DEBATT | Bo Cramér, BenQ

ÅPENT FOR TRUSLER: Møterommet er ofte en sikkerhetsrisiko, skriver Bo Cramér.

Møterommet er virksomhetens glemte sikkerhetsrisiko

Selv teknologien i møterommet kan være en inngang til virksomhetens nettverk. Problemet er at mange organisasjoner stadig ser på møteromsteknologi som forbrukerelektronikk – og ikke som en del av it-infrastrukturen. Det er en tabbe.

Bo Cramér Bo Cramér Bo Cramér nordisk country manager, BenQ
Publisert

De fleste virksomheter har etter hvert investert kraftig i cybersikkerhet. Brannmur, identitetsstyring og endepunktbeskyttelse har blitt standard.

Men ett sted i organisasjonen halter sikkerheten stadig vekk: møterommet.

Her installerer virksomheter skjermer, kameraer, sensorer og trådløse presentasjonssystemer for å gjøre møter mer fleksible og smarte, og samtidig forventer medarbeiderne at de kjapt og enkelt kan koble sine egne enheter på systemene.

Resultatet er at møterommet ofte blir et digitalt knutepunkt – men uten den samme sikkerhetsdisiplinen som resten av it-miljøet.

Det er problematisk, for selv om møterommene ofte er fysisk avlukkede rom, så kan teknologien bak et møte være lekk som en sil.

Bo Cramér er administrerende direktør i BenQ Norden

LES OGSÅ:

Og hvor blir de mest følsomme diskusjonene egentlig tatt? Nettopp i møterommet: strategi, samarbeider, oppkjøp eller nye produkter. Så om en utenforstående med tvilsomme hensikter får tilgang til møtelokalets teknologi, kan konsekvensene være alvorlige.

Små enheter, store risikoer 

Møtelokaler blir stadig mer teknologitunge. Sensorer registrerer om rommet er opptatt og slukker lyset og skrur ned varmen, videoløsninger integreres med kalender- og samarbeidssystemer, og presentasjoner deles trådløst fra medarbeidernes egne enheter, uansett om det er jobb-pcen eller smartmobilen deres.

Men hver integrasjon er også en potensiell angrepsflate.

Der er sett mange eksempler på at smarte sensorer og IoT-enheter blir hacket og utnyttet av utenforstående til å overvåke ansatte, og det er sett altfor(!) mange ganger at møteromsutstyr ikke er designet med de riktige sikkerhetsprotokollene og har hatt altfor mye fokus på brukervennlighet og åpenhet – med de konsekvensene at alt sto åpent.

Trådløse presentasjonssystemer har blitt standard i moderne møtelokaler, der en app eller en driver på datamaskinen åpner for tilkobling for både gjester og utenforstående. Men nettopp den typen programvarebaserte løsninger har flere ganger vist seg å inneholde alvorlige sikkerhetshull. Det virker nesten som om at jakten på friksjonsfri bruk av slike systemer har resultert i at man har glemt å rette det samme fokuset på sikkerheten til denne typen løsninger.

Sikkerhetsforskere har blant annet demonstrert hvordan angripere kan overta administratorrettigheter, avlytte presentasjoner eller til og med injisere kommandoer i enhetene.

I noen tilfeller kan det skje på få minutter.

I takt med at cyberkriminalitet blir mer automatisert, blant annet ved hjelp av AI-verktøy, blir denne typen sårbarheter enda mer attraktive mål. Automatiserte systemer kan i dag skanne internett etter millioner av IoT-enheter med kjente sikkerhetshull.

Dermed kan møtelokalet raskt ende som virksomhetens svakeste ledd.

Et spørsmål om arkitektur

Trådløse presentasjonsløsninger finnes i to grunnleggende arkitekturer: programvarebaserte og maskinvarebaserte systemer.

Programvarebaserte løsninger krever typisk installasjon av en app eller driver, som speiler brukerens skjerm til møterommets system. Det gir fleksibilitet og det er ofte billigere – men åpner også for nye angrepsflater, for programvarekode kan man enklere påvirke, og når enheten er koblet på virksomhetens nettverk, har døren blitt satt på gløtt til alt annet på nettverket, noe som potensielt kan utnyttes til å få tilgang på andre deler av infrastrukturen.

Historien har vist hvor raskt denne typen tilgang kan eskalere. I flere større cyberangrep har tilsynelatende harmløse IoT-enheter blitt brukt som springbrett til virksomheters sentrale systemer – den harmløse printeren har vært et kjent favorittmål for utspekulerte hackere.

I flere større cyberangrep har tilsynelatende harmløse IoT-enheter blitt brukt som springbrett til virksomheters sentrale systemer – den harmløse printeren har vært et kjent favorittmål for utspekulerte hackere.

Maskinvarebaserte løsninger fungerer annerledes. Her sendes presentasjonen via en fysisk dongle direkte til en mottaker ved skjermen.

Fordi systemet ikke krever installasjon av programvare på brukerens enhet, reduseres antallet av mulige angrepsflater. Samtidig kan forbindelsen isoleres fra virksomhetens nettverk. Disse to faktorene gjør all verden av forskjell.

Det gir en enklere og mer lukket arkitektur – og dermed et mindre attraktivt mål for angripere.

Sikkerhet må også omfatte møtelokalet 

Når virksomheter investerer i møteromsteknologi bør sikkerhet være en sentral parameter – ikke en ettertanke.

Organisasjoner bør derfor stille klare krav til leverandørene:

Når virksomheter investerer i avansert møteromsteknologi bør de stille de samme sikkerhetskravene her, som til resten av infrastrukturen.

  • Dokumenterte sikkerhetstester fra uavhengige aktører
  • Løsninger uten krav om installasjon av klientprogramvare
  • Mulighet for offline-drift uten konstant nettverksforbindelse
  • Kryptert kommunikasjon og tydelig tilgangskontroll

    • Når virksomheter investerer i avansert møteromsteknologi bør de stille de samme sikkerhetskravene her, som til resten av infrastrukturen.

For når vi låser døren til møterommet når vi diskuterer fortrolige saker, virker det mer enn en smule dumt å la de virtuelle vinduene stå vidåpne.

computerworld sikkerhet benq kommentar debatt cybersikkerhet