CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Sikkerhed i Internet of Things

Sikkerhed i Internet of Things. IoT er ved at blive stort, men hvad med sikkerheden på tingenes internet?.

21. december 2015 kl. 09.21

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

IoT er ved at blive stort, men hvad med sikkerheden på tingenes internet?

I de seneste to år har vi hørt en masse om Internet of Things (IoT), og vi har fået armbåndsure, der kan gå på internettet og lave telefonkald. Hvad vi ikke har hørt så meget om, er den sikkerhed, der bør være forbundet IoT. I denne artikel vil jeg give mit bud på, hvad der er nødvendigt på sikkerhedsområdet inden for IoT.

For sikkerhed er der brug for. Vi har allerede set, hvordan apps til mobiltelefoner indsamler data om os i baggrunden, og vi kan regne med, at det samme vil gøre sig gældende i de forskellige IoT-devices, vi vil se i de kommende år. Med IoT vil de data, der er tilgængelige om os, stige eksplosivt, og det er et område, som man ikke skal tilgå ukritisk. Forestil dig en situation hvor du har et smartwatch med gps, en fitness-tracker der snakker med dine smarte sko og et køleskab, der automatisk bestiller varer baseret på, hvad du normalt spiser. Disse data vil højst sandsynligt være interessante for et forsikringsselskab, der udbyder livsforsikringer? De vil så kunne se, at du er glad for cheesekager og motionerer mindre end flertallet, så din livsforsikring vil komme til at koste en formue sammenlignet med en, der ikke spiser cheesekager og motionerer mere. Er det fair? Og kommer den slags dit forsikringsselskab ved?

Implementering af sikkerhed i IoT
Det er disse overvejelser, og overvejelser om de data vi selv gemmer på disse IoT-devices, der er værd at dykke nærmere ned i. For som tiden går, vil disse devices kunne lagre mere og mere data. Data som vi uden tvivl gerne vil holde for os selv. Hvad skal vi så kunne forvente fra de selskaber, der udvikler disse IoT- devices? I disse tider hvor der nærmest er en guldgraverstemning blandt dem, der kommer først til marked med devices, skal vi nok ikke regne med, at sikkerheden er blandt de ting, der er brugt flest ressourcer på.

Men hvad med de producenter, der kommer til, efterhånden som markedet modnes mere? Sikkerhed bliver vel en integreret del af IoT? Det vil sikkerheden uden tvivl blive, men sikkerhed i IoT er ikke nødvendigvis så nem at gå til. Bare tænk på hvor mange enheder, der lige pludseligt vil skulle kommunikere med hinanden, og med de personer du ønsker at dele data med. Her er tale om en kompleksitet, vi ikke har set tidligere. Og at sørge for at vores data ikke bliver delt uforvarende eller via et hul i softwaren, bliver tilsvarende kompliceret. Men lad os kikke på mulighederne for at implementere sikkerhed i IoT, som vi kan regne med.

Som jeg ser det, er der fem områder, hvor sikkerheden skal tænkes ind fra starten:

• Devices-sikkerhed
• Netværkssikkerhed
• Serversikkerhed
• Datasikkerhed
• Sikkerhed i selve operativsystemet på devicet


Når det kommer til sikkerhed for selve devicet, så gælder der de samme regler, som der gør for mobiltelefonen. Som nævnt tidligere, så vil alle disse IoT-devices blive stærkere og stærkere og dermed blive i stand til at gemme mere data om os. I ’gamle’ dage hvis du mistede et ur eller fik det stjålet, så havde du bare mistet et ur. Hvis du mister dit smartwatch, så har du mistet mere end det. Du har også mistet de data, der var om dig på dit smartwatch. Her brugte jeg et smartwatch som eksempel, men et IoT-device vil utvivlsomt blive brugt på dit arbejde, og måske endda synkroniseres med computeren på dit skrivebord. Dermed bliver IoT pludseligt til en trussel for din arbejdsplads. De data, du har på dit IoT-device, kan krypteres, men hvad nu hvis du har fået malware på dit device? Malware, der bare ligger og venter på, at du skal tilslutte det til netværket på din arbejdsplads? Der er altså flere ting, der gør sig gældende for selve devicet: Fysisk sikkerhed – mens du bærer devicet giver det en vis sikkerhed, for får en anden person fysisk adgang til devicet, så vil vedkommende også have al den tid til rådighed, der skal til for at bryde ind på det. Kryptering – et IoT-device skal tilbyde en funktion, der krypterer de data, som vi lægger på disse devices.

