Internet of Things: 8 nødvendige sikkerhedstrin

Har vi styr på vores IoT-sikkerhed? Det spørgsmål vil flere og flere stille sig selv, i takt med at IoT-løsningerne ruller ud i vores samfund i de kommende år...
Lige siden Internet of Things-tanken blev født, har den fristet en hel verden med løfter om ny viden, mere intelligente arbejdsgange og et mere effektivt ressourceforbrug. Men ligeså længe har IoT også båret rundt på en indbygget risikofaktor i form af de sikkerhedsforanstaltninger, der skal gøre Internet of Things til en ikke bare lovende, men også pålidelig teknologi.

Jørgen Egekvist Hartig er produktudviklingschef i TDC Advanced Network & Security. Han følger IoT-udviklingen tæt og betragter den med kritiske sikkerhedsbriller. Som en guide til virksomheder og offentlige organisationer har han listet 8 nødvendige trin på vejen mod en sikker og driftsstabil IoT-installation: 

1. Risikovurdering

Ved at koble enheder og sensorer på jeres netværk, udvider I angrebsfladen mod jeres organisation. Derfor skal I også vurdere konsekvensen af et potentielt angreb mod jeres netværk via IoT-løsninger. Her anbefales det, at I skelner mellem de IoT-løsninger, der er meget kritiske og følsomme overfor nedbrud/indbrud, og de løsninger, som er mindre følsomme. En IoT-løsning til styring af trafiklys er eksempelvis mere følsom end en IoT-løsning til indsamling af skrald. Disse risikoprofiler for hver af jeres IoT-løsninger kan I med fordel samle i en større risikovurdering, der går på tværs af jeres IoT-installation og leverer det fulde overblik over jeres sikkerhedsniveau.

2.  Etablering af overvågningsberedskab

En vigtig opgave er at få etableret et overvågningsberedskab med tilhørende mulighed for at opsætte alarmsystemer, der kan advisere i tilfælde af indbrud og/eller nedbrud på netværket. Det anbefales, at man har et overvågningsberedskab, der kan overvåge hele dataflowet på tværs af sensorer, infrastruktur, WAN og datacenter.

3. Malware fra fremmede enheder 

Der skal være mekanismer på jeres netværk, der kan se den eventuelle malwaretrafik, der måtte løbe gennem jeres IoT-enheder, fordi malware som bekendt kan føre til sikkerhedsbrud og ustabil drift. Det er især problematisk, når der etableres gæstenet i Smart City-løsninger, hvor kontrollen af brugernes enheder er minimal, men hvor skaden kan være stor, hvis netværkssegmentering i løsningen ikke er gennemtænkt. Desuden kan de enkelte sensorer i en IoT-løsning også hackes og udnyttes til kriminelle formål. Det anbefales derfor, at alt IoT-udstyr lever op til basale sikkerhedsstandarder. I dag er der eksempelvis IoT-sensorer på markedet, som ikke understøtter ”end-to-end”-kryptering, tilstrækkelig password-sikkerhed med mulighed for brute force-angreb mod enhederne, webbrowser-adgang osv. 

4. Identitet og netværksstyring

Der skal være styr på og føres opsyn med alt og alle, der har adgang til jeres netværk. De almindelige discipliner omkring netværksadgang, autorisation og validering af identiteter er vigtige i forbindelse med design og vedligeholdelse af IoT-infrastrukturen. I skal være sikre på, at de enheder, der er koblet på jeres netværk, rent faktisk også er jeres enheder og ikke en falsk komponent, der udgiver sig for at være en enhed i jeres IoT-løsning. 

5. Overblik og test af sårbarheder

Et overblik over sårbarheder i jeres infrastruktur er en klassisk it-disciplin, som skal overføres til håndteringen af jeres IoT-enheder. Der findes services på markedet, der automatisk kan holde øje med opståede sårbarheder på jeres netværk, udsende en alarm samt advisere om, hvad I bør gøre. Nogle IoT-enheder kan være så specialiserede og kritiske for organisationen, at det anbefales at etablere en proces til gennemførelse af egne sårbarhedstests ved anskaffelse af enheder og løbende softwareopdateringer.

6. Integritet og kryptering 

Det er vigtigt at sikre dataflow fra sensor til datacenter, så integriteten i løsningen er intakt, og så I kan stole på de data, der kommer ind til de overordnede applikationer i IoT-løsningen. Dette gøres både ved hjælp af kryptering og ved hjælp af netværksstyring i løsningen samt ved sikring af information i datacenteret. Jeres IoT-løsninger kan også være underlagt compliance-regler i forhold til gældende love og regler for håndteringen af eksempelvis følsomme data. Her er det afgørende, at den nødvendige form for dokumentation og afrapportering bliver bygget ind i den samlede løsning.

7. Tilgængelighed

Ligesom anden teknologi har det med at gå fra nice to have til need to have, vil udbredelsen af IoT-løsninger også gøre det. IoT bliver om få år en del af manges hverdag. Derfor er det også forretningskritisk, at jeres IoT-løsninger altid er i drift, og at I har fornuftige svartider på jeres løsninger. Hvis internettet anvendes som transportvej for IoT-løsningen, skal I vurdere, om løsningen er sårbar for Denial of Service-angreb. 

8. Organisatorisk parathed


IoT er en ny disciplin, som der endnu ikke findes faste procedurer for i mange organisationer. IoT rejser spørgsmål omkring basal sikkerhed, nye typer af datatrafik, nye enheder, nyt netværksudstyr og nye platforme til dataopsamling. Derfor er det ikke nok, at man som organisation har et ønske om at implementere IoT-løsninger i sin forretningsmodel; ønsket skal suppleres af en organisatorisk parathed, hvor man gør sig overvejelser om, hvem der skal drive løsningen, hvilke kompetencer de ansvarlige skal have, om der skal laves aftaler med eksterne leverandører, hvordan de i givet fald overholder jeres sikkerhedskrav osv. osv.

10 ud af 10 IoT-enheder fejlede

Én af de største sikkerhedsudfordringer forbundet med IoT er, at mange af de IoT-enheder, der bliver produceret, ikke er designet med en security first-tilgang.  Sikkerheden er med andre ord ikke bygget ind i enhederne, sådan som den burde være det. I en undersøgelse fra 2015 testede et sikkerhedsfirma 10 populære IoT-enheder for sikkerhedsbrister. Samtlige enheder fejlede og kunne potentielt hackes.