Home » Sikkerhed » Sikkerhed i Internet of Things
Sikkerhed i  Internet of Things

Sikkerhed i Internet of Things

Share

IoT er ved at blive stort, men hvad med sikkerheden på tingenes internet?

I de seneste to år har vi hørt en masse om Internet of Things (IoT), og vi har fået armbåndsure, der kan gå på internettet og lave telefonkald. Hvad vi ikke har hørt så meget om, er den sikkerhed, der bør være forbundet IoT. I denne artikel vil jeg give mit bud på, hvad der er nødvendigt på sikkerhedsområdet inden for IoT.

For sikkerhed er der brug for. Vi har allerede set, hvordan apps til mobiltelefoner indsamler data om os i baggrunden, og vi kan regne med, at det samme vil gøre sig gældende i de forskellige IoT-devices, vi vil se i de kommende år. Med IoT vil de data, der er tilgængelige om os, stige eksplosivt, og det er et område, som man ikke skal tilgå ukritisk. Forestil dig en situation hvor du har et smartwatch med gps, en fitness-tracker der snakker med dine smarte sko og et køleskab, der automatisk bestiller varer baseret på, hvad du normalt spiser. Disse data vil højst sandsynligt være interessante for et forsikringsselskab, der udbyder livsforsikringer? De vil så kunne se, at du er glad for cheesekager og motionerer mindre end flertallet, så din livsforsikring vil komme til at koste en formue sammenlignet med en, der ikke spiser cheesekager og motionerer mere. Er det fair? Og kommer den slags dit forsikringsselskab ved?

Implementering af sikkerhed i IoT
Det er disse overvejelser, og overvejelser om de data vi selv gemmer på disse IoT-devices, der er værd at dykke nærmere ned i. For som tiden går, vil disse devices kunne lagre mere og mere data. Data som vi uden tvivl gerne vil holde for os selv. Hvad skal vi så kunne forvente fra de selskaber, der udvikler disse IoT- devices? I disse tider hvor der nærmest er en guldgraverstemning blandt dem, der kommer først til marked med devices, skal vi nok ikke regne med, at sikkerheden er blandt de ting, der er brugt flest ressourcer på.

Men hvad med de producenter, der kommer til, efterhånden som markedet modnes mere? Sikkerhed bliver vel en integreret del af IoT? Det vil sikkerheden uden tvivl blive, men sikkerhed i IoT er ikke nødvendigvis så nem at gå til. Bare tænk på hvor mange enheder, der lige pludseligt vil skulle kommunikere med hinanden, og med de personer du ønsker at dele data med. Her er tale om en kompleksitet, vi ikke har set tidligere. Og at sørge for at vores data ikke bliver delt uforvarende eller via et hul i softwaren, bliver tilsvarende kompliceret. Men lad os kikke på mulighederne for at implementere sikkerhed i IoT, som vi kan regne med.

Som jeg ser det, er der fem områder, hvor sikkerheden skal tænkes ind fra starten:

• Devices-sikkerhed
• Netværkssikkerhed
• Serversikkerhed
• Datasikkerhed
• Sikkerhed i selve operativsystemet på devicet

Når det kommer til sikkerhed for selve devicet, så gælder der de samme regler, som der gør for mobiltelefonen. Som nævnt tidligere, så vil alle disse IoT-devices blive stærkere og stærkere og dermed blive i stand til at gemme mere data om os. I ’gamle’ dage hvis du mistede et ur eller fik det stjålet, så havde du bare mistet et ur. Hvis du mister dit smartwatch, så har du mistet mere end det. Du har også mistet de data, der var om dig på dit smartwatch. Her brugte jeg et smartwatch som eksempel, men et IoT-device vil utvivlsomt blive brugt på dit arbejde, og måske endda synkroniseres med computeren på dit skrivebord. Dermed bliver IoT pludseligt til en trussel for din arbejdsplads. De data, du har på dit IoT-device, kan krypteres, men hvad nu hvis du har fået malware på dit device? Malware, der bare ligger og venter på, at du skal tilslutte det til netværket på din arbejdsplads? Der er altså flere ting, der gør sig gældende for selve devicet: Fysisk sikkerhed – mens du bærer devicet giver det en vis sikkerhed, for får en anden person fysisk adgang til devicet, så vil vedkommende også have al den tid til rådighed, der skal til for at bryde ind på det. Kryptering – et IoT-device skal tilbyde en funktion, der krypterer de data, som vi lægger på disse devices.