AOD17_sikkerhedszonen

Vores IoT-devices vil kommunikere over internettet og dermed være sårbare overfor aflytning. Fuldstændigt som vores normale internetkommunikation er. Forskellen er, at nu vil vi være i besiddelse af et utal af IoT-devices, der vil kommunikere med hinanden, og devices fra andre mennesker. VPN har i årevis været svaret på at sikre vores Internetkommunkation, hvis vi ikke var interesserede i, at den skulle aflyttes. På et IoT-device vil et fuldt VPN uden tvivl være for hård en belastning for både hardware og batteri. Når det så er sagt, så vil der være mange situationer, hvor vores IoT-devices ikke skal kommunikere åbent med internet eller andre devices, og her er en eller anden form for kryptering igen på sin plads, uden at det nødvendigvis bliver til en fuld VPN-løsning.

Du undrer dig sikkert over, hvorfor jeg bringer serversikkerhed på banen i forbindelse med sikkerhed for IoT. Langt de fleste IoT-devices vil være ganske små og derfor ikke være i stand til at bringe den store regnekraft på banen. Hvis et sådant device skal kunne tilbyde en service, så skal det tilgå skyen, og i skyen kører der servere. Kommunikationen med disse servere skal være sikker, som jeg nævnte under punkt nummer to, men de servere, der hjælper devices med at tilbyde services, skal også være sikre. Fuldstændigt som servere skal være det i dag. Data gemt på serverne skal altså være krypteret, serveren skal patches jævnligt, og den skal ikke køre flere services end nødvendigt. Standard serversikkerhed naturligvis, men det skal tænkes ind i den nye situation, hvor en server måske leverer services til mange IoT-devices ejet af forskellige mennesker.

Jeg har tidligere nævnt datasikkerhed i andre dele af denne artikel. Datasikkerhed skal ses på flere forskellige måder alt afhængigt af, hvor data befinder sig i situationen. Befinder data sig på devicet? Serveren? Eller er data i transit imellem device og server? På device og server skal data være krypteret, og det samme gælder, når data bliver overført imellem device og server.

Man skelner typisk imellem disse to tilstande ved at se på det, som data i hvile, altså gemt et eller andet sted, og data i transit. Skal vores data være sikrede i alle tilstande, så skal de krypteres.

Operativsystemsikkerhed er vanskeligt, som vi har set de sidste mange år. Et utal af patches bliver frigivet af de forskellige leverandører af operativsystemer hvert år. Et IoT-device vil også køre en eller anden form for operativsystem. Det vil være operativsystemet, der er ansvarlig for f.eks. krypteringen af vores data og for adgangen til devicet. Et operativsystem er lige så sårbart overfor huller i programmeringen som al anden software, og med den udbredelse vi vil se af IoT-devices i de kommende år, vil sikkerheden af disse operativsystemer være af afgørende vigtighed. Ikke bare for sikkerheden af selve devicet men i lige så høj grad for sikkerheden af de apps, der vil blive udviklet til alle disse nye devices. Vi har allerede set, hvordan en dårligt udviklet app (eller bevidst dårligt udviklet app) til en mobiltelefon kan kompromittere vores data. Et utal af apps vil blive udviklet til et utal af forskellige IoT-devices, og det vil være operativsystemet, der skal holde styr på dem og vores data. Her skal vi tillige være klar over, at alle vores IoT-devices formentligt vil køre forskellige operativsystemer. Derfor vil interoperabilitet imellem disse operativsystemer være vigtig, sammen med sikkerhed af denne interoperabilitet.

