Ny standard skal rette op på pivringe sikkerhed i IoT-produkter
Ingen forudindstillede passwords, klare kommandoveje til sårbarheder og nem adgang til at slette sine personlige data. Det er nogle af nøgleordene i den nye cybersikkerhedsstandard for IoT-produkter til forbrugere, som standardiseringsorganet ETSI netop har præsenteret.
Standarden har fået det mundrette navn, EN 303 645, og indeholder en række krav til internetforbundet IoT-udstyr, eksempelvis børnelegetøj, røgalarmer, dørtelefoner og home automation-systemer. Håbet er at mange IoT-producenter vil lade sine produkter certificere efter den nye standard, så forbrugere kan benytte certifikatet til at vurdere, om produktet er sikkert.
For eksempel skal det være muligt for en forbruger på en simpel måde at slette sine data fra et produkt, og producenten skal tydeligt forklare hvilke data der indsamles, hvorfor det sker og hvordan de bliver indsamlet.
Andre krav kan lyde mere simple end de faktisk er. Den første regel i standarden lyder at man ikke få bruge forudindstillede passwords. Mange enheder er i dag sat med standard-indstillinger som admin/admin eller admin/1234.
Lettere at anmelde sårbarheder
Det er ikke kun slutbrugerne der skal sikres bedre, også udviklere og etiske hackere vil få bedre arbejdsvilkår, hvis IoT-industrien tager den nye standard til sig. For at overholde standarden skal det nemlig være tydeligt, hvordan man melder sårbarheder og bugs ind til producenten.
Den nye standard er udviklet hos den internationale standardiseringsorgan ETSI, og tager blandt andet udgangspunkt i en række finske retningslinjer for god IoT-sikkerhed, som blev lanceret sidste år.
»Vi lancerede det finske IoT-mærkat i november 2019. Det var verdens første og tiltrak en del global opmærksomhed. Vores mærkat gives til netværksenheder der overholder kriterierne i EN 303 645. Det hjælper forbrugeren med at identificere tilpas sikre produkter. Op til i dag har vi givet mærket til flere produkter, inklusiv fitnessure, home automation-enheder og smart hubs,« siger Juhani Eronen fra de finske trafik- og kommunikationsmyndigheder Traficom i en pressemeddelelse fra ETSI.
Data havner de forkerte steder
Inden for de seneste år er det blevet tydeligt at små IoT-enheder til private forbrugere ofte har et meget lavt sikkerhedsniveau, og at data fra enhederne ofte ender mange andre steder end brugerne forventer.
Det er eksempelvis ikke længe siden Amazon kom i et gevaldigt stormvejr, da det viste sig at data fra deres dørklokke ‘Ring’ automatisk blev videresendt til Facebook og Google.
At sikkerheden stadig er underprioriteret inden for IoT fik tidligere i år den anerkendte sikkerhedsekspert Mikko Hyppönen til at sammenligne IoT med det giftige byggemateriale asbest.
»Jeg kalder det for it-asbest. Asbest var et fantastisk materiale, indtil det ikke var det længere. Om 20 år vil folk se tilbage på os og sige: ‘Hvad i helvede tænkte de på?’,« sagde Mikko Hyppönen på konferencen Netsecurity Summit i februar i år.
Et eksempel på dette er brugen af telnet, en gammel kommunikationsprotokol, som ikke er krypteret.
»Telnet har gjort comeback på IoT-enheder. Jeg kan ikke forklare hvorfor,« sagde Mikko Hyppönen.
I den nye IoT-standard er det et krav at personfølsomme data skal krypteres mellem IoT-enheden og services i skyen, ligesom leverandøren skal sørge for at opdatere produktets software løbende og opdateringerne skal være let tilgængelige for forbrugeren. Det er et ønske som IDA blandt andet har slået på tromme for i flere år.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
