CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Sikkerhed i Internet of Things

Flere og flere af vores enheder går på nettet, men hvad med sikkerheden?.

20. juni 2017 kl. 12.47

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

I tidligere udgaver af sikkerhedszonen i Alt om DATA har vi set på udviklingen inden for it-sikkerhed, samt hvordan man som slutbruger skal sikre sig, at den router, man bruger derhjemme, er konfigureret korrekt.

Vi har også tidligere set på de enorme DDoS-angreb, som har været i medierne på det seneste, og som er foretaget fra forskellige IoT (Internet of Things) enheder. Disse angreb blev gjort mulige, fordi mange slutbrugere ikke skiftede det password, der kom med enheden, når de tilsluttede enheden til deres private netværk.

I denne artikel vil vi bygge videre på disse problemstillinger og komme med anbefalinger til, hvordan man som privatperson skal gå til sagen, når man gerne vil sikre sit private netværk og de enheder, der befinder sig på det.

Hvad er IoT-enheder?

Der findes mange definitioner på, hvad IoT står for, men i denne artikel vil jeg se bort fra pc-enheder, eftersom vi i mange år er blevet belært om, at en pc skal have antivirus og en firewall. Så vi går ud fra, at du, som læser denne artikel, har den slags sikkerhed på din stationære eller bærbare pc.

I denne artikel definerer vi IoT som enhver enhed, der ikke er en pc i traditionel forstand, eller udstyr der kører netværket såsom en router. Alle andre former for enheder såsom forbundne kaffemaskiner, smart-ure, fitness-tracker, overvågningskamera m.m. vil i denne diskussion derfor være en IoT-enhed.

Hvorfor sikre sin IoT-enhed?

Lad os starte med at kigge på, hvorfor det er vigtigt at sikre vores IoT-enheder. Sikkerhed er vigtig, da disse enheder ofte ikke vil være produkter, som vi fysisk bruger til hverdag. Et kamera f.eks. vil blive sat op til at overvåge vores garage eller tilsvarende. Vi kigger på videoen fra kameraet, men selve kameraet vil vi kun beskæftige os med, når vi sætter det op, og det er her, det er vigtigt, at vi tænker over, hvordan vi sætter kameraet eller en anden IoT-enhed op.

I et tidligere nummer af Alt om DATA skrev vi, at det er vigtigt at skifte det default password, der kommer med den router, du får fra din internetudbyder eller køber selv. Skal din IoT-enhed beskyttes med et password, eller skal der et certifikat til? Kig gerne i brugs-anvisningen og se på sikkerheden omkring den pågældende enhed.

 

Skift nu det password

Vi har selv et ansvar for at sikre de IoT-enheder, vi køber, men mange af disse enheder kommer med funktionalitet, der kræver, at de skal have adgang til internettet. Lad os tage et eksempel. Du har et smart hjem, der er konfigureret til at skrue ned for varmen, når du ikke er hjemme og starte kaffemaskinen 10 minutter før, du normalt kommer hjem.

Kommer du hjem tidligere end normalt, så kan du blot tilgå dit smarte hjem fra internettet og bede kaffemaskinen om at starte op før normalt. Tilgang fra internettet er nøgleordene her.

Vi har i mange år vidst, at vores pc’er var tilgængelige for hackere på internettet. Lige så snart en enhed kan kommunikere via internettet, er denne enhed tilgængelig for hackere. Her er vi så ved selve kernen bag ansvaret for at sikre vores IoT-enheder. Hvis vi f.eks. ikke har skiftet password på vores enheder, så kan en hacker bare logge ind med default password, og voila så har han/hun (Jep! Der findes meget dygtige kvindelige hackere!) kontrol med enheden.

Det var en kinesisk leverandør af IoT-kameraer, der fik verbale klø for det enorme DDoS-angreb, der lagde dele af internettet ned i oktober sidste år. Men det var, fordi ejerne af disse enheder ikke havde skiftet det standardpassword, som enhederne kom med, der gjorde angrebet muligt.

Vi har set mange og retfærdige angreb på leverandører for sjusk med sikkerheden, men i dette tilfælde var leverandøren altså uden skyld. Så hvis vi ikke er interesserede i, at vores enheder skal blive til en del af det næste store DDoS-angreb (angrebene i oktober var på over en terabyte!), så skal vi altså selv sikre vores enheder.

