5G og IoT: store muligheter og trusler
KOMMENTAR: Utrullingen av 5G vil øke bruken av IoT, som i utgangspunktet er positivt, så lenge man sikrer trygg bruk, skriver Erik Stol Øyan.
Begrepet Internet of Things (IoT) feiret nylig 20-års jubileum, men var lenge mer et buzzword heller enn en teknologi som faktisk var i bruk. De senere årene har det stadig vært flere ting rundt oss som blir koblet til internett, som biler, hvitevarer og sensorer som måler alt fra temperatur til trafikktetthet eller lagerbeholdning.
Bruken av IoT har hatt sine hindringer, deriblant nettverkshastigheten. Med innføringen av 5G, og dermed betydelig større hastigheter og kapasitet, er ikke dette lenger noen utfordring. I tiden fremover forventes derfor en akselerert vekst og bruk av IoT-enheter. Tall fra Statista estimerer en nær tredobling av IoT-enheter fra 13,8 milliarder i 2021, til rundt 31 milliarder i 2025. Denne økningen er i utgangspunktet positiv, men kommer også med noen sikkerhetsmessige aspekter som bør hensyntas.
Secure by Design
En spøk blant de som jobber med cyber- og informasjonssikkerhet er at S-en i IoT står for security (les: ingen S, ingen sikkerhet). Den britiske regjeringen har satt i gang et initiativ kalt «Secure by Design» der målet er å utarbeide en standard for sikrere IoT-enheter, hvor sikkerheten er bygget inn fra starten, heller enn noe som legges på til slutt. På denne måten flytter man deler av ansvaret for å sikre IoT-enheter over på leverandørene.
Digital gjeld
En annen utfordring er det som kalles for digital gjeld. Digital gjeld kan forstås som gamle systemer og utstyr som setter en stopper for ønsket fremtidig vekst, noe som blant annet har blitt adressert av Steve Durbin i Internet Security Forum: Uten tilstrekkelig sikkerhetsstyring og et livssyklusløp for IoT-enheter, kan Internet of Things fort bli «Internet of Forgotten Things». Her er det mange fallgruver, alt fra leverandører som ikke implementerer tilstrekkelige sikkerhetsmekanismer, eller slutter å støtte IoT-enheter med sikkerhetsoppdateringer - til bedrifter som helt mister oversikt og glemmer hva som er implementert i infrastrukturen. Til sammen kan dette utgjøre en bred angrepsflate som trusselaktører på nettet kan utnytte for å hente ut sensitiv informasjon om en bedrift, installere skadevare, eller andre uønskede formål.
Dick Cheney, Fiat Chrysler og Cisco
Eksempler fra virkeligheten på viktigheten av Secure by Design er blant annet da USAs tidligere visepresident Dick Cheney sin pacemaker ble modifisert, slik at den ikke kunne administreres over nett, i frykt for at hackere kunne ta livet av han. I 2015 viste to etiske hackere hvordan de kunne kontrollere bilen til en reporter mens han kjørte på veien, som blant annet å justere volum på radioen, skru på vindusviskere og stoppe bilen helt – dette resulterte i at Fiat Chrysler tilbakekalte over 1,4 millioner biler. Et annet eksempel kan sees i denne videoen fra Cisco, som tar for seg et tenkt angrep via en nettverkstilkoblet termostat hvor viktige bedriftshemmeligheter kommer på avveie, filer blir kryptert og backup slettet.
Fire tips for trygg og god bruk av IoT
1. Tenk gjennom formålet
Hva er formålet med IoT-enheten du ønsker å ta i bruk? Er det noe du trenger? Hva skal den hjelpe deg med? Er det andre produkter som kan løse oppgaven bedre og tryggere?
2. Risikovurdering
Gjennomfør en risikovurdering av leverandøren og produktet – spørsmål man kan stille seg er for eksempel om leverandøren er anerkjent og om de har sertifikater som kan verifisere at de tar sikkerhet på alvor? Har leverandøren implementert grunnleggende sikkerhetskontroller i produktet sitt? Sender de ut sikkerhetsoppdateringer til produktet med jevne mellomrom?
3. Kontroller livsløpet
Ta kontroll over livsløpet til IoT-enheter du tar i bruk – vit hvor enhetene er fysisk, hva enheten er koblet til, hvilke data som samles inn, hvilke verdikjeder enheten er en del av, om siste sikkerhetsoppdatering er gjennomført, og sjekk når livsløpet er omme og enheten bør fjernes eller erstattes av andre, nyere enheter.
4. Sikre grunnleggende sikkerhetskompetanse i alle ledd
Trusselbildet er i stadig endring, samtidig som den teknologiske utviklingen fortsetter å skyte fart. Derfor er det viktig å bygge sikkerhetskompetanse i alle organisasjonens ledd. Benytt deg av tilgjengelige råd og beste praksis fra myndigheter og anerkjente aktører, slik som NSMs grunnprinsipper eller ENISA sin guideline for IoT-sikkerhet.
I utgangspunktet er det kun fantasien som setter grensene for hva som kan kobles til internett, og innføring eller økt bruk av IoT kan bidra til å samle inn verdifull informasjon, og utvikle nye og spennende tjenester som kan gagne oss alle. Ved å følge tipsene over vil det være tryggere å ta i bruk IoT, og utnytte mulighetene som 5G-nettet innebærer samtidig som sårbarheten for angrep minimeres.
Erik Stol Øyan, sikkerhetsrådgiver i Sopra Steria