad genom lag”

Det är värt att komma ihåg att säkerhet från en tillverkares perspektiv tyvärr ofta stannar efter leverans. Om en brödrost eller lampkontakt har säkerhetsbrister så brukar inte de ses som lika allvarligt som brister inom brand- eller hälsorisk. Om en brödrost skulle kunna vara del av ett bot-nätverk, vilket incitament har tillverkaren att lägga resurser på att patcha dessa (med antagande att det överhuvudtaget är möjligt)?

Det är också en fråga om tillverkaren överhuvudtaget skulle veta om det, eftersom det kan vara så att de inte testar deras IoT enabled brödrost vad gäller säkerhet.

Så vad ska man göra?

“Se säkerhet inom IoT som ett sätt att särskilja sig på marknaden”

Sammanfattningsvis:

  • Sätt säkerhet centralt i alla diskussioner om IoT
  • Använd OWASP IoT och “I Am The Cavalry”
  • Var medveten om vad IoT innebär i form av sårbarheter och risker, samt hur produkter kan användas både direkt och indirekt
Skrivet av: