Professor: Ukrypterede sensordata giver hackere frit spil til styring af ventiler og droner
Forestil dig, at hackere får adgang til at lukke for ventilerne på vandværket eller overtager styringen med en drone fyldt med sprøjtemiddel til landbruget.
Disse scenarier kan meget vel blive til virkelighed, hvis vi ikke tager en række sikkerhedsmæssige udfordringer ved Internet of Things (IoT) alvorligt.
Det var budskabet fra professor i trådløs kommunikation fra King’s College i London Mischa Dohler under TeliaSoneras IoT-konference M2M Symposium i Stockholm i sidste uge. Han pegede på nogle af skyggesiderne ved det, som flere betegner som den fjerde industrielle revolution.
På konferencen havde oplægsholderne ellers svært at få armene ned af begejstring over potentialet i Tingenes Internet. Utallige eksempler fra selvkørende biler til intelligente og fuldautomatiserede landbrug var med til at male et billede af en kommende teknologisk guldalder.
Men når det gjaldt it-sikkerheden, kneb det med ordforrådet blandt de fremmødte.
Blandt repræsentanter fra store teknologivirksomheder som blandt andet Microsoft, Huawei og Ericsson, var it-sikkerheden mest reduceret til en sidebemærkning i nogle ellers fængende præsentationer.
Men ikke for Mischa Dohler, der har identificeret fire alvorlige sikkerhedsproblemer ved Internet of Things.
»Vores største udfordring lige nu er at sikre de enkelte dele af netværket,« siger han.
I industrielle systemer med tusindvis af sensorer, hubs og forskellige databaser skal mange systemer fra forskellige producenter arbejde sammen. Og det er ifølge professoren en kæmpe udfordring at finde frem til sikkerhedshuller i et så enormt økosystem.
»Mange gange er der et system, som er en del af et andet system, som igen er indlejret i et tredje system,« siger Mischa Dohler.
Små datapakker fra sensorer udgør alvorligt sikkerhedshul
En af grundpillerne bag den kommende IoT-revolution er masseproduktionen af sensorer.
Men teknologiens hurtige fremskridt er samtidig skyld i en alvorlig trussel mod sikkerheden af systemerne.
I landbruget kan titusindvis af sensorer ude i marken løbende holde styr på temperatur og fugtighed og automatisk justere vandingssystemer og lignende.
Dette skyldes, at sensorer i dag er billigere, mindre og mere energivenlige end nogensinde før. Hver enkelt sensor kan holde en lang batterilevetid, blandt andet fordi de er blevet optimeret til kun at sende datapakker på få bit af sted til modtager-enheden.
Bagsiden er, at data-transmissionen mellem de forskellige enheder ikke længere kan krypteres ifølge Mischa Dohler. For at bruge den nuværende krypteringsstandard på 2056 bit, vil det også betyde, at datapakkerne sendt mellem enhederne bliver flere hundrede gange større.
»Fordi sensorerne er små og har en lang batterilevetid, bliver vi nødt til at sende korte datapakker af sted. Det gør det også sværere at kryptere data. Vi kan ikke gøre 1 bit sikker,« siger Mischa Dohler.
Problemet er ikke så stort, når der er tale om den data, som sender fra den enkelte sensor og op til resten af netværket, da den ifølge professoren kan være relativ harmløs. Men hvis data bliver sendt ukrypteret den anden vej, kan det blive 'rigtig farligt', mener han.
Eksempelvis hvis der er tale om instruktioner til at styre en industriel drone eller justere en ventil.
Løsningen findes måske i svagere kryptering ifølge Mischa Dohler.
»Måske kan vi sikre 16-64 bit. Men så skal vi også finde ud af, hvordan vi skifter krypteringsnøgle og får det til at skalere,« siger han.
Hvem tjekker, om der er pillet ved aircondition-anlægget?
Det er efterhånden udbredt, at man skal sikre sin computer og sin smartphone. Men i takt med, at flere enheder kommer på netværket, er det ikke længere nok blot at låse computeren, når man går til frokost.
En sensor eller et aircondition-anlæg kan vise sig at blive det svageste led, der kompromitterer sikkerheden på netværket, forklarer professoren. Mange af de enheder, der er koblet op på netværket, kan ligge spredt over store områder og derfor være svære at holde øje med.
Det bliver derfor langt mere kompliceret at sikre netværket mod fysisk indtrængen i de mange enheder. Ved at pille ved en sensor kan uvedkommende måske spionere på netværkstrafikken, uden at det bliver opdaget.
»Der kan sagtens gå flere år, uden at sådan en indtrængen bliver opdaget,« siger Mischa Dohler.
Kvantecomputere vil dræbe nuværende sikkerhedsprotokoller
Selvom kvantecomputere sandsynligvis er et stykke ude i fremtiden, er det ifølge Mischa Dohler alligevel nødvendigt at forberede os på dem allerede nu.
Deres regnekapacitet vil overgå nutidens computere i så høj en grad, at al nuværende kryptering vil kunne brydes.
»Alle vores sikkerhedsprotokoller bliver sårbare,« siger Mischa Dohler.
Det kan være relativt hurtigt at omprogrammere vores laptops og smartphones til den tid, så de stadig er sikre.
»Men det er svært at ændre på sikkerheden for billioner af sensorer. Så vi er nødt til at forberede os på kvante-alderen allerede nu,« siger han.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
