Politisk indgreb efter års smøleri: »Urimeligt at forbrugere selv skal sikre IoT-enheder«

8. marts 2018 kl. 16:285
Politisk indgreb efter års smøleri: »Urimeligt at forbrugere selv skal sikre IoT-enheder«
Illustration: Neato.
Den engelske minister for digitalisering vil opprioritere sikkerheden i de millioner af forbundne Internet of Things-enheder, der sælges i England. Sikkerhed skal tænkes ind i designfasen og myndigheder er klar med et nyt sikkerhedskodeks
Henning Mølsted
Henning Mølsted
Redaktionschef
Laurids Hovgaard
Laurids Hovgaard
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Henning Mølsted
Henning Mølsted
Redaktionschef
Laurids Hovgaard
Laurids Hovgaard
Journalist

Fjernsyn, legetøj og højtalere. Mange forbrugerprodukter er i dag koblet på internettet, men med elendig sikkerhed i form af faste kodeord og manglende softwarepatches.

Nu vil den engelske minister for digitalisering, kultur, medier og sport, Margot James, have mere sikre Internet of Things-enheder ved hjælp af et nyt sikkerhedskodeks, der er udviklet i samarbejde med producenter og forhandlere.

»Vi vil have at alle skal have gavn af det store potentiale, der er i internetforbundne enheder. Det er vigtigt, at de er sikre og har en positiv indflydelse på folks liv. Vi har arbejdet sammen med industrien for at udvikle et strengt nyt sæt regler, så stærk sikkerhed bliver indbygget i hverdagsteknologien fra det øjeblik det bliver udviklet,« siger Margot James, minister for det digitalisering, kultur, medier og sport i en pressemeddelelse.

Det nye sikkerhedskodeks er en del af den større rapport "Secure by Design", der anbefaler et skift i sikkerhedsforståelsen.

Artiklen fortsætter efter annoncen

»Rapporten anbefaler et fundamentalt skift i tilgang. Det skal ikke længere være forbrugerne, der selv skal sikre deres enheder, men i stedet skal der være indbygget en stærk sikkerhed allerede fra designfasen i Internet of Things-produkter til forbrugere,« står der i rapporten.

Indgrebet kommer efter mange år, hvor der til stadighed har været sager om elendig IoT-sikkerhed:

Eksempelvis en sag hvor to millioner stemmeoptagelser sendt mellem børn og forældre gennem et IoT-tøjdyr blev lækket, eller om internetopkoblede biler der ikke bliver opdateret, eller kinesiske harddiskoptagere og internet-opkoblede kameraer, der inficeres med malware ender med at indgå i et botnet.

Unikke kodeord

Det nye britiske sikkerhedskodeks består af en række praktiske anbefalinger til udviklere og producenter.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Blandt andet skal alle kodeord være unikke, der skal være en sårbarhedspolitik, så sikkerhedshændelser kan indberettes hurtigt, og softwareopdateringer skal ske automatisk og hurtigt, ligesom sensitive data skal sendes krypteres.

Det nye sikkerhedskodeks er netop sendt i høring, men i følge The Register er det fortsat uklart, om det nye sikkerhedskodeks vil få nogen lovgivningsmæssige konsekvenser, eller om det blot er et frivilligt kodeks.

Den engelske regering skriver selv, at de på sigt kan integrere sikkerhedskodekset i lovgivningen. Initiativet er en del af regeringens fem-årige nationale cybersikkerhedsstrategi, der skal gøre Storbritannien til det mest sikre land at leve og lave forretning i.

Emner
5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
Gert Jürgensen
10. marts 2018 kl. 15:58

Fejlen ligger hos forbrugerne, som ikke returnere det købte udstyr grundet defekt/dårlig API/Sikkerhed. En let test, kan du ikke styre din nye enhed via et lukket WiFi, ja så er det defekt og skal retur. Lukket WiFi = Ingen Internet forbindelse direkte fra eller til enheder på det. Alt API/Automatisering skal ske via en lokal enhed/server, eks. Raspberry Pi 3 eller NUC

Evt. Internet Styring af dit udstyr i hjemmet skal ske via en VPN forbindelse, ikke via en Sky/Cloud Service.

