Af Henrik Malmgreen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
”Fremtidens trusler er her allerede”. Sådan indledte Sergey Kravchenko fra Kaspersky Labs sit indlæg, da han for nylig gæstede et sikkerhedsseminar, som it-distributøren ALSO holdt for sine forhandlere. Tiden hvor man blot skulle downloade de seneste virusdefinitioner for at være beskyttet er nemlig for længst passeret. I dag kan ens computer blive misbrugt til mining af kryptovaluta, blot man besøger en kompromitteret webside, og de apps, der styrer virksomhedernes solgardiner, kaffemaskine eller andre Internet of Things-enheder kan – og vil – blive brugt som angrebspunkter både mod en selv og mod andre.
Truslen rammer fra to fronter. Dels vokser antallet af IoT-enheder eksplosivt, dels ser vi stadig flere enheder, der får større og større betydning for såvel vigtige samfundsmæssige som menneskelige funktioner. Ifølge Sergey Kravchenko er vi med andre ord nået dertil, at et IoT-angreb ikke kun rammer eller kompromitterer data. Internet of Things har udviklet sig til et såkaldt cyberfysisk miljø, hvor der ligeledes kan udøves skade på fysiske objekter, mennesker og miljø. Tænk blot på risikoen inden for sundhedssektoren, hvis en pacemaker angribes, eller risikoen inden for energi- og miljøsektoren, hvis forsyningssektoren angribes.
40 dollars – så er du hacker
”Man kan definere Internet of Things på flere forskellige måder. Men en af de definitioner, vi anser som den måske vigtigste, er, at IoT-enheder er i stand til at træffe uafhængige beslutninger på egen hånd. Derfor er det ekstremt vigtigt, at sikkerheden er i orden for at forhindre, at hackere kan påvirke kommunikationen og dermed ændre disse beslutninger. Desværre tænker producenterne af IoT-enheder kun på funktionalitet og ikke på sikkerhed, og med en spådom der siger, at vi har 20 millioner Internet of Things-forbundne enheder i 2020 og 50 millioner i 2030, kan fremtidsperspektiverne godt virke lidt dystre”, siger Sergey Kravchenko.
I dag handler it-sikkerhed ikke kun om data. Der er tale om en udfordring, der er blevet særdeles fysisk og i sidste ende meget vel kan kræve menne-skeliv, hvis ikke producenterne af IoT-enheder begynder at tage sikkerheds-udfordringen alvorligt, mener Sergey Kravchenko fra Kaspersky Labs.Især fordi det er lettere end nogensinde før at slå sig ned som hacker. Det kræver blot, at du har måske 40 dollars til en ransomwarelicens. Så er du i gang. Sergey Kravchenko føjer til, at mangfoldigheden af IoT-enheder også betyder stor diversitet i mulighederne for angreb lige fra at stjæle data til at slukke en pacemaker, intimidere andre mennesker ved at hacke deres sikkerheds- og overvågningssystemer eller overtage styringen i en bil, der drøner ud ad motorvejen. Sagt med en fortærsket kliché, der i denne sammenhæng virkelig virker skræmmende, er det faktisk kun fantasien, der sætter grænserne for, hvor ondsindet et hackerangreb kan blive.
Producenterne er ligeglade
Det diskuteres lystigt, hvad man kan gøre for at forbedre sikkerheden i IoT-universet, men så længe hardwareproducenterne generelt set er flintrende ligeglade og åbenbart ikke føler, at der er hverken tid eller råd til at tænke sikkerheden ind i deres produkter, kan man jo kun glæde sig over, at andre tager udfordringen op. Ifølge Sergey Kravchenko bør sikkerhed være embedded i ethvert produkt med en IP-adresse. Derfor har man lanceret Kaspersky OS, der er tænkt som et ”Secure OS for embedded and connected devices”, som Sergey Kravchenko udtrykker det. Og selv om Kaspersky ikke alene kan redde verden, mener han, at der er håb forude.
