Ny standard skal rette op på pivringe sikkerhed i IoT-produkter

Illustration: Bigstock
Store dele af IoT-industrien er gået sammen om at udvikle en ny standard for cybersikkerhed til internetforbundet forbrugerelektronik. Standarden skal også hæve barren for brugernes privatliv.

Ingen forudindstillede passwords, klare kommandoveje til sårbarheder og nem adgang til at slette sine personlige data. Det er nogle af nøgleordene i den nye cybersikkerhedsstandard for IoT-produkter til forbrugere, som standardiseringsorganet ETSI netop har præsenteret.

Standarden har fået det mundrette navn, EN 303 645, og indeholder en række krav til internetforbundet IoT-udstyr, eksempelvis børnelegetøj, røgalarmer, dørtelefoner og home automation-systemer. Håbet er at mange IoT-producenter vil lade sine produkter certificere efter den nye standard, så forbrugere kan benytte certifikatet til at vurdere, om produktet er sikkert.

For eksempel skal det være muligt for en forbruger på en simpel måde at slette sine data fra et produkt, og producenten skal tydeligt forklare hvilke data der indsamles, hvorfor det sker og hvordan de bliver indsamlet.

Andre krav kan lyde mere simple end de faktisk er. Den første regel i standarden lyder at man ikke få bruge forudindstillede passwords. Mange enheder er i dag sat med standard-indstillinger som admin/admin eller admin/1234.

Læs også: Babyalarm med dårlig sikkerhed kan give hackere adgang til privaten

Lettere at anmelde sårbarheder

Det er ikke kun slutbrugerne der skal sikres bedre, også udviklere og etiske hackere vil få bedre arbejdsvilkår, hvis IoT-industrien tager den nye standard til sig. For at overholde standarden skal det nemlig være tydeligt, hvordan man melder sårbarheder og bugs ind til producenten.

Den nye standard er udviklet hos den internationale standardiseringsorgan ETSI, og tager blandt andet udgangspunkt i en række finske retningslinjer for god IoT-sikkerhed, som blev lanceret sidste år.

»Vi lancerede det finske IoT-mærkat i november 2019. Det var verdens første og tiltrak en del global opmærksomhed. Vores mærkat gives til netværksenheder der overholder kriterierne i EN 303 645. Det hjælper forbrugeren med at identificere tilpas sikre produkter. Op til i dag har vi givet mærket til flere produkter, inklusiv fitnessure, home automation-enheder og smart hubs,« siger Juhani Eronen fra de finske trafik- og kommunikationsmyndigheder Traficom i en pressemeddelelse fra ETSI.

Læs også: Danmark tager førstepladsen i forbruger-IoT i Europa

Data havner de forkerte steder

Inden for de seneste år er det blevet tydeligt at små IoT-enheder til private forbrugere ofte har et meget lavt sikkerhedsniveau, og at data fra enhederne ofte ender mange andre steder end brugerne forventer.

Det er eksempelvis ikke længe siden Amazon kom i et gevaldigt stormvejr, da det viste sig at data fra deres dørklokke ‘Ring’ automatisk blev videresendt til Facebook og Google.

Læs også: Privacy-forkæmpere: Amazons 'Ring' sender beboeres persondata til Google og Facebook

At sikkerheden stadig er underprioriteret inden for IoT fik tidligere i år den anerkendte sikkerhedsekspert Mikko Hyppönen til at sammenligne IoT med det giftige byggemateriale asbest.

»Jeg kalder det for it-asbest. Asbest var et fantastisk materiale, indtil det ikke var det længere. Om 20 år vil folk se tilbage på os og sige: ‘Hvad i helvede tænkte de på?’,« sagde Mikko Hyppönen på konferencen Netsecurity Summit i februar i år.

Et eksempel på dette er brugen af telnet, en gammel kommunikationsprotokol, som ikke er krypteret.

Læs også: Sikkerhedsekspert: »IoT er som asbest. Om 20 år vil folk undre sig over, hvad vi havde gang i«

»Telnet har gjort comeback på IoT-enheder. Jeg kan ikke forklare hvorfor,« sagde Mikko Hyppönen.