  • more_vert
    • insert_linkKopier link
4
Kristian Rastrup
9. marts 2018 kl. 09:29

Det er dilemmaet ved sikkerhed for de 99,9% eller de 0,1%.

99,9% er bedre stillede med opdateret software uanset om NSA lytter med.

  • more_vert
    • insert_linkKopier link
3
Christian Nobel
9. marts 2018 kl. 08:24

"Blandt andet skal alle kodeord være unikke, der skal være en sårbarhedspolitik, så sikkerhedshændelser kan indberettes hurtigt, og softwareopdateringer skal ske automatisk og hurtigt, ligesom sensitive data skal sendes krypteres."

Hvis opdateringen skal kunne ske per automatik, så er der et fælt sikkerhedshul der, for er vi 100% sikre på hvor gode leverandørens intentioner er, eller er NSA lige med på sidelinjen.

Og hvad sker hvis NSA eller lignende retter en kammeratlig henvendelse til leverandøren og "beder" ham om lige at putte lidt "tilføjelser" ind i opdateringen?

  • more_vert
    • insert_linkKopier link
2
Axel Nielsen
8. marts 2018 kl. 21:34

IoT trækker pt. en masse IT ind i vores dagligdag - IT som er under konstant udvikling og dermed afvikling (af ældre versioner).

Det er i min verden absolut ikke modent til andet end leg.

Når man kan blive voksne og enige om en standard (á la CAN til biler eller N2K til skibe) - Og alle overholder den - Så kan alle IoT-enheder forbindes til en fælles "server" - I LAN! Dén server kan man så koncentrere sig om at holde kørende/"vandtæt", hvis man absolut vil kunne sidde i "Vesterhavshytten" og tænde lyset på lokummet i Strandvejsvillaen og derfor partout skal have den på en linje ud...

En fælles standard vil ikke være en konkurrenceparameter - Og vil derfor være meget nemmere at opensource, så alle kan være med, også selvom en producent går konkurs, lukker eller lader et produkt udgå. Hvis der er et marked, skal der nok være nogen der laver noget til det!

  • more_vert
    • insert_linkKopier link
1
Leif Neland
8. marts 2018 kl. 21:03

Kunne man ikke samtidig kræve at der altid skal være en lokal adgang?

Jeg kan styre min danfoss living connect fra en app, og se om mine rfid-mærkede katte er gået ind eller ud ad kattelemmen (der kun åbner for godkendte katte), men hvis firmaerne bag en dag ikke gider eller kan drive de servere ude i skyen, der fungerer som postkasser for kommunikation mellem app og enheder, ja så fungerer appen bare ikke.

Kattelem-leverandøren havde en softwarefejl i går, så i knapt et døgn fungerede appen ikke.

Min robotplæneklipper kan jeg kun komme i kontakt med, fordi nogen har reverse-engeniered protokollen appen taler med Husqvarnas sky.

Danfoss kan jeg slet ikke bruge med andet end appen; jeg kan ikke udnytte at jeg har temperaturfølere i hvert rum, fordi der ikke er et API.

tp-link kontakten kan ganske vist styres fra en app via skyen, men den taler dog pænt json på lokalnettet også.

IKEA Tradfri har slet ikke en sky-server; der skal man være på lokalnettet for at bruge appen. Men de har en åben protokol, så der kan man også bygge sit eget.

Det burde også være muligt at ændre hvilken server enhederne taler med; jeg kan selvfølgelig prøve om jeg kan sniffe hvilke server der "ringes hjem til", og ændre det i min lokale DNS, men hvis der er hardkodede ip-adresser, certifikater eller dnssec, går det nok ikke, og det er ikke alle, der lige kan det.

  • more_vert
    • insert_linkKopier link