Af Jakob D. Lund, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
IoT eller Internet of Things er endnu så ”nyt” et begreb, at de fleste af os stadig er forelskede i tanken om alle de gevinster, vi som samfund kan høste. Tænk bare på, hvordan sundhedsvæsenet kan reformeres, når tidligere uintelligent udstyr pludselig bliver intelligent og kan snakke sammen.
Eller når transportsektoren pludselig består af én stor kommunikerende flåde af lastbiler, toge, skibe osv. Idéen om IoT har også indtaget hjemmet, hvor vaskemaskinen, ovnen og med Googles akkvisition af firmaet Nest Labs in mente: termostater og røgalarmer, kan hjælpe os med at leve et nemmere og mere miljøvenligt liv. Det er blevet anslået, at op mod 1500 mia. enheder potentielt kan forbindes til internettet, men at det i dag kun er 0,6 procent af dem, der er koblet op. Det fortæller lidt om potentialet i IoE.
Tidligt modenhedsstadie
Under et sikkerhedsseminar gjorde den russiske it-sikkerhedsproducent Kaspersky Lab for nylig opmærksom på, at der også følger en række risici med de mange nye muligheder. Eksempelvis hacking, spionage samt øget kompleksitet, forklarede it-sikkerhedseksperten Vicente Diaz.
Hvor befinder vi os henne på modenhedsskalaen, når det kommer til IoT?
“Vi er på et meget tidligt stadie i udviklingen. Alle producenter lancerer deres netværksforbundne produkter, uden at der eksisterer fælles standarder eller protokoller for produkterne. Måske i håb om, at de er en af de få på markedet, der overlever, og så får de med deres løsning lov til at definere fremtidens standarder og protokoller. På den måde følger udviklingen et typisk mønster for nye teknologier,” siger Vicente Diaz.
Vi så for nylig Google købe Nest Labs. Er de en af de største spillere på markedet for IoT p.t.?
”Google har tydeligvis et ønske om at spille en stor rolle i udviklingen af IoT. Ikke så meget på grund af købet af Nest Labs, men mere på grund af deres styresystem Android. Mange IoT-enheder er på den ene eller den anden måde baseret på Android i dag.”
Prøv at fortæl lidt om det kæmpe potentiale, der er i IoT.
“Maskine-til-maskine-interaktion kan træffe beslutninger for os og på samme tid fortælle os, hvad vi gerne vil have, fordi de kender vores vaner fra nettet. Vi ser det eksempelvis inden for bilindustrien lige nu, hvor man arbejder med at kunne forudsige, hvis en bil er i gang med at køre galt.
Analysen foregår mellem maskiner og kan stoppe føreren i at træffe en forkert beslutning. Men som jeg forklarede før, så anvender bilproducenterne vidt forskellige protokoller til dette. Der findes ingen standarder.”
Er det et sikkerhedsproblem?
“Det er jo en del af markedskræfterne. Nogle bilproducenters protokoller vil overleve og vise vejen. Sådan er økosystemet, og det er ikke i sig selv dårligt. Men faren er, hvis brugervenlighed vinder over sikkerhed. Hvis usikkerheden er indbygget i det design, der ender med at danne standard for andre produkter. Det er potentielt en risiko,” siger Vicente Diaz.
Forbrugerkrav om sikre IoT-enheder
Eksperten forklarer, at vi er vant til producenter, der automatisk tænker sikkerhed ind i deres netværksprodukter – det være sig Apple, Microsoft m.fl. Samme sikkerhed-per-default-tankegang har nye spillere på markedet måske ikke, fordi det både er dyrt og komplekst, og fordi det forsinker time-to-market.
“Nogle bilproducenter har for eksempel installeret smarte nye features som adgang til sociale medier og e-mail-funktionalitet. Det krævede, at kunden skulle læse og godkende 50 siders privacy-dokumenter, hvilket ikke er optimalt. For en bilproducent handler det om at sælge biler, men er der noget, vi har lært af vores historie med internettet, så er det, at vi med fordel kunne have tænkt forbedret sikkerhed ind fra starten.”
Hvad vil du foreslå, at man gør?
”Som sikkerhedseksperter er vores opgave at fortælle om disse sikkerhedsrisici. Måske kan det være med til at få forbrugerne til at kræve mere sikre produkter. Hvis man eksempelvis læste, at motoren i en ny bil skulle udskiftes efter fem år, fordi den var så dårlig, ville man vel heller ikke købe den bil. Så forbrugerne skal træffe deres egne beslutninger og afgøre med sig selv, om de kan leve med eventuelle sikkerhedsproblemer.”
Er det virkelig løsningen; at overlade sikkerhedsproblemer til forbrugeren? I har vel haft rigeligt at gøre med at overbevise dem om at beskytte deres computer?
”Du har ret, men det er sådan, samfundet fungerer. Det er umuligt at sende produkter på markedet, som er perfekte fra start. Vi er nødt til at stole på, at det regulerer sig selv lidt efter lidt,” siger Vicente Diaz.
Vicente Diaz forklarer, at han endnu mangler at se grelle eksempler fra den virkelige verden på cyberkriminelle eller andre, der har udnyttet sårbarheder i IoT-teknologien.
Men for nylig hørte han om et hack i Moskva, hvor en gruppe kriminelle havde overtaget kontrollen med en stor digital skærm, der stod ved én af indfaldsmotorvejene til Moskva.
“For at bevise at det kunne lade sig gøre afspillede de porno på skærmen. Jeg tror ikke, at der skete mere. Bilisterne fik sig bare en overraskelse,” siger han.
I et lidt mere alvorligt tilfælde fandt en sikkerhedsekspert fra Australien for et års tiden siden en sårbarhed i en trådløs pacemaker. Producenten havde gjort pacemakeren trådløs, så lægerne nemt kunne overvåge patienten og foretage bestemte kontroller.
Men pacemakeren var ikke krypteret eller på anden vis sikret. Så sikkerhedseksperten demonstrerede, at han faktisk kunne bruge den trådløse forbindelse til at sende 830 volt igennem pacemakeren, hvilket teoretisk set ville kunne slå et menneske ihjel.
Chauffør kørte narko til døren
US FDA [Food and Drug Administration, red.] udsendte også for nylig en cybersikkerhedsadvarsel til USAs hospitaler baseret på research fra et par forskere.
Forskerne havde fundet sårbarheder i mere end 300 forskellige hospitalsenheder, som mindede om dem, man fandt i computere for 15 år siden. Det var helt basale sårbarheder såsom default passwords og ikke-opdateret software.
“Jeg talte for nylig også med Europol,” siger Vicente Diaz.
“De fortalte, at de havde set et hacking-angreb på en havn i Holland. Hackerne var brudt ind i havnens containersystem og havde registreret en container fyldt med narko som godkendt.
Derefter havde havnen selv sat containeren ombord på en lastbil, og så havde en chauffør kørt den hen til den adresse, de kriminelle ønskede. Chaufføren anede intet, han gjorde bare det, systemet sagde, at han skulle. Når det kommer til IoT-angreb, kan jeg forestille mig mange lignende situationer,” afslutter Vicente Diaz.
