Ekspert: IoT breder sig til virksomheders drift og åbner for flere hackerangreb

Det ser spænende ud det arbejde i har gang i. Mit indtryk er dog også at alle efterhånden slynger om sig med “27001”, mens hele firmaet driver deres forretningen uden nogen hensynstagen til C’et i CIA. Ved at have låst sig til Teams, Office 360, Google drive, Meet, SMS’er og normale mobil samtaler osv. og samme tid benytter sig af et buzzword (efterhånden) som “ISO 27001” i forhåbning om at det skulle ændre på sikkerhedssituationen.

Det forekommer mig ikke overraskende at Energistyrelsen er så fodslæbende, det virker meget Dansk i den kontekst.

IEC 62443 serien er en vigtig set af sikkerhedsspecifikationer, som tit refereres. Den er der henad. Det er en god vejledning i hvad der skal indgå i en produktstandard, men det er ikke en protokolstandard med detaljeret beskrivelse af protokollen.

IEC 62351-4 er et eksempel på en produktstandard. Der er også andre i 62351 serien.

Jeg er aktiv Dansk Standard udvalg S.557, som beskæftiger sig med smart grid standardisering. Jeg er den eneste, der beskæftiger sig med IT-sikkerhed. Jeg har ikke en kinamands chance for at være med i alle sikkerhedsaktiviteterne. Var der flere med, kunne vi sætte stærke fingeraftryk på sikkerhedsstanderne og fremme hastigheden væsentligt, men det er svært at finde nogen, som er villige til at betale penge for at få lov til at arbejde gratis.

ITU-T Study Group 17 beskæftiger sig med IT-sikkerhed. Jeg har været med dernede i Geneve i mere end 16 år. I den tid har jeg aldrig mødt en dansker (eller svensker). Energistyrelsen har ansvaret for dansk deltagelse i ITU-T. Et ansvar de tager uhyre let på. Jeg har med mellemrum argumenteret for flere deltagere, men forgæves.

Kunne IEC 62443-3 måske ikke finde anvendelse netop her?

Hej Rune,

Tak for dit indlæg. Det virker som om, at jeg ikke har gjort mit synspunkt helt klart . Lad os antage, at en person skal købe en IoT dims, som opfylder visse funktionskarv, men ingen af de enheder, som findes på markedet, lever op til kravene i ETSI EN 303 645. Med overvejende stor sandsynlighed findes der ikke en sådan enhed på markedet. I så fald er ETSI EN 303 645 bare en illusion.

ETSI EN 303 645 er ikke en standard, man kan bygge produkter ud fra. Den sikrer ikke interworkig mellem produkter fra forskellige leverandører.

Der mangler standarder for produkter og disse standarder skal være implementeret i produkter. Interessen for dette ligger i Danmark på et meget lille sted. Danmark er ekstremt fokuseret på ISO/IEC 27001 og lignende standarder.

Rec. ITU-T X.509 er grundlaget for public-key infrastructure (PKI). PKI er ekstrem vigtig for cybersikkerhed. (jeg er for øvrigt project editor for X.509). Forsøg at Google på 27001 og dernæst på X.509 og se forskellen i hits. Forsøg også på CFCS's hjemmeside (cfcs.dk).

Jeg har også kigget lidt på ETSI EN 303 645 og TS 103 701 som en del af et test framework for egenkontrol. Jeg har også det indtryk at standarderne er brede nok og let forståelige, til at kunne benyttes på det meste og af de fleste, men ja, kræver at man selv definerer eks. hvilke kryptografiske algoritmer der benyttes i diverse sammenhænge imod (strømbesparende) IoT-devices.

Mener at have hørt at Finnerne har en mærkningsordning der bygger på ETSI EN 303 645. Jeg tror dog også at der er mange stærke kræfter der modarbejder initiativer i den retning internationalt.

Inden dbatten om Kongeskibet afsporende debatten (en skibsmotor har ikke meget med consumer IoT at gøre), håbede jeg på nogle reaktioner på mit indlæg nummer 2.

Erik Andersen

Netop .... men jeg bliver ikke mere overrasket...

Lige min tanke, Benito ;-)

Tak for forklaring...Vi får nok aldrig sandheden, hvis den er, som du gisner om...

I øvrigt ved jeg ikke om det er pinligt, men du ville blive overrasket over hvor lidt styr på Cybersecurity der er i sort set hele verdens flådefartøjer..

Jeg har intet læst om det, men hvis jeg skulle komme med et semikvalificeret gæt, så har de skiftet til elektroniske søkort og har smidt all papir ud. Det er så koblet sammen med radarerne og kører upatchet operativsystem. De har så fået malware der har lagt det hele ned. Uden radar og søkort sejler man ingen steder. Automation kan man godt sejle uden - der får man bare ekstra travlt, men kan humpe i havn. PCS på den gamle motor er stand alone, måske med serielle interfaces. Der er så andre systemer på en båd, men mange af dem kan man leve uden i et stykke tid.. Men som sagt kender jeg ikke båden..

Tak for svar, Benito. Ja, som sagt synes jeg, at det er en mystisk historie. Som det allermindste lidt pinlig.

