Sikkerhet er nøkkelen til Tingenes Internett

Hilde Martinsen den 15. februar 2019

Sikkerhet Tingenes Internett Et kasino ble hacket gjennom termostaten i akvariet i resepsjonen. Barn blir lurt via hackede leketøy og bestefar blir hacket via en vannkoker. Produsenter og gründere som er utrolig gode på produktinnovasjon og digitalisering av produkter er ikke nødvendigvis spesielt opptatt av, eller veldig kunnskapsrike på digital sikkerhet.

Tingenes Internett (IoT) beskrives som den neste fasen i en IT-revolusjon som på mange måter har pågått kontinuerlig siden 50- og 60-tallet. Ny teknologi, nettverk og digitalisering skaper grobunn for endringer i et omfang som det ikke alltid er lett å se konsekvensene av.

Stadig flere enheter på nett er en slik endring. Men én konsekvens som allerede er åpenbar, og som vi gjør klokt i å forholde oss aktivt til fra dag 1, er sikkerhet.

Angrepsflaten blir stadig større

Tingenes Internett er som å flytte fra et hus med noen tusen dører, til en bygning der det finnes flere millioner måter å komme seg inn på. Et nettverk i en virksomhet med mange ansatte og flere lokasjoner kan ha et sted mellom 50 000 og 500 000 endepunkter eller enheter. Når tingens internett tar av og blir en realitet, i adskillig større grad enn i dag, øker denne angrepsflaten fra noen hundre tusen potensielle svakheter til flere millioner.

Aircondition, røykvarslere, lås-systemer, lyspærer, barneleker, kaffetraktere og smart-klokker, sensorer i fabrikker, langs en produksjonslinje eller på en transformatorstasjon, PC-er, nettbrett og mobiler som vi bruker i hverdagen, termostater, kopimaskiner, alarmer og varmepumper. Alt representerer en mulig vei inn i nettene der vi ofte oppbevarer virksomhetens virkelige verdier.

Sikkerhet er allerede en utfordring, også i organisasjoner med en kultur der fokus på digital risiko er høy. Det finnes knapt den virksomheten i verden som ikke på en eller annen måte kan hackes – enten ved hjelp av malware, virus eller direkte digitale angrep – eller via de ansatte, som rett og slett ikke kan gå rundt å mistro alt og alle hele tiden.

Manglende sikkerhetsfokus eller -erfaring

IoT kommer imidlertid med sine egne, ofte innebygde utfordringer. En ting er at de er mange og at mulighetene til å komme seg på innsiden av et nettverk øker betraktelig. Termostaten og akvariet som ble nevnt i ingressen er et reelt eksempel og det kommer til å bli flere av dem. 

En annen er at mange enheter som allerede er koblet på nettet, opererer med utdatert eller gammel programvare. Samtidig kommer nye enheter, for eksempel lyspærer, med IT-sikkerhet som alt for ofte er utviklet av aktører uten særlig erfaring med, eller interesse for, sikkerhet. De kan kanskje lage billige pærer som du kan slå av og på med stemmen, dimme eller endre farge på, men å skrive sikkerhet inn i disse svært enkle applikasjonene når «time to market» teller og pris er avgjørende, får ikke alltid første prioritet.

Selv når sikkerheten blir tatt på alvor, er det ikke alltid plass på enheten til å lukke alle hull. Oppdateringer blir tilfeldige og operativsystemet er i seg selv en risiko.

Smart Sikkerhet – om å ligge i forkant

Internet of Things er åpenbart en massiv utfordring i et sikkerhetsperspektiv. Samtidig er det ingen grunn til å sette utviklingen på vent. Når truslene utvikler seg, gjør sikkerhetsteknologien og verktøyene det også. Og vi er på ingen måte hjelpeløse i møte med en oppkoblet verden.

I Telenor snakker vi om Smart Sikkerhet. Løsningen, som representerer en bærekraftig tilnærming til sikkerhet, også i møte med utfordringene IoT representerer, innebærer en kombinasjon av flere elementer som til sammen reduserer risiko til et akseptabelt nivå:

Smart Sikkerhet modell

Modellen taler for seg selv, men enkelt sagt; løsningen er en kombinasjon av sikkerhet som delvis installeres på eller bygges inn i enheter og nettverk sammen med overvåking og analyse som gir et godt grunnlag for å iverksette mottiltak – helst i god tid før noe har skjedd.

IT-sikkerhet innebærer å forstå angripernes metoder og motiver. Å lage scenarier som beskriver hva som kan skje, før det skjer, er med på å definere handlingsrommet for sikkerhetstiltakene, «Post-breach»-analyser øker beredskapen. Alle lag i grunnmuren må sees i sammenheng; nettverk, applikasjoner, e-post og kommunikasjon og enhetene som er koblet på. Og overvåkingen stopper ikke når arbeidsdagen tar slutt, men pågår døgnet rundt, året rundt.

Kunstig intelligens, maskinlæring og paraplyer

Når angrepsflaten øker så dramatisk som den gjør i kjølvannet av IoT, blir det stadig vanskeligere å beskytte hver enkelt enhet. Ofte er sårbarhetene bygget inn i den dingsen du kobler til nettet, for eksempel fordi den benytter et operativsystem som ikke er utviklet for å beskytte et produkt med svært begrenset funksjonalitet. Operativsystemene er designet for å være fleksible og for å kunne brukes til mange forskjellige ting – for å rekonfigureres. Men det representerer i seg selv en risiko fordi kode kan byttes ut, malware kan injiseres og funksjoner manipuleres.

Et norsk firma forsker på hvordan de kan utvikle operativsystemer som en integrert med applikasjonen og lokalisert på enheten som skal beskyttes. Men fortsatt er du avhengig av at alle enhetene dine kjører denne løsningen og at den fungerer.

Et alternativ – eller kanskje et supplement – som benytter både kunstig intelligens og maskinlæring, kan sammenliknes med å slå opp en stor paraply over IT-plattformen; sikkerhetsløsningen kartlegger, analyserer og forstår alle enhetene i nettet og etablerer en slags mal for hvordan alt ser ut når det fungerer som det skal. Så søker den etter anomalier – adferd den ikke kjenner igjen eller forstår. Noen ganger handler det om harmløs adferd som den kan lære seg å ikke reagere på neste gang. Men andre ganger snakker vi om et angrep som programvaren til initiativ til å slå tilbake.

Hva kan du gjøre selv?

Også internt i virksomheten er det rom for å tenke sikkerhet og IoT. Det arbeidet starter ofte med at området må prioriteres, aller helst av ledelsen som identifiserer utfordringen og er tydelige på at sikkerhet også inkluderer utfordringene knyttet til IoT.

Uklarhet i ansvar beskrives ofte som alle menneskeskapte katastrofers mor. Det gjelder på dette området også. Og fordi IoT-sikkerhet forutsetter at man identifiserer risiko og eliminerer den i hele IT-stacken, oppstår det for lett en situasjon der den ene tror at den andre har kontroll. Å peke på rett person, og å gi denne både ansvar, myndighet og ressurser, bør med andre ord være et tidlig tiltak i arbeidet med IoT og sikkerhet.

På dette området skal det godt gjøres å lykkes alene. Utfordringene er for mange, kompleksiteten er for stor og de færreste virksomheter kan selv stille med kombinasjonen av de fysiske løsningene, overvåkingskapasiteten og applikasjoner og programvare. En god partner er en billig forsikring som også gjør det mulig for kundene å realisere potensialet knyttet til IoT.

Tags: Sikkerhet, Tingenes Internett, iot

New call-to-action