Se også:  Ny tjekliste skal fremme sikkerheden i virksomhedernes internetopkoblede enheder

AOD17_sikkerhedszonen

Vores IoT-devices vil kommunikere over internettet og dermed være sårbare overfor aflytning. Fuldstændigt som vores normale internetkommunikation er. Forskellen er, at nu vil vi være i besiddelse af et utal af IoT-devices, der vil kommunikere med hinanden, og devices fra andre mennesker. VPN har i årevis været svaret på at sikre vores Internetkommunkation, hvis vi ikke var interesserede i, at den skulle aflyttes. På et IoT-device vil et fuldt VPN uden tvivl være for hård en belastning for både hardware og batteri. Når det så er sagt, så vil der være mange situationer, hvor vores IoT-devices ikke skal kommunikere åbent med internet eller andre devices, og her er en eller anden form for kryptering igen på sin plads, uden at det nødvendigvis bliver til en fuld VPN-løsning.

Du undrer dig sikkert over, hvorfor jeg bringer serversikkerhed på banen i forbindelse med sikkerhed for IoT. Langt de fleste IoT-devices vil være ganske små og derfor ikke være i stand til at bringe den store regnekraft på banen. Hvis et sådant device skal kunne tilbyde en service, så skal det tilgå skyen, og i skyen kører der servere. Kommunikationen med disse servere skal være sikker, som jeg nævnte under punkt nummer to, men de servere, der hjælper devices med at tilbyde services, skal også være sikre. Fuldstændigt som servere skal være det i dag. Data gemt på serverne skal altså være krypteret, serveren skal patches jævnligt, og den skal ikke køre flere services end nødvendigt. Standard serversikkerhed naturligvis, men det skal tænkes ind i den nye situation, hvor en server måske leverer services til mange IoT-devices ejet af forskellige mennesker.

Se også:  Kæmpe konsekvenser efter Microsoft Exchange-angreb

Jeg har tidligere nævnt datasikkerhed i andre dele af denne artikel. Datasikkerhed skal ses på flere forskellige måder alt afhængigt af, hvor data befinder sig i situationen. Befinder data sig på devicet? Serveren? Eller er data i transit imellem device og server? På device og server skal data være krypteret, og det samme gælder, når data bliver overført imellem device og server.

Man skelner typisk imellem disse to tilstande ved at se på det, som data i hvile, altså gemt et eller andet sted, og data i transit. Skal vores data være sikrede i alle tilstande, så skal de krypteres.

Operativsystemsikkerhed er vanskeligt, som vi har set de sidste mange år. Et utal af patches bliver frigivet af de forskellige leverandører af operativsystemer hvert år. Et IoT-device vil også køre en eller anden form for operativsystem. Det vil være operativsystemet, der er ansvarlig for f.eks. krypteringen af vores data og for adgangen til devicet. Et operativsystem er lige så sårbart overfor huller i programmeringen som al anden software, og med den udbredelse vi vil se af IoT-devices i de kommende år, vil sikkerheden af disse operativsystemer være af afgørende vigtighed. Ikke bare for sikkerheden af selve devicet men i lige så høj grad for sikkerheden af de apps, der vil blive udviklet til alle disse nye devices. Vi har allerede set, hvordan en dårligt udviklet app (eller bevidst dårligt udviklet app) til en mobiltelefon kan kompromittere vores data. Et utal af apps vil blive udviklet til et utal af forskellige IoT-devices, og det vil være operativsystemet, der skal holde styr på dem og vores data. Her skal vi tillige være klar over, at alle vores IoT-devices formentligt vil køre forskellige operativsystemer. Derfor vil interoperabilitet imellem disse operativsystemer være vigtig, sammen med sikkerhed af denne interoperabilitet.

De næste år bliver prøveklud
At IoT vil blive et gigantisk marked, er der ikke tvivl om, og det er kun fantasien, der sætter grænser for, hvad IoT kan bruges til. De kommende år vil vise, hvor megen sikkerhed de forskellige leverandører af IoT-devices har tænkt ind i dem. IoT-sikkerhed vil blive en kompleks sag at holde styr på, både fordi der vil være så mange devices, der kommunikerer, men også fordi der vil være så mange forskellige typer af devices, og de vil blive brugt i mange forskellige sammenhænge.

Når vi pludseligt har så mange forskellige devices, der kommunikerer på kryds og tværs, så vil det også gøre de muligheder for angreb, der allerede eksisterer meget større. Meget af ansvaret for at sikre alle disse IoT-devices vil ligge på leverandørerne, men et lige så stort ansvar vil komme til at ligge på os selv. Det er os, der er i besiddelse af disse devices og dermed ansvarlige for, at de ikke bliver stjålet f.eks. De næste år vil blive interessante fra et sikkerhedssynspunkt, og vi vil naturligvis følge udviklingen.


TAGS
internet of Things
sikkerhed
Sikkerhedszonen

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

AOD/AOD.dk

Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
redaktion@aod.dk

Audio Media A/S

CVR nr. 16315648,
Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Se medieinformation her


AOD/AOD.dk   © 2021
Privatlivspolitik og cookie information - Audio Media A/S