Det kunne være deres automationsanlæg eller navigationsanlæg skulle have opdatering er opdatering eller der skulle trækkes journaler ud. Det gør man i dag via USB og hvis nøglen et inficeret, kan det skabe problemer. Jeg ved ikke hvilke anlæg de har på båden, så det er svært at sige.. Kunne bare slå motoren op og se hvilken type det er. Er det 100% sikkert at motorene stoppede? Eller valgte man bare ikke at sejle videre?

Men kunne der være noget andet vitalt på skuden, som er koblet på nettet? Noget, som kunne tvinge til at vende om, hvis det blev hacket?

Tak, Benito...

Uden at kende den specifikke installation på den båd, men som person der piller lidt i den slags mellem 8-16, kan jeg sige at motoren på den skude og PCS ikke er koblet på internettet. Det kan den ikke. Det er nok nærmere et omkringliggende problem.

Tak for svar, Maciej. Men jeg ville jo have forventet, at mekanikken - motorerne - også var gennemprøvet på alle leder og kanter, og at det skulle være stort set helt umuligt, at begge motorer sætter ud på én gang, og at det tager dagevis at reparere. Tænk. hvis det var sket i rum sø med regenten ombord i blæsevejr....

Jeg synes, det er en mystisk historie.... Og når selv FE kan trackes via private mobiler, så tænker jeg, at alt kan ske....

Begge Kongeskibets motorer satte på mystisk vis ud på vej på sommertogt, så skuden ydmygende måtte slæbes i havn. Ingen forklaringer er givet, og skuden er stadig ikke repareret.</p>
<p>Kræves der mon ransom, siden det åbenbart ikke er en quickfix (som jeg - helt uden skudemæssige kunskaber - ville have forventet), og man er så hemmelighedsfulde?

Begge Kongeskibets motorer satte på mystisk vis ud på vej på sommertogt, så skuden ydmygende måtte slæbes i havn. Ingen forklaringer er givet, og skuden er stadig ikke repareret.

Kræves der mon ransom, siden det åbenbart ikke er en quickfix (som jeg - helt uden skudemæssige kunskaber - ville have forventet), og man er så hemmelighedsfulde?

ETSI EN 303 645 er en af mange vejledninger, så som ISO/IEC 27001. Sådanne vejledninger er vigtige for cybersikkerhed, men er ikke tilstrækkelige. ETSI EN 303 645 er en godt gennemtænkt vejledning, men kan også bruges som illustration for, hvorfor sådanne vejledninger ikke er tilstrækkelige.

Hvordan sikrer man sig, at det er relevante IoT produkter, som opfylder de krav, som ETSI EN 303 645 stiller?

Jeg har taget nogle få af de udmærkede "provisions" som eksempler, specielt de som relaterer sig til kryptografiske algoritmer:

Provision 5.1-3: Authentication mechanisms used to authenticate users against a device shall use best practice cryptography, appropriate to the properties of the technology, risk and usage.

Provision 5.1-5: When the device is not a constrained device, it shall have a mechanism available which makes bruteforce attacks on authentication mechanisms via network interfaces impracticable.

Provision 5.3-7: The device shall use best practice cryptography to facilitate secure update mechanisms.

Provision 5.8-1: The confidentiality of personal data transiting between a device and a service, especially associated services, should be protected, with best practice cryptography.

Provision 5.8-2: The confidentiality of sensitive personal data communicated between the device and associated services shall be protected, with cryptography appropriate to the properties of the technology and usage.

Specielt er "best practice cryptography" nævnt flere gange, hvilket er en udmærket formulering, da formålet med denne norm ikke er at nævne specifikke kryptografiske algoritmer, men det leder til spørgsmålet: Hvordan sikrer vi, at produkterne (brugerudstyr og IoT enheder) understøtter sikre kryptografiske algoritmer og disse algoritmer er korrekte implementerede?

Kryptografiske algoritmer anvendes fx for kryptering/dekryptering af meddelelser og for generering/verificering af digitale signaturer, dvs. de anvendes i kommunikation mellem enheder. Kommunikation mellem enheder kræver internationale standarder, som i detaljer beskriver semantik og syntaks for kommunikationen. Hvordan sikre man at krypteringsnøglen er den samme i begge ender af kommunikationen? Hvordan sikre man, at nøglerne er forskellige for de forskellige kommunikationskanaler? Hvilke krypteringsalgoritmer skal understøttes? Hvordan forhandler man hvilke algoritmer, der skal benyttes? Hvordan håndterer man migrering til nye og mere kraftige algoritmer? Mange af de samme spørgsmål kan stilles til brugen a digitale signaturer og dertil nogle nye: Er der specielle krav til certifikater? Er der behov for specielle navnestrukturer? Osv. osv.

Den form for standardisering, der skal sikre sikkerhed i produkter, har meget trange kår i Danmark. Dansk Standard har ingen eller næsten ingen aktiviteter på området. CFCS går heller ikke meget op i denne problematik, hvilket jeg ser som et alvorligt svigt.

Erik Andersen

På det her tidspunkt kan det ikke komme bag på nogen virksomheder, at hacking eksisterer og kan have en ødelæggende indvirkning på driften af virksomheden og måske endda dens overlevelse. Så hvis man har et iT system og måske sågar arbejder med IoT, ja så må man vel forvente at danske virksomheder udviser rettidig omhu for at beskytte sine systemer...det må være et helt naturligt spørgsmål fra bestyrelsen til ledelsen i en virksomhed...hvis man ikke har tiltro til at man i ledelsen tager problemet alvorligt, så find en leder der gør.