De siste årene har IoT (Internet of Things – tingenes internett) gått fra å være et test- og pilotprosjekt til å bli en integrert del av mange bedrifters virksomhet. IoT-enheter tilbyr en rekke muligheter til for eksempel ressursoptimalisering, forbedring av kundeopplevelsen og utførelse av datadrevne serviceintervaller, men setter også strengere krav til cybersikkerhet ettersom alt som er koblet til internett, kan hackes.
Dette er meldingen fra Anders Struwe Mynster, som har jobbet med IoT i 15 år og i dag er leder for IoT Technology & Architecture-avdelingen i Force Technology, som er et internasjonalt konsulent- og serviceselskap.
Han har opplevd at IoT de siste årene har blitt mye mer utbredt i produkter og produksjon, noe som også gjør de nettilkoblede enhetene til et mer interessant mål for hackere.
IoT – eller tingenes internett – kan forklares som et nettverk av identifiserbare gjenstander som er utstyrt med elektronikk, programvare og sensorer som gjør dem i stand til å koble seg til hverandre og utveksle data.
– Den største utfordringen er naturlig nok – ettersom det er kjernen i IoT – at de er koblet til internett. I prinsippet betyr det at bedrifter og kundene deres over hele verden nå kan få tilgang til produkter og produksjon. Og det betyr også at hackerne kan få tilgang, sier Mynster.
Kaseya-angrepet
Et dansk eksempel er da Københavns bysykler ble satt ut av drift en helg i 2018. Et hackerangrep satte en midlertidig stopper for utleie av de IoT-avhengige elsyklene og dermed også inntektene til selskapet bak produktet, Bycyklen.
– Vi har ikke brukernes kredittkortinformasjon eller lignende liggende, og det ser ikke ut til at data er stjålet, så man må jo vurdere hvem som kan ha andre motiver for å utføre et slikt angrep, som jo ikke akkurat er en enkel oppgave, skrev en ansatt fra Bycyklen på Facebook etter angrepet.
Et nyere og mer alvorlig hackerangrep som rammet nettverkstilknyttede enheter, er det store verdikjedeangrepet på selskapet Kaseya og deres kunder, inkludert den svenske Coop-kjeden – som måtte stenge 800 butikker lørdag 3. juli, da kassaapparatene ble satt ut av drift.
Det kan være mange grunner til angrep, sier Mynster. Det vanligste er sannsynligvis utpressingsvare, der løsepenger kreves for å gjenopprette funksjonalitet, men det kan også være industriell spionasje, hevngjerrige tidligere ansatte eller rett og slett fordi hackeren vil bevise at han kan.
IoT-angrep kan være kostbare
Mynster sier at man over tid har sett mange eksempler på at IoT-plattformers backend er blitt angrepet og der hackere, etter å ha fått tilgang dit, har vært inne og endret adgangsnøkler på selskapenes IoT-enheter.
– Og hvis det bare er hackerne som har dem, kan du ikke lenger få tilgang til enhetene fra din egen plattform, men må fysisk ut for å omprogrammere hver eneste enhet eller erstatte dem. Det koster mye penger og tar lang tid, sier han.
Visma hadde for eksempel nærmere 100 serviceteknikere ute i Coop-butikkene i Sverige for å løse problemene etter angrepet på Kaseya.
Med IoT implementert som en del av ens produkt eller som en del av produksjonen, bør selskaper, på samme måte som med tradisjonell cybersikkerhet, ha en risikobasert tilnærming til cybersikkerhet på og rundt sine IoT-enheter, sier han.
– Her må du først sørge for å ta de lavest hengende fruktene, som det er lett å gjøre noe med, og samtidig sørge for at det er så vanskelig å hacke at det står i forhold til eiendelene som hackerne vil kunne få tak i, sier han og påpeker at det imidlertid er betydelige forskjeller på å beskytte systemene sine og å beskytte driften, hvis den er avhengig av IoT.
Både fysiske og digitale produkter rammes
– Det springende punkt er at når du jobber med tradisjonell cybersikkerhet, er det eiendelene dine – først og fremst digitale, det vil si dataene dine og systemene – du tar vare på. Men når du jobber med IoT, er det de fysiske produktene eller produksjonen du må ta vare på, og det betyr at hvis IoT-systemet blir hacket, så forsvinner også funksjonen til de fysiske produktene, med mindre du har tatt hensyn til dette i designet, sier han.
Derfor bør selskaper undersøke – igjen fra en risikobasert tilnærming til sikkerhet – hvor mye et angrep som rammer selskapets IoT-enheter koster per time, per dag og per uke, og hva et mulig angrep betyr i forhold til kundene, deres lojalitet og selskapets troverdighet, påpeker han.
– Du må finne ut hvordan du best beskytter IoT-enhetene dine, og det er forskjellige strategier for det, men uansett hvor sikkert du gjør noe, kan alt bli hacket. Så det handler om å finne ut hvordan man kan gjøre det så tungvint at hackerne går etter et annet mål. Et godt sted å starte er i standardene som adresserer cybersikkerhet for IoT, for eksempel EN 303 645, der er det en god liste over typiske sårbarheter å jobbe ut fra, og så må man bare bgynne med det mst kritiske.
EUs cybersikkerhetsbyrå (ENISA) holder på med å utvikle cybersikkerhetsregler for produkter med innebygd datakommunikasjon. De forventes å være klare i 2023, sier Anders Struwe Mynster.
Denne artikkelen ble først publisert på Version 2.
Rapport: De fleste som betaler løsepenger, blir angrepet på nytt
