Virksomheders uvidenhed om IoT-sikkerhed er en samfundsrisiko

14. september 2018 kl. 12:073
Virksomheders uvidenhed om IoT-sikkerhed er en samfundsrisiko
Illustration: Taiga/Bigstock.
Virskomheder ved godt, at IoT-sikkerhed er vigtig, men de mangler viden til at implementere den.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den uvidenhed, der eksisterer, når det gælder Internet of Things, opkoblede produkter og tjenester, er en stor risikofaktor både for den enkelte organisation og for samfundet som helhed. Trods det mangler næsten halvdelen af svenske virksomheder stadig en sikkerhedspolitik for opkoblede enheder.

Det viser en ny undersøgelse om IoT-sikkerhed, som er foretaget af AddSecure blandt det svenske medie Ny Tekniks læsere.

»Det er tydeligt, at mange flere forstår vigtigheden af IoT-sikkerhed i dag, men problemet er, at mange simpelthen ikke har viden nok til at gøre noget ved det. Desuden er mange uvidende om konsekvenserne af, at andre får kontrol over en IoT-enhed.«

»Mange tænker, at informationen, som indsamles af en sensor, måske ikke er kritisk, men hvad ville det betyde for ens organisation, hvis en ekstern part ændrede på informationen, som blev indsamlet, eller hvis informationen pludselig ikke kom overhovedet? Der er flere problemstillinger at tænker over,« mener Olof Samuelsson, IoT-ansvarlig hos AddSecure.

Over halvdelen bekymrede

Ifølge IoT-rapporten er der stor uvidenhed om sikkerhed for opkoblede produkter blandt svenske virksomheder, og ofte drejer det sig om en usikkerhed i forhold til, hvordan IoT-sikkerhed skal fortolkes og implementeres, eftersom der ikke findes nogen etablerede standarder i dag.

Artiklen fortsætter efter annoncen

Over halvdelen af respondenterne fortæller, at de føler sig bekymrede eller meget bekymrede over sikkerheden IoT-sikkerheden.

Undersøgelsen viser også, at mange organisationer lader til at mangle viden om, hvilke opkoblede enheder, der overhovedet er i virksomheden, idet de individuelle afdelinger selv opkobler routere, cloud-tjenester og andre smarte enheder uden indblanding fra it-afdelingen eller en sikkerhedsansvarlig.

Samfundsmæssigt ansvar

»For den enkelte virksomhed er der et problem med enheder, som andre får kontrol, over eller som måske holder op med at fungere eller bliver langsomme. Men det er samtidig et samfundsproblem, at usikre enheder også kan få konsekvenser for det internet, vi alle bruger« mener Olof Samuelsson.

Det skyldes, at samfundet i dag er totalt afhængigt af internettet, både inden for bl.a. forsyning, sundhedsvæsen og betalingsløsninger og informationsspredning. Angreb kan alså få enorme konsekvenser.

Der skal samarbejde til

Ifølge Joakim Söderström, der er vicedirektør i paraplyorganisationen Säkerhetsbranschen, er visse mere kritiske samfundsinstanser som f.eks. el- og energibranchen dog mere forsigtige i forhold til at blive opkoblet - selv om der ville være store gevinster at hente, hvis vores elnet var smartere, og man f.eks. installerede sensorer, som kunne hjælpe til at sikre elforsyningen i hele landet.

Det første skridt er at begynde at tage IoT-sikkerhed mere alvorligt internt i alle virksomheder, at udpege en person eller afdeling med ansvar for opgaven, og at få overblik over de opkoblede enheder, der allerede er i virksomheden, for at sikre, at man får kontrollen tilbage, afslutter Olof Samuelsson.

Du kan hente den omtalte IoT-rapport her (kræver at man afgiver sin e-mailadresse).
Undersøgelsen blev gennemført blandt Ny Tekniks læsere i foråret 2018.

Denne artikel strammer delvist fra Ny Teknik.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
14. september 2018 kl. 13:00

Det er for letkøbt.

Teknisk set er det ikke nødvendigvis svært at indtænke sikkerhed i forbindelse med IoT, men mentalt er det en helt anden historie, som fordrer at der tages udgangspunkt i sikkerhed, ikke i benovelse over ih-hvor-kan-vi-mange-smarte-ting.

Og når vi tager in mente hvordan sikkerhed på ingen måde er en del af tankesættet (tag bare det såkaldte NemID, der er grundtanken nem, ikke sikker), så kan perspektiverne fsva. IoT være ret så skræmmende.

Endvidere kan hele tankesættet om at alt (ukritisk) smaskes på internettet, dybest set ud fra en bekvemmelighedsbetragtning, være dybt beskæmmende - for hvorfor skal vores el, vand, mv. -forsyning overhovedet have nogen som helst forbindelse med internettet?

Jeg må indrømme, at jeg magter ikke at se din Youtube igennem, men allerede titlen "Securing the last mile of IoT solutions" mener jeg indikerer meget godt hvor det går galt. For hvis sikkerhed virkelig skal give mening, så er det slet ikke "last mile" man skal fokusere på, men i allerhøjeste grad "first mile".

2
14. september 2018 kl. 12:58

Ud fra beskrivelsen, så virker det til, at Bruce Schneiers nye bog Click Here to Kill Everybody, som er udkommet i denne måned, er inde på det samme problemstilling.

Lad mig citere fra Bruce Schneiers egen blog-indlæg om bogen (linket ovenfor):

Attacks are no longer just about data, they now affect life and property: cars, medical devices, thermostats, power plants, drones, and so on. All of our security assumptions assume that computers are fundamentally benign. That, no matter how bad the breach or vulnerability is, it's just data. That's simply not true anymore. As automation, autonomy, and physical agency become more prevalent, the trade-offs we made for things like authentication, patching, and supply chain security no longer make any sense. The things we've done before will no longer work in the future.

Jeg har ikke haft lejlighed til at kigge i bogen selv (endnu...).

1
14. september 2018 kl. 12:30

Jeg præsenteret IoT sikkerhed på NDC Oslo konferencen i sommers. Se her https://youtube.com/watch?v=vlkeleMJIpo

Der er mange flere aspekter end dem jeg får dækket i præsentationen, men det er et godt udgangspunkt.