Illustrasjon: iStock

DYBDESIKKERHET: At hackere klarer å få lys til å blinke over nettet er ikke det vi er redd for, men snarere hva disse enhetene er koblet til. Illustrasjon: iStock

IoT-sikkerhet del 2: Hovedutfordringer

Det er på tide å se litt på noen utvalgte utfordringer med IoT. Hva er det egentlig som er så vanskelig med sikkerhet og tingenes internett?

Dette er andre artikkel av en serie i tre deler som gir en innføring i sikkerhetsaspekter ved IoT. Innleggene vil diskutere hva som er spesielt med akkurat dette, hva hovedutfordringene er og hvordan vi kan gjøre sikrere valg når vi investerer i IoT.

Vi fortsetter utforskningen av sikkerhet innen «Internet of Things». I del 1 introduserte vi emnet, og viste at det å knytte fysiske ting til internett gjør IoT-sikkerhet spesielt. Vi så også at det er økende antall angrep som involverer IoT. Det er på tide å se litt på noen utvalgte utfordringer: Hva er det egentlig som er så vanskelig?

Digital Identitet

Et naturlig sted å starte er å se på hvordan mangfoldet av IoT-enheter gjør identifisering og tillit vanskeligere.

Forvaltning av identiteter er kritisk for å lykkes med en moderne it-infrastruktur, og er allerede kompleks for en bedrift som har noen hundre brukere og systemer å holde styr på.

Med IoT innføres et stort antall nye enheter, basert på ulik og potensielt proprietær teknologi. Dette passer ikke godt inn i den tradisjonelle forvaltningsmodellen, sier Gartner, og tvinger selskaper til å tenke nytt.

Beskyttelse av data

Data er en kjernekomponent i IoT, og en kompliserende faktor fra et sikkerhetsståsted. IoT-enhetene kommer med tiden til å generere og prosessere enorme mengder informasjon. Dette videreformidles til baksystemer, kanskje på tvers av geografisk spredte datasentre.

Enkelte typer data, som sensitiv personlig informasjon, kan være underlagt juridiske begrensninger, spesielt med tanke på lagring i skyen på tvers av landegrenser. I mange tilfeller kreves det en del analyse for å finne ut hvilke bestemmelser som gjelder.

Tilsynelatende harmløs informasjon som aggregeres med data fra flere kilder, kan plutselig bli langt mer sensitiv enn først antatt. Å bygge forståelse for datasensitivitet og behov for beskyttelse er en vesentlig del av utfordringen med IoT. 

Programvareoppdatering

Fordi sikkerhetshull og andre problemer avdekkes daglig, har programvareoppdateringer blitt en uunnværlig del av infrastrukturen.

Innen IoT ser vi at enheter ikke alltid støtter oppdateringer. Maskinvaren er ofte spesialisert, og tilbyr små økonomiske marginer for produsentene, som først og fremst har et insentiv om å legge inn minst mulig ingeniørarbeid. Oppdatering er ikke på agendaen.

Dessverre er det slik at en enhet som ikke kan oppdateres, heller ikke kan holdes sikker over tid. Dette problemet vedvarer så lenge enheten er i live, og slik bygges en hær av usikre enheter klare til misbruk.

Den «ufarlige» dingsen

Siden flere IoT-enheter ikke forbindes med kritiske gjøremål, for eksempel lyspærer og temperaturmålere, blir dette lett eksempler på enheter med null sikkerhet. Mange slike er spredt rundt i dag, og hackere har flere ganger vist hvor lett disse er å ta kontroll over. En dramatisk metode er «war flying», hvor hackere flyr en drone bort til diverse IoT-installasjoner som infiserer den med skadevare.

At hackere klarer å få lys til å blinke er ikke det vi er redd for her, men snarere hva disse enhetene er koblet til. Den sårbare enheten kan bli et springbrett for en angriper som vil ha tilgang til noe annet. Med ett blir det svært interessant om en bank eller et datasenter installerer trådløse temperaturmålere.

Et hav av protokoller

Teknologilandskapet i IoT er stort og heterogent, og vi ser ulike sammensetninger av protokoller og unike implementasjoner overalt. Tabellen nedenfor viser et utvalg av kommunikasjonsprotokollene som er tilgjengelige.

Lag Protokolleksempel
Applikasjon

Rest, MQTT, CoAP, DDS, AMQP, LLAP, SSI, XMPP, MQTT-SN, XMPP-IoT

Transport

TCP, UDP, TLS, DTLS

Nettverk

IPv4, IPv6, 6LoWPAN

Link/fysisk

Bluetooth/LE, LoraWAN, Sigfox, NB-IoT, ZWave, Zigbee, 6LoWPAN, LR-WPAN, Insteon, Wirelesshart, 802.15.4, 802.11 WIFI, LTE, CDMA, NFC, IEEE 1609 Wave, 802.15.6 WBAN, Dash7

Det finnes ingen enighet på tvers av industriene om hvordan man skal implementere IoT, og dette reduserer gjenbrukbarhet og informasjonsdeling.

Økt kompleksitet er alltid en fiende av sikkerhet, spesielt hvis bedrifter av alle størrelser finner sine egne måter å gjøre ting på.

Funksjonalitet og etterspørsel

Som vi var innom i første del av denne artikkelserien, er det flere forretningsrelaterte faktorer som bremser sikkerheten i IoT. Naturligvis er det i mange tilfeller et finansielt spørsmål: Marginen enkelte IoT-enheter er mye mindre enn for bærbare PC-er og smarttelefoner. Selskaper som produserer sistnevnte har ofte økonomiske muskler nok til å finansiere hele sikkerhetsteam, som regelmessig utfører tester, finner og fikser sårbarheter.

I dagens forbrukermarked er det vesentlig mer konkurranse innen funksjonalitet enn sikkerhet, og gründerselskaper tar opp kampen ofte helt uten forhold til sikkerhetsaspektet. Forbrukerne mangler også insentiver til å følge opp sikkerheten selv. Om man kjøper en internettilkoblet tannbørste gjør man det først og fremst for å pusse tennene, ikke for å bli en ubetalt systemadministrator for tannbørster.

Noen mener at statlige og juridiske krefter må på banen for å justere IoT-markedet, ved for eksempel å plassere erstatningsansvar ved sikkerhetshendelser hos produsentene. Man kan også innføre kvalitetsstandarder som IoT-produkter må overholde, likt dem man har for elektriske apparater.

Og så var det skyen

Ofte involverer IoT-systemer en skyløsning, og skysikkerhet og IoT-sikkerhet går dermed hånd i hånd. Når data og prosesser flyttes ut av egen infrastruktur, påvirker dette sikkerhetsprosesser i stor grad, spesielt drevet av behov databeskyttelse.

Å flytte prosesser ut i skyen skaper også utfordringer i form av kontrolltap. Bedriften kan for eksempel få utfordringer med å gjennomføre sikkerhetsrevisjon, og etterforskning av sikkerhetshendelser kan også være komplisert hvis infrastrukturen befinner seg utenfor bedriftens direkte kontroll. Med dette sagt: Det er heller ikke uvanlig at bedriftens it-sikkerhet generelt hever seg i skyen, da skyleverandørene ofte er modnere på dette området enn sine kunder.

Kompleks dynamikk

Sikkerhetsutfordringene i IoT oppstår av kompleks dynamikk mellom et mangfold av teknologi, et marked drevet av raskt tilgjengelig funksjonalitet, samt manglende erfaring i industrien.

Etter nå å ha utforsket utfordringer, vil vi i neste artikkel fokusere på hvilke spørsmål du bør stille en leverandør før du gjør en investering.