”Et af de områder, vi gør meget ved, er bilbranchen, fordi det er så latterlig nemt at kompromittere en bils sikkerhedssystemer. En moderne, internetforbunden bil transmitterer i snit 25 GB data i timen til blandt andet cloudbaserede tjenester. Når vi samtidig tænker på, at op mod 80 % af alle hackerangreb gemmer sig i det, vi opfatter som ganske almindelig og harmløs kommunikation, er det åbenlyst, at risikoen er enorm. Desuden bevæger en bil sig som bekendt rundt og er dermed oplagt som en mobil smittekilde, der kan benyttes til at inficere andre systemer”, siger Sergey Kravchenko.
Security by Design
Med henblik på at opnå den bedst mulige sikkerhed i IoT-forbundne enheder er det ganske enkelt nødvendigt at indtænke sikkerheden helt fra start. Denne tanke om Security by Design har Kaspersky puslet med i en del år, og i dag er man den eneste leverandør af sikkerhedssoftware, der kan tilbyde et operativsystem med cybersecurity indbygget i kernen. Dette vil man fremadrettet tilbyde på licensbasis til såvel hardware- som softwareproducenter. Blandt andet inden for bil-industrien.
Ifølge Sergey Kravchenko fra Kaspersky Labs har man haft dialog gennem længere tid med underleverandørerne til bilproducenterne, men mange aner ikke, hvordan de skal håndtere udfordringen, og andre har ganske enkelt ikke hverken de vidensmæssige eller økonomiske ressourcer til at gøre noget ved problemet. Sikkerhed er et fordyrende element i produktionen, men den helt store udfordring er, at en bil er ikke blot en computer på hjul. Der er tale om mange computere på hjul.
”Vi ønsker at være certificerede til at kunne levere effektive Intrusive Detection-systemer. Men det kræver, at producenterne af IoT-enhederne er med på vognen og integrerer sikkerhed fra bunden af. Både når det gælder de fysiske produkter som sådan og ikke mindst applikationerne. Truslerne kan nemlig gemme sig mange steder. De kan skjule sig i hardwarens kerne, i hukommelsen, i en bootproces, en opdatering, ligesom de kan gemme sig i operativsystemet eller i applikations-laget”, siger Sergey Kravchenko.
Fakta om Secure Communications Unit
Målet er at opretholde sikkerhedsprotokoller og sørge for separation mellem bilkomponenterne med henblik på at forhindre uønsket kontakt. Platformen består af en række sikre elementer, herunder KasperskyOS, som fjerner muligheden for udokumenteret funktionalitet og dermed mindsker risikoen for cyberangreb: Selv hvis en uautoriseret kode finder vej ind i teknologien, vil hackere ikke kunne bruge den, fordi udokumenteret funktionalitet som standard er forbudt.
Secure Communications Unit (SCU) prototypen er implementeret i ARMv7-arkitekturen med anbefalet 128 MB ram og IOMMU. Andre hardwareplatforme kan udvikles efter behov i overensstemmelse med kravene fra en bestemt fabrikant. Platformen er tilgængelig for alle bilproducenter, system-integratorer og softwareudviklere, hvilket betyder, at der reelt ikke længere er nogen undskyldning for ikke at indtænke sikkerhed.
250 millioner biler på nettet
I 2015 var kun 3 % af nye biler på nettet. I 2020 vil 98 % af alle nye biler være på internettet, og i 2025 vil tallet være 100 %. Inden længe vil mere end 250 millioner biler således være forbundet til skyen, idet det også vil være muligt at installere IoT-applikationer i eksisterende biler. I september 2017 lancerede Kaspersky Lab derfor prototypen på en ny it-sikkerhedsløsning, Secure Communications Unit (SCU), der skal sikre smarte biler mod hacking, hvilket skete i samarbejde med AVL Software and Functions GmbH, der er verdens største uafhængige virksomhed inden for udvikling, simulering og test af teknologi til transport- og automobilsektoren.
Prototypen demonstrerer, at det er muligt at sikre kommunikationen mellem komponenter, bilen og den eksternt tilsluttede infrastruktur imod interferens, hvilket gør, at biler med forbindelse til internettet i fremtiden kan få indbygget sikkerhed. Det at styre en bil er i stigende grad baseret på elektromekaniske motorer og bliver bygget op af stadig mere komplekse cyberfysiske systemer med sensorer, applikationer, subnet og kommunikationsmoduler, som interagerer med både andre køretøjer og omgivelserne. Bilernes funktioner kan fjernstyres via digitale systemer, og netop derfor er smarte biler et stadig større mål for hackere.