I den nye IoT-standard er det et krav at personfølsomme data skal krypteres mellem IoT-enheden og services i skyen, ligesom leverandøren skal sørge for at opdatere produktets software løbende og opdateringerne skal være let tilgængelige for forbrugeren. Det er et ønske som IDA blandt andet har slået på tromme for i flere år.

Læs også: IDA: Software-leverandører skal gøres ansvarlige for fejl og sårbarheder

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Dave Pencroof

Ved en umiddelbar gennemlæsning, virker squ da som en af de gode historier, som forhåbentligt kan inspirere andre, og bliver den inddraget helt tilbage på ide niveau, fantastisk, masser af krydsede fingre !

  • 11
  • 0
#2 Simon Laursen

ETSI og arbejdsgruppen bag har gjort et virkelig godt stykke arbejde med EN 303 645. Det er en rigtig god standard og mange elementer kan også bruges uden for "consumer" segmentet.

Det næste spændende bliver om krav til cybersikkerhed i produkter kommer ind i lovgivning som vi har set det i Storbritannien eller om EU finder på at komme det ind i radioudstyrsdirektivet (RED).

Der er pt to internationale standarder under udvikling inden for IoT sikkerhed:

  • ISO/IEC 27030 - Guidelines for security and privacy in Internet of Things
  • ISO/IEC 27402 - IoT security and privacy — Device baseline requirements

Alexandra Instituttet søger stadig IoT virksomheder der vil deltage gratis i CIDI (Cybersecure IoT in Danish Industry) projektet. Et element i projektet kunne være hjælp til implementering af foranstaltningerne fra EN 303 645. https://alexandra.dk/dk/aktuelt/nyheder/2020/virksomheder-saetter-iot-si...

  • 0
  • 0
#3 Deleted User

Den nye standard er udviklet hos den internationale standardiseringsorgan ETSI, og tager blandt andet udgangspunkt i en række finske retningslinjer for god IoT-sikkerhed, som blev lanceret sidste år.

Vi lancerede det finske IoT-mærkat i november 2019. Det var verdens første og tiltrak en del global opmærksomhed.

Jeg synes dette eksempel tydeligt viser, at man kan ændre systemer ved at være foregangsland. Stor applaus til Finland herfra.

  • 5
  • 0
#4 Simon Laursen

Det finske mærke ser rigtig godt ud og er placeret under det staten. Vi kan kun drømme om at den nye danske "Mærkningsordning til virksomheder for it-sikkerhed og ansvarlig dataanvendelse" får samme opbagning.

Der blev afhold et rigtigt godt seminar omkring de forskellige nye "IoT Security - Certification Schemes" i forbindelse med ETSI Security Week for et par uger siden:

https://www.brighttalk.com/webcast/12761/409303

EN 303 645 er i udvidelse/udygning af ETSI TS 103 645 og det store arbejde lavet i UK ved deres udgivelse af "Code of Practice for Consumer IoT Security" fra 2018.

  • 0
  • 0
#8 Torben Rune

ETSI er ikke en international, men en europæisk organisation. Dette afspejles også i det faktum at de udvikler en Europæisk Norm (EN). Det internationale arbejde sker i ITU, præcis som CEN afspejler ISO og CENELEC gør det med IEC på europæisk plan.

ETSI er rigtig nok europæisk, men har udstragt samarbejde med de verdensomspændende standardiseringsorganisationer, bl.a. ISO, IEC og ITU.

Når ETSI har udviklet en "Publicly Available Specification" (PAS), f.eks. i form af en EN (Europæisk Norm), så Transporteres eller Adapteres den af de internationale organisationer (de såkaldte SDOer). Hos ISO sker det i en ISO PAS proces. Dermed bliver f.eks. "EN 303 645" til "ISO 303 645" (ofte med en anden nomenklatur). Hele standardiseringsprocessen er forklaret i dette dokument:

https://www.etsi.org/images/files/Education/ETSI_STF-515_slides_consolid...

På side 96 f.f. er ISO PAS processen beskrevet.

Så selv om ETSI er europæisk, er standarderne verdensglobale.

ISO/IEC JTC 1 sørger for at det hele hænger sammen, så der ikke opstår dubletter eller inkompatibilitet.

  • 3
  • 0
Log ind eller Opret konto for at kommentere