Nya allianser kring säkerhetsproblem i IoT

Måns Nilsson

Din Pebble, ditt FitBit-armband och babyradion i sovrummet – vidöppna dörrar för den som vill åt personlig data, uppgifter om ditt hem, eller helt enkelt stjäla information bara för att det går. 

De flesta av oss har fattat vikten av att skydda datorn, även om långt ifrån alla har ett tillräckligt skydd i form av antivirussystem, brandväggar och säkra lösenord.

Men alla andra uppkopplade enheter då? Klockan, tv:n, bilen, aktivitetsarmbandet, babyradion och så vidare; alltför många vardagsprylar har ett extremt lågt skydd, därför att vi inte ens reflekterar över att de faktiskt är uppkopplade till nätet.

Hackers kan samla och stjäla information som du registrerar i din smarta klocka. Via babylarmet i sovrummet kan utomstående få tillgång till dina mest privata ögonblick och bokstavligen övervaka dig i ditt hem.

iot-secure_660x409

Underkänd säkerhet i babylarm

Forskare på säkerhetsföretaget Rapid7 ägnade en stor del av förra året åt att undersöka och ranka säkerheten i just babylarm från åtta olika tillverkare. Av de modeller som ingick i studien fick åtta stycken betyget F. En modell fick D. Med andra ord – med råge underkänt.

Rapid7s studie belyser tydligt hur illa det står till med säkerheten inom Internet of Things. Att undersöka just babylarm var ett smart val som träffar mitt i solar plexus; var i hemmet är vi som mest privata och skyddslösa, och om vilken familjemedlem värnar vi mest? Svaren är förstås sovrummet och spädbarnet.

Dörren på vid gavel för hackers

I första hand handlar det ”bara” om möjligheten för voyeurer att smygkika på vad du gör i sovrummet. Men, varnar forskarna, säkerhetsbristerna de funnit öppnar också möjligheter för industrispionage – vilken framgångsrik börsbolags-vd har inte någon gång kollat mailen och sms:at från sovrummet? Dörren står med andra ord på vid gavel för hackers, oavsett uppsåt.

Ännu värre: i de fall en människas hälsa är avhängig någon form av uppkopplad utrustning, är det direkt livsfarligt om någon går in och stör systemet. Ett exempel är säkerhetsforskarens Billy Rios upptäckt att det är möjligt att manipulera en typ av läkemedelsinfusionspump som används flitigt inom vården. Rios visade att det var relativt okomplicerat att hacka sig in systemet och drastiskt ändra doseringen av medicin till patienten – en manipulation som onekligen skulle orsaka stora problem eller i värsta fall patientens död.

Överhuvudtaget har det blivit oerhört mycket lättare för hackers att rikta sin aktivitet mot just dig och bara dig. Det finns någonting extra obehagligt i risken att drabbas just i de sammanhang där vi tror att vi är trygga och skyddade – i sovrummet, i sjukhussängen.

Branschen naivt yrvaken

Visst, en del av ansvaret ligger på oss som individer att sätta oss in i och förstå riskerna med de prylar och system som vi välkomnar med öppna armar, eftersom de gör våra liv så mycket lättare. Men det största ansvaret har branschen. Ingen tillverkare skulle marknadsföra en bil utan dörrlås, men en bil med en rad uppkopplade funktioner vars bristfälliga skydd gör bil och förare till öppet mål – den anses inte kontroversiell överhuvudtaget.

Är både användare och tillverkare så uppspelta över den (till synes) ljusnande framtid för IoT, att vi är helt blinda för riskerna?

Vad görs för att lösa säkerhetsproblem inom IoT?

Från att ha varit en förbisedd fråga har säkerheten nu seglat upp som högaktuell, ja rentav akut, på högsta nivå. Efter några års snoozande har branschen till slut vaknat. Nu, äntligen, planeras och vidtas åtgärder för att stärka säkerheten, och förebygga läckor och intrång via uppkopplade prylar.
Säkerhetsaktörer och tillverkare slår sig ihop för att stoppa malströmmen av säkerhetsproblem inom IoT innan de är fullständigt bortom all kontroll.

Microsoft har lovat att lägga in Bitlocker (en krypteringsteknik som kan koda hela hårddiskar) och Secure Boot (en säkerhetsstandard som ser till att din PC bara använder mjukvara som tillverkaren godkänt) i Windows 10 IoT (företagets operativsystem för Rasberry Pi och andra uppkopplade prylar och plattformar.

En samling ledande teknikföretag, inklusive Vodafone, har bildat The Internet of Things Security Foundation (IoTSF), en icke-vinstdrivande organisation som kommer kontrollera uppkopplade enheter för att upptäcka svaga punkter och brister. IoTSF ska också erbjuda rådgivning och assistans för teknikleverantörer och slutanvändare.

Förhoppningen är att IoTSF genom samarbeten mellan företag och branscher ska skapa en medvetenhet kring problematiken, och uppmuntra tillverkare att tänka i säkerhetstermer redan på hårdvarunivå.

Microsoft borde varit snabbare

Gott så, och bättre sent än aldrig. Men. Borde inte en jätte som Microsoft vaknat lite tidigare? För en stor aktör, en huvudrollsinnehavare i ett samhälle som bygger på och beror av digital teknik och kommunikation via nätet, duger det inte att vara reaktiv. Som Pippi Långstrump påpekar: ”Den som är mycket stark måste vara mycket snäll”. Och den som är en mycket stor global aktör måste vara mycket snabb. Agera, inte reagera.

Men jätten har vaknat, IoTSF har en ambitiös agenda, och nu får vi nog betrakta merparten av branschen som inte helt omedveten om problemet, trots allt. Så, vad behövs mer?

1: Noder

Det räcker inte med säkra enheter. De noder som kopplar upp IoT-enheterna till företags och tillverkares nätverk måste vara lika säkra. IoT-enheterna är alltid uppkopplade och alltid igång. Till skillnad mot exempelvis ett företags arbetsdatorer, med regelbundna omstarter och kontinuerligt scannande antivirusprogram, så genomgår dessa enheter bara en kontroll, en enda autentisering, efter vilken de anses tillräckligt säkra för att anslutas till det gemensamma nätverket. Därför måste nodernas säkerhet stärkas, för att bibehålla och höja säkerheten i hela systemet.

2: Datalagring

Data från miljoner IoT-enheter lagras och utgör enorma volymer av information, som förstås är ett extremt attraktivt mål för hackers och industrispioner som tjänar sitt levebröd med hjälp av just big data. Dessa volymer måste skyddas bättre än idag.

Internet of things är framtiden, men den har redan börjat. Det är i allas vårt intresse att se till att den framtiden blir trygg och säker att leva i.