Politisk indgreb efter års smøleri: »Urimeligt at forbrugere selv skal sikre IoT-enheder«

Støvsugere, legetøj og køleskabe. Alt bliver i dag forbundet via internettet og det kræver at sikkerheden tænkes ind fra starten. Illustration: Neato
Den engelske minister for digitalisering vil opprioritere sikkerheden i de millioner af forbundne Internet of Things-enheder, der sælges i England. Sikkerhed skal tænkes ind i designfasen og myndigheder er klar med et nyt sikkerhedskodeks

Fjernsyn, legetøj og højtalere. Mange forbrugerprodukter er i dag koblet på internettet, men med elendig sikkerhed i form af faste kodeord og manglende softwarepatches.

Nu vil den engelske minister for digitalisering, kultur, medier og sport, Margot James, have mere sikre Internet of Things-enheder ved hjælp af et nyt sikkerhedskodeks, der er udviklet i samarbejde med producenter og forhandlere.

»Vi vil have at alle skal have gavn af det store potentiale, der er i internetforbundne enheder. Det er vigtigt, at de er sikre og har en positiv indflydelse på folks liv. Vi har arbejdet sammen med industrien for at udvikle et strengt nyt sæt regler, så stærk sikkerhed bliver indbygget i hverdagsteknologien fra det øjeblik det bliver udviklet,« siger Margot James, minister for det digitalisering, kultur, medier og sport i en pressemeddelelse.

Læs også: Nyt botnet rammer IoT-enheder: Stort potentiale for at lave skade, siger DTU

Det nye sikkerhedskodeks er en del af den større rapport "Secure by Design", der anbefaler et skift i sikkerhedsforståelsen.

»Rapporten anbefaler et fundamentalt skift i tilgang. Det skal ikke længere være forbrugerne, der selv skal sikre deres enheder, men i stedet skal der være indbygget en stærk sikkerhed allerede fra designfasen i Internet of Things-produkter til forbrugere,« står der i rapporten.

Indgrebet kommer efter mange år, hvor der til stadighed har været sager om elendig IoT-sikkerhed:

Eksempelvis en sag hvor to millioner stemmeoptagelser sendt mellem børn og forældre gennem et IoT-tøjdyr blev lækket, eller om internetopkoblede biler der ikke bliver opdateret, eller kinesiske harddiskoptagere og internet-opkoblede kameraer, der inficeres med malware ender med at indgå i et botnet.

Unikke kodeord

Det nye britiske sikkerhedskodeks består af en række praktiske anbefalinger til udviklere og producenter.

Blandt andet skal alle kodeord være unikke, der skal være en sårbarhedspolitik, så sikkerhedshændelser kan indberettes hurtigt, og softwareopdateringer skal ske automatisk og hurtigt, ligesom sensitive data skal sendes krypteres.

Læs også: Malware bag IoT-botnet bruges nu til at overtage krypto-minere

Det nye sikkerhedskodeks er netop sendt i høring, men i følge The Register er det fortsat uklart, om det nye sikkerhedskodeks vil få nogen lovgivningsmæssige konsekvenser, eller om det blot er et frivilligt kodeks.

Den engelske regering skriver selv, at de på sigt kan integrere sikkerhedskodekset i lovgivningen. Initiativet er en del af regeringens fem-årige nationale cybersikkerhedsstrategi, der skal gøre Storbritannien til det mest sikre land at leve og lave forretning i.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
Leif Neland

Kunne man ikke samtidig kræve at der altid skal være en lokal adgang?

Jeg kan styre min danfoss living connect fra en app, og se om mine rfid-mærkede katte er gået ind eller ud ad kattelemmen (der kun åbner for godkendte katte), men hvis firmaerne bag en dag ikke gider eller kan drive de servere ude i skyen, der fungerer som postkasser for kommunikation mellem app og enheder, ja så fungerer appen bare ikke.

Kattelem-leverandøren havde en softwarefejl i går, så i knapt et døgn fungerede appen ikke.

Min robotplæneklipper kan jeg kun komme i kontakt med, fordi nogen har reverse-engeniered protokollen appen taler med Husqvarnas sky.

Danfoss kan jeg slet ikke bruge med andet end appen; jeg kan ikke udnytte at jeg har temperaturfølere i hvert rum, fordi der ikke er et API.

tp-link kontakten kan ganske vist styres fra en app via skyen, men den taler dog pænt json på lokalnettet også.

IKEA Tradfri har slet ikke en sky-server; der skal man være på lokalnettet for at bruge appen. Men de har en åben protokol, så der kan man også bygge sit eget.

Det burde også være muligt at ændre hvilken server enhederne taler med; jeg kan selvfølgelig prøve om jeg kan sniffe hvilke server der "ringes hjem til", og ændre det i min lokale DNS, men hvis der er hardkodede ip-adresser, certifikater eller dnssec, går det nok ikke, og det er ikke alle, der lige kan det.

Axel Nielsen

IoT trækker pt. en masse IT ind i vores dagligdag - IT som er under konstant udvikling og dermed afvikling (af ældre versioner).

Det er i min verden absolut ikke modent til andet end leg.

Når man kan blive voksne og enige om en standard (á la CAN til biler eller N2K til skibe) - Og alle overholder den - Så kan alle IoT-enheder forbindes til en fælles "server" - I LAN!
Dén server kan man så koncentrere sig om at holde kørende/"vandtæt", hvis man absolut vil kunne sidde i "Vesterhavshytten" og tænde lyset på lokummet i Strandvejsvillaen og derfor partout skal have den på en linje ud...

En fælles standard vil ikke være en konkurrenceparameter - Og vil derfor være meget nemmere at opensource, så alle kan være med, også selvom en producent går konkurs, lukker eller lader et produkt udgå.
Hvis der er et marked, skal der nok være nogen der laver noget til det!

Christian Nobel

"Blandt andet skal alle kodeord være unikke, der skal være en sårbarhedspolitik, så sikkerhedshændelser kan indberettes hurtigt, og softwareopdateringer skal ske automatisk og hurtigt, ligesom sensitive data skal sendes krypteres."

Hvis opdateringen skal kunne ske per automatik, så er der et fælt sikkerhedshul der, for er vi 100% sikre på hvor gode leverandørens intentioner er, eller er NSA lige med på sidelinjen.

Og hvad sker hvis NSA eller lignende retter en kammeratlig henvendelse til leverandøren og "beder" ham om lige at putte lidt "tilføjelser" ind i opdateringen?

Gert Jürgensen

Fejlen ligger hos forbrugerne, som ikke returnere det købte udstyr grundet defekt/dårlig API/Sikkerhed.
En let test, kan du ikke styre din nye enhed via et lukket WiFi, ja så er det defekt og skal retur.
Lukket WiFi = Ingen Internet forbindelse direkte fra eller til enheder på det.
Alt API/Automatisering skal ske via en lokal enhed/server, eks. Raspberry Pi 3 eller NUC

Evt. Internet Styring af dit udstyr i hjemmet skal ske via en VPN forbindelse, ikke via en Sky/Cloud Service.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017