Leverandørernes ansvar

Har leverandørerne slet ikke et ansvar for sikkerheden i deres produkter? Jo! De skal levere produkter, der kan sikres af en ikke-it-uddannet bruger samt vedligeholde den software, der kører på disse enheder. Alle IoT-enheder kommer med software installeret på dem, og vi ved alle sammen, at software er sårbart overfor diverse angreb. Så det er leverandørens ansvar at patche softwaren, når der bliver fundet huller i den.

Når det så er sagt, så er vi tilbage ved vores eget ansvar, når den patchede software skal installeres på vores IoT-enheder. Leverandøren kan ikke gå ind på vores enheder og patche softwaren, der eksekverer på dem, det skal vi selv gøre. Men det er leverandørens ansvar at lave denne proces, så den kan udføres af en person uden en doktorgrad i it.

Flere IoT-produkter

Vi vil i de kommende år se flere og flere hverdagsting, som vil blive lavet om til IoT. Også ting, som vi ikke i dag kan forestille os vil skabe yderligere værdi for os ved at blive lavet om til IoT-enheder, efterhånden som priserne på den underliggende hardware falder i pris. Hvad vil det betyde for os private brugere?

Det vil betyde, at vi vil blive omgivet af hverdagsting, som er smartere, end vi har været vant til, men det betyder også, at vi nu skal til at tænke over, hvordan flere og flere IoT-enheder skal sikres på vores hjemmenetværk. Oven i det, så vil der være enheder, som ikke er på vores netværk, men vil kommunikere med vores mobiltelefon, når vi er på farten og være på internettet via den enhed såsom en fitness-tracker.

Alle disse enheder vil dele data med leve-randøren af produkterne, men hvis de er sårbare overfor hacking, så vil enhederne også dele disse data med hackeren. Om du som privatperson er villig til at dele data med leverandøren er en anden snak.

Alt i alt

Hvad kan vi så koge alle disse ting ned til? I de kommende år skal vi tage stilling til, hvordan vi sikrer de mange flere IoT-enheder, der uværgerligt vil blive en større del af vores hverdag end tilfældet er i dag. Men vi skal i lige så høj grad tage stilling til, hvilke leverandører af IoT-enheder, som vi er villige til at dele vores personlige data med. Og hvilke data vi i det hele taget er villige til at dele.

Figur 1: Her er en af den mange forudsigelser om IoT’s fremtid.

Vi har set, at IoT-enheder er lige så sårbare overfor hacking, som vores pc’er har været i årevis, og vores forudsigelse er, at vi vil se nogle mere spektakulære hack, end blot at gøre IoT-enheder til en del af et DDoS-netværk, før sikkerheden i IoT bliver taget rigtigt alvorligt af både leverandører, men også som beskrevet her af os! 



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Laura Klitgaard
Laura Klitgaard
opinion
Jonathan Løw
Jonathan Løw
Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?
Læs indlæg
Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Artikel teaser billede

Andreas Holbak Espersen

Derfor er den nye digitale taskforce det helt rigtige initiativ

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Dansk IT: Hvad du som CIO bør vide om AI Act
Klumme: I marts blev EU’s forordning om AI endeligt besluttet. Dele af den træder i kraft til efteråret og resten i løbet af 2026. Men det betaler sig at have en grundig forståelse af de mest betydningsfulde dele allerede nu. Her er fire områder, hvor I bør være ekstra opmærksomme.
Af: Jacqueline Johnson
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Erik David Johnson
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Læs indlæg

Premium
Teaser billede
“Den investering, som jeg dengang foretog i krypto, er blevet mangedoblet. I dag er de 10.000 dollar blevet til 1,4 millioner kroner”
Læs mere »
Danske CloudNordic går konkurs efter stort ransomware-angreb
Efter ballade: Comm2ig skal levere computere til danske skoler med kæmpeordre til 629 millioner kroner
Afgørelse: Rejsekorts kæmpeaftale med Netcompany og Trifork bliver tvangs-ophævet - stor regning venter
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Danfoss er i fuld gang med stor SAP-transformation: Særligt setup skal sikre, at selskabet forbliver herre i eget hus
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Læs mere »
Opdag fordelene ved cloud-baseret backup og recovery
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »