FORBRUKERTEKNOLOGI

Forsker: Begrensninger i maskinvaren er ingen unnskyldning for dårlig IoT-sikkerhet

IT-sikkerhetsforsker har hørt mange unnskyldninger for mangelfull IT-sikkerhet. Spesielt én har han ikke mye til overs for.

En moderne Philips Hue-pære – som med sine 32 Mhz, 32 KB RAM / 512 Kb Flash og hele 250 Kbps båndbredde fint kan håndtere moderne sikkerhetsprotokoller, ifølge Alessandro Bruni. Den er et eksempel på moderne IoT-utstyr som han mener kan være godt sikret – hvis man tenker på det fra starten av.
En moderne Philips Hue-pære – som med sine 32 Mhz, 32 KB RAM / 512 Kb Flash og hele 250 Kbps båndbredde fint kan håndtere moderne sikkerhetsprotokoller, ifølge Alessandro Bruni. Den er et eksempel på moderne IoT-utstyr som han mener kan være godt sikret – hvis man tenker på det fra starten av. Foto: Version 2
Mads Lorenzen, Version 2
22. feb. 2022 - 10:40

Da Digi.no og danske Version 2 på slutten av 2021 kunne beskrive en kritisk sårbarhet i insulinpumper som er i bruk i Norge, var én av de mulige forklaringene på at pumpene kunne overtas og manipuleres, at maskinvaren i IoT-enhetene ikke kunne levere kontinuerlig oppdatert sikkerhet. Og at det ville tømme utstyrets batterier for raskt.

Men Alessandro Bruni, som er førsteamanuensis i IT-sikkerhet ved IT-universitetet i København, godtar ikke den forklaringen:

– Å si at du ikke kan sikre IoT på grunn av maskinvare, er bare en dårlig unnskyldning, sier Bruni, som har forsket på nettopp IoT-sikkerhet. 

– Det finnes nemlig sikrere, mer tekniske løsninger der ute. De krever og koster mer enn de helt enkle løsningene, men de er allerede utbredt i IoT-løsningene som selges i dag – så det er ingen unnskyldning, sier han – og synes det er ekstra kritikkverdig at IoT, som selges som medisinsk utstyr i Danmark, er ikke bedre sikret. Med IoT (Internet of Things) kan tingene rundt oss kobles til internett og gi oss ulike typer informasjon.

– Medisinsk utstyr er generelt kritisk utstyr og må virke til tross for mindre systemfeil. Det samme gjelder IoT i tog eller andre kritiske steder. Det er med andre ord mye IoT som i prinsippet ikke må svikte eller inneholde IT-sikkerhetsfeil – og det er det mulig å sikre, sier Bruni. Han får støtte av Mikael Vingaard, som er sikkerhetsspesialist, har stiftet A Garde Security og har en fortid i EnergiCERT.

Rask teknologisk utvikling

Han sier også at det de siste tiårene har skjedd en enorm teknologisk utvikling som gjør det enda mer uakseptabelt å overse IT-sikkerheten i IoT.

For eksempel betyr denne utviklingen at det i de populære Philips Hue-pærene, som man kan styre med en app på mobiltelefonen, sitter en brikke som kan måle seg mot flere historiske, sikre enheter.

– I dag er vi i en posisjon der selv en lyspære er like kraftig som Intels Pentium, så hvis vi kan drive sikker bankvirksomhet med den, kan vi også sikre lyspærene våre og all annen IoT, sier forskeren. Han refererer til den Intel-brikken som i årevis ble brukt i verdens toppsikrede bankinfrastruktur:

– Så nå som moderne komponenter er mindre, kraftigere og krever mindre strøm, hvorfor skulle de ikke kunn sikres? Det gir ingen mening, sier Bruni.

Han påpeker at økende digitalisering gjør IoT-sikkerhet stadig mer sentralt.

– Medisin og transport er eksempler på områder som er veldig opptatt av sikkerhet, og digitaliserer man videre der med trådløst utstyr som IoT, må også sikkerhet regnes inn fra start, sier førsteamanuensisen.

– I de bransjene har det lenge vært fokus på sikkerhet, men avhengig av hvor du i produktene dine du har IoT, kan du ikke garantere den mer tradisjonelle sikkerheten uten også å ha kontroll over IT-sikkerheten. Har man en insulinpumpe man vil garantere fungerer, må man også garantere for IT-sikkerheten, slår han fast.

Derfor oppfordrer Bruni produsenter og forbrukere av IoT til å videreføre den klassiske sikkerhetskulturen, hvor vi har regnet inn tradisjonell sikkerhet i produktene fra startenav , til også å inkludere IT-sikkerhet.

– En del av det er også å begynne å verifisere og sertifisere IT-sikkerhet på samme måte som man har gjort med tradisjonell sikkerhet. Det er et mer rotete område, men det endrer seg nå, sier førsteamanuensisen, som håper og tror at IoT-sikkerhet i økende grad vil bli en konkurranseparameter i årene som kommer.

Denne artikkelen ble først publisert på Version 2.

IT-sikkerhetssjef Thomas Tømmernes  i Atea sier at cyberforsikring er viktig for noen, men ikke nødvendigvis det beste for alle.
Les også

– Ikke alltid den beste løsningen

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.