SecurityWorldMarket

09-05-2021

Alting kan hackes

Illustration: Alexandra Instituttet

Vi lever ifølge Alexandra Instituttet i dag i en verden, hvor ethvert produkt bliver koblet til nettet. Det gælder lige fra produkter i hjemmet til selvkørende biler og til sikkerhedskritisk udstyr på hospitaler. Sikkerhed handler der ikke kun risikoen for datalæk. Det er blevet et offentligt sikkerhedsproblem, hvor smarte enheder, der ikke er sikret, kan kontrollere mennesker.

Babyalarmer, fitness trackere, selvkørende biler, smarte hjem og hospitalsudstyr, der er koblet til nettet. Vi er igang med at skabe et helt samfund, hvor alt hvad vi omgiver os med er koblet til nettet. I de fleste IoT-devices er sikkerheden ikke god nok, og det giver hackerne kontrol over vores privatliv.

- Der er typisk to misforståelser, når vi snakker IoT-sikkerhed. Den ene er, at man siger, at mit system er sikkert, fordi det er ‘encrypted’. Det er forkert, fordi det mere er et værktøj til at opnå sikkerhed. Den anden er, at ‘connectivity’ er godt. Men hvis du ikke beskytter dine devices, så bliver det et problem.

Sådan lyder det fra Nicola Dragoni, professor på DTU Compute, der i forbindelse med en CIDI-masterclass gav en status på IoT-sikkerheden. Her opfordrede han til, at vi tog IoT-sikkerheden langt mere seriøst.

Hackerne går ikke kun efter IoT-produkterne, fordi de indeholder big data. Hackerne går efter følsomme data, der fortæller hvem du er, og hvor du bor. Fordi det giver dem adgang til at kontrollere vores devices.

Mange af de hverdagsobjekter, som vi omgiver os med i hjemmet, er allerede blevet hacket. I de fleste tilfælde handler det om, at sikkerheden i produkterne er for dårlig. Det gælder vores elkedel, den smarte stikkontakt eller den smarte elpære.

Hackerne får ikke kun adgang til produkterne. De får også adgang til vores privatliv. Det gælder også vores smart tv, som er udstyret med kamera og mikrofon. Med det kan hackerne se dig og din familie foran tv’et, og dermed får kontrollen et nyt perspektiv.

Endnu et eksempel er de babyalarmer, som vi kommunikerer med via en tablet. Det er klassiske IoT-devices, der er blevet hacket flere gange. På den mørke side af nettet kan man finde flere streaming-eksempler, hvor hackerne kigger med.

Det handler også om tillidsbrud. I de smarte tøjdyr og bamser, som du kan tale med via en app, har hackerne knækket systemet og indtalt beskeder som, at du er grim eller bedt barnet om at åbne hoveddøren.

- Det er eksempler på IoT-devices, hvor kommunikationen mellem device og gateway var encrypted. Problemet var, at der ikke var nogen autentifikation. Det var dermed nemt for hackerne at få adgang.

IoT-sikkerheden har også indflydelse på de lidt mere intime produkter, vi omgiver os med. Det gælder toiletter, der er koblet til nettet eller sågar smarte kondomer eller vibratorer, der sender data til clouden og kan måle vores ‘performance’. Det gælder også en sex-robot, hvor hackerne kan overtage kontrollen og dermed potentielt skade dig.

Og bevæger du dig udenfor hjemmet og vil tage tage bilen, så er der masser af eksempler på nettet, hvor hackere har overtaget styringen af bilen, og potentielt set kan de skabe kaos i trafikken.

Det gælder også mere sikkerhedskritiske systemer som hospitalsudstyr, der er en del af det smarte hospital. Der er eksempler på medicinske doseringsmaskiner, der er blevet hacket. Det samme gælder maskiner til dosering af insulin. Eller pacemakere og såkaldte neurostimulatorer. Hackerne kan også ændre temperaturen i de køleskabe, hvor vi opbevarer blod og medicin.

Man kunne forvente, at hospitalsudstyr var mere resilient og bedre sikret, fordi det handler om menneskeliv, hvis en hacker får kontrol over en pacemaker. Men Dragonis forskning viser, at meget hospitalsudstyr faktisk er mindre resilient overfor angreb.

Og hvorfor er det blevet så ‘messy’? Har vi brug for bedre standarder, eller er det teknologien? Det er nok en kombination af flere ting, forklarer Nicola Dragoni:

“Set fra et teknisk perspektiv handler det om big volume og variety af IoT-devices. Vi har brug for gode standarder, men problemet er, at IoT-sikkerhed ikke er en kernekompetence hos producenterne. De tænker ikke sikkerhed ind fra starten af – og i hele processen. En del af et system er måske sikkert, men en anden del er måske ikke.”

Hvad kan vi så gøre
Vi har brug for at hæve niveauet og ændre folks mindset, så de forstår, at truslen er alvorlig. Producenterne skal tænke sikkerhed i hele processen, og ikke først bagefter, fordi så er det allerede for sent. De skal lave en risk analysis, lave sikkert design og sikker programmering,

- Alle skal forstå, at I den her smarte hyperconnectede verden, hvor ethvert produkt er koblet til nettet, så handler sikkerhed ikke kun om lækager af data. Sikkerhed er blevet et offentligt sikkerhedsproblem. Kort sagt, så betyder den her verden med smarte enheder, der ikke er beskyttede, at internettet kan kontrollere - og endda dræbe mennesker.



Leverandører
Tilbage til toppen