De næste år bliver prøveklud
At IoT vil blive et gigantisk marked, er der ikke tvivl om, og det er kun fantasien, der sætter grænser for, hvad IoT kan bruges til. De kommende år vil vise, hvor megen sikkerhed de forskellige leverandører af IoT-devices har tænkt ind i dem. IoT-sikkerhed vil blive en kompleks sag at holde styr på, både fordi der vil være så mange devices, der kommunikerer, men også fordi der vil være så mange forskellige typer af devices, og de vil blive brugt i mange forskellige sammenhænge.

Når vi pludseligt har så mange forskellige devices, der kommunikerer på kryds og tværs, så vil det også gøre de muligheder for angreb, der allerede eksisterer meget større. Meget af ansvaret for at sikre alle disse IoT-devices vil ligge på leverandørerne, men et lige så stort ansvar vil komme til at ligge på os selv. Det er os, der er i besiddelse af disse devices og dermed ansvarlige for, at de ikke bliver stjålet f.eks. De næste år vil blive interessante fra et sikkerhedssynspunkt, og vi vil naturligvis følge udviklingen.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Martin Schramm
Martin Schramm
Andreas Kiær
Andreas Kiær
Kenneth Fuglsang Christensen
Kenneth Fuglsang Christensen
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
opinion
Martin Schramm
Martin Schramm
Data-spild i danske virksomheder går ud over miljøet: Vi har alle et ansvar
Læs indlæg
Artikel teaser billede

Andreas Kiær

Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af

Artikel teaser billede

Kenneth Fuglsang Christensen

Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med

Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Mest læste klummer og blogs
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Klumme: Elektrificeringen lever i bedste velgående i de nordiske lande. Vi køber og leaser elbiler som aldrig før, og på mange leder og kanter er de også mere avancerede end nogensinde før. Men alligevel er vi langt fra , hvad vi egentlig var blevet lovet. Her er tre ønsker til min næste bil.
Af: David Guldager
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Klumme: Hvorfor er det, at mangel på erfarne it-specialister fik 35 procent af danske it-firmaer til at sige nej til opgaver sidste år, når løsningen på dette er tilgængelig i dag og ofte ikke kræver andet end en holdningsændring i virksomhederne?
Af: Andreas Kiær
Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser
Klumme: Det kræver grundige overvejelser, når man som virksomhed skal sikre, at man lever op til lovgivningen fra 1. juli. Det kan måske virke uoverskueligt, når man både skal have styr på it og selve bogføringsprocesserne – især, hvis man ikke har et stort bogholderi. Her kommer tre gode råd.
Af: Kenneth Fuglsang Christensen
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
opinion Jeanette Carlsson
Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn
Læs indlæg

Premium
Teaser billede
Om få måneder lægger Microsoft det klassiske Teams i graven
Læs mere »
Danske myndigheder skal slippe alt, hvad de har i hænderne og patche nu: Hackere udnytter alvorlige sårbarheder i Ciscos firewalls
Sådan vil Niras anvende medarbejder-data og AI til løn-regulering og stress-håndtering
BEC varsler prisstigninger for sine kunder: Medarbejderne skal have mere i løn
Se alle »
Computerworld
Teaser billede
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Læs mere »
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
En hyldest til klodens snedigste tablet-design: Nu er fremtiden for Microsofts hardware endnu mere uvis
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Tidligere Chr. Hansen-CIO Jens Rasmussen løfter sløret efter exit: Her er mit næste skridt i karrieren
Besvarer forsikringsspørgsmål på 20 sekunder: Sådan er Topdanmarks nye generative AI-chatbot blevet udviklet på et halvt år
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Opdag fordelene ved cloud-baseret backup og recovery
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »