Internet-opkoblede enheder er blevet en del af vores hverdag. Alt lige fra højttalere, ure og webkameraer til biler, brødristere, termometre og elpærer bliver i dag koblet til nettet. Men IoT-produkterne er typisk for dårligt sikret, og dermed er de også mere udsat for digitale trusler fra hackere. Over de seneste par år har vi set en kraftig stigning i cyberangreb, hvor netopkoblede enheder som for eksempel babyalarmer, videokameraer og airconditionanlæg er blevet udnyttet af hackere til uheldige formål. Her udgør IoT et dobbeltsidet sværd, fordi det er ikke kun de enkelte IoT-enheder, der er udsat for angreb. Sikkerhedshuller i IoT-enhederne kan også udnyttes til at forstyrre resten af nettet.

Sådan sikrer I jeres IoT-enheder Tænk sikkerhed ind fra starten. Man ser nogle gange produkter, hvor der ikke er tænkt på IoT-sikkerheden, men at den er forsøgt 'klistret på' efterfølgende. Det er problematisk, dyrere at implementere og giver dårligere sikkerhed i produktet.

Stil de rigtige krav til leverandørerne, og forstå teknikken i det udstyr, der anvendes.

Krypter kommunikationen mellem IoT-produktet og omverdenen. Når dit produkt kommer på nettet og kommunikerer med andre ting end sig selv, skal du sørge for, at det kun er dem, det er tiltænkt, der kan følge med i kommunikationen.

Sørg for at have en plan for sikkerhedsopdatering af dit produkt. Det gælder både, hvis du selv finder fejl i produktet, og hvis andre gør.

Få styr på bruger- og device-autentificering. Det er dit ansvar at få brugeren til at ændre default passwordet. Du skal tænke det ind allerede i designprocessen. Det kan for eksempel være, at brugeren ikke kan få adgang til produktet, før hun ændrer passwordet.

Afklar, hvor i virksomheden IoT og IoT-sikkerhed "bor"; hvem har ansvaret, er de rette kompetencer til stede, og hvilke procedurer er der for at holde sikkerheden opdateret?

Dobbeltsidet trussel Det alvorligste eksempel, der er kendt af offentligheden, er Mirai-angrebet. Det lagde i 2016 store dele af nettet ned, herunder tjenester som HBO, Netflix og Spotify. Hackerne udnyttede sårbarheder i IoT-enheder, og fordi der var nogen, der ikke havde ændret password, kunne de ret nemt hacke sig ind i mindst 500.000 webkameraer og harddiskoptagere. Derefter brugte de enhederne til at angribe den bagvedliggende infrastruktur på nettet. Vi har også set mere avancerede eksempler, hvor det eksempelvis er muligt at hacke robotter til hjemmebrug, så de kan angribe fysisk. Forskere fra Örebro Universitet og DTU undersøgte den menneskelignende robot "Pepper" fra Softbank Group og fandt masser af sikkerhedshuller, der betød, at man kunne gøre robotten til et fysisk våben. I et andet eksempel udnyttede hackerne et IoT-termometer, der sad i et akvarium, som stod i lobbyen på et amerikansk casino. Det interessante er, at selv om man havde styr sikkerheden andre steder i virksomheden, så fandt hackerne en sårbarhed i termometret, som de kunne bruge til at få fodfæste i netværket og udføre angreb på den traditionelle IT.

Kronikken

Afdække digitale produkters cybersikkerhedsniveau.

Gøre det nemmere at opnå et sikkert digitalt produkt med det rette sikkerhedsniveau.

Udforske den forretningsmæssige gevinst ved digital produktsikkerhed.

Øge viden om relevante standarder og certificeringer.

Udbrede erfaringer om, hvordan virksomheder bevarer kvalitetsbrand i den digitale verden.

Tænk sikkerhed fra start Det er et meget godt fingerpeg om, at selv uskyldige IoT-enheder som harddiskoptagere eller webkameraer er udsatte over for cybertrusler. Det er en udvikling, som både producenter og forbrugere skal være opmærksomme på. Når producenterne begynder at fremstille IoT-produkter, har de meget fokus på funktionalitet, men de er også nødt til at have fokus på sikkerhed. Og det kan være en ny udfordring for dem, fordi truslerne er anderledes end dem, de kender som traditionelle producenter. Det er derfor afgørende, at man tænker IoT-sikkerhed ind fra starten. Fordi hvis virksomhederne stiller krav til, hvordan man modvirker truslerne, er det også nemmere at undgå de wild-west tilstande, som er udbredt i dag. Danske virksomheder er i forvejen kendt for at levere produkter af høj kvalitet. Men når disse kvalitetsprodukter bliver koblet til nettet, udgør de pludseligt et mål for potentielle hackere, og dermed stiger behovet for viden om digital produktsikkerhed.

Forløb for 20 virksomheder Alexandra Instituttet står i spidsen for en nyt projekt, der skal styrke cybersikkerheden i danske IoT-produkter. Projektet er et samarbejde med Force Technology, DTU Compute og IT-Universitetet. Her bliver 20 danske virksomheder gennem målrettede forløb klædt på til at levere mere sikre løsninger og produkter. Målet er at stille de danske virksomheder bedre i den internationale konkurrence. Fælles for virksomhederne er, at de alle er i gang eller har planer om at udvikle digitale produkter. Halvdelen har IoT-erfaring, mens den anden halvdel ikke er vant til at tænke i digital produktsikkerhed. Erfaringerne skal bredes ud til virksomheder i hele landet, så sikkerheden får et markant løft. Det skal blandt andet ske gennem udvikling af et screeningsværktøj og gennem udbredelse af ny viden om de internationale certificeringer, der bliver stadig mere betydningsfulde for virksomhederne. Som en del af projektet gennemfører man også et omfattende modenhedsstudie, hvori man interviewer 30 danske virksomheder om såvel tekniske som forretningsmæssige og organisatoriske aspekter af IoT-sikkerhed. Resultatet bliver et modenhedsværktøj, som virksomheder kan bruge til at vurdere og styrke deres IoT-sikkerhed.